24 de marzo de 2026 · 6 min · Carol
SPF, DKIM y DMARC: por qué tus emails caen en spam
Tres siglas que deciden si tu email llega a la bandeja de entrada o a spam. Qué hace cada una, cómo configurarla, y por qué la mayoría de las empresas aún se equivoca.
Você gastou semanas escrevendo a newsletter perfeita. Mandou pra 5.000 contatos. Abriu o relatório no dia seguinte: taxa de entrega 62%. O resto foi pro spam — ou nem chegou.
A culpa raramente é do conteúdo. É de três siglas que você provavelmente não configurou direito: SPF, DKIM e DMARC.
O problema que essas siglas resolvem
E-mail é um protocolo dos anos 1980. Quando foi criado, qualquer servidor podia mandar mensagem dizendo ser qualquer um. Eu posso, agora, configurar um servidor SMTP e enviar um e-mail com From: presidente@gov.br — o protocolo não impede.
Por 40 anos, isso foi a porta de entrada de phishing, spam e fraudes corporativas. SPF, DKIM e DMARC são as três camadas que o setor adicionou pra que o servidor que recebe possa verificar que o e-mail veio mesmo de quem diz que veio.
Quem não tem essas três configuradas hoje é tratado como suspeito por padrão. Gmail e Yahoo, desde fevereiro de 2024, exigem todas as três pra remetentes que enviam volume.
SPF — "quem pode mandar e-mail em meu nome"
SPF (Sender Policy Framework) é um registro DNS que lista os servidores autorizados a enviar e-mail com o seu domínio no From.
Aparência típica:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Lê-se: "e-mails do meu domínio podem vir do Google Workspace OU do SendGrid. Qualquer outro servidor, marque como suspeito (~all = softfail)."
O que dá errado:
- Limite de 10 lookups DNS (RFC 7208 §4.6.4). Cada
include:conta. Se você teminclude:_spf.google.com include:sendgrid.net include:mailchimp.com include:mailgun.org include:_spf.mandrillapp.com… provavelmente já estourou o limite. Resultado: toda validação SPF retornapermerrore o e-mail vai pro spam. +allno final — significa "qualquer servidor pode enviar em meu nome". É como deixar a porta aberta. Nunca use.- Esquecer um serviço. Você mandou o boleto via sistema novo, esqueceu de adicionar no SPF, e o boleto foi pro spam do cliente. Aconteceu.
DKIM — "esse e-mail não foi alterado no caminho"
DKIM (DomainKeys Identified Mail) assina cada e-mail enviado com uma chave criptográfica. O servidor que recebe consulta o DNS, pega a chave pública correspondente, e verifica a assinatura.
Se baterem, dois fatos ficam comprovados:
- O e-mail veio mesmo de quem tem a chave privada (o servidor autorizado).
- O conteúdo não foi modificado em trânsito.
O que dá errado:
- Não configurar. O serviço de envio gera as chaves, mas você precisa adicionar o registro DNS (tipo TXT em
selector._domainkey.seudominio.com.br). Sem isso, não há DKIM. - Selector errado. Cada provedor usa um nome diferente: Google usa
google, SendGrid usas1/s2, Mailchimp usak1/k2. Configurou o selector errado, DKIM falha. - Chave fraca. Chaves DKIM de 1024 bits ainda são aceitas mas o setor pede 2048+.
DMARC — "o que fazer quando SPF ou DKIM falham"
SPF e DKIM dizem "esse e-mail é legítimo" ou "esse e-mail é suspeito". Mas quem decide o que fazer com o suspeito? Sem DMARC, cada provedor decide do seu jeito.
DMARC (Domain-based Message Authentication, Reporting and Conformance) é a política. Você diz no DNS:
v=DMARC1; p=reject; rua=mailto:dmarc@seudominio.com.br; pct=100
Lê-se: "se SPF e DKIM falharem, rejeite o e-mail. E me mande um relatório semanal sobre quem está tentando se passar por mim."
Os três modos de política:
p=none— só monitora, não faz nada. Use no começo.p=quarantine— manda pro spam quando falha.p=reject— bloqueia totalmente.
O que dá errado:
- Pular pra
p=rejectdireto sem monitorar. Você descobre que sua própria ferramenta de RH ou sistema interno enviava com seu domínio e nunca passou em SPF/DKIM. De repente nenhum colaborador recebe holerite por e-mail. Sempre comece emp=none, leia os relatórios por 2-4 semanas, depois suba. - Não publicar DMARC. Gmail e Yahoo agora exigem pelo menos
p=nonepra remetentes em volume. Sem DMARC, sua entregabilidade vai colapsando lentamente. - Falta de alinhamento. O
From:precisa bater com o domínio assinado pelo DKIM e/ou autorizado pelo SPF. Se você manda comomarketing@seudominio.com.brmas o SPF autorizamail.servico-terceiro.com, não há alinhamento e DMARC falha.
Como verificar agora
Você pode checar manualmente:
dig +short TXT seudominio.com.br | grep spf
dig +short TXT _dmarc.seudominio.com.br
dig +short TXT google._domainkey.seudominio.com.br # ou o selector que você usa
Mas pra ter um diagnóstico contínuo — porque DNS muda, serviços novos são adicionados, e DKIM pode ser desativado em rotação de chaves — o ideal é monitorar de fora.
O que o Sentinela checa
O probe de Email do Sentinela analisa, em cada audit:
- SPF existe? Quantos lookups DNS consome? Está perto ou acima do limite de 10? Tem
+all? Tem múltiplos registros (que viola a RFC)? - DKIM — testa selectors comuns (
default,google,selector1,selector2,k1,k2,s1,s2,mail, etc.). Reporta quais existem, tamanho da chave, se está revogada. - DMARC está publicado? Em qual policy (
none,quarantine,reject)? Temruaconfigurado pra receber relatórios? - MX aponta pra servidores válidos e responsivos?
- DNSSEC está habilitado pro domínio?
O resultado vai num PDF de auditoria com severidade por finding (critical/high/medium/low/info) — exatamente o tipo de documento que sua equipe de TI ou seu cliente vai querer ver.
Crie uma conta grátis e rode o primeiro audit em menos de 1 minuto. Você descobre na hora se sua entregabilidade tá comprometida — antes de gastar a próxima campanha.
A regra simples
Se você envia e-mail pelo seu domínio — newsletter, transacional, suporte, qualquer coisa — você precisa das três configuradas. Não é mais opção. Provedores grandes (Gmail, Outlook, Yahoo, iCloud) já tratam como obrigatório, e isso só vai apertar.
A boa notícia: configura uma vez direito, monitora periodicamente, e dura anos. A má: a maioria das empresas configurou metade, há dois anos, e ninguém olha mais. Olha hoje.
Sigue leyendo