Spaceship Blog

O que são SPF, DKIM e DMARC?

Quando se trata de email, a confiança é tudo. Mas, antes de a tua mensagem chegar sequer à caixa de entrada de alguém, tem de passar por algumas verificações de segurança silenciosas. SPF, DKIM e DMARC decidem se os teus emails parecem legítimos ou acabam no spam.

Saber como estes registos funcionam, e como configurá-los corretamente, pode proteger o teu domínio e garantir que as tuas mensagens chegam sempre onde devem chegar.

O que são SPF, DKIM e DMARC no email?

Entre carregares em enviar e o teu email chegar ao destino, começa uma cadeia silenciosa de verificações. Cada uma faz a mesma pergunta: isto vem mesmo de ti?

SPF, DKIM e DMARC formam um ciclo de feedback entre remetente e destinatário, verificando a tua identidade antes de a tua mensagem sair do teu domínio, quando chega, ou em ambos os momentos. Em conjunto, são o que separa a tua mensagem da pasta de spam.

SPF, DKIM e DMARC explicados em resumo:

  • SPF – verifica se o servidor que envia a tua mensagem está na lista aprovada do teu domínio. Se estiver, o email passa. Se não estiver, é assinalado. Pensa nisto como a lista de convidados do teu domínio.

  • DKIM – adiciona um selo digital à tua mensagem antes de ela sair da tua caixa de saída. Assim que chega ao outro lado, o servidor de receção abre o selo para garantir que nada foi alterado durante o envio.

  • DMARC – decide o que acontece se alguma dessas verificações falhar. Diz ao servidor de receção o que fazer, quer seja entregar a mensagem, enviá-la para spam ou bloqueá-la por completo.

Estes três funcionam em conjunto: um verifica o remetente, outro protege a mensagem e outro aplica as regras.

Porque é que SPF, DKIM e DMARC são importantes para a segurança do email?

SPF, DKIM e DMARC protegem contra duas das maiores ameaças ao email atualmente: spam e spoofing. Os atacantes enviam frequentemente mensagens a fingir ser quem não são. Imagina receberes um email de Support@yourbank.com a pedir-te que confirmes os dados da tua conta. Estas três verificações garantem que o teu “banco” é mesmo o teu banco:

Num ataque de phishing, os hackers usam emails falsos para enganar as pessoas e levá-las a partilhar palavras-passe, números de cartão de crédito ou a clicar em ligações maliciosas. Sem estas proteções, o teu domínio poderia ser personificado e os clientes poderiam receber mensagens convincentes que parecem ter sido enviadas por ti. Com SPF, DKIM e DMARC implementados, essas mensagens falsas são normalmente bloqueadas antes sequer de chegarem a uma caixa de entrada.

  • O SPF verificaria se o email foi enviado a partir de um servidor autorizado.

  • O DKIM garantiria que o email não foi adulterado durante o envio.

  • Se alguma destas verificações falhasse, então o DMARC garantiria que o email fosse rejeitado antes de chegar à tua caixa de entrada

Da mesma forma, durante um ataque de phishing, os hackers enviam emails falsos para enganar as pessoas e levá-las a revelar palavras-passe ou a clicar em ligações perigosas. Se o domínio da tua empresa não estiver protegido, podem fingir ser um funcionário e enviar emails aos teus clientes a pedir os seus dados. Se SPF, DKIM e DMARC estiverem implementados, a maioria destas mensagens falsas nunca chegará às caixas de entrada dos clientes, porque os servidores de receção conseguem perceber que não vêm realmente de ti.

Porque também são importantes para a entregabilidade (não apenas para a segurança)

Se envias newsletters, faturas ou campanhas de marketing, o teu objetivo provavelmente não é apenas enviar, mas ser visto. Mas, à medida que o spam global aumentou, grandes fornecedores como Gmail e Yahoo introduziram novas regras para manter as caixas de entrada limpas.

Desde 2024, estes fornecedores exigem que os remetentes autentiquem os seus domínios com SPF, DKIM e DMARC. Sem eles, os teus emails podem ser rejeitados antes sequer de saírem da tua caixa de saída. Passar estas verificações de forma consistente melhora a tua reputação de remetente e impede que os teus emails acabem no spam. Quanto melhor for a tua reputação, mais rápida será a entrega, menos sinalizações de spam terás e mais forte será a tua credibilidade. Construir essa reputação num novo domínio de envio — ou recuperá-la num domínio prejudicado — é exatamente para isso que plataformas de warm-up dedicadas como Warmy foram concebidas: aumentar gradualmente o volume de envio em incrementos diários controlados e gerar sinais de envolvimento positivos junto dos principais fornecedores de caixas de correio, para que o correio autenticado com SPF, DKIM e DMARC chegue de forma consistente à caixa de entrada principal em vez de promoções ou spam.

SPF vs DKIM vs DMARC — Qual é a diferença?

Sempre que embarcas num avião, passas por um processo quase idêntico à forma como SPF, DKIM e DMARC funcionam. Pode parecer estranho, mas estes três termos não são propriamente fáceis de memorizar, e ajuda ter uma forma mais simples de os recordar. Além disso, sem estes três configurados, é provável que o teu email acabe tal como tu quando perdes o check-in de um voo. Ao frio.

SPF – O primeiro ponto de controlo de segurança do teu email

Quando chegas ao balcão, pronto para embarcar, o agente verifica o teu bilhete em relação ao registo do voo. Se o teu nome estiver lá, estás autorizado a voar. Se não estiver, não há cartão de embarque, não há voo.

O SPF funciona da mesma forma. Cada domínio, como example.com, mantém uma “lista de passageiros” ou um registo dos servidores de email autorizados a enviar emails em seu nome. Quando envias um email, o servidor de receção verifica se o teu servidor de envio está nessa lista. Ao definires o teu registo SPF, estás basicamente a adicionar o teu nome ao manifesto para que as tuas mensagens possam passar pela segurança sem demora.

DKIM – A verificação de identidade da tua caixa de entrada

Assim que o teu bilhete é validado, chega a altura de provares a tua identidade. A fotografia do teu passaporte confirma que és mesmo tu, uma assinatura física que não pode ser facilmente falsificada. O DKIM faz o mesmo, mas para o email.

DomainKeys Identified Mail (DKIM) adiciona uma assinatura digital a cada mensagem enviada. Esta assinatura prova que o email não foi alterado nem adulterado durante o envio e impede que o teu email seja rastreado. Quando carregas em enviar, o teu servidor assina o email com uma chave privada. Quando ele chega, o servidor de receção verifica essa assinatura, confirmando que a mensagem é genuína e não foi alterada.

DMARC – O que acontece quando algo corre mal

Se apareceres no aeroporto sem bilhete ou passaporte, a companhia aérea tem uma política clara sobre o que acontece a seguir. O DMARC funciona da mesma forma quando as verificações SPF ou DKIM falham.

O DMARC diz ao servidor de receção o que fazer com o email se a verificação SPF ou DKIM falhar. Pode:

  • Não fazer nada

  • Colocar a mensagem em quarentena (enviá-la para spam)

  • Rejeitar completamente a mensagem

Como remetente, és tu que decides qual a regra a aplicar. Defines isso no teu DNS, especificando o que acontece quando as tuas mensagens não passam na verificação.

Como configurar SPF, DKIM e DMARC para o teu domínio

Para configurar SPF, DKIM e DMARC, vais precisar de acesso ao teu DNS. É para onde apontam os nameservers do teu domínio, ou seja, o teu registrador ou anfitrião DNS.

Como mencionámos acima, o SPF funciona como uma lista de passageiros, que diz aos servidores de receção quais os hosts que podem enviar email para o teu domínio. Por isso, para configurar o SPF, tens de colocar o teu email nessa lista de passageiros. Para isso, há alguns passos.

1. Verifica se já tens SPF

Começa por usar uma ferramenta gratuita de pesquisa DNS para verificar se o teu domínio já tem um registo SPF. Se a ferramenta, no separador TXT, mostrar um registo que começa por v=spf1, isso significa que o SPF já está configurado para o teu domínio.

Se não aparecer nenhum registo desse tipo, vais ter de criar um novo registo SPF de raiz.

2. Adiciona um novo registo SPF no DNS

Para adicionar um novo registo SPF, vai às definições de DNS do anfitrião do teu domínio. Pode ser a Spaceship, Google, Outlook, etc., dependendo de quem é o teu fornecedor. Encontra a lista de registos existentes e seleciona Adicionar registo, depois escolhe TXT no menu de tipo.

Em seguida, preenche os campos como mostrado abaixo para criares a tua entrada SPF.

Para o Spacemail, ficaria assim:Tipo: Registo TXT | Host: @ | Valor: v=spf1 include:spf.spacemail.com ~all | TTL: Automático

Guarda e espera alguns minutos pela propagação.

3. Verifica o registo

Nesta fase, podes fazer outra verificação com a tua ferramenta de pesquisa DNS. Se ela mostrar o teu valor, está tudo bem. Também é importante lembrar que o registo do host pode demorar até 24 horas a atualizar, por isso não entres em pânico se não aparecer logo.

Passo 2. Atualiza as tuas definições DKIM

O DKIM adiciona uma assinatura digital a cada email que o teu domínio envia, provando que não foi adulterado.

1: Gera o teu registo DKIM

Começa nas definições do teu fornecedor de email.

  1. Vai à secção de autenticação de domínio ou segurança de email.

  2. Procura uma opção com a designação DKIM, DomainKeys ou algo semelhante.

  3. Seleciona o botão para gerar novas chaves DKIM.

O teu fornecedor vai dar-te duas informações essenciais:

  • Um seletor (por exemplo, selector1._domainkey)

  • O próprio registo DKIM — uma longa cadeia de texto encriptado

É boa ideia copiares ambos para um local seguro, pois vais precisar deles no passo seguinte.

2: Adiciona o registo DKIM ao teu DNS

Em seguida, inicia sessão no teu fornecedor de DNS.

  1. Abre os teus registos DNS e cria uma nova entrada.

  2. Escolhe CNAME se o registo for curto, ou TXT se for uma chave mais longa.

  3. No campo Host ou Name, introduz o seletor DKIM (por exemplo, selector1._domainkey).

  4. No campo Value, cola o registo DKIM do teu fornecedor de email.

  5. Guarda as alterações.

Dá-lhe alguns minutos, pois as alterações de DNS podem demorar algum tempo a atualizar.

Para o email empresarial Spacemail, podes configurar um registo DKIM com este guia.

Passo 3. Adiciona as definições DMARC

Assim que SPF e DKIM estiverem configurados, o passo final é o DMARC. Só tens de adicionar mais um registo TXT ao DNS do teu domínio. Este registo diz aos servidores de receção de email o que fazer se um email do teu domínio falhar a autenticação e dá-te visibilidade sobre quem está a enviar email em teu nome.

Um registo DMARC tem algumas partes essenciais que precisas de compreender antes de o adicionares:

  • v=DMARC1 – isto diz aos servidores de email que estás a usar DMARC. Vem sempre primeiro.

  • p= – Isto define a tua política para lidar com mensagens não autenticadas:

  • rua=mailto: – Isto diz aos servidores de email para onde enviar os teus relatórios DMARC diários. Podes usar um endereço como security@yourdomain.com ou dmarc@yourdomain.com. Estes relatórios mostram quais os IPs que estão a enviar em nome do teu domínio, ajudando-te a detetar algo invulgar.

1: Gera um registo DMARC para o teu domínio

Abre a ferramenta de geração de registos DMARC (podes usar qualquer ferramenta de geração DMARC que prefiras) e preenche o nome do teu domínio na barra de pesquisa. Quando terminares, clica no botão Check DMARC Record. Personaliza as definições DMARC de acordo com as tuas necessidades e obtém o registo gerado.

2: Adiciona o teu registo DMARC às definições de DNS

Vai até ao teu fornecedor de DNS. Cria um novo registo, selecionando TXT como tipo de registo do host. O DMARC usa um formato de registo TXT, tal como o SPF.

Usa host: _dmarcAdd value, o que geraste anteriormente

Depois de o adicionares, guarda as alterações e espera alguns minutos para a propagação. Podes usar ferramentas como a MX Lookup Tool ou outras ferramentas gratuitas para verificar se o teu registo DMARC está configurado corretamente.

Podes usar este guia para configurar um registo DMARC para o teu domínio com Spacemail.

Configurar corretamente o teu email

Se as tuas mensagens continuam a cair no spam ou a desaparecer a meio do percurso, isso pode dever-se à falta de autenticação. SPF, DKIM e DMARC dão aos teus emails as credenciais de que precisam para chegar em segurança à caixa de entrada.

Ao ouvires a explicação de SPF, DKIM e DMARC, pode parecer complicado, mas o melhor é que não exigem ferramentas dispendiosas nem configurações complexas, apenas alguns registos DNS e um pouco de paciência. São alguns dos protocolos de email mais simples que podes adicionar ao teu sistema de email e que compensam sempre que a tua mensagem chega exatamente onde deve chegar.

Perguntas frequentes

O SPF verifica que o teu email é enviado a partir de um servidor autorizado. A segurança de email DKIM funciona assinando cada mensagem com uma chave digital para que o destinatário saiba que a mensagem não foi adulterada. O DMARC liga tudo isto, dizendo ao servidor o que fazer se algo parecer errado. Em conjunto, mantêm os teus emails fiáveis, verificados e seguros.

Ao analisar DMARC vs SPF e DKIM, funcionam melhor em conjunto. A autenticação de email SPF e DKIM faz as verificações, enquanto o DMARC decide o que acontece se essas verificações falharem. Sem DMARC, os teus emails podem continuar a passar, mas não terás controlo sobre o que acontece quando não passam. Configura os três uma vez e cobrirás todas as frentes, tanto em segurança como em entregabilidade.

O spoofing acontece quando alguém envia um email fingindo ser tu. O SPF verifica de onde veio a mensagem, o DKIM confirma que não foi alterada e o DMARC bloqueia tudo o que for suspeito.

Sem DMARC, não existe uma regra clara sobre a forma como os servidores de email lidam com mensagens suspeitas. Isso significa que emails falsos podem passar, ou que os teus verdadeiros podem ser marcados como spam. O DMARC é a parte que aplica as regras e, sem ele, o teu domínio fica desprotegido.

Na verdade, não, apenas fazem trabalhos diferentes. O SPF verifica quem está a enviar o email; o DKIM verifica se ele foi alterado. Nenhum funciona perfeitamente sozinho, mas juntos criam uma forte primeira linha de defesa.


Artigos sugeridos

Partilha a tua opinião

São necessários mais de 10 caracteres.
A tua identidade para exibição pública.
Fornecer o teu endereço de email é opcional. Não será partilhado com terceiros.

Ajuda-nos a melhorar o nosso blog

Partilha a tua opinião num rápido questionário de dois minutos.

É necessário um email válido