SPF, DKIM e DMARC explicados em linguagem simples (e por que você não consegue enviar e-mail marketing sem eles em 2026)

Se você tem um negócio local de serviços e envia e-mails para seus clientes, existem três siglas curtas que você provavelmente já viu e silenciosamente ignorou: SPF, DKIM e DMARC. Elas parecem jargão técnico feito para engenheiros, e durante anos foi possível conviver sem entendê-las. Esse tempo acabou. Desde 2024, o Gmail e o Yahoo exigem que qualquer empresa que envie um volume relevante de e-mails configure as três, e em 2026 a cobrança ficou rígida. Configure-as de forma errada e seus lembretes de agendamento, suas promoções e suas newsletters caem silenciosamente no spam, ou simplesmente nunca chegam. Na Mailmundo construímos nossa plataforma para guiar você por essa configuração passo a passo, mas quero que você de fato entenda o que está acontecendo. Este artigo explica as três em linguagem simples, sem atalhos e sem erros.

O problema que essas três coisas resolvem: qualquer um pode se passar por você

O e-mail foi inventado em uma época mais confiante. O desenho original permite que qualquer computador na internet afirme estar enviando a partir de qualquer endereço. Não existe nada no e-mail básico que impeça um desconhecido de enviar uma mensagem dizendo que ela vem de voce@seunegocio.com quando, na verdade, não vem. Isso se chama falsificação, ou spoofing, e é a raiz da maioria dos e-mails de golpe e phishing.

Imagine um criminoso enviando uma fatura falsa aos seus clientes usando o nome da sua empresa e o seu domínio. Seus clientes confiam em você, então alguns deles pagam. O dano à sua reputação é imediato, e os provedores de e-mail como o Gmail são culpados por entregar a fraude. Para proteger seus usuários, esses provedores decidiram que não confiariam mais em e-mails que não conseguem provar quem os enviou. SPF, DKIM e DMARC são as três ferramentas que permitem ao seu domínio provar sua identidade. Juntas, elas respondem a uma única pergunta para o servidor que recebe: esta mensagem foi realmente autorizada pelo domínio de onde ela diz vir?

SPF: a lista de convidados dos remetentes aprovados

SPF significa Sender Policy Framework, ou estrutura de política do remetente. Pense nele como uma lista de convidados. Você publica uma pequena nota pública vinculada ao seu domínio que informa quais servidores estão autorizados a enviar e-mail em seu nome. Quando você usa a Mailmundo, nossos servidores de envio precisam estar nessa lista. Quando você usa o Google Workspace para seu correio normal, os servidores do Google também precisam estar nela.

Tecnicamente, o SPF é uma única linha de texto publicada nas configurações de DNS do seu domínio, em um tipo de registro chamado registro TXT. O DNS é a agenda pública de endereços da internet; qualquer um pode consultar o que você publicou ali. Seu registro SPF lista as fontes de envio aprovadas, geralmente referenciando cada provedor com uma entrada chamada include. Quando uma mensagem chega, o servidor que recebe lê o endereço de onde ela afirma vir, consulta seu registro SPF e verifica se o servidor que de fato entregou a mensagem está na sua lista aprovada. Se estiver, o SPF passa. Se não estiver, o SPF falha.

O SPF tem uma limitação importante. Ele verifica o endereço técnico oculto usado durante a entrega, e não o endereço amigável no campo De que seu cliente realmente vê. É por isso que o SPF sozinho não basta, e por isso existe a segunda ferramenta.

DKIM: um selo inviolável em cada mensagem

DKIM significa DomainKeys Identified Mail. Se o SPF é uma lista de convidados, o DKIM é um selo de cera que prova que uma carta é genuína e não foi aberta nem alterada pelo caminho.

Veja como funciona. Sua plataforma de envio guarda uma chave privada secreta. Cada vez que envia uma mensagem, ela usa essa chave para adicionar uma assinatura digital invisível ao cabeçalho da mensagem. Você publica a chave pública correspondente no seu DNS, novamente como um registro TXT, sob uma pequena etiqueta chamada seletor. Quando a mensagem chega, o servidor que recebe busca sua chave pública no seu DNS e a usa para verificar a assinatura. Se a assinatura confere, duas coisas ficam provadas de uma vez: a mensagem realmente veio de um sistema que possui sua chave privada, e o conteúdo não foi adulterado no trajeto. Se um único caractere tiver sido alterado por um agente malicioso, a assinatura quebra e o DKIM falha.

A beleza do DKIM é que a assinatura viaja junto com a mensagem. Mesmo que seu e-mail seja encaminhado várias vezes, o selo ainda pode ser verificado. Este é o mais forte dos três pilares.

DMARC: a política que amarra tudo

SPF e DKIM cada um faz um trabalho útil, mas sozinhos deixam uma lacuna. Eles não dizem ao servidor que recebe o que fazer quando uma verificação falha, e não protegem, por si só, o endereço De visível que os clientes de fato leem. O DMARC fecha as duas lacunas.

DMARC significa Domain-based Message Authentication, Reporting and Conformance. É, mais uma vez, um registro TXT no seu DNS, publicado em um endereço especial que começa com a etiqueta _dmarc antes do seu domínio. Ele faz dois trabalhos.

Trabalho um: alinhamento

O DMARC introduz uma regra chamada alinhamento. Ela exige que o domínio comprovado pelo SPF ou pelo DKIM combine com o domínio do endereço De visível que seu cliente vê. Uma mensagem passa no DMARC se passar no SPF com um domínio alinhado, ou passar no DKIM com um domínio alinhado. Este é o passo crucial, porque finalmente protege a linha De que um ser humano lê. Um golpista pode até passar no SPF usando o próprio domínio, mas não consegue fazer esse domínio combinar com o seu endereço De, então o DMARC falha e a fraude é barrada.

Trabalho dois: dizer ao servidor o que fazer

Seu registro DMARC carrega uma instrução de política, escrita como p=, com três valores possíveis. p=none significa não tomar nenhuma ação especial; entregue a mensagem normalmente, mas me envie relatórios. p=quarantine significa tratar as mensagens que falham como suspeitas e direcioná-las à pasta de spam. p=reject significa não entregar de jeito nenhum as mensagens que falham. O DMARC também permite receber relatórios agregados ao adicionar um endereço com a etiqueta rua, para que você veja quem anda enviando e-mail em seu nome.

Como os três trabalham juntos em uma única entrega

Imagine uma única newsletter que você envia pela Mailmundo. O servidor que recebe executa as três verificações em sequência. Ele lê seu registro SPF para confirmar que nossos servidores estão aprovados. Verifica a assinatura DKIM usando sua chave pública publicada para confirmar que a mensagem é genuína e intacta. Depois aplica o DMARC para confirmar que o domínio que passou no SPF ou no DKIM está alinhado com seu endereço De visível, e segue sua política DMARC para qualquer coisa que falhe. Quando tudo isso se encaixa, a mensagem é tratada como correio confiável de um negócio real e responsável, e tem a melhor chance possível de chegar à caixa de entrada.

Por que você realmente não pode pular isso em 2026

Em 3 de outubro de 2023, o Google e o Yahoo anunciaram novas regras para remetentes em massa. A partir de fevereiro de 2024, qualquer remetente que entregasse mais de 5.000 mensagens por dia para contas do Gmail passou a ser obrigado a configurar SPF e DKIM, publicar uma política DMARC e garantir o alinhamento. No início, uma política inicial de p=none bastava para cumprir a regra. A mudança importante é que em 2026 isso deixou de ser uma sugestão educada. A cobrança apertou, e as mensagens fora de conformidade agora são rejeitadas de imediato no nível da conexão, em vez de apenas filtradas. O Yahoo aplica exigências equivalentes.

A linha dos 5.000 por dia é o limite oficial, mas não se deixe acomodar por ela. Os provedores de e-mail premiam o correio autenticado e penalizam o não autenticado de modo geral, independentemente do volume. Um pequeno negócio local que envia algumas centenas de e-mails por semana ainda se beneficia enormemente de acertar isso, e ainda sofre quando não acerta.

Qual política você deve realmente usar

Minha recomendação honesta é começar em p=none com os relatórios ligados. Isso cumpre imediatamente a exigência do Gmail e do Yahoo enquanto você acompanha os relatórios para confirmar que todo o seu correio legítimo, incluindo qualquer coisa enviada pelo seu software de agendamento ou pelas ferramentas do seu contador, está passando corretamente. Quando estiver confiante, suba para p=quarantine e, por fim, para p=reject, que lhe dá a proteção completa de barrar quem tentar se passar pelo seu domínio. Subir essa escada aos poucos garante que você nunca bloqueie por acidente seu próprio e-mail legítimo.

Como verificar o que você tem hoje

Você não precisa ser técnico para inspecionar sua configuração atual. Ferramentas públicas e gratuitas permitem digitar seu domínio e ver se seus registros SPF, DKIM e DMARC existem e se são válidos. Serviços de consulta como o conhecido verificador MXToolbox mostram cada registro e apontam erros óbvios. Se você envia pela Mailmundo, nossas telas de configuração mostram exatamente os registros a adicionar e depois os verificam para você automaticamente, para que você veja uma confirmação verde e clara em vez de ficar no chute.

O que acontece se você pular essas etapas

As consequências são silenciosas, mas sérias. Suas mensagens são filtradas para o spam, onde os clientes nunca as veem. Sua reputação de remetente se desgasta aos poucos, o que prejudica até as mensagens que conseguem passar. Com a cobrança rígida de 2026, uma parcela crescente do seu e-mail é rejeitada antes mesmo de chegar à caixa de entrada. E sem o DMARC em uma política que faz valer, seu domínio continua aberto para criminosos se passarem por você, colocando em risco seus clientes e seu nome. Nada disso se anuncia. Você simplesmente percebe que seu e-mail parou de funcionar, sem nenhuma mensagem de erro para explicar o motivo.

A conclusão

O SPF é sua lista de convidados de remetentes aprovados. O DKIM é um selo inviolável que prova que cada mensagem é genuína. O DMARC os amarra ao seu endereço De visível e diz ao servidor o que fazer quando algo falha. Juntos, eles provam que seu e-mail é realmente seu, que é exatamente o que o Gmail e o Yahoo agora exigem antes de confiar em você. Isso deixou de ser opcional e deixou de ser algo que dá para deixar para depois. Na Mailmundo guiamos você por cada registro, verificamos por você e ficamos de olho para que seu e-mail continue chegando a caixas de entrada reais. Configure uma vez, do jeito certo, e isso protege silenciosamente o seu negócio e os seus clientes por anos.