Email

Entregabilidade de Email: Guia SPF, DKIM e DMARC para o Brasil

Diego Santos3 min read
Compartilhar:

Entregabilidade de E-mail no Brasil: Configurando SPF, DKIM e DMARC

Em 2024, o Google e o Yahoo apertaram o cerco: quem não autentica seus e-mails, não entra na caixa de entrada. Em 2026, isso é a lei básica da sobrevivência digital.

Mas no Brasil, temos um desafio extra: os provedores locais (UOL, Terra, Bol, Globo.com) e os filtros corporativos rigorosos. Se você apenas "configura e esquece", sua taxa de abertura vai despencar.

Vamos falar da "Santíssima Trindade" da autenticação de e-mail de forma prática.

A Analogia do Envelope: Como Funciona a Autenticação

Pense no e-mail como um envelope físico enviado pelo correio:

A Santíssima Trindade da Autenticação de Email

🎫🔒👮
🎫

SPF

The ID Badge

Verifica se o servidor que enviou o email está autorizado pelo domínio

DNS: v=spf1 include:...
🔒

DKIM

The Wax Seal

Assinatura criptográfica que garante que o conteúdo não foi alterado

Header: DKIM-Signature
👮

DMARC

Security Guard

Define a política: se SPF/DKIM falharem, rejeitar/quarentena

p=reject; p=quarantine

Como Funcionam Juntos

1. SPF Check
Servidor autorizado?
2. DKIM Check
Conteúdo íntegro?
3. DMARC Policy
Deliver/Quarantine/Reject

1. SPF (Sender Policy Framework) - O Crachá

O SPF é uma lista pública no seu DNS que diz: "Estes IPs estão autorizados a enviar e-mail em nome do meu domínio".

O Erro Comum: Muitas empresas brasileiras usam múltiplos serviços (Salesforce, Zendesk, Mailchimp, Notifica) e estouram o limite de 10 lookups do DNS.

  • Sintoma: Erro "PermError" ou "Too many lookups".
  • Solução: Use "include" com parcimônia ou ferramentas de "SPF Flattening".

2. DKIM (DomainKeys Identified Mail) - O Lacre de Segurança

O DKIM adiciona uma assinatura digital criptografada no cabeçalho do e-mail. Isso garante que a mensagem não foi alterada no meio do caminho.

Dica para o Brasil: Certifique-se de rotacionar suas chaves DKIM (Key Rotation) a cada 6-12 meses. Hackers estão cada vez mais ágeis em comprometer chaves antigas.

3. DMARC (Domain-based Message Authentication, Reporting, and Conformance) - O Chefe

O DMARC usa o SPF e o DKIM para decidir o que fazer com um e-mail suspeito.

As políticas são:

  • p=none: "Só me avise, não faça nada." (Modo monitoramento)
  • p=quarantine: "Jogue na caixa de spam."
  • p=reject: "Rejeite o e-mail na porta." (O objetivo final)

Cenário Real: Uma fintech brasileira estava sofrendo phishing. Clientes recebiam e-mails falsos de "atualização de boleto". Ao implementar DMARC com política p=reject, eles bloquearam 100% dessas tentativas, protegendo a marca e os clientes.

A Peculiaridade Brasileira: Provedores Locais

Enquanto Gmail e Outlook seguem padrões globais rígidos, provedores legados brasileiros (como Terra e UOL) às vezes têm whitelists (listas brancas) próprias ou regras de throttling específicas.

  • Aquecimento de IP (Warm-up): É crucial. Não comece enviando 1 milhão de e-mails no dia 1. Aumente o volume gradativamente para construir reputação.
  • Limpeza de Lista: Brasileiros trocam de e-mail com frequência. Remova hard bounces imediatamente. Tentar enviar para um e-mail inexistente repetidamente é suicídio de reputação.

O Impacto Real na Entrega

Veja como a autenticação afeta sua taxa de chegada na caixa de entrada:

Impacto Real na Entrega (Inbox Placement)

Sem Autenticação45%
45%
SPF Only70%
70%
Full Auth (SPF+DKIM+DMARC)98%
98%
Taxa Ideal
💡

Por que isso importa?

Sem autenticação completa, mais da metade dos seus emails pode acabar no spam ou ser rejeitado. Implementar SPF+DKIM+DMARC pode aumentar sua taxa de entrega em +53% (de 45% para 98%).

Como SPF, DKIM e DMARC Trabalham Juntos

Veja o fluxo técnico de como essas três tecnologias se complementam quando um e-mail é recebido:

Como Funcionam Juntos (Email Recebido)

📧 Email Arrives

1. Check SPF

(DNS Lookup)

✓ Pass

Sender IP authorized

✗ Fail

Unauthorized sender

2. Check DKIM

(Signature Validation)

✓ Pass

Content unchanged

✗ Fail

Signature invalid

3. Check DMARC Policy

(Policy Decision)

If SPF/DKIM Pass: → Proceed to Deliver

If SPF/DKIM Fail: → Apply DMARC policy

• p=none → Deliver (monitor only)

• p=quarantine → Send to Spam

• p=reject → Block completely

Inbox

SPF + DKIM Pass

⚠️

Spam

DMARC Quarantine

Rejected

DMARC Reject

Importante: Todos os três (SPF + DKIM + DMARC) devem estar configurados corretamente para máxima entregabilidade.

Checklist de Implementação

  1. Acesse seu gerenciador de DNS (Cloudflare, Registro.br, Route53).
  2. Verifique se seu registro TXT do SPF inclui todos os seus disparadores.
  3. Gere as chaves CNAME ou TXT para o DKIM no seu provedor de envio.
  4. Configure o DMARC começando em p=none e analise os relatórios (XML) por 2 semanas antes de endurecer a política.

Conclusão

Autenticação não é "coisa de TI". É coisa de Negócio. E-mail não entregue é dinheiro perdido.

Sua infraestrutura de e-mail está segura? A Notifica gerencia automaticamente a reputação dos seus IPs e oferece consultoria para configuração correta de SPF/DKIM/DMARC. Melhore sua entrega hoje.

DS

Diego Santos

Growth Lead @ Notifica

Especialista em infraestrutura de notificações para o mercado brasileiro. Focado em ajudar desenvolvedores a escalar comunicação com clientes.

Posts Relacionados

Compliance

Gestão de Consentimento LGPD: Fluxos e Preference Centers que Funcionam

# Gestão de Consentimento de Notificações no Brasil: Fluxos LGPD-Friendly...

Diego Santos3 min read
Caso de Uso

Arquitetura de Notificações Event-Driven para Fintechs (Guia Técnico)

# Arquitetura de Notificações Orientada a Eventos para Fintechs Brasileiras...

Diego Santos3 min read
WhatsApp

Melhores BSPs WhatsApp Brasil 2026: Comparativo Completo (Twilio, Sinch, Notifica)

# Melhores BSPs de WhatsApp no Brasil (2026): Comparativo de Capacidades e Trade-offs...

Diego Santos3 min read
💡

Gostou deste guia?

Receba novos posts técnicos diretamente no seu email

Enviado via Notifica 🚀