E-mail caindo no spam: como configurar SPF, DKIM e DMARC corretamente

# E-mail caindo no spam: como configurar SPF, DKIM e DMARC corretamente

Tem coisa pior do que mandar uma proposta importante e descobrir três dias depois que ela foi parar no spam do cliente? Sim: descobrir que **todos** os e-mails da empresa caem no spam. Cliente reclamando que não recebe orçamento, financeiro perdendo notas fiscais, lead sumindo no nada — tudo isso costuma ter a mesma raiz: DNS de e-mail mal configurado.

A boa notícia é que 90% dos casos resolvem com três registros DNS bem configurados: SPF, DKIM e DMARC. A má é que esses três têm armadilhas sutis, e errar a configuração pode piorar a situação. Esse artigo é o passo a passo de quem já apanhou de cada um.

## Por que e-mail vai pra spam (na prática)

Provedores de e-mail (Gmail, Outlook, Apple Mail, etc.) recebem bilhões de mensagens por dia, e a maioria é lixo. Pra separar o joio do trigo, eles avaliam dezenas de sinais. Os mais decisivos são técnicos:

1. **O domínio remetente é quem diz ser?** (autenticação)
2. **O servidor que mandou tinha autorização pra falar em nome desse domínio?** (autorização)
3. **A mensagem foi adulterada no caminho?** (integridade)
4. **O domínio tem histórico bom ou ruim?** (reputação)

SPF, DKIM e DMARC respondem essas três primeiras perguntas. Sem eles, ou com eles errados, o provedor decide cético: na dúvida, vai pra spam. Com eles certos, e a mensagem começa com crédito.

A reputação se constrói com o tempo, mas só se a base técnica estiver correta.

## SPF — quem pode mandar e-mail em nome do seu domínio

SPF (Sender Policy Framework) é um registro DNS que lista quais servidores estão autorizados a enviar e-mail usando o seu domínio.

Exemplo de SPF do Google Workspace:

“`
v=spf1 include:_spf.google.com ~all
“`

Tradução: “servidores listados pelo `_spf.google.com` podem mandar; tudo mais é suspeito”.

### Erros comuns no SPF

– **Mais de um registro SPF no mesmo domínio.** O padrão exige exatamente um. Dois SPFs invalidam ambos. Se você usa Google Workspace e Mailchimp e SendGrid, é tudo num registro só, com vários `include:`.
– **Estourar o limite de 10 lookups DNS.** Cada `include:` consome um lookup, e às vezes ele inclui mais. Se passar de 10, o SPF falha. Use ferramentas como [mxtoolbox.com/spf](https://mxtoolbox.com/spf.aspx) pra contar.
– **Usar `+all` ou `?all`.** O primeiro permite **qualquer** servidor mandar em nome do seu domínio (catastrófico). O segundo é neutro (inútil). Use `~all` (soft fail) ou `-all` (hard fail). `~all` é o mais comum em produção.

### Como configurar (resumo)

No painel DNS do seu domínio (registro.br, Cloudflare, GoDaddy, etc.), crie um registro do tipo `TXT` no host raiz (`@` ou em branco), com o conteúdo do SPF do seu provedor de e-mail. Espera até 1h pra propagar.

## DKIM — assinatura digital que prova que a mensagem é genuína

DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica em cada e-mail enviado. O receptor verifica a assinatura usando uma chave pública publicada no seu DNS. Se bater, a mensagem é legítima e não foi alterada no caminho.

DKIM resolve um problema que SPF não resolve: **integridade**. SPF só diz “esse servidor pode falar”; DKIM diz “essa mensagem específica é autêntica e não foi mexida”.

### Como configurar (resumo)

DKIM é gerado dentro do painel do seu provedor de e-mail, não do DNS. Os passos:

1. No Google Workspace: Admin → Apps → Google Workspace → Gmail → Autenticar e-mail → Gerar registro
2. No Microsoft 365: centro de administração do Defender → DKIM → habilitar pro domínio
3. O painel vai te dar um seletor (algo como `google._domainkey` ou `selector1._domainkey`) e uma chave pública longa
4. Crie um registro `TXT` no DNS com o nome do seletor e o valor da chave
5. Volte ao painel e clique em “ativar” depois que o DNS propagar

### Erros comuns no DKIM

– **Ativar antes de o DNS propagar.** Vai dar erro de validação. Espera 30-60 min depois de criar o registro.
– **Quebra de linha no valor da chave.** Algumas interfaces de DNS quebram linhas longas e corrompem a chave. Cole numa linha só, sem aspas extras.
– **Esquecer de ativar no provedor.** O registro DNS sozinho não funciona — precisa estar habilitado também no painel do Google ou Microsoft.

## DMARC — o que fazer quando SPF ou DKIM falharem

DMARC (Domain-based Message Authentication, Reporting & Conformance) define a política: se uma mensagem chegar dizendo ser do seu domínio mas falhar SPF ou DKIM, o que o receptor deve fazer?

Três opções:

– `p=none` — não faz nada, só me avisa (modo aprendizado)
– `p=quarantine` — joga no spam
– `p=reject` — rejeita totalmente, nem entrega

DMARC também ativa relatórios diários: você recebe por e-mail um resumo de quem está mandando mensagens em nome do seu domínio, autorizado ou não. Isso ajuda a detectar tentativas de fraude e configurações erradas.

### Como configurar (resumo)

Crie um registro `TXT` no DNS com nome `_dmarc` e conteúdo assim:

“`
v=DMARC1; p=none; rua=mailto:dmarc@seudominio.com.br; pct=100;
“`

Comece com `p=none` por pelo menos 2 semanas. Lê os relatórios. Quando tiver certeza de que SPF e DKIM estão certos pra todos os serviços que mandam em nome do domínio (Google Workspace, ferramenta de marketing, ERP, sistema de NF, etc.), vai pra `p=quarantine`. Depois de mais umas semanas tranquilas, sobe pra `p=reject`.

### Erros comuns no DMARC

– **Pular direto pra `p=reject`.** Se um serviço legítimo não tiver SPF/DKIM configurado, todos os e-mails dele param de ser entregues. Comece em `none`.
– **Não monitorar os relatórios.** O valor do DMARC é justamente saber quem manda em nome do seu domínio. Sem ler os relatórios, a configuração é cega.
– **Esquecer de incluir todos os serviços que enviam.** É comum sistema de notas fiscais, CRM, ferramenta de e-mail marketing — cada um precisa estar autorizado em SPF e/ou ter DKIM próprio.

## Como testar se ficou tudo certo

Depois de configurar, use estas ferramentas pra validar:

– [mxtoolbox.com/SuperTool.aspx](https://mxtoolbox.com/SuperTool.aspx) — testa SPF, DKIM, DMARC e MX num só lugar
– [mail-tester.com](https://www.mail-tester.com) — você manda um e-mail pra um endereço único e ele te dá uma nota de 0 a 10 com tudo errado e certo
– [dmarcian.com](https://dmarcian.com/dmarc-inspector/) — analisa o registro DMARC e indica problemas
– [Google Postmaster Tools](https://postmaster.google.com) — se manda volume relevante, registra o domínio aqui pra ver reputação real no Gmail

A nota no mail-tester é um bom termômetro inicial. Abaixo de 8/10, ainda tem ajuste a fazer. Acima de 9, tá no caminho certo.

## Perguntas frequentes

**Quanto tempo leva pra resolver o problema de spam?**
A configuração leva de 1 a 3 horas. A entregabilidade volta ao normal em 2 a 7 dias, à medida que os provedores reaprendem que seus e-mails são confiáveis. Se a reputação do domínio já estava muito ruim, pode levar mais tempo.

**Posso configurar sozinho ou preciso de técnico?**
Se você é confortável com DNS e segue o passo a passo, dá. Mas erro em DKIM ou DMARC pode parar o e-mail da empresa inteira por dias. Em domínio que recebe negócio, o seguro é técnico.

**Tenho Gmail comum (`@gmail.com`). Preciso configurar SPF, DKIM, DMARC?**
Não, o Google já cuida disso pra `@gmail.com`. Esses três só fazem sentido em domínio próprio (`@suaempresa.com.br`).

**E-mail marketing (Mailchimp, RD Station) também precisa?**
Precisa. Cada serviço que envia em nome do seu domínio tem que estar autorizado, ou os e-mails caem no spam. Cada plataforma dessas tem instrução própria de SPF e DKIM — siga e ative.

**A partir de 2024 o Google e Yahoo apertaram as regras. Isso muda algo?**
Muda. Quem manda mais de 5 mil mensagens por dia pra Gmail/Yahoo agora é obrigado a ter SPF + DKIM + DMARC com `p=none` no mínimo, taxa de spam abaixo de 0,3% e link de descadastro funcional. Sem isso, entregabilidade despenca.