arrobaMail
Tutorial · Intermediário

Configurar SPF, DKIM e DMARC passo a passo

Guia prático para autenticar seu domínio de envio na arrobaMail: o que cada registro faz, como publicá-los no seu DNS, como verificá-los e como reforçar o DMARC.

Por Equipo editorial de arrobaMailPublicado 14 de junho de 202620 min8 passos

Autenticar seu domínio é o que diz ao Gmail, ao Outlook e ao Yahoo que os e-mails enviados "em seu nome" são realmente seus. Desde 2024, as grandes caixas de e-mail exigem isso de quem envia em volume: sem SPF, DKIM e DMARC, seu alcance é reduzido. Isso não garante a caixa de entrada — nada garante —, mas é a base sem a qual o resto nem é avaliado a seu favor.

Parece técnico, mas são três registros de texto que se publicam uma única vez. E se você não administra o DNS do seu domínio, sem problemas: mostramos o que é e quais valores repassar ao seu provedor de hospedagem para que ele faça isso por você. Este guia percorre os três registros, a verificação e o reforço posterior.

Está começando agora? Verifique primeiro seu remetente — são 5 minutos e com isso já dá para enviar: Verificar seu remetente em 5 minutos. Este guia é o passo seguinte: autenticar o domínio para levar sua entregabilidade ao máximo. É a parte mais técnica, mas você faz uma única vez (ou repassa para seu provedor).

Antes de começar

  • Um domínio próprio (ex.: seudominio.com), não uma caixa de e-mail gratuita.
  • Acesso ao painel DNS do seu domínio (onde você o registrou ou seu provedor de hospedagem).
  • Os valores de SPF e DKIM que a arrobaMail indica para sua conta.

Os 8 passos

  1. 1

    Entenda o que cada registro faz

    SPF autoriza servidores; DKIM assina a mensagem; DMARC define a regra e reporta.

  2. 2

    Verifique sua caixa de remetente

    Você certifica o e-mail de onde vai enviar dentro da arrobaMail.

  3. 3

    Entre no painel DNS do seu domínio

    É onde você vai publicar os registros; costuma estar no seu registrador ou hospedagem.

  4. 4

    Publique o registro SPF

    Um TXT que declara quais servidores podem enviar em seu nome.

  5. 5

    Publique o registro DKIM

    Um TXT (ou CNAME) com a chave pública que assina seus envios.

  6. 6

    Publique o registro DMARC em modo monitoramento

    Você começa com p=none para observar sem bloquear nada.

  7. 7

    Verifique a propagação

    Você confirma que os três registros foram publicados e resolvidos corretamente.

  8. 8

    Leia os relatórios e reforce a política

    Com dados em mãos, você sobe o DMARC para quarantine e depois reject.

1. Entenda o que cada registro faz

Antes de mexer em qualquer coisa, vale entender o papel de cada um — assim, se algo falhar, você sabe onde olhar:

  • SPF (Sender Policy Framework). É uma lista pública de "quem está autorizado a enviar e-mails usando meu domínio". Se chega um e-mail de um servidor que não está na lista, ele é suspeito.
  • DKIM (DomainKeys Identified Mail). É uma assinatura digital em cada e-mail. Garante duas coisas: que a mensagem saiu de um emissor autorizado e que ninguém a alterou no caminho.
  • DMARC. É a regra que une os dois anteriores: diz à caixa de e-mail o que fazer se um correio não passar no SPF nem no DKIM (deixar passar, mandar para spam ou rejeitar) e, além disso, te envia relatórios de quem está enviando em seu nome.

A forma simples de lembrar: SPF autoriza, DKIM assina, DMARC define a regra e te avisa.

2. Verifique sua caixa de remetente

Dentro da arrobaMail, certifique primeiro o e-mail de onde você vai enviar (a "verificação de remetente"). É um passo rápido — um código ou link de confirmação enviado a essa caixa — e é independente do DNS, mas é o ponto de partida: a arrobaMail vai te mostrar, junto a essa caixa, os valores exatos de SPF e DKIM que você precisa publicar para sua conta. Anote-os ou deixe essa tela aberta; você vai usá-los nos próximos passos.

3. Entre no painel DNS do seu domínio

Os registros são publicados no DNS do seu domínio, não dentro da arrobaMail. O DNS costuma ser administrado onde você comprou o domínio (seu registrador) ou no seu provedor de hospedagem/Cloudflare. Procure uma seção chamada "DNS", "Zona DNS" ou "Registros DNS".

Dica · O que é o DNS?

Pense no DNS como o guia do seu domínio

O DNS é onde ficam anotados uns registros que dizem à internet como tratar seu domínio e seu email. É administrado onde você comprou o domínio ou no seu provedor de hospedagem — não dentro do arrobaMail.

Não é você quem administra ou não sabe como entrar? Não precisa fazer isso sozinho: copie os valores que o arrobaMail te dá e peça a alteração ao seu provedor de hospedagem ou a quem administra seu domínio. Para eles é uma tarefa de dois minutos.

Ali você vai conseguir adicionar registros do tipo TXT e CNAME. Se nunca mexeu nisso, não se assuste: adicionar um registro é como somar uma linha a uma tabela. Só não apague registros existentes que você não entende.

Dica: as mudanças no DNS não são instantâneas. Costumam se propagar em minutos, mas podem levar até várias horas. Paciência: se acabou de publicar, espere antes de considerar que algo deu errado.

4. Publique o registro SPF

O SPF é um registro TXT na raiz do seu domínio. A arrobaMail indica o valor exato; ele tem uma forma parecida com esta:

v=spf1 include:_spf.arrobamail.com ~all

Pontos-chave:

  • Um único registro SPF por domínio. Se você já tem um (por exemplo, do Google Workspace), não crie outro: adicione o include da arrobaMail dentro do que já existe. Ter dois registros SPF invalida os dois.
  • O final importa. ~all (softfail) é o mais comum enquanto você garante que está tudo certo. Nunca use +all: ele autoriza qualquer um a enviar em seu nome.
  • Se quiser entender cada parte, detalhamos tudo em SPF em detalhe.

5. Publique o registro DKIM

O DKIM é a chave pública que permite verificar a assinatura dos seus envios. A arrobaMail te dá o valor e o seletor (a "etiqueta" do registro; na arrobaMail costuma ser fm). Dependendo do caso, você publica como um TXT em fm._domainkey.seudominio.com ou como um CNAME, conforme a plataforma indicar.

Copie o valor exatamente como está, sem adicionar nem remover espaços ou quebras de linha: a chave é longa e um caractere a mais já quebra tudo. Se seu painel DNS quebrar os valores longos em várias linhas, não se preocupe — é só visual —, o que importa é colar o conteúdo exato.

Mais detalhes e solução de problemas em DKIM em detalhe.

6. Publique o registro DMARC em modo monitoramento

O DMARC é um TXT em _dmarc.seudominio.com. Para começar, publique-o em modo monitoramento (p=none): ele observa e reporta sem bloquear nada, assim você não arrisca cortar envios legítimos enquanto verifica se o SPF e o DKIM estão funcionando. Um valor inicial típico:

v=DMARC1; p=none; rua=mailto:[email protected]
  • p=none → não bloqueia; só reporta.
  • rua=mailto: → a caixa onde você vai receber os relatórios agregados (crie-a se ainda não existir).

Deixe em p=none por pelo menos uma ou duas semanas para juntar dados antes de reforçar a política. Aprofundamos isso em DMARC em detalhe.

7. Verifique a propagação

Com os três publicados, confirme que ficaram corretos. A forma mais rápida é rodar o diagnóstico de reputação de domínio: ele mostra o status de SPF, DKIM e DMARC em segundos, sem pedir seus dados, e sinaliza em amarelo ou vermelho o que falta ajustar.

Se algo ainda não aparecer, dê tempo à propagação e confira de novo. Erros comuns nesse ponto: dois registros SPF convivendo, o valor DKIM com um espaço a mais, ou o DMARC publicado no host errado (precisa ser _dmarc).

8. Leia os relatórios e reforce a política

Depois de alguns dias em p=none, você vai começar a receber os relatórios DMARC. Eles mostram quais servidores enviam em seu nome e se passam ou não na autenticação. Quando perceber que seus envios legítimos (arrobaMail e qualquer outra ferramenta que use) passam corretamente, você pode reforçar a política em dois passos:

  1. Passe para p=quarantine: os e-mails que não autenticam vão para spam em vez de entrar.
  2. Quando tiver certeza, suba para p=reject: eles são rejeitados diretamente. É o nível que mais protege seu domínio contra fraude de identidade.

Não pule direto para reject sem passar pelo monitoramento: se algum serviço legítimo seu não estava bem configurado, você o cortaria sem nem saber.

Erros comuns para evitar

  • Dois registros SPF. É o erro mais comum e silencioso: invalida a autenticação. Unifique tudo em um só.
  • Usar +all no SPF. Equivale a não ter SPF; autoriza qualquer um.
  • Colar o código DKIM com um espaço a mais ou cortado em duas partes. É um texto longo: copie e cole exatamente como a arrobaMail fornece, sem adicionar espaços nem dividi-lo em várias linhas. Um único caractere alterado invalida tudo.
  • Ir direto para p=reject. Sem monitoramento prévio, você pode cortar seus próprios envios.
  • Desesperar-se com a propagação. Espere algumas horas antes de declarar que algo falhou.

Próximos passos

Com o domínio autenticado, suas campanhas partem da melhor base possível. Agora:

  1. Crie e envie sua primeira campanha com a tranquilidade de estar bem posicionado.
  2. Se quiser entender o panorama completo da entregabilidade (reputação, aquecimento, Health Score), passe pela seção de entregabilidade.

Dúvidas com algum registro específico? Rode o diagnóstico gratuito e veja o que ele aponta.

Comece com o arrobaMail
em menos de 5 minutos.

Plano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.

Testar grátis agora
WhatsAppA equipe responde