O Que e Autenticacao de Email?

Autenticacao de email e um conjunto de protocolos que permitem ao servidor receptor verificar se um email realmente vem do dominio que ele afirma ser. Sem autenticacao, qualquer um pode enviar emails se passando pelo seu dominio - isso e chamado de spoofing e e a base de fraudes como BEC (Business Email Compromise) e phishing.

Tres protocolos trabalham em conjunto para autenticar emails:

SPF (Sender Policy Framework)

SPF e um registro DNS TXT que lista quais servidores estao autorizados a enviar email em nome do seu dominio. Exemplo:

v=spf1 include:_spf.google.com include:mail.zendesk.com ip4:203.0.113.10 ~all

Mecanismos comuns:

  • v=spf1 - Versao do SPF (sempre 1)
  • include: - Inclui regras de outro dominio (Google Workspace, Microsoft 365, etc.)
  • ip4: / ip6: - IPs autorizados
  • a / mx - Autoriza os IPs dos registros A ou MX
  • ~all - Soft fail (recomenda quarentena para nao listados)
  • -all - Hard fail (rejeita emails nao autorizados - mais seguro)
  • +all - Permite tudo (NUNCA use - pior pratica)
Limite de 10 lookups

SPF tem um limite rigido de 10 DNS lookups. Cada include, a, mx, exists, redirect conta. Exceder esse limite causa falha de validacao (permerror). E uma das causas mais comuns de problemas de entregabilidade.

DKIM (DomainKeys Identified Mail)

DKIM adiciona uma assinatura criptografica ao cabecalho do email. O servidor receptor consulta a chave publica no DNS e valida a assinatura, garantindo:

  • Integridade - O conteudo nao foi alterado em transito
  • Autenticidade - A mensagem realmente partiu do dominio declarado

O DKIM usa seletores para identificar qual chave usar. O registro DNS fica em seletor._domainkey.dominio.com. Exemplo:

google._domainkey.empresa.com.br = "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSI..."

Boas praticas DKIM:

  • Use chaves de pelo menos 2048 bits (1024 bits e considerado fraco)
  • Faca rotacao periodica das chaves (ao menos anual)
  • Use seletores diferentes por servico (ex: google, marketing, transactional)

DMARC (Domain-based Message Authentication)

DMARC e a politica que diz aos servidores receptores o que fazer quando emails falham SPF e/ou DKIM. Tambem fornece relatorios agregados sobre tentativas de autenticacao - essenciais para identificar abusos.

O registro DMARC fica em _dmarc.dominio.com. Exemplo:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; sp=reject

Politicas (tag p=):

  • p=none - Apenas monitora, nao toma acao (usar inicialmente para coletar dados)
  • p=quarantine - Envia para spam/quarentena
  • p=reject - Rejeita o email (recomendado apos validacao)
Caminho recomendado

Comece com p=none + rua para receber relatorios. Analise por 30-60 dias, identifique e corrija fontes legitimas. Avance para p=quarantine com pct=10, depois aumente gradualmente. Por fim, va para p=reject; pct=100.

BIMI (Brand Indicators for Message Identification)

BIMI permite que o logo da sua empresa apareca ao lado dos emails autenticados em clientes como Gmail e Yahoo. Requer DMARC com politica p=quarantine ou p=reject e um certificado VMC (Verified Mark Certificate). E um benefício adicional para marcas que ja tem autenticacao bem implementada.

Por Que Configurar SPF, DKIM e DMARC?

  • Previne spoofing - Atacantes nao conseguem se passar pelo seu dominio
  • Protege reputacao - Evita que clientes recebam phishing em seu nome
  • Melhora entregabilidade - Provedores como Gmail confiam mais em dominios autenticados
  • Requisito Gmail/Yahoo (2024+) - Para envio em massa, esses provedores agora exigem SPF + DKIM + DMARC
  • Compliance - LGPD, ISO 27001 e PCI DSS valorizam protecao de comunicacoes

Para entender o contexto completo de seguranca de email e ataques relacionados, conheca nosso glossario de acronimos de TI e SI.

Perguntas Frequentes

O que e SPF?

SPF (Sender Policy Framework) e um registro DNS TXT que lista quais servidores estao autorizados a enviar email em nome do seu dominio. Quando um servidor receptor recebe um email, consulta o SPF do dominio remetente para verificar se o servidor de origem esta autorizado.

O que e DKIM?

DKIM e uma assinatura criptografica adicionada ao cabecalho do email. O servidor receptor valida usando uma chave publica publicada no DNS, garantindo integridade e autenticidade da mensagem.

O que e DMARC?

DMARC e uma politica que define o que fazer quando emails falham SPF/DKIM. As politicas sao: none (monitora), quarantine (envia para spam) ou reject (rejeita). DMARC tambem fornece relatorios de autenticacao.

Por que preciso de SPF, DKIM e DMARC?

Os tres juntos previnem spoofing/phishing usando seu dominio, protegem a reputacao da marca, melhoram entregabilidade e sao requeridos por Gmail e Yahoo desde 2024 para envio em massa.

Esta ferramenta consulta DNS real?

Sim. Usamos DNS over HTTPS (DoH) do Cloudflare para consultar os registros DNS publicos do dominio diretamente do seu navegador. Nenhum dado e enviado para nossos servidores.

Outras Ferramentas Gratuitas

Calculadora CVSS

Avalie a severidade de vulnerabilidades com a metodologia oficial do FIRST.org. Suporta CVSS 3.1 e 4.0.

Gerador de Senhas

Crie senhas fortes ou frases-senha (passphrases) com criptografia segura. 100% local.

Sua empresa precisa de ajuda com SPF/DKIM/DMARC?

Implementamos autenticacao de email completa: configuracao, monitoramento de relatorios DMARC e proteção contra phishing.

Solicitar Proposta