Glossário

O que são SPF / DKIM / DMARC — o trio que protege seu domínio de e-mails forjados

SPF, DKIM e DMARC são três configurações de DNS que deixam os destinatários verificar se um e-mail do seu domínio é genuíno. Sem eles, não dá para impedir phishing enviado em seu nome. O papel de cada um e como configurar (comece o DMARC em p=none).

Publicado 2026-06-08 Atualizado 2026-06-08 3 min de leitura

"E-mails de phishing saem em nome do seu domínio sem você saber" — SPF / DKIM / DMARC impedem isso. Veja o papel de cada um e como configurá-los com segurança.

O papel de cada um

Configuração	Papel (em uma linha)
SPF	Declara no DNS quais servidores podem enviar por este domínio
DKIM	Adiciona uma assinatura criptográfica provando que o e-mail está inalterado e vem de uma fonte legítima
DMARC	Declara o que fazer se SPF/DKIM falharem e recebe relatórios (a chave de abóbada que une os três)

Como o e-mail é verificado

Os destinatários (Gmail, etc.) checam SPF e DKIM em uma mensagem recebida e então aplicam sua política DMARC para decidir "passar / quarentena / rejeitar".

E-mail recebido (em nome do seu domínio)

↓ o destinatário verifica

SPF: o servidor de envio está autorizado?

DKIM: a assinatura é válida, sem adulteração?

↓ confronta os resultados com a política DMARC

DMARC: em caso de falha → passar / quarentena / rejeitar

O destinatário checa SPF/DKIM e então a política DMARC decide. Os três precisam se encaixar para funcionar.

Então SPF e DKIM sozinhos podem "checar mas não fazer nada"; só com uma política DMARC eles de fato "impedem o spoofing".

Como configurá-los com segurança

Um registro SPF correto

Autorize todo remetente legítimo (o seu próprio, serviços de e-mail, etc.). Mantenha um registro SPF por domínio (vários registros tendem a quebrá-lo).

Habilite a assinatura DKIM

Ative o DKIM na sua plataforma de e-mail e publique a chave pública no DNS, para que o e-mail legítimo seja assinado.

Comece o DMARC em p=none

Não rejeite de imediato. Comece com p=none (apenas monitorar) + relatórios para confirmar que e-mails legítimos não estão sendo descartados.

Aperte gradualmente

Quando os relatórios mostrarem que nenhum remetente legítimo está sendo perdido, avance p=quarantine → p=reject, alcançando por fim "o spoofing é rejeitado".

A visão deste site: você também está protegendo seus usuários

SPF/DKIM/DMARC não é só sobre seus e-mails chegarem — protege seus usuários do phishing que se passa pelo seu domínio. O phishing é, em última instância, uma entrada para roubar credenciais e chaves. Muitos domínios param no SPF/DKIM e nunca elevam o DMARC à imposição (reject). Não se contente com p=none — leia os relatórios e suba até reject para que isso importe.

Leia a seguir

Fundamentos: O que é perigoso no .env e nas chaves de API (protegendo credenciais)
Glossário: O que é .env

FAQ

QPara que servem SPF / DKIM / DMARC?

Para que os destinatários (Gmail, etc.) possam verificar se um e-mail do seu domínio é genuíno. Sem eles, qualquer um pode enviar phishing forjado em seu nome sem checagem, e a reputação do seu domínio sofre.

QQual é a diferença entre os três?

SPF declara 'quais servidores podem enviar por este domínio', DKIM é uma 'assinatura criptográfica que prova que não houve adulteração', e DMARC é 'o que fazer se SPF/DKIM falharem, mais os relatórios'. O DMARC amarra SPF/DKIM e lhes dá força.

QCom o que eu devo me preocupar ao configurar?

Autorize todos os remetentes legítimos (serviços de e-mail, etc.) antes de apertar. Especialmente o DMARC: pular direto para reject pode descartar e-mails legítimos, então comece em p=none (apenas monitorar), leia os relatórios e depois avance p=quarantine → p=reject.