Entregabilidade de Email: Guia SPF, DKIM e DMARC para o Brasil

Diego Santos•4 de fevereiro de 2026•4 min read

Entregabilidade de E-mail no Brasil: Configurando SPF, DKIM e DMARC

Em 2024, o Google e o Yahoo apertaram o cerco: quem não autentica seus e-mails, não entra na caixa de entrada. Em 2026, isso é a lei básica da sobrevivência digital.

Mas no Brasil, temos um desafio extra: os provedores locais (UOL, Terra, Bol, Globo.com) e os filtros corporativos rigorosos. Se você apenas "configura e esquece", sua taxa de abertura vai despencar.

Vamos falar da "Santíssima Trindade" da autenticação de e-mail de forma prática.

A Analogia do Envelope: Como Funciona a Autenticação

Pense no e-mail como um envelope físico enviado pelo correio:

A Santíssima Trindade da Autenticação de Email

🎫

SPF

The ID Badge

Verifica se o servidor que enviou o email está autorizado pelo domínio

DNS: v=spf1 include:...

🔒

DKIM

The Wax Seal

Assinatura criptográfica que garante que o conteúdo não foi alterado

Header: DKIM-Signature

👮

DMARC

Security Guard

Define a política: se SPF/DKIM falharem, rejeitar/quarentena

p=reject; p=quarantine

Como Funcionam Juntos

1. SPF Check

Servidor autorizado?

2. DKIM Check

Conteúdo íntegro?

3. DMARC Policy

Deliver/Quarantine/Reject

1. SPF (Sender Policy Framework) - O Crachá

O SPF é uma lista pública no seu DNS que diz: "Estes IPs estão autorizados a enviar e-mail em nome do meu domínio".

O Erro Comum: Muitas empresas brasileiras usam múltiplos serviços (Salesforce, Zendesk, Mailchimp, Notifica) e estouram o limite de 10 lookups do DNS.

Sintoma: Erro "PermError" ou "Too many lookups".
Solução: Use "include" com parcimônia ou ferramentas de "SPF Flattening".

2. DKIM (DomainKeys Identified Mail) - O Lacre de Segurança

O DKIM adiciona uma assinatura digital criptografada no cabeçalho do e-mail. Isso garante que a mensagem não foi alterada no meio do caminho.

Dica para o Brasil: Certifique-se de rotacionar suas chaves DKIM (Key Rotation) a cada 6-12 meses. Hackers estão cada vez mais ágeis em comprometer chaves antigas.

3. DMARC (Domain-based Message Authentication, Reporting, and Conformance) - O Chefe

O DMARC usa o SPF e o DKIM para decidir o que fazer com um e-mail suspeito.

As políticas são:

p=none: "Só me avise, não faça nada." (Modo monitoramento)
p=quarantine: "Jogue na caixa de spam."
p=reject: "Rejeite o e-mail na porta." (O objetivo final)

Cenário Real: Uma fintech brasileira estava sofrendo phishing. Clientes recebiam e-mails falsos de "atualização de boleto". Ao implementar DMARC com política p=reject, eles bloquearam 100% dessas tentativas, protegendo a marca e os clientes.

A Peculiaridade Brasileira: Provedores Locais

Enquanto Gmail e Outlook seguem padrões globais rígidos, provedores legados brasileiros (como Terra e UOL) às vezes têm whitelists (listas brancas) próprias ou regras de throttling específicas.

Aquecimento de IP (Warm-up): É crucial. Não comece enviando 1 milhão de e-mails no dia 1. Aumente o volume gradativamente para construir reputação.
Limpeza de Lista: Brasileiros trocam de e-mail com frequência. Remova hard bounces imediatamente. Tentar enviar para um e-mail inexistente repetidamente é suicídio de reputação.

O Impacto Real na Entrega

Veja como a autenticação afeta sua taxa de chegada na caixa de entrada:

Impacto Real na Entrega (Inbox Placement)

Sem Autenticação45%

45%

SPF Only70%

70%

Full Auth (SPF+DKIM+DMARC)98%

98%

✓

Taxa Ideal

💡

Por que isso importa?

Sem autenticação completa, mais da metade dos seus emails pode acabar no spam ou ser rejeitado. Implementar SPF+DKIM+DMARC pode aumentar sua taxa de entrega em +53% (de 45% para 98%).

Como SPF, DKIM e DMARC Trabalham Juntos

Veja o fluxo técnico de como essas três tecnologias se complementam quando um e-mail é recebido:

Como Funcionam Juntos (Email Recebido)

📧 Email Arrives

1. Check SPF

(DNS Lookup)

✓ Pass

Sender IP authorized

✗ Fail

Unauthorized sender

2. Check DKIM

(Signature Validation)

✓ Pass

Content unchanged

✗ Fail

Signature invalid

3. Check DMARC Policy

(Policy Decision)

If SPF/DKIM Pass: → Proceed to Deliver

If SPF/DKIM Fail: → Apply DMARC policy

• p=none → Deliver (monitor only)

• p=quarantine → Send to Spam

• p=reject → Block completely

✅

Inbox

SPF + DKIM Pass

⚠️

Spam

DMARC Quarantine

❌

Rejected

DMARC Reject

Importante: Todos os três (SPF + DKIM + DMARC) devem estar configurados corretamente para máxima entregabilidade.

Modelos de Email na Notifica

A Notifica oferece flexibilidade na configuração de email:

Opção 1: SMTP Relay da Notifica

Use nosso relay SMTP (smtp.usenotifica.com.br:587/2525):

✅ Rápido para começar
✅ Gerenciamos a infraestrutura base
⚠️ Reputação de IP compartilhada (monitoremos, mas não garantimos exclusividade)

Opção 2: BYOS (Bring Your Own SMTP)

Conecte seu próprio servidor SMTP (SendGrid, AWS SES, Mailgun, etc.):

✅ Controle total sobre reputação de IP
✅ Relação comercial direta com seu provider de email
✅ Ideal para altos volumes ou necessidades específicas

Checklist de Implementação

Acesse seu gerenciador de DNS (Cloudflare, Registro.br, Route53).
Verifique se seu registro TXT do SPF inclui todos os seus disparadores.
Gere as chaves CNAME ou TXT para o DKIM no seu provedor de envio.
Configure o DMARC começando em p=none e analise os relatórios (XML) por 2 semanas antes de endurecer a política.
Se usar a Notifica, adicione nosso include no SPF: include:smtp.usenotifica.com.br (ou use BYOS)

Conclusão

Autenticação não é "coisa de TI". É coisa de Negócio. E-mail não entregue é dinheiro perdido.

Escolha o modelo que faz sentido para seu volume e necessidades: use nosso relay para simplicidade inicial ou BYOS para controle total.

Sua infraestrutura de e-mail está segura? A Notifica oferece flexibilidade de SMTP relay próprio ou integração com seu provider, além de consultoria para configuração correta de SPF/DKIM/DMARC. Melhore sua entrega hoje.