SPF, DKIM e DMARC: Configure Email Corporativo Anti-Spam

Q: Como saber se meu DMARC está funcionando?

Se você configurou a opção rua (relatórios agregados) no registro DMARC, receberá e-mails diários ou semanais contendo dados sobre as tentativas de autenticação. Você pode usar ferramentas online que processam esses relatórios XML para gerar gráficos visuais de quem está enviando e-mails em seu nome e quantos estão falhando.

Você configura o servidor de e-mail com perfeição, otimiza os registros DNS e garante que a entrega seja rápida, mas, no final do dia, seus e-mails ainda estão indo para a caixa de spam ou, pior, sumindo completamente. Esse cenário frustrante é mais comum do que se imagina entre gestores de TI e donos de pequenas empresas que dependem da comunicação digital para sobreviver. A culpa raramente é do provedor de hospedagem ou da lentidão da rede; a raiz do problema reside na falta de confiança que os grandes servidores de destino (como Gmail, Outlook e Yahoo) depositam no seu domínio.

Neste post:

Por que o Spam Ataca até Empresas Sérias?
SPF: A Lista de Endereços IP Permitidos
DKIM: O Selo de Autenticidade Digital
DMARC: A Estratégia de Proteção e Retorno
Implementação Passo a Passo no DNS
Perguntas Frequentes (FAQ)
Conclusão: Segurança de Email é Essencial

A internet moderna funciona baseada em verificação. Antes de entregar uma mensagem, os filtros de spam analisam a reputação do remetente. Sem as três camadas fundamentais de autenticação — SPF, DKIM e DMARC — seu email corporativo é tratado como um desconhecido tentando entrar em um clube exclusivo sem convite. O resultado é a perda de credibilidade, oportunidades de negócio perdidas e a percepção de que sua empresa não leva a segurança a sério.

Neste guia técnico, vamos desmistificar esses protocolos, explicar como eles funcionam na prática e mostrar como configurá-los corretamente para garantir que suas mensagens cheguem à caixa de entrada principal.

Por que o Spam Ataca até Empresas Sérias?

Muitos profissionais acreditam que o spam é um problema apenas de grandes corporações ou de pessoas que usam e-mails gratuitos. Isso é um mito perigoso. Os filtros de segurança são automatizados e aplicados a todos os domínios, independentemente do tamanho da empresa.

Quando você envia um e-mail, o servidor receptor realiza uma série de verificações no cabeçalho da mensagem. Se ele não conseguir comprovar que você é realmente quem diz ser, ele assume o pior cenário: que seu domínio foi comprometido ou está sendo usado para envio em massa. Sem autentação robusta, sua taxa de entrega cai drasticamente.

Além disso, a falta desses protocolos torna seu domínio vulnerável ao spoofing (fraude de identidade). Golpistas podem enviar e-mails fingindo ser você ou sua empresa para enganar seus clientes. Se não houver DMARC configurado, os destinatários não recebem aviso de que o e-mail é falso, e a confiança na sua marca se deteriora.

SPF: A Lista de Endereços IP Permitidos

O SPF (Sender Policy Framework) é o primeiro nível de defesa. Ele funciona como um "registro de hóspedes" do seu domínio. Basicamente, é uma entrada no DNS que lista quais endereços IP ou servidores de e-mail têm permissão para enviar mensagens em nome do seu domínio.

Quando um servidor recebe um e-mail, ele consulta o registro SPF do domínio remetente. Se o IP de origem não estiver na lista permitida, o servidor receptor decide o que fazer com base nas configurações, podendo rejeitar o e-mail ou marcá-lo como suspeito.

Como funciona a sintaxe do SPF?

Um registro SPF típico se parece com isto:

v=spf1 include:mail.todasolucao.com ~all

Nessa string, v=spf1 define a versão do protocolo. O comando include: autoriza todos os IPs utilizados pelo provedor de e-mail que você contrata. Por fim, o ~all indica uma política de "soft fail" (falha suave), sugerindo que e-mails não listados devem ser marcados como spam, mas aceitos.

Dica importante: Evite usar all (hard fail) imediatamente. Se você tiver outros sistemas legados, automações de marketing ou funcionários que enviam e-mails por conexões móveis que mudam de IP constantemente, o -all pode bloquear comunicações legítimas acidentalmente. Comece com ~all, monitore os logs e só mude para -all quando tiver certeza de que todos os canais estão cobertos.

DKIM: O Selo de Autenticidade Digital

Enquanto o SPF verifica o IP do servidor, o DKIM (DomainKeys Identified Mail) verifica o conteúdo da mensagem. Ele adiciona uma assinatura criptográfica digital ao cabeçalho do e-mail. Essa assinatura é gerada usando uma chave privada no servidor de envio e verificada por uma chave pública publicada no seu DNS.

O objetivo do DKIM é garantir a integridade da mensagem. Se alguém alterar o corpo do e-mail ou o cabeçalho durante o trânsito, a assinatura digital será invalidada, alertando o receptor de que a mensagem foi manipulada.

A importância da chave pública no DNS

Para ativar o DKIM, seu provedor de e-mail geralmente fornece um registro CNAME ou TXT que você deve adicionar ao seu painel de DNS. Esse registro contém a chave pública.

Segurança: Impede que golpistas alterem o conteúdo de e-mails interceptados.
Reputação: Domínios com DKIM ativo tendem a ter melhor reputação junto aos filtros de spam.
Rastreabilidade: Permite rastrear exatamente qual chave foi usada para assinar a mensagem, facilitando a revogação em caso de vazamento.

Muitos provedores modernos gerenciam essa troca de chaves automaticamente, mas é crucial verificar se o registro está publicado corretamente e se a assinatura aparece no cabeçalho dos e-mails enviados. Ferramentas de análise de cabeçalho podem ajudar nessa verificação.

DMARC: A Estratégia de Proteção e Retorno

Se SPF verifica a origem e DKIM verifica a integridade, o DMARC (Domain-based Message Authentication, Reporting and Conformance) é quem dá ordem ao processo. Ele conecta as duas verificações anteriores e instrui o servidor receptor sobre o que fazer quando uma delas falha.

Sem o DMARC, cada provedor de e-mail toma decisões diferentes sobre como lidar com falhas de autenticação. Com o DMARC, você estabelece uma política unificada. Além disso, ele exige relatórios (agregados e forenses) enviados ao seu domínio, permitindo que você monitore quem está tentando usar seu nome sem autorização.

Políticas do DMARC: none, quarantine e reject

A configuração do DMARC define a ação a ser tomada:

p=none: Apenas monitora. E-mails que falham na autenticação são entregues normalmente, mas você recebe relatórios. Ideal para a fase inicial.
p=quarantine: E-mails falhos são enviados para a pasta de spam ou lixo eletrônico.
p=reject: E-mails falhos são rejeitados na hora, nunca chegando à caixa de entrada do destinatário. É a configuração mais segura.

Para começar, recomendamos fortemente a política p=none. Isso permite que você colete dados por algumas semanas ou meses para entender se algum serviço legítimo está falhando na autenticação antes de bloquear mensagens reais.

Implementação Passo a Passo no DNS

A configuração correta desses três pilares é essencial para a segurança de email. Abaixo, apresentamos uma comparação prática das responsabilidades e impactos de cada protocolo.

Protocolo	O que verifica?	Onde é configurado?	Impacto Principal
SPF	IP do servidor remetente	Registro TXT no DNS	Impede envio direto de IPs não autorizados
DKIM	Integridade do conteúdo	Chave Pública no DNS + Assinatura no Servidor	Garante que a mensagem não foi alterada
DMARC	Alinhamento entre SPF e DKIM	Registro TXT no DNS	Define política de tratamento e gera relatórios

Passo 1: Configure o SPF. Acesse o painel de gerenciamento de DNS do seu domínio. Adicione um registro TXT com a versão SPF e inclua os domínios dos seus provedores de e-mail (como Microsoft 365, Google Workspace ou sua hospedagem local). Lembre-se: apenas um registro SPF é válido por domínio. Se já existir um, edite-o para incluir os novos serviços, separando-os com espaços.

Passo 2: Ative o DKIM. No painel do seu provedor de e-mail, ative a assinatura DKIM. Ele fornecerá o registro CNAME ou TXT necessário. Adicione-o ao seu DNS. Verifique se a propagação ocorreu e teste com uma ferramenta de validação.

Passo 3: Implemente o DMARC. Comece com v=DMARC1; p=none; rua=mailto:seuemail@seudominio.com. Isso criará um relatório diário que você pode analisar. Se não houver erros de entrega legítima, evolua para p=quarantine e, eventualmente, p=reject.

A manutenção contínua é vital. Sempre que adicionar um novo serviço de envio (como uma ferramenta de CRM ou automação), atualize o SPF e verifique se ele está assinando com DKIM.

Perguntas Frequentes (FAQ)

O que acontece se eu não configurar o DMARC?

Sem o DMARC, seus e-mails ainda podem ser entregtos, mas você fica vulnerável a fraudes. Golpistas podem enviar e-mails falsificados do seu domínio, e os destinatários não terão como identificar isso facilmente. Além disso, os filtros de spam são mais agressivos com domínios sem políticas de segurança definidas, o que pode prejudicar sua taxa de entrega.

Posso ter vários registros SPF?

Não. O padrão SPF permite apenas um registro TXT por domínio. Se você tentar adicionar dois, os servidores de destino ignorarão todos ou usarão apenas o primeiro, o que causará falhas de autenticação. A solução é consolidar todas as autorizações (servidores de e-mail, CRM, newsletters) em uma única string de registro SPF.

DKIM pode ser desativado se eu confiar no meu servidor?

Ainda que você confie totalmente na infraestrutura atual, o DKIM é essencial para a integridade. Sem ele, um e-mail pode ser interceptado e modificado no trânsito sem que o destinatário saiba. Além disso, muitos provedores de grande porte exigem DKIM ativo para considerar o domínio confiável, independentemente da reputação do IP.

Como saber se meu DMARC está funcionando?

Se você configurou a opção rua (relatórios agregados) no registro DMARC, receberá e-mails diários ou semanais contendo dados sobre as tentativas de autenticação. Você pode usar ferramentas online que processam esses relatórios XML para gerar gráficos visuais de quem está enviando e-mails em seu nome e quantos estão falhando.

SPF e DKIM funcionam em e-mails internos?

Não diretamente da forma como esperamos. O SPF verifica o IP no momento do envio SMTP externo. Se um funcionário enviar um e-mail de dentro da rede local para outro interno, o servidor receptor pode não validar o SPF da mesma maneira. No entanto, se a mensagem for encaminhada para fora ou se houver relaying incorreto, as validações podem falhar. O ideal é garantir que todos os pontos de saída tenham autenticação correta.

Conclusão: Segurança de Email é Essencial

Configurar SPF, DKIM e DMARC não é apenas uma tarefa técnica para o departamento de TI; é uma necessidade estratégica para a sobrevivência do seu negócio digital. A segurança de email protege sua reputação, evita fraudes e garante que suas comunicações cheguem ao público-alvo.

A transição de um ambiente inseguro para um domínio autenticado requer atenção aos detalhes, especialmente na hora de consolidar registros SPF e monitorar os relatórios do DMARC. Comece com a política de monitoramento, analise os dados e evolua gradualmente para o bloqueio ativo.

A infraestrutura de comunicação da sua empresa é tão importante quanto seus servidores web ou banco de dados. Garantir que ela seja segura e confiável evita dores de cabeça futuras e fortalece a confiança dos seus clientes. Se você precisa de suporte para otimizar sua configuração de DNS, migrar para uma infraestrutura mais robusta ou garantir que seus serviços de nuvem estejam protegidos contra ameaças, conte com a expertise da Toda Solução para manter seu negócio seguro e sempre online.