Autenticação de Email: SPF, DKIM e DMARC Explicados

Todo dia, bilhões de emails falsos circulam na internet. Pessoas mal-intencionadas enviam mensagens fingindo ser bancos, lojas ou empresas de confiança para roubar dados. Para combater isso, provedores de email como Gmail, Outlook e Yahoo criaram mecanismos de autenticação.

A autenticação de email funciona como uma carteira de identidade digital para suas mensagens. Ela prova para os provedores de email que quem está enviando é realmente você — e não um impostor usando seu domínio. Sem essa autenticação, até emails legítimos podem ser marcados como suspeitos.

Desde 2024, Gmail e Yahoo exigem autenticação adequada para remetentes que enviam mais de 5.000 emails por dia. Mesmo se você envia menos, a falta de autenticação prejudica sua entregabilidade. Emails sem SPF, DKIM e DMARC configurados têm maior chance de cair na pasta de spam.

SPF (Sender Policy Framework) é um registro DNS que lista os servidores autorizados a enviar email pelo seu domínio. Funciona como uma lista de convidados em uma festa: se o servidor não está na lista, o provedor de email pode rejeitar a mensagem ou tratá-la com desconfiança.

Configurar SPF é relativamente simples. Você adiciona um registro TXT no DNS do seu domínio listando os IPs e servidores da sua ferramenta de email marketing. A maioria das ferramentas fornece o valor exato do registro SPF que você precisa adicionar.

Um erro comum é criar múltiplos registros SPF. Isso quebra a autenticação. Se você usa mais de uma ferramenta para enviar emails pelo mesmo domínio, combine todos os servidores em um único registro SPF. Use mecanismos como "include:" para adicionar servidores de terceiros.

O limite de lookups do SPF é 10. Cada "include:" ou "a:" conta como um lookup. Exceder esse limite causa falhas de autenticação. Se você está próximo do limite, considere usar um subdomínio dedicado para emails de marketing.

DKIM (DomainKeys Identified Mail) adiciona uma assinatura digital criptográfica a cada email enviado. É como lacrar um envelope: o destinatário pode verificar se o conteúdo foi alterado durante o trajeto e se realmente veio de quem diz ser.

A configuração do DKIM envolve dois elementos: uma chave privada, que fica no servidor de envio e assina cada mensagem, e uma chave pública, publicada no seu DNS. Quando o provedor de email do destinatário recebe a mensagem, ele busca a chave pública no DNS e verifica se a assinatura bate.

A maioria das ferramentas de email marketing gerencia o DKIM automaticamente. Elas fornecem um registro TXT que você adiciona ao DNS e cuidam da assinatura de cada email. Se você envia emails via API própria, precisará configurar o DKIM manualmente no seu servidor de email.

Emails sem DKIM são mais vulneráveis a alterações em trânsito. Um atacante pode interceptar e modificar o conteúdo de um email não assinado. O DKIM garante integridade: se a assinatura não bate, o email foi modificado.

DMARC (Domain-based Message Authentication, Reporting and Conformance) é a camada mais sofisticada da autenticação. Ele instrui os provedores de email sobre como tratar mensagens que falham no SPF ou DKIM — e envia relatórios sobre essas falhas para que você possa agir.

As políticas DMARC têm três níveis: "p=none" apenas monitora e relata, sem bloquear emails; "p=quarantine" instrui os provedores a colocar emails suspeitos na pasta de spam; "p=reject" manda bloquear completamente emails que falham na autenticação.

Recomendamos começar sempre com "p=none". Analise os relatórios DMARC por 2-4 semanas para identificar servidores legítimos que estão falhando na autenticação. Corrija esses problemas antes de mover para "p=quarantine". Só use "p=reject" quando tiver certeza de que todos os seus fluxos de email estão autenticados corretamente.

Os relatórios DMARC são enviados em formato XML para um endereço de email que você define. Eles mostram quais servidores estão enviando emails pelo seu domínio, quantos passaram na autenticação e quantos falharam. Ferramentas como DMARC Analyzer e EasyDMARC simplificam a interpretação desses relatórios.

Os relatórios DMARC são o seu radar de autenticação. Eles revelam não apenas se seus próprios emails estão passando, mas também se alguém está tentando enviar emails falsos usando seu domínio. Esse tipo de inteligência é inestimável para a segurança da marca.

O que procurar nos relatórios: volume de emails enviados pelo seu domínio, taxa de passagem/falha na autenticação, IPs desconhecidos enviando emails e tendências ao longo do tempo. Um aumento súbito de falhas pode indicar um problema de configuração ou um ataque de spoofing.

Não ignore IPs desconhecidos. Se você vê um servidor que não reconhece enviando emails pelo seu domínio, investigue imediatamente. Pode ser um serviço legítimo que esqueceu de incluir no SPF, ou pode ser atividade maliciosa.

O erro mais comum é ter múltiplos registros SPF. Cada domínio deve ter exatamente um registro SPF. Se você precisa autorizar mais de um serviço, combine todos em um único registro usando múltiplos includes.

Outro erro frequente é configurar DMARC com "p=reject" muito cedo. Sem o período de monitoramento, você pode bloquear emails legítimos de serviços que não estavam no SPF. Sempre evolua gradualmente: none → quarantine → reject.

Não esqueça de configurar autenticação para subdomínios também. Se você usa "marketing.seudominio.com" para enviar emails, o SPF e DKIM precisam estar configurados para esse subdomínio, não apenas para o domínio raiz.

Finalmente, lembre-se de que autenticação não é configurar uma vez e esquecer. Se você muda de ferramenta de email, adiciona um novo servidor ou contrata uma agência que envia emails em seu nome, precisa atualizar seus registros DNS.

A autenticação é um dos fatores mais importantes para a reputação do remetente. Gmail, Outlook e Yahoo usam SPF, DKIM e DMARC como sinais de confiança. Domínios bem autenticados têm maior chance de chegar à caixa de entrada.

Sem autenticação, seu email pode cair em spam mesmo com conteúdo perfeito e lista limpa. É como tentar entrar em um evento sem credencial: não importa quem você é, se não provar sua identidade, não entra.

Além da entregabilidade, a autenticação protege sua marca contra phishing e spoofing. Se alguém envia emails falsos usando seu domínio, o DMARC com política quarantine ou reject ajuda a impedir que essas mensagens cheguem aos destinatários — protegendo seus clientes e sua reputação.