SPF, DKIM e DMARC — autenticação DNS de e-mail
spf dkim dmarc dns · registros autenticacao email · verificar registro spf · registro txt dmarc
Como registros TXT SPF, DKIM e DMARC funcionam juntos, strings de exemplo, alinhamento básico e verificação de autenticação de e-mail com DNS Checker.
Por DN01 Network Team
Entregabilidade moderna depende de três padrões baseados em TXT: SPF lista quem pode enviar e-mail pelo seu domínio, DKIM assina mensagens criptograficamente e DMARC informa receptores como tratar falhas e onde enviar relatórios agregados.
Publique os três após integrar Google Workspace, Microsoft 365 ou qualquer relay SMTP. Verifique valores ao vivo com o DNS Checker e monitore reputação com o Blacklist Checker se e-mail em massa começar a ser adiado.
SPF (Sender Policy Framework)
SPF TXT no apex costuma ser `v=spf1 include:_spf.google.com ~all`. Mecanismos incluem ip4, include, a, mx e qualificador all. Falha dura (-all) é mais estrita que falha suave (~all).
Apenas um TXT SPF por nome. Mescle includes em vez de adicionar um segundo registro. RFC 7208 documenta sintaxe e limites (10 consultas DNS durante avaliação SPF).
DKIM (DomainKeys Identified Mail)
DKIM publica uma chave pública em TXT em `selector._domainkey.example.com`. O seletor vem do seu provedor de e-mail. Chaves rotacionam — atualize DNS quando o painel gerar um novo seletor.
Alinhamento significa que o domínio assinante coincide com o domínio do cabeçalho From (estrito) ou domínio organizacional (relaxado). DKIM desalinhado ainda verifica criptograficamente mas pode não satisfazer DMARC.
DMARC (Domain-based Message Authentication)
DMARC vive em `_dmarc.example.com` como `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Comece com p=none para coletar relatórios e depois endureça a política.
DMARC só passa quando SPF ou DKIM se alinham com o domínio From e pelo menos um passa. Corrigir DMARC sem SPF/DKIM é impossível — configure autenticação primeiro.
Checklist de verificação
Consulte TXT no apex para SPF, TXT do seletor para DKIM, `_dmarc` para política. Envie uma mensagem de teste para uma caixa que mostre cabeçalhos Authentication-Results. Verifique novamente após TTL ao rotacionar chaves.
Use DIG com tipo TXT se precisar de respostas multi-string brutas para anexos em tickets.
| Padrão | Localização | Trecho de exemplo |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Perguntas frequentes
- SPF e DKIM podem falhar mas o e-mail ainda ser entregue?
Sim — receptores podem aceitar com pontuação de spam. Política DMARC determina se falhas causam quarentena ou rejeição.
- Quantos includes SPF são demais?
Mais de dez consultas DNS durante avaliação SPF quebra SPF conforme a spec. Achate includes ou use macros SPF com cuidado.
- Preciso de DMARC no primeiro dia?
Publique p=none com relatórios primeiro. Mude para quarantine/reject quando SPF e DKIM alinharem de forma confiável.
- Onde entra BIMI?
BIMI é branding opcional sobre DMARC com p=quarantine ou reject e certificado de marca verificado — fora do escopo da configuração básica.