SPF DKIM DMARC são os três protocolos essenciais de autenticação de e-mail que protegem seu domínio. Se você já teve um e-mail profissional marcado como spam — ou pior, nunca chegou ao destinatário — provavelmente o problema está na ausência desses três protocolos: SPF, DKIM e DMARC.

Esses três registros DNS trabalham em conjunto para provar que você é realmente quem diz ser ao enviar mensagens, protegendo sua reputação de envio e garantindo que seus e-mails cheguem à caixa de entrada.

Neste guia completo, você vai entender o que é cada protocolo, como funciona na prática, e passo a passo como configurar SPF, DKIM e DMARC no seu domínio para ter um e-mail profissional confiável e seguro.

O Que É SPF e Por Que Ele É Indispensável

SPF significa Sender Policy Framework — ou Estrutura de Política de Remetente, em português. Em termos simples, é um registro DNS do tipo TXT que lista quais servidores de e-mail estão autorizados a enviar mensagens em nome do seu domínio.

Imagine que alguém está tentando enviar e-mails se passando por você — usando seu domínio (@seusite.com.br) sem permissão. Quando o servidor de destino recebe esse e-mail, ele consulta o registro SPF do seu domínio. Se o servidor remetente não estiver na lista autorizada, o e-mail é marcado como suspeito ou rejeitado.

Um registro SPF básico para quem usa a hospedagem da Way Cloud tem este formato:

v=spf1 include:spf.waycloud.com.br ~all

O parâmetro ~all indica que servidores não listados devem ser tratados com suspeita (soft fail), enquanto -all significa rejeição definitiva (hard fail). Para a maioria dos casos, o ~all é a opção recomendada no início, pois permite monitoramento sem bloquear e-mails legítimos que possam ter sido esquecidos na configuração.

O Que É DKIM e Como Funciona a Assinatura Digital

DKIM significa DomainKeys Identified Mail — e funciona como uma assinatura digital nos seus e-mails. Quando você envia uma mensagem, o servidor de e-mail adiciona uma assinatura criptografada ao cabeçalho, baseada em uma chave privada conhecida apenas pelo seu servidor.

O servidor de destino então consulta o registro DNS do seu domínio para encontrar a chave pública correspondente e verificar se a assinatura é válida. Se a mensagem foi alterada durante o transporte — por qualquer motivo — a assinatura não vai bater e o e-mail será tratado com desconfiança.

Na prática, o DKIM protege contra dois problemas sérios: falsificação de identidade (alguém enviando e-mails como se fosse você) e adulteração de mensagens em trânsito. Um registro DKIM no DNS parece algo assim:

default._domainkey.seudominio.com.br  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

A chave pública (o valor após p=) é gerada automaticamente pelo seu servidor de e-mail e deve ser copiada para o DNS do seu domínio. Na hospedagem da Way Cloud, essa chave já é gerada automaticamente via cPanel — basta copiá-la para a zona DNS.

O Que É DMARC e Como Ele Une SPF e DKIM

DMARC significa Domain-based Message Authentication, Reporting and Conformance. Enquanto o SPF verifica de onde veio o e-mail e o DKIM verifica se o conteúdo é autêntico, o DMARC define o que deve acontecer quando um e-mail falha nessas verificações — e ainda te envia relatórios sobre isso.

Com o DMARC, você instrui os servidores de destino a:

• Monitorar (policy=none): apenas coletar dados sem bloquear nada — ideal para começar
• Colocar em quarentena (policy=quarantine): mover e-mails suspeitos para a pasta de spam
• Rejeitar (policy=reject): bloquear totalmente e-mails não autenticados

Um registro DMARC básico tem este formato no DNS:

_dmarc.seudominio.com.br  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]"

O campo rua é o endereço que receberá relatórios agregados diários sobre tentativas de envio no seu domínio — uma ferramenta valiosa para detectar abusos e ajustar sua configuração.

Por Que Esses Três Protocolos Trabalham Juntos

Uma analogia útil: pense no SPF como a lista de convidados de uma festa (só entra quem está na lista) e no DKIM como o crachá de identificação (que confirma que a pessoa é quem diz ser).

O DMARC seria o segurança na porta — responsável por decidir o que fazer com quem não tem crachá ou não está na lista.

Sem os três configurados corretamente, seu e-mail fica vulnerável a:

• Phishing em seu nome: criminosos enviando e-mails fraudulentos usando seu domínio
• Spam involuntário: seus e-mails legítimos sendo marcados como spam
• Blacklisting: seu domínio sendo incluído em listas negras de e-mail
• Perda de negócios: propostas comerciais, faturas e comunicações nunca chegando ao destino

Segundo dados da Verizon DBIR, mais de 90% dos ataques de phishing exploram domínios sem DMARC configurado. Configurar os três protocolos não é apenas boa prática — é essencial para qualquer empresa que use e-mail profissional.

Passo a Passo: Como Configurar SPF DKIM DMARC no Seu Domínio

Se você usa a hospedagem da Way Cloud com cPanel, o processo é simplificado. Veja o passo a passo:

1. Acessar a Zona DNS do seu domínio
No cPanel, vá em Domínios > Editor de Zona DNS e selecione o domínio que deseja configurar.

2. Adicionar o registro SPF
Clique em “Adicionar Registro”, selecione o tipo TXT, defina o nome como @ ou deixe em branco (representa o domínio raiz), e no campo de valor insira:

v=spf1 include:spf.waycloud.com.br ~all

3. Obter e adicionar o registro DKIM
No cPanel, acesse E-mail > Autenticação de E-mail. Você verá a chave DKIM gerada automaticamente. Copie o valor completo da chave pública e adicione-o como registro TXT no DNS com o nome default._domainkey.

4. Adicionar o registro DMARC
Adicione um novo registro TXT com o nome _dmarc e o valor:

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

Comece com p=none para monitorar por algumas semanas antes de migrar para p=quarantine ou p=reject.

5. Validar as configurações
Use ferramentas gratuitas como MXToolbox ou dmarcian para verificar se os registros foram propagados corretamente. A propagação de DNS pode levar até 48 horas, mas geralmente ocorre em menos de 1 hora.

Perguntas Frequentes sobre SPF, DKIM e DMARC

Preciso configurar os três protocolos?
Sim. SPF e DKIM são verificados individualmente, mas o DMARC só funciona bem quando os dois estão presentes. Configurar apenas um ou dois deles deixa brechas na autenticação.

Meus e-mails vão parar de cair no spam depois de configurar?

A configuração correta de SPF, DKIM e DMARC é um dos fatores mais importantes para a entregabilidade, mas não é o único. Reputação do IP, qualidade do conteúdo e histórico de envios também influenciam. Com os três configurados, você elimina a principal causa técnica de e-mails caindo no spam.

Posso ter múltiplos registros SPF no mesmo domínio?
Não. Ter dois registros SPF para o mesmo domínio invalida os dois. Se você usa mais de um serviço de envio (por exemplo, o servidor de hospedagem e também uma ferramenta de e-mail marketing), inclua todos na mesma linha, separados por include:.

Qual a diferença entre DKIM e assinatura S/MIME?
O DKIM é uma assinatura no nível do servidor, transparente ao usuário. O S/MIME é uma assinatura criptográfica no nível do cliente, que requer certificado instalado no programa de e-mail. Para autenticação de domínio, o DKIM é o padrão recomendado.

Conclusão: Proteja Seu Domínio Agora Mesmo

Configurar SPF, DKIM e DMARC é uma das medidas mais impactantes e acessíveis que você pode tomar para garantir que seus e-mails profissionais sejam entregues corretamente e que seu domínio não seja usado indevidamente por terceiros. O processo leva menos de 30 minutos com uma boa hospedagem e um painel intuitivo.

Na Way Cloud, todos os planos de hospedagem incluem suporte completo a e-mail profissional com cPanel, geração automática de chave DKIM e configuração facilitada de zona DNS. Se você ainda não tem um e-mail profissional com o seu domínio, conheça nossos planos de hospedagem e dê o primeiro passo para uma comunicação mais confiável e segura.