Verificador de registros SPF/DKIM/DMARC
Digite um domínio para consultar em tempo real seus registros SPF, DMARC e DKIM e diagnosticar a configuração de autenticação de e-mail contra falsificação.
Dicas
- A ordem padrão é configurar SPF, depois DKIM e por último DMARC, usado para deixar claras as instruções aos destinatários.
- Não comece o DMARC direto com p=reject. Colete relatórios primeiro com p=none para identificar todas as origens de envio legítimas antes de reforçar a política gradualmente.
- Domínios com muitos "include" no SPF podem atingir o limite de "10 consultas DNS / 255 caracteres" e causar falhas na resolução, então é bom limpar periodicamente os include desnecessários.
- Esta ferramenta testa apenas seletores DKIM comuns, então um resultado de "não encontrado" pode simplesmente significar que um seletor diferente está sendo usado.
- Grandes provedores como Gmail e Outlook exigem desde 2024 SPF, DKIM e DMARC de remetentes em massa, portanto domínios que enviam newsletters devem verificar essa configuração com prioridade.
Perguntas frequentes
Curiosidade — Como surgiram os três pilares da autenticação de e-mail
SPF, DKIM e DMARC surgiram em momentos e por motivos diferentes. O SPF, o primeiro a aparecer (por volta de 2003), declara quais endereços IP podem enviar e-mails em nome de um domínio, e se popularizou como resposta a spammers que falsificavam o endereço do remetente. No entanto, o SPF é fraco em relação ao encaminhamento: quando um e-mail é encaminhado, o IP de origem muda e a autenticação falha.
O DKIM (padronizado por volta de 2007) veio corrigir essa fraqueza. Em vez de julgar pelo endereço IP como o SPF, ele anexa uma assinatura digital a parte do corpo e dos cabeçalhos da mensagem, que o destinatário verifica com uma chave pública publicada no DNS; assim, a autenticação continua válida após o encaminhamento, desde que a assinatura em si não seja alterada.
Ainda assim, SPF e DKIM só conseguiam detectar que a autenticação havia falhado; o que fazer com esse e-mail — entregar, marcar como spam ou rejeitar — ficava totalmente a critério do servidor destinatário. O DMARC, padronizado em 2012, unificou essas instruções para o destinatário. Ele também incorporou um mecanismo de relatórios (rua=) que devolve os resultados de autenticação aos administradores do domínio remetente, permitindo monitorar continuamente se o próprio domínio está sendo usado indevidamente.
Quando, em 2024, Google e Yahoo passaram a exigir de fato SPF, DKIM e DMARC de remetentes em massa (mais de 5.000 mensagens por dia), esses três pilares deixaram de ser conhecimento exclusivo de grandes empresas e se tornaram uma base essencial para qualquer organização que envie newsletters ou notificações automáticas.