Voltar para o blog
Email
7 min de leitura
6 de julho de 2026

SPF, DKIM e DMARC: o que são e por que seu email precisa deles

Essas três siglas decidem se o seu email chega na caixa de entrada ou morre no spam. A boa notícia: dá pra entender as três em dez minutos, sem ser técnico.

Quando você envia um email, o servidor de quem recebe (Gmail, Outlook, etc.) faz uma pergunta simples: "quem me garante que essa mensagem veio mesmo de quem diz que veio?" SPF, DKIM e DMARC são as três formas de responder essa pergunta. Domínio sem essas respostas configuradas é tratado com desconfiança — e desconfiança, no mundo do email, significa pasta de spam.

SPF: a lista de remetentes autorizados

Pense no SPF como a lista de convidados na porta de uma festa. O dono do domínio publica no DNS uma lista dizendo: "só esses servidores podem enviar email em meu nome". Quando uma mensagem chega, o servidor de destino confere se quem enviou está na lista. Se não está, é forte indício de que alguém está tentando se passar pela sua empresa.

Um registro SPF real é um TXT no DNS parecido com este:

v=spf1 mx a:mail.suaempresa.com.br -all

Traduzindo cada pedaço:

  • v=spf1 — versão do protocolo (sempre essa).
  • mx — os servidores que recebem seu email também podem enviar.
  • a:mail.suaempresa.com.br — esse servidor específico está autorizado.
  • -all — qualquer outro remetente deve ser rejeitado. (A variação ~all é mais branda: marca como suspeito em vez de rejeitar.)

DKIM: a assinatura digital de cada mensagem

O SPF valida quem enviou, mas não protege o conteúdo. É aí que entra o DKIM: cada mensagem sai do seu servidor com uma assinatura criptográfica invisível, como um lacre de segurança. O servidor de destino busca a chave pública no seu DNS e confere o lacre. Se alguém alterou a mensagem no caminho — ou tentou forjá-la — a assinatura não bate.

A chave pública do DKIM fica num registro TXT em um subdomínio especial, tipo dkim._domainkey.suaempresa.com.br, com um conteúdo assim:

v=DKIM1;k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...

Aquele p=... gigante é a chave pública. Você não precisa entendê-la — só precisa que ela exista no DNS e case com a chave privada que o seu servidor de email usa pra assinar.

DMARC: a política do que fazer quando algo falha

SPF e DKIM verificam. O DMARC decide. É a regra que você publica dizendo o que os provedores devem fazer quando uma mensagem falha nas verificações: entregar mesmo assim, mandar pra quarentena (spam) ou rejeitar. De bônus, o DMARC permite receber relatórios de quem anda tentando enviar email em seu nome.

v=DMARC1; p=quarantine; rua=mailto:postmaster@suaempresa.com.br
  • p=quarantine — mensagem que falhar vai pra pasta de spam. p=reject rejeita de vez; p=none só observa e relata.
  • rua=mailto:... — endereço que recebe os relatórios agregados. É assim que você descobre se alguém está tentando usar seu domínio pra golpe.

Desde 2024, Gmail e Yahoo passaram a exigir autenticação pra quem envia volume — mas na prática qualquer domínio sem SPF/DKIM/DMARC já sofre pra entregar. Se seus emails andam sumindo, vale ler nosso guia sobre o que fazer quando o email cai em spam.

Como verificar se o seu domínio já tem os três

1. Pelo terminal, com dig

dig TXT suaempresa.com.br +short
dig TXT dkim._domainkey.suaempresa.com.br +short
dig TXT _dmarc.suaempresa.com.br +short

A primeira linha deve mostrar algo começando com v=spf1, a segunda com v=DKIM1 e a terceira com v=DMARC1. Se alguma vier vazia, está faltando registro.

2. Pelo navegador, com MXToolbox

Se terminal não é sua praia, o mxtoolbox.com tem verificadores gratuitos de SPF, DKIM e DMARC — basta digitar seu domínio e ele aponta o que existe, o que falta e erros de sintaxe.

3. Pelo Gmail, num email real

Envie um email do seu domínio pra uma conta Gmail, abra a mensagem e clique em "Mostrar original" (menu de três pontos). No topo aparece um resumo com SPF, DKIM e DMARC — o objetivo é ver PASS nos três.

E se eu não quiser configurar nada disso?

Justo. Configurar SPF, DKIM e DMARC na mão exige acesso ao DNS, atenção à sintaxe e paciência com propagação. No email profissional da LumaHost, os três registros já vêm configurados por padrão em toda conta — e o painel verifica o seu DNS e avisa se algum registro está faltando ou incorreto. Você cuida do seu negócio; a entrega a gente garante.

Pronto pra ter email no seu domínio?

A partir de R$ 9,90/mês por caixa, com garantia de 30 dias e pagamento via PIX. Ativação em menos de 1 hora.