SPF, DKIM e DMARC: o guia completo para proteger o e-mail da sua empresa

Se você já se perguntou por que alguns e-mails da sua empresa chegam na caixa de spam dos destinatários — ou pior, são bloqueados antes mesmo de chegar — a resposta quase sempre envolve três protocolos de autenticação: SPF, DKIM e DMARC.

Neste guia, vamos explicar o que cada um faz, por que são indispensáveis e como configurá-los no seu domínio.

O problema que esses protocolos resolvem

O protocolo de e-mail original (SMTP) foi criado nos anos 1980 sem mecanismos de autenticação. Qualquer servidor pode enviar um e-mail alegando ser de qualquer endereço — o que tornou o spam e o phishing triviais.

SPF, DKIM e DMARC foram criados ao longo dos anos para corrigir essa falha fundamental, e hoje são exigidos pelos principais provedores (Gmail, Microsoft 365, Yahoo) para garantir a entrega de mensagens.

SPF — Sender Policy Framework

O SPF é um registro DNS que lista quais servidores estão autorizados a enviar e-mails em nome do seu domínio.

Como funciona: quando um servidor recebe um e-mail de @suaempresa.com.br, ele consulta o DNS do domínio para verificar se o servidor remetente está na lista SPF. Se não estiver, a mensagem pode ser marcada como suspeita.

Exemplo de registro SPF:

v=spf1 include:mail.localmail.com.br ~all

• v=spf1 — indica que é um registro SPF
• include: — autoriza os servidores do localmail
• ~all — mensagens de outros servidores são tratadas como suspeitas (softfail)
• -all — mensagens de outros servidores são rejeitadas (hardfail)

Dica: use -all (hardfail) apenas quando tiver certeza de que todos os seus servidores de envio estão na lista. Comece com ~all para evitar perder e-mails legítimos.

DKIM — DomainKeys Identified Mail

Enquanto o SPF verifica de onde veio o e-mail, o DKIM verifica se o conteúdo não foi alterado durante o trajeto. Funciona com criptografia de chave pública/privada.

Como funciona: o servidor de envio assina a mensagem com uma chave privada. O servidor receptor consulta a chave pública no DNS e verifica se a assinatura é válida.

Exemplo de registro DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4...

No localmail, a geração e configuração das chaves DKIM é feita automaticamente pelo painel de controle. Você recebe o registro pronto para adicionar no DNS.

DMARC — Domain-based Message Authentication, Reporting and Conformance

O DMARC une o SPF e o DKIM e define o que fazer com e-mails que falham na autenticação.

Como funciona: com base nos resultados do SPF e do DKIM, o DMARC instrui o servidor receptor a aceitar, colocar em quarentena ou rejeitar a mensagem. Também gera relatórios sobre tentativas de envio usando seu domínio.

Exemplo de registro DMARC:

v=DMARC1; p=quarantine; rua=mailto:dmarc@suaempresa.com.br; pct=100

• p=none — apenas monitora (boa opção para começar)
• p=quarantine — mensagens suspeitas vão para spam
• p=reject — mensagens suspeitas são rejeitadas
• rua= — endereço para receber relatórios agregados

A sequência recomendada de implantação

1. Configure o SPF — adicione o registro no DNS do seu domínio
2. Ative o DKIM — gere as chaves no painel localmail e adicione no DNS
3. Implante o DMARC com p=none — comece monitorando sem bloquear
4. Analise os relatórios DMARC por 2 a 4 semanas
5. Mude para p=quarantine quando tiver confiança nos resultados
6. Evolua para p=reject para proteção máxima

Benefícios além da segurança

Configurar SPF, DKIM e DMARC corretamente não serve apenas para bloquear ataques. Os benefícios diretos incluem:

• Melhor entregabilidade — e-mails chegam na caixa de entrada, não no spam
• Reputação do domínio — domínios autenticados têm melhor pontuação nos filtros anti-spam
• Proteção contra phishing — terceiros não conseguem se passar pelo seu domínio
• Visibilidade — os relatórios DMARC mostram quem está tentando usar seu nome

No localmail, nossa equipe de suporte auxilia na configuração completa desses registros como parte do processo de onboarding. Entre em contato se precisar de ajuda.