Verificador de registros SPF/DKIM/DMARC

Digite um domínio para consultar em tempo real seus registros SPF, DMARC e DKIM e diagnosticar a configuração de autenticação de e-mail contra falsificação.

Dicas

  • A ordem padrão é configurar SPF, depois DKIM e por último DMARC, usado para deixar claras as instruções aos destinatários.
  • Não comece o DMARC direto com p=reject. Colete relatórios primeiro com p=none para identificar todas as origens de envio legítimas antes de reforçar a política gradualmente.
  • Domínios com muitos "include" no SPF podem atingir o limite de "10 consultas DNS / 255 caracteres" e causar falhas na resolução, então é bom limpar periodicamente os include desnecessários.
  • Esta ferramenta testa apenas seletores DKIM comuns, então um resultado de "não encontrado" pode simplesmente significar que um seletor diferente está sendo usado.
  • Grandes provedores como Gmail e Outlook exigem desde 2024 SPF, DKIM e DMARC de remetentes em massa, portanto domínios que enviam newsletters devem verificar essa configuração com prioridade.

Perguntas frequentes

Não é estritamente obrigatório, mas somente quando os três estão configurados juntos se obtém uma defesa consistente: comprovar a legitimidade do remetente (SPF/DKIM) e instruir o destinatário sobre como agir em caso de falha (DMARC). Configurar apenas um tem efeito limitado, por isso recomenda-se implementá-los em ordem.

Não necessariamente. Como o nome do seletor DKIM é escolhido livremente por cada serviço de envio, um resultado de "não encontrado" só indica que o domínio não usa um dos nomes comuns testados por esta ferramenta (default, google etc.). Para verificar com precisão, consulte o painel do serviço de envio ou o cabeçalho DKIM-Signature de um e-mail.

Não é recomendado. Se você ainda não identificou todas as origens de envio legítimas (serviços de newsletter, sistemas internos etc.), definir reject imediatamente pode bloquear também e-mails legítimos. É mais seguro começar com p=none, coletar relatórios por algumas semanas para confirmar que não há problemas e depois reforçar gradualmente para quarantine e reject.

No fim das contas, -all (Fail, rejeição explícita) é o recomendado, mas durante um período de transição em que você ainda não tem total confiança na configuração do SPF, é mais seguro usar ~all (SoftFail, tratado como suspeito) e confirmar que nenhum e-mail legítimo está sendo bloqueado antes de mudar para -all.

Não. A consulta DNS do domínio informado é feita na hora, e os dados dos registros obtidos não são armazenados no servidor.
ツールくん

Curiosidade — Como surgiram os três pilares da autenticação de e-mail

SPF, DKIM e DMARC surgiram em momentos e por motivos diferentes. O SPF, o primeiro a aparecer (por volta de 2003), declara quais endereços IP podem enviar e-mails em nome de um domínio, e se popularizou como resposta a spammers que falsificavam o endereço do remetente. No entanto, o SPF é fraco em relação ao encaminhamento: quando um e-mail é encaminhado, o IP de origem muda e a autenticação falha.

O DKIM (padronizado por volta de 2007) veio corrigir essa fraqueza. Em vez de julgar pelo endereço IP como o SPF, ele anexa uma assinatura digital a parte do corpo e dos cabeçalhos da mensagem, que o destinatário verifica com uma chave pública publicada no DNS; assim, a autenticação continua válida após o encaminhamento, desde que a assinatura em si não seja alterada.

Ainda assim, SPF e DKIM só conseguiam detectar que a autenticação havia falhado; o que fazer com esse e-mail — entregar, marcar como spam ou rejeitar — ficava totalmente a critério do servidor destinatário. O DMARC, padronizado em 2012, unificou essas instruções para o destinatário. Ele também incorporou um mecanismo de relatórios (rua=) que devolve os resultados de autenticação aos administradores do domínio remetente, permitindo monitorar continuamente se o próprio domínio está sendo usado indevidamente.

Quando, em 2024, Google e Yahoo passaram a exigir de fato SPF, DKIM e DMARC de remetentes em massa (mais de 5.000 mensagens por dia), esses três pilares deixaram de ser conhecimento exclusivo de grandes empresas e se tornaram uma base essencial para qualquer organização que envie newsletters ou notificações automáticas.

→ Ver todas as curiosidades