Como configurar SPF, DKIM e DMARC corretamente para garantir a integridade do seu e-mail

A segurança e integridade do e-mail é um dos pilares da comunicação digital moderna, especialmente para empresas que precisam garantir que suas mensagens cheguem ao destino e não sejam interpretadas como spam ou phishing. Para isso, é fundamental configurar corretamente os registros SPF, DKIM e DMARC, que compõem o tripé de autenticação de e-mails no DNS.

Neste artigo da Dolutech, você vai entender o que são esses registros, como configurá-los corretamente e por que eles são indispensáveis para proteger a reputação do seu domínio. Também apresentaremos o uso da ferramenta gratuita MXToolbox para validação e diagnóstico.

Veja nossa ferramenta de Apoio a configuração de e-mails do Blog Dolutech:

Mail Tools Dolutech – Ferramentas para Configuração de Emails

O que é SPF, DKIM e DMARC?

SPF (Sender Policy Framework)

O SPF é um registro DNS do tipo TXT que informa quais servidores têm permissão para enviar e-mails em nome do seu domínio. Ele ajuda a prevenir spoofing (falsificação de remetente) ao verificar se o IP do remetente está autorizado a usar o domínio no cabeçalho MAIL FROM.

Exemplo de registro SPF:

v=spf1 ip4:192.168.0.1 include:spf.provedor.com -all

Esse registro indica que o IP 192.168.0.1 e qualquer servidor listado no spf.provedor.com podem enviar e-mails. A opção -all indica que todo o resto deve ser rejeitado.

DKIM (DomainKeys Identified Mail)

O DKIM funciona como uma assinatura criptográfica aplicada ao conteúdo do e-mail. Ele garante que a mensagem não foi alterada durante o envio e autentica o domínio de origem com uma chave pública publicada no DNS.

Como funciona:

1. O servidor de saída aplica uma assinatura DKIM no cabeçalho do e-mail usando uma chave privada.
2. O servidor de destino busca a chave pública no DNS e valida a assinatura.

Exemplo de registro DKIM no DNS:

default._domainkey.seudominio.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

DMARC (Domain-based Message Authentication, Reporting and Conformance)

O DMARC é um registro que orquestra o SPF e o DKIM, permitindo que o dono do domínio defina uma política sobre o que fazer quando o e-mail falhar nas validações (bloquear, permitir ou quarentenar).

Além disso, permite o envio de relatórios para o administrador acompanhar tentativas de uso indevido do domínio.

Exemplo de registro DMARC:

_dmarc.seudominio.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:relatorio@seudominio.com"

Por que configurar esses registros é essencial?

A falta de autenticação apropriada com SPF, DKIM e DMARC pode causar diversos problemas sérios:

• Seu e-mail pode cair na caixa de spam
• Outros podem se passar pelo seu domínio para aplicar golpes
• Seu domínio pode ser listado em blacklists
• Prejuízos à reputação e confiabilidade da sua empresa

A Dolutech recomenda fortemente que toda empresa, freelancer ou profissional que use e-mails personalizados implemente essa camada de segurança. Além de proteger, melhora a entregabilidade dos seus e-mails.

Como configurar passo a passo no DNS

1. Configurando o SPF

• Acesse o painel de gerenciamento DNS do seu domínio
• Crie um novo registro do tipo TXT
• No nome, deixe @ ou seudominio.com
• No valor, insira algo como:

v=spf1 include:_spf.google.com ~all

Esse exemplo é válido para quem usa o Google Workspace. Para outros serviços, consulte a documentação do provedor.

2. Gerando e configurando o DKIM

A maioria dos provedores de e-mail (Google, Microsoft, Zoho, etc.) gera a chave DKIM automaticamente. Você deve copiar o registro DNS sugerido e adicioná-lo como TXT.

• O nome geralmente será algo como: google._domainkey.seudominio.com
• O conteúdo será uma longa chave pública fornecida pelo provedor.

3. Configurando o DMARC

• Crie um registro TXT
• Nome: _dmarc.seudominio.com
• Valor:

v=DMARC1; p=reject; rua=mailto:relatorio@seudominio.com; ruf=mailto:analise@seudominio.com; pct=100

Significado:

• p=reject: bloqueia mensagens que falham
• rua: envia relatório agregado
• ruf: envia relatório forense (detalhado)
• pct=100: aplica a política em 100% dos e-mails

Validando com o MXToolbox

A ferramenta gratuita MXToolbox oferece uma interface simples para validar se seus registros estão corretos.

Passos:

1. Acesse: https://mxtoolbox.com
2. Escolha a aba “SuperTool”
3. Insira:
   • SPF yourdomain.com
   • DKIM selector._domainkey.yourdomain.com
   • DMARC yourdomain.com

A ferramenta irá verificar a sintaxe, validade e funcionamento dos registros. Também oferece alertas em caso de erro.

Melhores práticas

• Use -all no SPF apenas se tiver certeza absoluta de quais servidores podem enviar.
• Mantenha registros atualizados ao trocar de servidor SMTP.
• Ative relatórios no DMARC para monitorar abusos.
• Verifique semanalmente seus registros usando o MXToolbox ou ferramentas similares.
• Combine essas proteções com autenticação MFA nos seus serviços de e-mail.
• Utilize ferramentas como EasyDMARC ou Postmark DMARC Digests para acompanhar relatórios de DMARC.

Conclusão

A configuração correta de SPF, DKIM e DMARC é indispensável para qualquer pessoa ou organização que leve a sério a segurança e a reputação do seu domínio de e-mail. Esses registros não só evitam que sua mensagem vá para o spam, como também protegem seus clientes contra fraudes e abusos.

Na Dolutech, temos acompanhado os impactos de domínios sem autenticação adequada serem usados em campanhas de phishing ou se tornarem vítimas de má reputação. A hora de se proteger é agora.

Aproveite e teste a qualidade do envio do seu e-mail com a ferramenta:

Mail Tester

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.