SPF, DKIM e DMARC são três protocolos de autenticação de e-mail que trabalham juntos para provar que uma mensagem realmente veio de quem diz ter enviado — protegendo o seu domínio contra falsificação e garantindo que seus e-mails cheguem à caixa de entrada, e não ao spam.
Se você tem um domínio e envia e-mails — de uma empresa, uma loja ou um site —, esses três nomes são incontornáveis. Eles deixaram de ser um detalhe técnico para virar requisito: desde 2024, provedores como Gmail e Yahoo passaram a exigir autenticação para quem envia em volume, e essa exigência só se ampliou. Neste guia, você vai entender, sem juridiquês técnico, o que é cada um dos três, como eles funcionam em conjunto e por que configurá-los se tornou essencial. A parte do passo a passo de configuração fica para um tutorial específico, ao qual vamos remeter no fim.
Conteúdo
Por que o e-mail precisa de autenticação?
O e-mail nasceu, lá nos anos 1980, sem nenhum mecanismo de verificação de identidade. Por design, qualquer servidor pode enviar uma mensagem dizendo ser “de” qualquer endereço — é como mandar uma carta pelos Correios escrevendo no remetente um nome que não é o seu. Essa falha estrutural é o que permite o spoofing (falsificação de remetente): um golpista pode enviar e-mails fingindo ser o seu banco, ou o seu domínio, sem precisar invadir nada.
É exatamente essa brecha que o phishing explora. Para fechá-la, foram criados os protocolos de autenticação de e-mail. Eles funcionam como um sistema de credenciais publicado no DNS do seu domínio, que prova aos servidores de destino (Gmail, Outlook, Yahoo) que a mensagem é legítima. Se quiser entender como golpistas abusam dessa falha, veja nosso guia sobre phishing.
O que é SPF?
O SPF (Sender Policy Framework) define quais servidores estão autorizados a enviar e-mails em nome do seu domínio. Funciona como uma lista de remetentes aprovados, publicada como um registro no DNS.
Na prática: quando um servidor de destino recebe uma mensagem que diz vir do seu domínio, ele consulta o registro SPF e verifica se o servidor que de fato enviou está na lista de autorizados. Se estiver, passa na verificação; se não estiver, a mensagem fica suspeita. É a resposta para a pergunta “este servidor tem permissão para enviar como este domínio?”.
A limitação do SPF: ele valida o servidor de envio, mas não verifica o conteúdo da mensagem — e pode falhar quando um e-mail é encaminhado. Por isso ele não basta sozinho.
include: e pode estourar esse limite — o que faz o SPF inteiro falhar. Se você usa muitos remetentes, vale checar quantos lookups o seu registro consome. Há um caso em que até e-mails legítimos quebram: o encaminhamento. Quando uma mensagem é reenviada, o servidor intermediário pode alterar o caminho (quebrando o SPF) ou o conteúdo (invalidando o DKIM), fazendo um e-mail honesto falhar no DMARC.
A solução para isso é o ARC (Authenticated Received Chain): um protocolo complementar que preserva o resultado da autenticação original ao longo dos encaminhamentos. Servidores intermediários “assinam” o histórico de autenticação, e o destinatário final pode confiar nessa cadeia para aceitar uma mensagem que, de outra forma, falharia. Nem todo provedor usa ARC, mas os grandes (como Google e Microsoft) o suportam — e ele é a peça que resolve o problema clássico do encaminhamento.
O que é DKIM?
O DKIM (DomainKeys Identified Mail) adiciona uma assinatura digital à mensagem, que prova duas coisas: que ela realmente partiu do domínio declarado e que não foi alterada no caminho.
Funciona com um par de chaves criptográficas. O servidor de envio assina partes da mensagem (cabeçalho e corpo) com uma chave privada; o servidor de destino consulta a chave pública, publicada no DNS do domínio, e confere se a assinatura é válida. Se o conteúdo tiver sido modificado em trânsito, a assinatura não bate, e a verificação falha. É a resposta para “esta mensagem é autêntica e está intacta?”.
A limitação do DKIM: ele garante a autenticidade da assinatura, mas sozinho não diz ao servidor de destino o que fazer se a verificação falhar. Falta uma camada de política.
O que é DMARC?
O DMARC (Domain-based Message Authentication, Reporting and Conformance) é a camada que une o SPF e o DKIM e define a política: o que o servidor de destino deve fazer quando uma mensagem falha na autenticação. Além disso, ele gera relatórios sobre quem está enviando e-mails usando o seu domínio — úteis para detectar tentativas de falsificação.
O DMARC tem três políticas possíveis, definidas pelo dono do domínio:
- none (
p=none): não toma nenhuma ação — só monitora e envia relatórios. É o ponto de partida, para observar antes de endurecer. - quarantine (
p=quarantine): as mensagens que falham vão para a pasta de spam. - reject (
p=reject): as mensagens que falham são recusadas e nem chegam ao destinatário. É o nível máximo de proteção.
É a resposta para “o que fazer com as mensagens que não passam na verificação, e quem anda usando meu domínio?”.
Vale entender que essas três políticas não são apenas alternativas — elas formam uma jornada de implementação recomendada. O caminho seguro é: começar em none, apenas monitorando os relatórios para descobrir todos os seus remetentes legítimos; depois subir para quarantine, mandando para o spam o que falhar; e só então chegar a reject, recusando tudo que não autentica — mas apenas depois de confirmar que todos os seus e-mails legítimos estão passando. Pular direto para reject sem essa validação é o erro que faz empresas bloquearem os próprios e-mails.
Como os três funcionam juntos
A força está na combinação — cada um cobre o que o outro não cobre. Pense em uma analogia de correspondência segura: o SPF confere se a agência que postou a carta está autorizada a enviar em seu nome; o DKIM é o lacre que prova que a carta é sua e não foi violada no caminho; e o DMARC é a instrução que diz ao carteiro o que fazer caso a carta chegue sem o remetente autorizado ou com o lacre rompido — e ainda te manda um relatório de tudo.
Em uma frase: o SPF verifica de onde veio, o DKIM verifica se está íntegra, e o DMARC decide o que acontece quando algo falha (e fornece visibilidade). Sozinho, cada um tem brechas; juntos, formam um sistema robusto que dificulta enormemente a falsificação do seu domínio e melhora a sua reputação de remetente.
Alinhamento: o detalhe que faz o DMARC funcionar
Aqui está um conceito que confunde muita gente e que é a causa nº 1 de e-mails legítimos falharem no DMARC. O SPF ou o DKIM podem passar e, ainda assim, o e-mail falhar no DMARC — por causa do alinhamento (alignment).
O motivo: SPF e DKIM, sozinhos, não verificam o endereço que você vê no campo “De:” (o From). O SPF valida um domínio “dos bastidores” (o Return-Path), e o DKIM valida o domínio da assinatura (d=). O DMARC exige que esse domínio verificado bata com o domínio do “De:” que aparece para o destinatário. Esse “bater” é o alinhamento — e é o que impede um golpista de passar na autenticação usando um domínio próprio enquanto exibe o seu no “De:”.
Existem dois modos de alinhamento:
- Relaxed (relaxado): aceita que os domínios sejam da mesma “família” — ou seja, um subdomínio (como
mkt.suaempresa.com) alinha com o domínio principal (suaempresa.com). É o modo mais flexível e o padrão recomendado para a maioria, porque muitos serviços legítimos enviam por subdomínios. - Strict (estrito): exige correspondência exata entre os domínios. Mais seguro, porém mais frágil — qualquer variação de subdomínio reprova.
Na prática: se os seus e-mails legítimos estão falhando no DMARC mesmo com SPF e DKIM “verdes”, o problema quase sempre é alinhamento — geralmente um domínio de envio (de uma ferramenta de e-mail marketing, por exemplo) que não alinha com o seu domínio do “De:”.
Por que isso virou obrigatório em 2026
Houve uma mudança importante que tornou esse tema urgente para qualquer empresa. A partir de 2024, Gmail e Yahoo passaram a exigir autenticação (SPF, DKIM e, para remetentes em volume, DMARC) como condição para entregar e-mails — começando por quem envia mais de alguns milhares de mensagens por dia. Em 2026, a régua só subiu, e a autenticação passou a ser esperada praticamente de todo remetente comercial.
Na prática, isso significa que um domínio sem esses protocolos hoje enfrenta dois problemas: seus e-mails legítimos têm muito mais chance de cair no spam (ou serem rejeitados), e o domínio fica vulnerável a ser usado por golpistas em ataques de phishing contra terceiros. Configurar os três deixou de ser “boa prática” e virou requisito de funcionamento.
Como configurar (e onde aprofundar)
Os três protocolos são configurados como registros no DNS do seu domínio: o SPF e o DMARC como registros TXT, e o DKIM como um registro (TXT ou CNAME) com a chave pública. Depois de publicados, é preciso aguardar a propagação do DNS (de algumas horas até 24-48h) e testar o envio.
Depois de configurar, vale testar e monitorar. Ferramentas gratuitas ajudam: o MXToolbox verifica se os registros SPF, DKIM e DMARC estão corretos; o mail-tester.com dá uma nota de entregabilidade enviando um e-mail de teste; e o Google Postmaster Tools acompanha a reputação do seu domínio junto ao Gmail ao longo do tempo. Faça essa verificação após cada alteração no DNS, lembrando de aguardar a propagação antes de concluir que algo está errado.
O passo a passo detalhado, com o exemplo prático no painel, está no nosso tutorial de como configurar SPF e DKIM no cPanel. E, para dimensionar o tamanho do problema — quantos domínios ainda estão expostos por não fazerem isso —, vale ler por que tantos domínios na internet ainda estão desprotegidos.
Vale lembrar que, se você usa mais de um serviço para enviar e-mails (a plataforma de e-mail marketing, o sistema da loja, o e-mail corporativo), cada um precisa estar autenticado sob o seu domínio.
Perguntas frequentes sobre SPF, DKIM e DMARC
O que são SPF, DKIM e DMARC em palavras simples?
São três protocolos que provam que um e-mail realmente veio de quem diz ter enviado. O SPF define quais servidores podem enviar em nome do seu domínio; o DKIM adiciona uma assinatura digital que garante que a mensagem é autêntica e não foi alterada; e o DMARC define o que fazer com mensagens que falham nessas verificações, além de gerar relatórios. Juntos, protegem o domínio contra falsificação e melhoram a entrega.
Qual a diferença entre SPF, DKIM e DMARC?
O SPF verifica de onde o e-mail foi enviado (o servidor de origem). O DKIM verifica se a mensagem é autêntica e não foi alterada no caminho (por uma assinatura digital). O DMARC une os dois, define o que fazer quando a verificação falha (ignorar, mandar para spam ou rejeitar) e fornece relatórios. São complementares: cada um cobre uma brecha que o outro não cobre.
Preciso dos três ou só de um?
O ideal é ter os três. Sozinho, o SPF não verifica o conteúdo e pode falhar com e-mails encaminhados; o DKIM não diz o que fazer quando algo falha; e o DMARC depende dos outros dois para funcionar. É a combinação que forma uma proteção real e atende às exigências dos provedores como Gmail e Yahoo.
O que significam none, quarantine e reject no DMARC?
São as três políticas do DMARC para mensagens que falham na autenticação. “none” não toma ação, apenas monitora e gera relatórios (bom para começar). “quarantine” envia as mensagens reprovadas para a pasta de spam. “reject” recusa as mensagens reprovadas, que nem chegam ao destinatário — é o nível máximo de proteção.
Onde se configura SPF, DKIM e DMARC?
Nos registros DNS do seu domínio: SPF e DMARC como registros TXT, e DKIM como um registro com a chave pública. Após publicar, é preciso aguardar a propagação do DNS (de algumas horas a 24-48h) antes de testar. No painel de hospedagem, como o cPanel, há ferramentas que facilitam essa configuração.
Por que meus e-mails vão para o spam mesmo sendo legítimos?
Uma das causas mais comuns é justamente a falta de autenticação. Sem SPF, DKIM e DMARC configurados, os provedores não conseguem confirmar que o e-mail é seu, e o tratam com desconfiança. Configurar os três é o primeiro passo para melhorar a entrega — somado a boas práticas de envio, como manter a lista limpa e enviar só para quem autorizou.
SPF, DKIM e DMARC impedem todo spam e phishing?
Não totalmente, mas ajudam muito. Eles impedem que terceiros falsifiquem o seu domínio e melhoram a sua reputação de remetente, o que reduz golpes em seu nome e melhora a entrega. Não impedem, porém, que você receba spam de outros domínios — para isso valem os filtros anti-spam e a atenção do destinatário.
Quanto tempo leva para a configuração fazer efeito?
Após publicar os registros no DNS, é preciso aguardar a propagação, que costuma levar de algumas horas até 24 a 48 horas. Só depois disso vale testar o envio e verificar se os três protocolos estão validando corretamente, usando ferramentas de teste de autenticação de e-mail.
O e-mail profissional da Homehost facilita a configuração de SPF, DKIM e DMARC e inclui filtros anti-spam — para o seu domínio ser confiável e suas mensagens chegarem à caixa de entrada.
Conhecer o e-mail profissionalConclusão
SPF, DKIM e DMARC são a base da confiança no e-mail moderno. O SPF diz quem pode enviar pelo seu domínio, o DKIM prova que a mensagem é autêntica e íntegra, e o DMARC une os dois, define o que fazer quando algo falha e te dá visibilidade sobre o uso do seu domínio. Sozinho, nenhum resolve; juntos, formam um escudo que protege a sua marca contra falsificação e garante que seus e-mails legítimos cheguem à caixa de entrada. Com a exigência de provedores como Gmail e Yahoo, configurá-los deixou de ser opcional — é o que separa um domínio confiável de um domínio que vai parar no spam (ou nas mãos de golpistas). O conceito você já tem; o próximo passo é a configuração, e para isso o tutorial de SPF e DKIM no cPanel mostra o caminho prático.
