SPF, DKIM e DMARC em 2026: Configuração Completa de Autenticação de Email

Apenas 18,2% dos dez milhões de domínios mais populares possuem registros DMARC válidos. Enquanto isso, domínios com autenticação adequada de SPF, DKIM e DMARC obtêm 2,7x mais colocação na caixa de entrada do que aqueles sem.

Essa não é uma pequena diferença. Essa é a diferença entre seus emails chegarem às caixas de entrada e desaparecerem para sempre nas pastas de spam.

Em 2026, a autenticação de email não é mais opcional. Google, Yahoo e Microsoft não sugerem — eles exigem. Perder esses requisitos e seus emails serão rejeitados imediatamente. Não filtrados. Rejeitados. Seu servidor de email nem tentará novamente.

Este guia o orienta sobre o que esses protocolos realmente fazem, como configurá-los sem quebrar nada e o que acontece se você os ignorar. Vamos começar com o básico.

---

O Que É Autenticação de Email? (E Por Que É Importante em 2026)

A autenticação de email é um conjunto de protocolos baseados em DNS que verificam se você realmente é quem diz ser. Três principais: SPF, DKIM e DMARC. Juntos, eles impedem que alguém finja ser você em emails do seu domínio.

Pense nisso como segurança de aeroporto. SPF verifica seu passaporte na lista de voos. DKIM coloca um selo à prova de violação em sua bagagem. DMARC é a política de segurança — o que acontece quando alguém falha nas verificações?

Por que isso importa agora: A média global de colocação na caixa de entrada é de 83,1%. Isso significa que aproximadamente 17% de todos os emails comerciais nunca chegam. Uma em cada cinco mensagens — desapareceu. Se você enviar 3.000 emails por mês, isso significa 510 conversas que nunca acontecem. Negócios que você nunca fechará.

As empresas inteligentes descobriram isso. A adoção do DMARC saltou de 27,3% em 2023 para 47,6% em 2025. Seus concorrentes já estão fazendo isso. Se você não está, está ficando para trás.

Aqui está o que torna 2026 diferente de 2024: a aplicação se tornou real. O Gmail começou a rejeitar emails em massa não autenticados em fevereiro de 2024. A Microsoft começou a rejeições permanentes em maio de 2025. Até o final de 2026, espere uma aplicação universal — não apenas para remetentes de alto volume, mas para todos.

A janela para acertar isso está se fechando. Agora é a hora de agir.

---

SPF vs DKIM vs DMARC — O Que Cada Um Faz

Esses três protocolos trabalham juntos, mas fazem trabalhos completamente diferentes. A maioria das pessoas os confunde porque os nomes são confusos. Vamos separá-los.

SPF (Sender Policy Framework)

SPF é um registro TXT de DNS que lista quais servidores de email estão autorizados a enviar emails para o seu domínio.

Como funciona: Você publica um registro como v=spf1 include:_spf.google.com ~all. Isso informa aos servidores de email receptores: "Apenas os servidores do Google podem enviar emails do meu domínio. Tudo o mais é suspeito."

Contra o que protege: Servidores não autorizados fingindo ser você.

O problema: O SPF falha quando os emails são encaminhados. Alguém encaminha seu email para um colega, e o SPF falha porque veio de um servidor diferente. Além disso, o SPF tem um limite rígido — você pode incluir apenas 10 consultas DNS. Ultrapassar isso e todo o registro falha silenciosamente.

DKIM (DomainKeys Identified Mail)

DKIM adiciona uma assinatura criptográfica a cada email. É como um selo à prova de violação na sua mensagem.

Como funciona: Seu provedor de email cria um par de chaves pública/privada. A chave privada assina os emails de saída. A chave pública fica no seu DNS para que os servidores receptores possam verificar a assinatura.

Contra o que protege: Violação de mensagem em trânsito. Se alguém intercepta seu email e altera o conteúdo, a assinatura quebra.

O problema: O DKIM não diz aos servidores receptores o que fazer quando a verificação falha. Uma verificação DKIM falhada pode ser ignorada. Pode ser sinalizada. Ninguém sabe.

DMARC (Domain-based Message Authentication Reporting and Conformance)

DMARC vincula SPF e DKIM e impõe uma política.

Como funciona: Você publica uma política DMARC que diz: "Verifique se SPF e DKIM passam. Se não, aqui está o que você faz — monitore, coloque em quarentena ou rejeite." O DMARC também envia relatórios sobre o que está acontecendo.

Contra o que protege: Spoofing de email e phishing usando seu domínio.

O benefício: O DMARC é onde a aplicação acontece. Sem ele, SPF e DKIM são sugestões. Com ele, são regras.

Você Realmente Precisa dos Três?

Sim. Não é opcional.

O SPF sozinho não pode verificar o conteúdo da mensagem. O DKIM sozinho não pode impor a política. O DMARC sozinho não pode funcionar sem SPF ou DKIM para verificar.

Pense assim: - SPF = lista de convidados na porta - DKIM = selo à prova de violação em pacotes - DMARC = segurança que verifica ambos e decide o que acontece a seguir

Você precisa dos três pilares juntos. É assim que você obtém o aumento de 2,7x na colocação na caixa de entrada.

---

O Cronograma de Conformidade 2026: O Que Google, Yahoo e Microsoft Realmente Exigem

Aqui é onde as coisas ficaram sérias. Se você perdeu esses prazos, provavelmente já está sentindo os efeitos.

Fevereiro de 2024 — O Início da Aplicação do Gmail e Yahoo

Google e Yahoo anunciaram: se você enviar mais de 5.000 emails por dia, você deve ter: - SPF, DKIM e DMARC configurados - Desinscrição com um clique em cada email - Taxa de spam abaixo de 0,3%

Perder isso e seus emails serão devolvidos. Não filtrados. Devolvidos.

Maio de 2025 — A Microsoft Entra na Jogada

Outlook, Hotmail, Live.com — todos eles. A Microsoft começou a aplicar a autenticação de email com o código de erro 550 5.7.15 para remetentes não conformes. Rejeição permanente. Sem nova tentativa. Sem período de carência.

Novembro de 2025 — O Google Aperta o Cinto

O Google intensificou a aplicação. Emails de remetentes em massa que falham na autenticação agora recebem rejeições permanentes em vez de devoluções temporárias. Seu servidor de email nem tentará novamente. A mensagem está morta.

Final de 2026 — Espere Aplicação Universal

A trajetória é clara. Até o final de 2026, espere que a aplicação do DMARC seja exigida em todos os lugares — não apenas para remetentes em massa, mas para todos. Mesmo pequenas empresas enviando 100 emails por dia.

Adoção atual: 57,3% dos remetentes B2B já autenticam seus emails. Se você não está nesse grupo, está na minoria em diminuição.

---

Como Configurar SPF, DKIM e DMARC — Passo a Passo

Aqui está a parte prática. Cinco etapas. Exemplos reais de DNS que você pode copiar e colar. Sem mágica necessária.

Etapa 1: Identifique Cada Serviço Enviando Emails do Seu Domínio

Antes de tocar no DNS, descubra quem está realmente enviando emails como você.

Faça uma lista: - Seu provedor de email principal (Google Workspace, Microsoft 365, etc.) - Seu CRM (Salesforce, HubSpot, Pipedrive) - Automação de marketing (Mailchimp, ConvertKit, ActiveCampaign) - Serviços de email transacional (SendGrid, Postmark, AWS SES) - Quaisquer outras ferramentas que sua equipe usa para enviar emails

Pergunte. Verifique com TI. Olhe os logs do seu provedor de email. Você ficará surpreso com quantos serviços aleatórios estão enviando emails com o nome do seu domínio.

Isso importa porque cada serviço precisa ser autorizado no seu registro SPF. Perder um e ele falha na autenticação.

Etapa 2: Crie Seu Registro SPF

SPF é um registro TXT no seu DNS. Um registro por domínio.

Se você usa Google Workspace:

v=spf1 include:_spf.google.com ~all

Se você usa Google Workspace + Mailchimp:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Se você usa Microsoft 365:

v=spf1 include:spf.protection.outlook.com ~all

Se você usa Microsoft 365 + Salesforce:

v=spf1 include:spf.protection.outlook.com include:salesforce.com ~all

O padrão é simples: v=spf1 (versão), depois include: para cada serviço, depois ~all (falha suave) ou -all (falha rígida) no final.

Importante: O SPF tem um limite de 10 consultas DNS. Cada include: conta como uma consulta. Cada redirect: conta como uma. Ultrapassar 10 e seu registro SPF se torna inválido. Verifique sua contagem atual com MXToolbox SPF Check — é gratuito e instantâneo.

Se você estiver acima do limite, tem duas opções: 1. Descartar um serviço de envio 2. Achatar seu registro SPF consolidando includes (avançado — pergunte ao seu provedor de email)

Etapa 3: Configure a Assinatura DKIM

DKIM requer que seu provedor de email crie um par de chaves criptográficas. A chave privada fica nos servidores deles. A chave pública vai no seu DNS.

Configuração DKIM do Google Workspace: 1. Vá para Admin Console → Apps → Google Workspace → Gmail 2. Clique em Autenticar Email 3. O Google gera um registro CNAME 4. Adicione-o ao seu DNS 5. Aguarde 24 horas para verificação

O registro se parece com:

google._domainkey.seudominio.com CNAME google._domainkey.seudominio.com.goog

Configuração DKIM do Microsoft 365: 1. Vá para Microsoft Defender → Email & Colaboração → Políticas → Políticas de Ameaça 2. Clique em Configurações de Autenticação de Email 3. A Microsoft gera dois registros CNAME 4. Adicione ambos ao seu DNS 5. Aguarde a verificação (geralmente 24-48 horas)

Importante: Cada serviço de envio precisa de sua própria configuração DKIM. Seu CRM precisa de DKIM separado. Sua plataforma de marketing precisa de DKIM separado. É tedioso, mas você só faz isso uma vez.

Uma vez que o DKIM esteja habilitado, seu provedor de email assina automaticamente as mensagens de saída. Você não precisa fazer mais nada do seu lado.

Etapa 4: Publique Seu Registro DMARC

É aqui que a aplicação acontece. O DMARC pega os resultados do SPF e DKIM e decide o que fazer.

Comece com o modo de monitoramento — não pule direto para a aplicação.

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

Desmembrando isso: - v=DMARC1 = versão DMARC - p=none = modo de monitoramento (sem aplicação) - rua=mailto:... = onde enviar relatórios agregados - pct=100 = monitorar 100% dos emails

Publique este registro e observe os dados por 2-4 semanas. Você receberá relatórios diários mostrando quais emails passam/fail SPF e DKIM.

Após o monitoramento, mude para quarentena:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=quarantine envia emails que falham para o spam. Não bloqueados, mas ocultos da caixa de entrada.

Finalmente, mude para rejeitar:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

p=reject bloqueia emails que falham completamente. Eles nunca chegam à caixa de entrada de ninguém.

Cronograma: Comece com p=none por 2-4 semanas. Mude para p=quarantine por mais 2-4 semanas. Depois p=reject. Não se apresse. Se você se mover muito rápido, pode bloquear acidentalmente seus próprios emails legítimos.

Etapa 5: Teste e Verifique Tudo

Não publique apenas registros e espere.

Use estas ferramentas gratuitas: - MXToolbox (mxtoolbox.com) — verifica SPF, DKIM, DMARC em segundos - Google Admin Toolbox (toolbox.googleapps.com) — análise detalhada de cabeçalho - DMARC Analyzer (dmarcian.com) — o nível gratuito inclui relatórios DMARC

Envie um email de teste para você mesmo. Olhe os cabeçalhos do email. Você está procurando por: - spf=pass - dkim=pass - dmarc=pass

Se você ver "fail" em qualquer um deles, algo está errado. Não publique a aplicação do DMARC até que todos os três passem.

A propagação do DNS leva tempo. As mudanças podem levar até 48 horas para aparecer em todos os lugares. Não entre em pânico se seus registros não aparecerem imediatamente.

---

Erros Comuns de Configuração (E Como Corrigi-los)

Erro 1: Limite de Consulta SPF Ultrapassado

Você adiciona um novo serviço de envio, atualiza seu registro SPF e, de repente, tudo quebra. Falha silenciosa — seu registro é inválido, mas você não recebe uma mensagem de erro.

Correção: Verifique sua contagem de consultas SPF com o MXToolbox. Se você estiver acima de 10, achate seu registro ou descarte um serviço.

Erro 2: Chaves DKIM Expiradas

As chaves DKIM precisam ser rotacionadas. Se as suas expiraram e ninguém gerou novas, o DKIM simplesmente para de funcionar.

Correção: Verifique o status DKIM do seu provedor de email. A maioria lida com a rotação automaticamente, mas ferramentas de terceiros podem não. Regere as chaves se necessário.

Erro 3: Alinhamento DMARC Incorreto

Há alinhamento DMARC estrito vs. relaxado. O modo estrito exige que seu domínio From corresponda exatamente aos seus domínios SPF e DKIM. Subdomínios não contam.

Se sua equipe de marketing envia de marketing.seudominio.com, mas as verificações DMARC são contra seudominio.com, você falha no modo estrito.

Correção: Use alinhamento relaxado. Ele permite correspondência de subdomínio.

v=DMARC1; p=none; adkim=r; aspf=r; rua=mailto:[email protected]

As flags adkim=r e aspf=r definem o alinhamento relaxado.

Erro 4: Movendo para Aplicação Muito Rápido

Você configurou o DMARC com p=reject no primeiro dia. Agora os emails da sua equipe de vendas estão sendo devolvidos. Todos estão bravos. Você está revertendo.

Correção: Siga o cronograma: p=none por 2-4 semanas, depois p=quarantine, depois p=reject. Isso lhe dá tempo para capturar remetentes legítimos que falham na autenticação.

Erro 5: Problemas de Qualidade da Lista de Emails

Mesmo com autenticação perfeita, se sua lista de emails estiver cheia de endereços inválidos, você ainda terá problemas de entregabilidade. Altas taxas de rejeição destroem a reputação do remetente mais rápido do que qualquer outra coisa.

Correção: Verifique suas listas de email antes de enviar. Remova endereços inválidos. Limpe contatos antigos que não se engajaram nos últimos meses.

---

Impacto no Mundo Real: O Que Realmente Acontece Quando Você Faz Isso

PayPal foi pioneiro na autenticação de email — em 2012. Eles viram quedas massivas em ataques de phishing após implementar o DMARC. Faz sentido. Quando você está lidando com bilhões em pagamentos, não pode ter pessoas aleatórias fingindo ser você.

Uber, Major League Baseball e Nestlé também implementaram a aplicação do DMARC no Microsoft 365. Resultados: menos fraudes por email, melhor entregabilidade, caixas de entrada mais limpas. Estas não são pequenas operações com configurações simples — vários países, vários departamentos, dezenas de ferramentas de envio. Se eles podem fazer funcionar, você também pode.

Provedores de serviços gerenciados também entraram na jogada. Empresas que gerenciam dezenas de domínios de clientes mudaram para monitoramento centralizado do DMARC. Melhor segurança. Melhor entregabilidade. Menos tickets de suporte sobre emails indo para o spam.

Os números: - A Valimail relata um aumento médio de entregabilidade de 10% após a aplicação do DMARC - A Validity encontrou uma redução de 50% nas falhas de entrega de email para domínios autenticados - O mercado de software DMARC está crescendo de $375 milhões para $890 milhões até 2032 — uma taxa de crescimento anual de 11,7%

Essa taxa de crescimento diz tudo. Toda a indústria está se movendo em direção à autenticação obrigatória.

---

Além do DMARC: BIMI e ARC

Uma vez que você tenha SPF, DKIM e DMARC configurados, dois protocolos mais novos valem a pena conhecer.

BIMI (Brand Indicators for Message Identification)

BIMI coloca o logotipo da sua empresa ao lado dos seus emails na caixa de entrada em vez de um avatar genérico.

Requisitos: - Política DMARC com p=quarantine ou p=reject (não p=none) - Certificado de Marca Verificada de uma autoridade certificadora (custa dinheiro) - Registro DNS BIMI

Suporte: Gmail, Apple Mail, Yahoo e outros.

Benefício: Mais confiança. Mais aberturas. Melhor reconhecimento da marca.

Você não precisa de BIMI para ter boa entregabilidade, mas se a presença da marca é importante para você, vale o investimento.

ARC (Authenticated Received Chain)

ARC mantém um registro dos resultados de autenticação em cada salto na cadeia de encaminhamento de um email. Ele resolve o problema de encaminhamento do SPF — quando alguém encaminha seu email, o SPF normalmente falha porque veio de um servidor diferente.

Boas notícias: Você não configura o ARC sozinho. Google e Microsoft lidam com isso automaticamente do lado deles.

Cronograma: Tanto o BIMI quanto o ARC estão se movendo de "coisa opcional legal" para "apenas faça isso". Se você já tem a aplicação completa do DMARC em funcionamento, está em boa forma para adotá-los.

---

Solução de Problemas: Emails Ainda Indo para o Spam?

Você fez tudo certo. SPF passa. DKIM passa. DMARC passa. Os cabeçalhos parecem perfeitos. Mas os emails ainda vão para o spam.

Aqui está o que a maioria das pessoas não entende: A autenticação passando é o mínimo necessário. É a linha de partida, não a linha de chegada.

Os provedores de caixa de entrada também observam: - Métricas de engajamento — as pessoas estão abrindo seus emails ou ignorando-os? - Taxas de reclamação — as pessoas estão marcando você como spam? - Taxas de rejeição — quantos endereços são inválidos? - Qualidade do conteúdo — seu email parece spam? - Reputação do remetente — há quanto tempo você está enviando deste domínio?

Problema 1: Baixo Engajamento

Gmail e Microsoft rastreiam aberturas, cliques e exclusões. Se as pessoas ignoram seus emails, sua reputação como remetente cai.

Correção: Melhore o conteúdo do email. Escreva melhores linhas de assunto. Segmente sua lista. Envie apenas para assinantes engajados.

Problema 2: Altas Taxas de Rejeição

Endereços de email inválidos destroem a reputação do remetente. Uma lista ruim pode arruinar todo o seu domínio.

Correção: Verifique suas listas de email antes de enviar. Remova endereços inválidos. Limpe contatos antigos.

Problema 3: Limite de Consulta SPF Ultrapassado

Você adicionou um novo serviço de envio e não percebeu que ultrapassou o limite de 10 consultas. O SPF falha silenciosamente.

Correção: Verifique seu registro SPF com o MXToolbox. Se você estiver acima de 10, achate o registro ou descarte um serviço.

Problema 4: Problemas de Alinhamento DKIM

Você está usando alinhamento relaxado, mas os servidores receptores esperam estrito. Ou seu domínio From não corresponde ao seu domínio de assinatura.

Correção: Verifique suas configurações de alinhamento DMARC. Use o modo relaxado (adkim=r; aspf=r) a menos que você tenha um motivo específico para o estrito.

Problema 5: Qualidade da Lista de Emails

88% dos remetentes não percebem que a autenticação passando não é igual a colocação na caixa de entrada. A qualidade da sua lista importa tanto quanto sua configuração de autenticação.

Correção: Antes de enviar qualquer campanha, valide seus endereços de email. Remova rejeições. Remova reclamantes. Mantenha sua lista atualizada.

---

FAQ: SPF, DKIM e DMARC

O que é SPF, DKIM e DMARC?

SPF (Sender Policy Framework) é um registro DNS que lista quais servidores de email podem enviar emails para o seu domínio. DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica para verificar se as mensagens não foram adulteradas. DMARC (Domain-based Message Authentication Reporting and Conformance) define a política de aplicação — o que acontece quando SPF ou DKIM falham.

Juntos, eles evitam o spoofing de email e melhoram a entregabilidade. Você precisa dos três para obter a