arrobaMail
Entregabilidade · Autenticação

SPFo porteiro do seu domínio

Sender Policy Framework

Sender Policy Framework é o registro DNS que informa aos servidores destinatários quais IPs e servidores têm permissão para enviar e-mails usando seu domínio no remetente. Sem um SPF bem configurado, suas campanhas acabam na caixa de spam ou são rejeitadas.

arrobaMail · EntregabilidadeSPF
Conceito

O que é SPF e por que ele existe?

SPF (Sender Policy Framework) é um padrão aberto definido na RFC 7208. Funciona como uma lista de permissões: você publica no DNS do seu domínio quais servidores estão autorizados a enviar e-mail em seu nome.

Quando o Gmail, o Outlook ou qualquer servidor destinatário recebe um e-mail com remetente "@seudominio.com", ele consulta o registro SPF do domínio. Se o IP do servidor que enviou estiver na lista, o e-mail passa na verificação SPF. Caso contrário, é tratado como suspeito.

Sem SPF, qualquer pessoa pode falsificar seu remetente (spoofing). Com SPF mal configurado, seus e-mails legítimos caem no spam.

Anatomia

Anatomia de um registro SPF

Exemplo real

v=spf1 include:_spf.arrobamail.com ~all
v=spf1

Versão

Indica que se trata de um registro SPF versão 1. Obrigatório no início.

include:_spf.arrobamail.com

Mecanismo include

Importa os servidores autorizados da arrobaMail. Você pode ter vários includes (um por provedor que envia em seu nome).

~all

Política

~all = softfail (marcar como suspeito). -all = hardfail (rejeitar). ?all = neutro. Comece com ~all e passe para -all quando tiver certeza.

Passo a passo

Como configurar corretamente

Etapas em ordem. Pular uma costuma gerar problemas que levam dias para diagnosticar.

  1. 01

    Identifique todos os serviços que enviam em seu nome

    Liste cada ferramenta que envia e-mail usando seu domínio: plataforma de marketing (arrobaMail), Google Workspace, Microsoft 365, CRM, sistema de tickets, transacionais, etc.

    Dica: Se você esquecer um deles, os e-mails desse serviço falharão no SPF.

  2. 02

    Reúna os includes de cada provedor

    Cada plataforma publica seu próprio include. O da arrobaMail é include:_spf.arrobamail.com. O do Google é include:_spf.google.com. O do Outlook é include:spf.protection.outlook.com.

  3. 03

    Monte um único registro TXT

    Seu domínio deve ter apenas um registro SPF (não vários). Combine todos os includes em uma única linha: v=spf1 include:_spf.arrobamail.com include:_spf.google.com ~all.

    Dica: Ter dois registros SPF é um erro muito comum que invalida a autenticação.

  4. 04

    Publique o TXT no seu DNS

    No seu provedor de DNS (Cloudflare, GoDaddy, Route53, etc.) crie um registro TXT com Name = @ (ou seu domínio raiz) e Value = a string SPF que você montou.

  5. 05

    Verifique a propagação e a sintaxe

    A propagação pode levar de minutos a 24 horas. Use as ferramentas de verificação do próximo passo para confirmar que está ativo e sem erros.

Erros comuns

O que quebra com frequência (e como consertar)

Ter mais de um registro SPF

Se você publicar dois TXT com v=spf1, os destinatários descartam ambos como inválidos.

Como consertar: Unifique em um único registro com todos os includes necessários.

Ultrapassar o limite de 10 DNS lookups

O SPF tem um limite rígido de 10 lookups (cada include conta como um ou mais). Ultrapassar esse limite causa um permerror.

Como consertar: Audite seus includes e remova provedores que você não usa mais. Se ainda estiver acima de 10, use flattening manual ou ferramentas de SPF flattener.

Esquecer o all final

Um registro sem ~all ou -all fica implicitamente como ?all (neutro) e deixa a porta aberta para spoofing.

Como consertar: Sempre feche com ~all (modo seguro inicial) e passe para -all quando confirmar que todos os seus envios estão passando.

Usar -all antes da hora

Se você for direto para -all com includes incompletos, seus e-mails legítimos serão rejeitados sem chance de revisão.

Como consertar: Comece com ~all, monitore os relatórios de DMARC por algumas semanas e só depois passe para -all.

Verificação

Como confirmar que ficou certo

Três formas de verificar — pelo terminal ou por ferramentas online. Se todas retornarem OK, está pronto.

01

Terminal Linux/Mac

dig TXT tudominio.com +short

Retorna a string SPF, se estiver publicada.

02

Windows PowerShell

Resolve-DnsName -Type TXT tudominio.com

Lista os registros TXT, incluindo o SPF.

03

Online

mxtoolbox.com/spf.aspx

Análise completa com detecção de erros e avisos.

Como a arrobaMail faz isso

Na arrobaMail, ajudamos na configuração do SPF passo a passo direto do painel: fornecemos o include exato, validamos a sintaxe do registro que você quer publicar e monitoramos a verificação assim que estiver ativo.

Perguntas frequentes

O que mais se pergunta sobre SPF

Não. Cada domínio pode ter apenas um registro SPF (um único TXT com v=spf1). Ter dois invalida a autenticação. O que você pode ter são múltiplos includes dentro desse único registro.

Não automaticamente. Cada subdomínio pode ter seu próprio SPF. Se você não tiver um, o comportamento herdado depende do destinatário — alguns consideram o SPF do domínio raiz, outros tratam como se não houvesse política. O mais seguro é publicar SPF também nos subdomínios a partir dos quais você envia.

Depende do TTL do seu DNS. Na maioria dos provedores, fica entre 5 minutos e 4 horas. Em casos extremos, até 24-48 horas. A Cloudflare costuma propagar em menos de 5 minutos.

Se você tiver ~all, os destinatários marcam como suspeito (pode cair no spam). Se tiver -all, rejeitam diretamente. Por isso é fundamental listar todos os serviços legítimos antes de subir para -all.

Não. Eles são complementares. O SPF autentica o servidor de envio. O DKIM autentica o conteúdo da mensagem com assinatura criptográfica. O DMARC combina os dois e aplica uma política. O ideal é ter os três configurados.

Comece com o arrobaMail
em menos de 5 minutos.

Plano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.

Testar grátis agora
WhatsAppA equipe responde