SimplesMail
EntrarComeçar grátis
← Voltar pra todos os artigos
dkim
spf
dmarc
deliverability
tutorial

DKIM, SPF e DMARC: o guia definitivo pra dev brasileiro em 2026

Configuração prática dos 3 padrões de autenticação de email pra empresas BR. Como passar nos checks Gmail/Outlook e ter inbox placement >95%.

12 de maio de 2026 · Inael Rodrigues

Se você manda email transacional e não configurou DKIM + SPF + DMARC corretamente, suas mensagens estão indo pro spam. O Gmail e o Outlook tightenaram em 2024 e hoje exigem os três pra qualquer remetente que envia mais de 5.000 emails/dia.

Aqui está o guia direto sem enrolação.

O que cada um faz

Função
SPF (Sender Policy Framework)Lista quais IPs/domínios podem enviar email pelo seu domínio
DKIM (DomainKeys Identified Mail)Assinatura criptográfica do header+body do email — prova que ele não foi modificado em trânsito
DMARC (Domain-based Message Authentication, Reporting and Conformance)Política do que fazer quando SPF ou DKIM falham — quarantine, reject ou nada

SPF — o registro TXT mais simples

No DNS do seu domínio, adiciona:

@   TXT   "v=spf1 include:amazonses.com ~all"

Esse ~all (soft fail) é o conservador. Em produção depois de validar tudo, troca pra -all (hard fail).

Erros comuns:

  • Múltiplos registros SPF no mesmo domínio (Gmail/Outlook rejeitam — DEVE ser 1 só)
  • Mais de 10 lookups no SPF (include: conta — Resend + Mailgun + AWS SES no mesmo é 3-5 já)
  • Esquecer ~all/-all no final

DKIM — chave RSA + 3 CNAMEs

AWS SES gera 3 chaves automaticamente. Você cola 3 CNAMEs no DNS:

xxxxxxx._domainkey.suaempresa.com.br   CNAME   xxxxxxx.dkim.amazonses.com.
yyyyyyy._domainkey.suaempresa.com.br   CNAME   yyyyyyy.dkim.amazonses.com.
zzzzzzz._domainkey.suaempresa.com.br   CNAME   zzzzzzz.dkim.amazonses.com.

Em ~1-2 min o SES verifica e seu DKIM fica ativo. Não tem chave privada pra você guardar — AWS mantém.

Errado comum: colar o registro como TXT em vez de CNAME. AWS SES e Resend usam CNAME (delegação); Mailgun e Postmark às vezes usam TXT direto.

DMARC — a peça que junta tudo

O registro DMARC mora em _dmarc.suaempresa.com.br:

_dmarc   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc@suaempresa.com.br; ruf=mailto:dmarc@suaempresa.com.br; pct=100; adkim=s; aspf=s"

Componentes:

  • p=quarantine — emails sem SPF/DKIM válido vão pro spam (start aqui). Depois p=reject em maturidade
  • rua= — relatório agregado diário (importante pra debug)
  • ruf= — relatórios forensic (cada falha individual). Cuidado, pode lotar inbox
  • pct=100 — aplica em 100% dos emails. Em rollout gradual, começa em pct=10
  • adkim=s aspf=s — strict alignment (DKIM/SPF d= bate exatamente com From)
Recomendação pra começar:

v=DMARC1; p=none; rua=mailto:dmarc@suaempresa.com.br; pct=100

p=none = só monitora, não bloqueia. Roda por 2-4 semanas, lê os reports, valida que está 100% green, daí sobe pra p=quarantinep=reject.

Como testar se está tudo OK

  • Mail-tester.com — manda 1 email pro endereço deles, eles te dão score 0-10 com diagnóstico DKIM/SPF/DMARC/blacklists. Score <8 = problema
  • dig ou nslookup:
dig +short TXT suaempresa.com.br | grep spf1
   dig +short TXT _dmarc.suaempresa.com.br
   dig +short CNAME xxxxxxx._domainkey.suaempresa.com.br
  • Headers de email recebido no Gmail — abre o email, "Mostrar original", procura por:
spf=pass (google.com: domain of noreply@suaempresa.com.br ...)
   dkim=pass header.i=@suaempresa.com.br
   dmarc=pass action=none

Os 3 pass = inbox placement maximizado.

Sub-domínios — quando usar e como

Pra SaaS com clientes que enviam pelo seu domínio, é comum usar subdomínios:

  • notify.suaempresa.com.br — emails transacionais (não comerciais)
  • marketing.suaempresa.com.br — emails comerciais (separado pra não impactar reputação transacional)
  • support.suaempresa.com.br — equipe de atendimento (pode ter SPF separado pro CRM)
Cada um tem seus próprios DKIM + SPF. DMARC pode ser herdado do domínio pai com sp= (subdomain policy).

A pegadinha brasileira — TXT no Registro.br

Se você usa o Registro.br como DNS direto (sem Cloudflare/Route53 no meio), atenção:

  • O painel deles aceita TXT mas com formato específico
  • Aspas duplas precisam ser escapadas
  • Propagação às vezes leva 10-20 min vs <1 min no Cloudflare
Recomendação: usa Cloudflare DNS (gratis) apontando pro Registro.br como registrante. Melhor UX, mais rápido, melhor cache.

Como SimplesMail simplifica isso

Quando você adiciona um domínio no SimplesMail, recebemos:

  • Detecção automática do provedor DNS (Cloudflare, Route53, Registro.br)
  • 3 CNAMEs DKIM prontos pra colar
  • 1 TXT SPF (com include:amazonses.com)
  • 1 CNAME tracking (track.simplesmail.itbooster.com.br pra opens/clicks)
  • Sugestão de DMARC baseada no histórico do domínio
O dashboard fica fazendo polling no DNS a cada 10s e marca verde quando todos os checks passarem. Tempo médio do "Adicionar domínio" ao "Verificado": 2-4 minutos.

Conclusão

DKIM + SPF + DMARC não é opcional — é o que separa email entregue de email no spam em 2026. Configurar uma vez direito te dá inbox placement >95% no Gmail/Outlook por anos.

Quer ver isso funcionando? Sobe seu domínio em simplesmail.itbooster.com.br/signup — free tier 100 emails/dia.