Ter mais de um registro SPF
Se você publicar dois TXT com v=spf1, os destinatários descartam ambos como inválidos.
Como consertar: Unifique em um único registro com todos os includes necessários.
Sender Policy Framework
Sender Policy Framework é o registro DNS que informa aos servidores destinatários quais IPs e servidores têm permissão para enviar e-mails usando seu domínio no remetente. Sem um SPF bem configurado, suas campanhas acabam na caixa de spam ou são rejeitadas.
SPF (Sender Policy Framework) é um padrão aberto definido na RFC 7208. Funciona como uma lista de permissões: você publica no DNS do seu domínio quais servidores estão autorizados a enviar e-mail em seu nome.
Quando o Gmail, o Outlook ou qualquer servidor destinatário recebe um e-mail com remetente "@seudominio.com", ele consulta o registro SPF do domínio. Se o IP do servidor que enviou estiver na lista, o e-mail passa na verificação SPF. Caso contrário, é tratado como suspeito.
Sem SPF, qualquer pessoa pode falsificar seu remetente (spoofing). Com SPF mal configurado, seus e-mails legítimos caem no spam.
Exemplo real
v=spf1 include:_spf.arrobamail.com ~all
v=spf1Versão
Indica que se trata de um registro SPF versão 1. Obrigatório no início.
include:_spf.arrobamail.comMecanismo include
Importa os servidores autorizados da arrobaMail. Você pode ter vários includes (um por provedor que envia em seu nome).
~allPolítica
~all = softfail (marcar como suspeito). -all = hardfail (rejeitar). ?all = neutro. Comece com ~all e passe para -all quando tiver certeza.
Etapas em ordem. Pular uma costuma gerar problemas que levam dias para diagnosticar.
Liste cada ferramenta que envia e-mail usando seu domínio: plataforma de marketing (arrobaMail), Google Workspace, Microsoft 365, CRM, sistema de tickets, transacionais, etc.
Dica: Se você esquecer um deles, os e-mails desse serviço falharão no SPF.
Cada plataforma publica seu próprio include. O da arrobaMail é include:_spf.arrobamail.com. O do Google é include:_spf.google.com. O do Outlook é include:spf.protection.outlook.com.
Seu domínio deve ter apenas um registro SPF (não vários). Combine todos os includes em uma única linha: v=spf1 include:_spf.arrobamail.com include:_spf.google.com ~all.
Dica: Ter dois registros SPF é um erro muito comum que invalida a autenticação.
No seu provedor de DNS (Cloudflare, GoDaddy, Route53, etc.) crie um registro TXT com Name = @ (ou seu domínio raiz) e Value = a string SPF que você montou.
A propagação pode levar de minutos a 24 horas. Use as ferramentas de verificação do próximo passo para confirmar que está ativo e sem erros.
Se você publicar dois TXT com v=spf1, os destinatários descartam ambos como inválidos.
Como consertar: Unifique em um único registro com todos os includes necessários.
O SPF tem um limite rígido de 10 lookups (cada include conta como um ou mais). Ultrapassar esse limite causa um permerror.
Como consertar: Audite seus includes e remova provedores que você não usa mais. Se ainda estiver acima de 10, use flattening manual ou ferramentas de SPF flattener.
Um registro sem ~all ou -all fica implicitamente como ?all (neutro) e deixa a porta aberta para spoofing.
Como consertar: Sempre feche com ~all (modo seguro inicial) e passe para -all quando confirmar que todos os seus envios estão passando.
Se você for direto para -all com includes incompletos, seus e-mails legítimos serão rejeitados sem chance de revisão.
Como consertar: Comece com ~all, monitore os relatórios de DMARC por algumas semanas e só depois passe para -all.
Três formas de verificar — pelo terminal ou por ferramentas online. Se todas retornarem OK, está pronto.
Terminal Linux/Mac
dig TXT tudominio.com +short
Retorna a string SPF, se estiver publicada.
Windows PowerShell
Resolve-DnsName -Type TXT tudominio.com
Lista os registros TXT, incluindo o SPF.
Online
mxtoolbox.com/spf.aspx
Análise completa com detecção de erros e avisos.
Como a arrobaMail faz isso
Na arrobaMail, ajudamos na configuração do SPF passo a passo direto do painel: fornecemos o include exato, validamos a sintaxe do registro que você quer publicar e monitoramos a verificação assim que estiver ativo.
Não. Cada domínio pode ter apenas um registro SPF (um único TXT com v=spf1). Ter dois invalida a autenticação. O que você pode ter são múltiplos includes dentro desse único registro.
Não automaticamente. Cada subdomínio pode ter seu próprio SPF. Se você não tiver um, o comportamento herdado depende do destinatário — alguns consideram o SPF do domínio raiz, outros tratam como se não houvesse política. O mais seguro é publicar SPF também nos subdomínios a partir dos quais você envia.
Depende do TTL do seu DNS. Na maioria dos provedores, fica entre 5 minutos e 4 horas. Em casos extremos, até 24-48 horas. A Cloudflare costuma propagar em menos de 5 minutos.
Se você tiver ~all, os destinatários marcam como suspeito (pode cair no spam). Se tiver -all, rejeitam diretamente. Por isso é fundamental listar todos os serviços legítimos antes de subir para -all.
Não. Eles são complementares. O SPF autentica o servidor de envio. O DKIM autentica o conteúdo da mensagem com assinatura criptográfica. O DMARC combina os dois e aplica uma política. O ideal é ter os três configurados.
DomainKeys Identified Mail
Firma criptográfica que prueba autenticidad e integridad del mensaje.
Ler guiaDomain-based Message Authentication
Política y reportes sobre lo que pasa cuando SPF o DKIM fallan.
Ler guiaCalentamiento de dominio e IP
Aumento gradual del volumen para construir reputación buena.
Ler guiaPlano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.