Voltar para todos os tutoriais
Segurança 03 de junho de 2026

Como resolver problemas de entregabilidade e rejeição de e-mails corporativos (SPF, DKIM, DMARC)

Guia completo passo a passo para configurar registros SPF, DKIM e DMARC no DNS do seu domínio e garantir que seus e-mails cheguem à caixa de entrada.

Como resolver problemas de entregabilidade e rejeição de e-mails corporativos (SPF, DKIM, DMARC)

Você envia um orçamento importante para um cliente ou uma proposta comercial urgente e, horas depois, descobre que o e-mail nunca chegou. Ao verificar, o cliente encontra a mensagem perdida na pasta de spam. Pior ainda: você recebe de volta uma mensagem de erro do servidor de destino informando que o seu e-mail foi sumariamente bloqueado ou rejeitado devido a falhas de autenticação de segurança.

Problemas de entregabilidade de e-mails corporativos são fontes frequentes de prejuízos e interrupções comerciais em pequenas e médias empresas. Hoje, grandes provedores como Gmail, Outlook, Yahoo e servidores corporativos de alta segurança aplicam filtros extremamente rígidos. Mensagens enviadas de domínios que não possuem protocolos básicos de autenticação configurados são automaticamente classificadas como spam ou rejeitadas na origem para evitar golpes de phishing e falsidade ideológica (spoofing).

Resolver esse problema exige a configuração correta de três registros cruciais na tabela de DNS do seu domínio: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance). Neste tutorial, explicamos o papel de cada protocolo e fornecemos o passo a passo completo para configurá-los.

O que são SPF, DKIM e DMARC?

Para que seus e-mails parem de cair no spam ou de serem rejeitados, é preciso entender como o servidor de destino valida a sua mensagem. Os três protocolos funcionam como camadas complementares de identificação:

+-------------------------------------------------------+
|                 E-MAIL ENVIADO                        |
+-------------------------------------------------------+
                           |
                           v
+-------------------------------------------------------+
|  1. SPF: O servidor que enviou é autorizado?          |
|     (Compara o IP com a lista de IPs permitidos)      |
+-------------------------------------------------------+
                           |
                           v
+-------------------------------------------------------+
|  2. DKIM: A mensagem é autêntica e não foi alterada?  |
|     (Valida a assinatura criptográfica da mensagem)   |
+-------------------------------------------------------+
                           |
                           v
+-------------------------------------------------------+
|  3. DMARC: O que fazer se SPF ou DKIM falharem?      |
|     (Aplica a política: monitorar, spam ou rejeitar)   |
+-------------------------------------------------------+

1. SPF (Sender Policy Framework)

O SPF é um registro do tipo TXT inserido no DNS do seu domínio que lista explicitamente quais servidores e IPs têm autorização para enviar e-mails em nome da sua empresa.

Quando o destinatário recebe um e-mail vindo de [email protected], ele verifica o IP do servidor que enviou a mensagem. Se esse IP não estiver na lista do seu registro SPF, o e-mail é marcado como suspeito ou descartado.

2. DKIM (DomainKeys Identified Mail)

O DKIM adiciona uma assinatura criptográfica invisível ao cabeçalho de todos os e-mails enviados pelo seu servidor.

Essa assinatura é gerada usando uma chave privada armazenada de forma segura no servidor de e-mail. O servidor de destino lê essa assinatura e a decodifica usando a chave pública correspondente, que fica publicada na tabela de DNS do seu domínio. Se as chaves coincidirem, o destinatário tem a garantia matemática de que o e-mail realmente partiu do seu domínio e que o conteúdo não foi alterado ou interceptado durante o trânsito.

3. DMARC (Domain-based Message Authentication, Reporting, and Conformance)

O DMARC é o protocolo definitivo de governança de e-mail. Ele determina ao servidor de destino o que fazer caso um e-mail que afirma ser do seu domínio falhe nas validações do SPF ou do DKIM.

Ele funciona através de três políticas básicas:

  • none (apenas monitorar): Permite a entrega do e-mail normalmente, mas envia relatórios de falha para a sua equipe analisar se há golpistas tentando se passar pela sua empresa.
  • quarantine (quarentena/spam): Direciona os e-mails que falharam na autenticação diretamente para a pasta de Spam do destinatário.
  • reject (rejeitar): Bloqueia sumariamente a entrega do e-mail, devolvendo um erro ao remetente. Esta é a política ideal para domínios maduros e protegidos.

Passo a Passo para Configurar SPF, DKIM e DMARC

Para aplicar essas correções, você precisará de acesso ao painel de gerenciamento de DNS do seu domínio (geralmente hospedado no Registro.br, Cloudflare, cPanel, GoDaddy ou diretamente no painel do seu provedor de e-mail).

Passo 1: Configurando o Registro SPF

Procure na sua zona de DNS se já existe algum registro do tipo TXT contendo a tag v=spf1.

[!WARNING] Você nunca deve ter mais de um registro SPF em um único domínio. Ter múltiplos registros SPF inválida a validação de segurança perante os provedores de e-mail, fazendo com que todos os e-mails caiam no spam. Se você tiver mais de um provedor que envia mensagens, junte-os em um único registro.

Exemplo de Registro SPF Correto:

Crie um novo registro TXT (ou edite o existente):

  • Nome/Host: @ (ou deixe em branco/nome do domínio)
  • Tipo: TXT
  • Valor: v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:200.100.50.25 ~all

Entendendo o valor acima:

  • v=spf1: Define a versão do protocolo.
  • include:_spf.google.com: Autoriza o Google Workspace a enviar e-mails pelo seu domínio.
  • include:servers.mcsv.net: Autoriza o Mailchimp a enviar e-mails de marketing pelo seu domínio.
  • ip4:200.100.50.25: Autoriza o IP fixo do servidor local da sua empresa.
  • ~all (SoftFail): Indica que se o e-mail vier de outro IP não listado, ele deve ser aceito mas marcado como suspeito. Para maior segurança, utilize -all (Fail) após garantir que listou todos os servidores válidos.

Passo 2: Configurando o Registro DKIM

Diferente do SPF, as chaves de DKIM são geradas pelo seu próprio servidor ou provedor de e-mail (Google Workspace, Microsoft 365, Zimbra, Carbonio, cPanel).

  1. Acesse o painel de administração do seu provedor de e-mail (ex: Console do Google Workspace ou Admin do Office 365).
  2. Procure pelas configurações de segurança ou “Autenticação de e-mail (DKIM)”.
  3. Clique em Gerar novo registro. O sistema fornecerá um nome de host (chamado de seletor, ex: google._domainkey ou selector1._domainkey) e um longo valor de texto contendo a chave pública.
  4. Vá ao seu painel de DNS e insira o novo registro:
    • Nome/Host: google._domainkey
    • Tipo: TXT
    • Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... (insira a chave gerada pelo painel de e-mail)
  5. Volte ao painel de administração do e-mail e clique em Iniciar autenticação.

Passo 3: Configurando o Registro DMARC

Uma vez que o SPF e o DKIM estejam devidamente configurados e propagados pelo DNS, você deve criar a política DMARC para fiscalizar e proteger seu domínio.

Crie um novo registro de DNS:

  • Nome/Host: _dmarc (ou _dmarc.seu-dominio.com.br)
  • Tipo: TXT
  • Valor: v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]

Entendendo os parâmetros do DMARC:

  • v=DMARC1: Define a versão do protocolo.
  • p=quarantine: Determina a política. Use none no início para monitorar. Após validar que todos os e-mails legítimos estão chegando corretamente, altere para quarantine e, finalmente, para reject para bloquear golpes.
  • pct=100: Aplica a política a 100% dos e-mails suspeitos.
  • rua=mailto:...: Define o endereço de e-mail que receberá relatórios XML diários de conformidade. (Crie uma caixa postal dedicada para isso ou use serviços de processamento de relatórios, pois o volume de e-mails diários pode ser alto).

Como Diagnosticar e Testar a Entregabilidade

Após salvar as configurações no seu provedor de DNS, os registros podem levar algumas horas para propagar pela internet. Para testar se as configurações estão corretas e se há algum problema oculto de entregabilidade, utilize ferramentas gratuitas e profissionais:

  1. Mail-tester (mail-tester.com): Envie um e-mail de teste para o endereço gerado temporariamente no site. Ele fornecerá uma nota de 0 a 10 para o seu e-mail, apontando exatamente se o SPF, DKIM e DMARC passaram no teste e se o seu IP está em alguma lista negra (blacklist).
  2. MXToolbox (mxtoolbox.com): Permite analisar registros de DNS de forma detalhada e verificar a presença do seu domínio em centenas de blacklists globais.
  3. Google Admin Toolbox (Check MX): Ferramenta do Google que analisa a saúde do seu domínio e aponta se há erros ou registros de e-mail mal configurados.

Erros Comuns na Configuração de Registros de E-mail

  • Possuir múltiplos registros SPF: Conforme citado, criar mais de um registro do tipo TXT contendo v=spf1. Isso faz com que os servidores de destino ignorem as regras e classifiquem todas as suas mensagens como spam.
  • Erros de digitação nas chaves DKIM: As chaves DKIM são strings longas de caracteres. Erros de cópia e cola ou esquecer de incluir as aspas exigidas em alguns painéis de DNS quebram a assinatura digital, invalidando as mensagens.
  • Ativar a política p=reject do DMARC imediatamente: Configurar o DMARC no modo mais rígido (reject) sem antes validar se todos os serviços que enviam e-mails em nome da sua empresa (ERP local, sistemas de e-commerce, disparadores de marketing) possuem SPF ou DKIM configurados. Isso fará com que os e-mails legítimos enviados por esses sistemas sejam sumariamente deletados no destino.
  • Esquecer de atualizar o SPF ao trocar de provedor ou sistema: Adotar um novo sistema de notas fiscais ou migrar de provedor e esquecer de adicionar a nova regra ao registro SPF existente, gerando rejeições automáticas nos clientes.

Checklist de Saúde do E-mail Corporativo

Verifique se a entregabilidade das comunicações da sua empresa está em conformidade técnica:

  • Existe apenas um registro SPF configurado na tabela DNS do seu domínio?
  • O registro SPF inclui todos os IPs físicos de servidores internos e serviços em nuvem (Mailchimp, RD Station, ActiveCampaign, etc.) autorizados?
  • O DKIM está ativo e a assinatura criptográfica está presente no cabeçalho das mensagens enviadas?
  • Há um registro _dmarc do tipo TXT publicado no DNS do domínio?
  • A política do DMARC foi testada progressivamente (none -> quarantine -> reject)?
  • Foi definida uma caixa postal dedicada para receber e tratar relatórios de DMARC?
  • O domínio da empresa foi validado em ferramentas como Mail-tester e obteve nota acima de 9/10?
  • O IP de envio do servidor de e-mail foi verificado e está livre de listagens em blacklists globais?

Como a WL Tech pode ajudar a blindar seu e-mail corporativo

A WL Tech possui ampla experiência no projeto, implantação e manutenção preventiva de servidores de e-mail corporativos e infraestruturas de DNS de alto desempenho (usando plataformas locais como Zimbra, Carbonio ou serviços em nuvem como Google Workspace e Microsoft 365).

Nossa equipe técnica realiza a auditoria completa de segurança dos domínios da sua empresa, identifica pontos de vazamento ou falhas de configuração em SPF, DKIM e DMARC, além de reverter bloqueios em blacklists e ajustar o roteamento de tráfego de dados para garantir que suas mensagens cruciais cheguem de forma segura à caixa de entrada do seu cliente final. Cuidamos de toda a infraestrutura invisível para que você possa focar no crescimento das suas vendas e parcerias comerciais.

Seus e-mails corporativos estão sendo rejeitados ou caindo na pasta de spam? A WL Tech realiza a auditoria e correção completa das configurações de SPF, DKIM e DMARC do seu domínio. Solicite um diagnóstico gratuito ou fale com um especialista pelo WhatsApp.

Tags: e-mail corporativo SPF DKIM DMARC DNS entregabilidade
Voltar para todos os tutoriais

Atendimento WL Tech

Online • Resposta imediata