Qual a ordem correta de implementacao: SPF, DKIM ou DMARC?

A ordem recomendada e: 1) SPF primeiro - mais simples, lista servidores autorizados; 2) DKIM segundo - assinatura criptografica das mensagens; 3) DMARC por ultimo - politica que usa SPF e DKIM para decidir o que fazer com emails que falham. DMARC sem SPF/DKIM nao funciona.

DMARC pode bloquear emails legitimos?

Sim, se mal configurado. Por isso comece com politica p=none (apenas monitoramento) por 2-4 semanas. Analise os relatorios para identificar fontes legitimas nao autorizadas (marketing, CRM, terceiros). So mude para p=quarantine ou p=reject apos garantir que tudo legitimo esta alinhado.

Preciso de DMARC se ja tenho SPF e DKIM?

Sim. SPF e DKIM sozinhos nao dizem ao servidor receptor o que fazer quando a verificacao falha. DMARC define a politica (rejeitar, quarentena, nada) e fornece relatorios de quem esta tentando usar seu dominio. Sem DMARC, atacantes ainda podem fazer spoofing do seu dominio.

DMARC, DKIM e SPF: Guia Completo de Autenticacao de Email

O Problema do Email Spoofing

O protocolo de email (SMTP) foi criado em 1982, quando a internet era confiavel e pequena. Nao havia verificacao de identidade - qualquer servidor podia enviar email alegando ser de qualquer dominio. Atacantes exploram isso para phishing, BEC (Business Email Compromise) e fraudes.

91%

dos ataques ciberneticos comecam com email (Verizon DBIR)

SPF, DKIM e DMARC sao os tres pilares da autenticacao de email. Juntos, permitem que servidores receptores verifiquem se um email realmente veio de quem diz ter vindo, e o que fazer quando a verificacao falha.

Os tres pilares

SPF: Lista quais servidores podem enviar email pelo seu dominio
DKIM: Assina digitalmente cada email para provar autenticidade
DMARC: Define politica do que fazer quando SPF/DKIM falham

SPF - Sender Policy Framework

SPF e um registro DNS TXT que lista os servidores autorizados a enviar email em nome do seu dominio. Quando um servidor recebe email de "@seudominio.com", ele consulta o SPF para verificar se o IP de origem esta autorizado.

Como funciona

Servidor de email envia mensagem de @seudominio.com
Servidor receptor consulta DNS TXT de seudominio.com
Verifica se IP do remetente esta na lista SPF
Se nao estiver, marca como SPF fail

Sintaxe do registro SPF

Exemplo de registro SPF:

v=spf1 ip4:192.168.1.0/24 include:_spf.google.com include:sendgrid.net -all

v=spf1: Versao do SPF (sempre spf1)
ip4: IPs autorizados diretamente
include: Inclui SPF de outro dominio (provedores de email)
a: Autoriza IPs do registro A do dominio
mx: Autoriza IPs dos servidores MX
-all: Rejeitar tudo que nao esta listado (hard fail)
~all: Soft fail (marcar mas nao rejeitar)

Limite de lookups DNS

SPF tem limite de 10 lookups DNS. Cada "include" conta como lookup. Se exceder, SPF falha silenciosamente. Use ferramentas de flatten SPF se necessario ou consolide provedores.

DKIM - DomainKeys Identified Mail

DKIM adiciona uma assinatura criptografica a cada email enviado. O servidor receptor usa a chave publica publicada no DNS para verificar que o email nao foi alterado em transito e realmente veio do dominio alegado.

Como funciona

Servidor de envio assina headers e corpo do email com chave privada
Assinatura e adicionada ao header "DKIM-Signature"
Servidor receptor busca chave publica no DNS
Verifica assinatura - se valida, DKIM pass

Registro DKIM no DNS

Registro DKIM (TXT em selector._domainkey.seudominio.com):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61LIQlOHS8f5sWsCK5b+HMOfo0M+aNHwfqlVdzi/IwmYnuDKuXYuCllrgnxZ4fG4yVaux58v9grVsFHdzdjPlAQfp5rkiETYpCMZwgsmdseJ95RNJpG5JJKqvNgN...

v=DKIM1: Versao do DKIM
k=rsa: Algoritmo (RSA e padrao)
p=: Chave publica em base64
selector: Identificador da chave (permite rotacao)

Header DKIM em um email

Exemplo de header DKIM-Signature:

DKIM-Signature: v=1; a=rsa-sha256; d=seudominio.com; s=selector1;
    c=relaxed/relaxed; q=dns/txt; h=from:to:subject:date;
    bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
    b=AuUoFEfDxTDkHlLXSZEpZj79LICEps6eda7W3deTVFOk4yAUoqOB...

DMARC - Domain-based Message Authentication

DMARC e a politica que une SPF e DKIM. Define o que servidores receptores devem fazer quando a autenticacao falha e configura relatorios para visibilidade do que esta acontecendo com seu dominio.

Alinhamento DMARC

DMARC exige "alinhamento" - o dominio no header "From:" deve corresponder ao dominio validado por SPF ou DKIM:

SPF alignment: Dominio do envelope (MAIL FROM) = dominio do From:
DKIM alignment: Dominio assinado (d=) = dominio do From:

Registro DMARC

Registro DMARC (TXT em _dmarc.seudominio.com):

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s

v=DMARC1: Versao
p=: Politica (none, quarantine, reject)
rua=: Email para relatorios agregados (diarios)
ruf=: Email para relatorios forenses (por falha)
pct=: Percentual de emails para aplicar politica
adkim=: Alinhamento DKIM (s=strict, r=relaxed)
aspf=: Alinhamento SPF (s=strict, r=relaxed)

Politicas DMARC

Niveis de politica

p=none: Apenas monitoramento, nao afeta entrega. Use inicialmente.
p=quarantine: Emails que falham vao para spam/quarentena.
p=reject: Emails que falham sao rejeitados. Maximo nivel de protecao.

Implementacao Passo a Passo

Fase 1: Inventario de fontes de email

Antes de configurar, liste todas as fontes que enviam email pelo seu dominio:

Servidor de email corporativo (Exchange, Google Workspace)
Plataformas de marketing (Mailchimp, HubSpot, RD Station)
CRM e sistemas de vendas (Salesforce, Pipedrive)
Sistemas de suporte (Zendesk, Freshdesk)
Aplicacoes que enviam email (notificacoes, alertas)
Terceiros (parceiros que enviam em seu nome)

Fase 2: Configurar SPF

Exemplo SPF completo:

v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com ip4:203.0.113.5 -all

Adicione cada provedor via "include" e IPs proprios via "ip4/ip6".

Fase 3: Configurar DKIM

Cada provedor de email tem processo proprio para gerar chaves DKIM:

Google Workspace: Admin Console > Apps > Gmail > Authenticate email
Microsoft 365: Defender > Email & collaboration > Policies > DKIM
Provedores de marketing: Configuracoes de dominio no painel

Fase 4: Configurar DMARC em modo monitoramento

DMARC inicial (monitoramento):

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

Mantenha p=none por 2-4 semanas enquanto analisa relatorios.

Fase 5: Analisar relatorios e ajustar

Use servicos como DMARC Analyzer, Valimail ou dmarcian para processar relatorios XML. Identifique:

Fontes legitimas que estao falhando (adicione ao SPF/configure DKIM)
Fontes desconhecidas que podem ser spoofing
Taxa de alinhamento SPF e DKIM

Fase 6: Escalar para reject

Progressao recomendada:

# Semana 1-4: Monitoramento
v=DMARC1; p=none; rua=mailto:[email protected]

# Semana 5-8: Quarentena parcial
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]

# Semana 9-12: Quarentena total
v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]

# Producao: Rejeicao
v=DMARC1; p=reject; rua=mailto:[email protected]

Ferramentas de Verificacao

Ferramentas gratuitas para teste

MXToolbox: mxtoolbox.com - Verifica SPF, DKIM, DMARC
DMARC Analyzer: dmarcanalyzer.com - Relatorios DMARC
Mail-Tester: mail-tester.com - Teste completo de email
Google Admin Toolbox: Verificacao de registros DNS
DKIM Validator: dkimvalidator.com - Teste de assinatura

BIMI e MTA-STS

BIMI - Brand Indicators for Message Identification

BIMI permite exibir seu logo ao lado de emails autenticados em clientes de email compatíveis (Gmail, Yahoo). Requer DMARC em p=quarantine ou p=reject.

Registro BIMI:

v=BIMI1; l=https://seudominio.com/logo.svg; a=https://seudominio.com/vmc.pem

MTA-STS - Mail Transfer Agent Strict Transport Security

MTA-STS forca conexoes TLS entre servidores de email, prevenindo ataques de downgrade. Requer arquivo de politica em https://mta-sts.seudominio.com/.well-known/mta-sts.txt

Perguntas Frequentes

Por que meus emails estao indo para spam mesmo com SPF/DKIM?

SPF/DKIM/DMARC sao apenas parte da equacao. Reputacao do IP, conteudo do email, engajamento dos destinatarios e praticas de envio tambem afetam entregabilidade. Verifique se seu IP nao esta em blacklists e siga boas praticas de email marketing.

Preciso de DMARC se uso apenas Gmail/Office 365?

Sim. Google e Microsoft configuram SPF e DKIM automaticamente, mas DMARC voce precisa configurar. Sem DMARC, atacantes ainda podem fazer spoofing do seu dominio mesmo que seus emails legitimos estejam autenticados.

Como lidar com encaminhamento de emails que quebra SPF?

Encaminhamento quebra SPF porque o IP muda. DKIM sobrevive ao encaminhamento se o conteudo nao for alterado. Por isso DMARC aceita se SPF OU DKIM passar. Configure DKIM corretamente e o encaminhamento funcionara via alinhamento DKIM.

Conclusao

Implementar SPF, DKIM e DMARC nao e opcional em 2026 - e requisito basico de seguranca de email. Sem esses controles, seu dominio pode ser usado por atacantes para phishing contra seus clientes, parceiros e funcionarios.

A implementacao deve ser gradual: comece com SPF, adicione DKIM, configure DMARC em monitoramento, analise relatorios por algumas semanas, e so entao escale para politica de rejeicao. Pressa causa bloqueio de emails legitimos.

Alem da seguranca, DMARC melhora entregabilidade. Provedores como Gmail e Microsoft favorecem dominios com autenticacao completa. E com BIMI, voce ainda ganha visibilidade de marca nos clientes de email.

Precisa de Ajuda com Email Security?

Oferecemos assessment de autenticacao de email, configuracao de SPF/DKIM/DMARC e monitoramento de dominios.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Email Security e Protecao contra Phishing.