Como Configurar os Registos SPF, DKIM e DMARC

Por que importam os registos de autenticação de email

São enviados mais de 300 mil milhões de emails todos os dias, e estima-se que quase metade sejam spam ou tentativas de phishing. Os atacantes falsificam rotineiramente o endereço de email From para se fazerem passar por empresas ou pessoas legítimas — esta técnica chama-se email spoofing. Sem mecanismos de proteção adequados, qualquer pessoa pode enviar um email que parece vir do seu domínio, podendo enganar os seus clientes, parceiros ou colaboradores. SPF, DKIM e DMARC são três registos DNS inter-relacionados que, em conjunto, formam um sistema de autenticação de email e protegem o seu domínio contra abusos.

Para além da proteção contra spoofing, estes registos afetam diretamente a entrega dos seus emails legítimos. O Gmail, o Outlook e outros grandes fornecedores de email são cada vez mais rigorosos nas verificações de autenticação, por isso é importante ter alojamento de email profissional com uma configuração adequada — desde fevereiro de 2024, o Gmail exige DKIM e DMARC para quem envia mais de 5.000 emails por dia. Sem registos corretamente configurados, os seus emails de negócio podem ir parar à pasta de spam ou ser totalmente rejeitados.

SPF (Sender Policy Framework)

Como funciona o SPF

O SPF é um registo DNS TXT que define quais os servidores autorizados a enviar email em nome do seu domínio. Quando o servidor de email do destinatário recebe uma mensagem do seu domínio, verifica o registo SPF no DNS para determinar se o servidor do remetente está na lista de autorizados. Se o servidor não estiver na lista, o email pode ser sinalizado como suspeito ou rejeitado. O SPF verifica o endereço do remetente do envelope (MAIL FROM), e não o cabeçalho From que o utilizador vê, uma distinção importante para perceber como o SPF funciona com o DMARC.

Criar um registo SPF

O registo SPF é adicionado como um registo TXT no DNS do seu domínio. O formato básico começa com v=spf1, indicando a versão, seguido de mecanismos que definem os remetentes autorizados, e termina com um qualificador que determina o que fazer com remetentes não autorizados. Por exemplo, para um domínio que usa a BeoHosting para email e o Google Workspace para email empresarial, o registo SPF seria assim: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. O mecanismo include importa os registos SPF de outro domínio, e o -all no final significa que todos os outros servidores não estão autorizados e o email deve ser rejeitado.

Erros comuns de SPF

O erro mais comum é exceder o limite de 10 consultas DNS. Cada mecanismo include, a e mx requer uma consulta DNS, e se tiver demasiados, a validação SPF falha automaticamente. A solução é usar os mecanismos ip4 e ip6, que não consomem consultas, ou consolidar os includes. Outro erro comum é usar til em vez de menos no final — o ~all é um soft fail que apenas marca o email como suspeito em vez de o rejeitar, enquanto o -all é um hard fail mais seguro. O terceiro erro é esquecer-se de adicionar todos os serviços que enviam email em seu nome — emails transacionais, plataformas de newsletter, sistemas CRM e ferramentas de helpdesk.

DKIM (DomainKeys Identified Mail)

Como funciona o DKIM

O DKIM usa criptografia de chave pública para assinar os emails enviados. O seu servidor de email adiciona uma assinatura digital no cabeçalho de cada mensagem usando uma chave privada conhecida apenas pelo seu servidor. O servidor do destinatário encontra a chave pública no DNS do seu domínio e usa-a para verificar a assinatura. Se a assinatura corresponder, prova duas coisas: o email foi realmente enviado de um servidor controlado pelo proprietário do domínio, e o conteúdo do email não foi alterado em trânsito. Ao contrário do SPF, que apenas verifica o endereço IP do remetente, o DKIM confirma a integridade da própria mensagem.

Gerar chaves DKIM

As chaves DKIM são geradas como um par de chave privada e chave pública. A chave privada é instalada no servidor de email e usada para assinar mensagens. A chave pública é publicada como um registo DNS TXT num subdomínio específico, no formato selector._domainkey.seudominio.com. O selector é uma cadeia de caracteres arbitrária que identifica a chave, por exemplo default ou google. O comprimento mínimo de chave recomendado é 2048 bits — chaves mais curtas, de 1024 bits, são consideradas inseguras. A maioria dos fornecedores de alojamento e serviços de email gera automaticamente as chaves DKIM e dá-lhe apenas o registo DNS para adicionar.

Configurar o DKIM

Para configurar o DKIM na BeoHosting, aceda ao cPanel e encontre a secção de autenticação de email, onde o DKIM normalmente já está ativado. Para o Google Workspace, vá à Admin Console, depois Apps, Gmail, Authenticate Email, e gere a chave DKIM. O Google dá-lhe um registo TXT para adicionar ao DNS. Para o Microsoft 365, o processo é semelhante — no Exchange Admin Center ativa o DKIM para cada domínio e adiciona dois registos CNAME ao DNS. Depois de adicionar os registos DNS, aguarde até 48 horas pela propagação do DNS, embora 1 a 2 horas sejam normalmente suficientes.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Como funciona o DMARC

O DMARC liga o SPF e o DKIM num sistema unificado e define o que o servidor do destinatário deve fazer com um email que falhe na autenticação. O DMARC introduz o conceito de alignment — verifica se o domínio do cabeçalho From (que o utilizador vê) corresponde ao domínio que passou na verificação SPF ou DKIM. Isto é fundamental, porque o SPF e o DKIM, por si só, não protegem o cabeçalho From que os utilizadores realmente veem. O DMARC introduz também um sistema de relatórios que lhe envia relatórios diários sobre quem envia email a partir do seu domínio e se passam na autenticação.

Criar um registo DMARC

O registo DMARC é adicionado como um registo TXT no subdomínio _dmarc.seudominio.com. O registo básico tem este aspeto: v=DMARC1; p=none; rua=mailto:dmarc@seudominio.com. A etiqueta v indica a versão, p define a política (none, quarantine ou reject), e rua é o endereço de email para receber relatórios agregados. Recomendamos uma abordagem gradual: comece com p=none para apenas acompanhar quem envia email a partir do seu domínio sem bloquear; depois de analisar os relatórios, passe para p=quarantine para que os emails suspeitos vão para o spam; e, por fim, ative p=reject para rejeitar completamente os emails não autorizados.

Políticas DMARC

A política none é um modo de monitorização que não afeta a entrega de email, mas envia-lhe relatórios. Use-a nas primeiras 2 a 4 semanas para identificar todos os serviços legítimos que enviam email a partir do seu domínio e adicioná-los à configuração SPF e DKIM. A política quarantine instrui o servidor do destinatário a colocar os emails suspeitos na pasta de spam — este é um bom passo intermédio que protege os destinatários mas não bloqueia totalmente os emails em caso de erros de configuração. A política reject é a mais rigorosa e rejeita totalmente os emails que não passam na autenticação — ative-a apenas quando tiver a certeza de que todas as fontes legítimas estão corretamente configuradas.

Analisar os relatórios DMARC

Os relatórios agregados DMARC chegam em formato XML e contêm informação sobre os endereços IP que enviam email a partir do seu domínio, se passaram nas verificações SPF e DKIM, e a percentagem de emails que passam na autenticação. Os relatórios XML em bruto são difíceis de ler, por isso recomendamos usar ferramentas gratuitas como o DMARC Analyzer, o dmarcian ou a ferramenta DMARC da Postmark, que visualizam os dados e simplificam a análise. A análise regular dos relatórios revela o uso não autorizado do seu domínio e ajuda a otimizar a configuração.

Testar a configuração

Ferramentas de teste online

Depois de configurar os registos, certifique-se de que testa a configuração. O MXToolbox é uma ferramenta abrangente que verifica os registos SPF, DKIM e DMARC e apresenta resultados detalhados com explicações dos erros. O Mail-tester.com avalia a configuração geral do email numa escala de 1 a 10 — envie um email de teste para um endereço gerado e receberá um relatório detalhado. O Google Postmaster Tools mostra como o Gmail vê os seus emails e identifica problemas de autenticação. Especificamente para o DKIM, use a ferramenta DKIMCore para verificar os registos DNS ou envie um email para check-auth@verifier.port25.com para uma verificação automática.

Verificação por linha de comandos

Para utilizadores técnicos, os registos DNS podem ser verificados diretamente a partir de um terminal. O comando dig TXT seudominio.com verifica o registo SPF. Para o DKIM, use dig TXT selector._domainkey.seudominio.com, onde selector é o seu selector DKIM. Para o DMARC, use dig TXT _dmarc.seudominio.com. No Windows, use nslookup com o tipo TXT. Estes comandos mostram os valores DNS reais e ajudam a identificar problemas de propagação ou de formatação dos registos.

Resolução de problemas comuns

• O email vai para o spam: Verifique se o SPF, o DKIM e o DMARC passam todos — use a análise dos cabeçalhos no email recebido para ver os resultados da autenticação.
• SPF PermError: Demasiadas consultas DNS — consolide os mecanismos include ou use diretamente endereços IP.
• DKIM fail: Verifique se a chave pública está corretamente publicada no DNS e se o selector no DNS corresponde ao selector que o servidor de email usa.
• DMARC alignment fail: O domínio From não corresponde ao domínio da verificação SPF ou DKIM — comum com serviços de email de terceiros.
• Newsletter devolvida: Adicione o seu serviço de newsletter (Mailchimp, SendinBlue) ao registo SPF e ative a assinatura DKIM através do respetivo painel.
• Emails transacionais rejeitados: As plataformas SaaS que enviam email em seu nome têm de estar incluídas no SPF e ter assinatura DKIM.

Conclusão

Configurar corretamente os registos SPF, DKIM e DMARC é hoje obrigatório para qualquer domínio que envie emails. Estes registos protegem a sua marca contra spoofing, melhoram a entrega dos emails legítimos e dão-lhe visibilidade sobre quem está a enviar email a partir do seu domínio. Comece pelo SPF, adicione o DKIM e depois ative o DMARC em modo de monitorização, apertando gradualmente a política. Na BeoHosting configuramos automaticamente o SPF e o DKIM para todas as contas de alojamento e fornecemos suporte técnico para a configuração do DMARC, com o objetivo de que os seus emails cheguem sempre à caixa de entrada e não à pasta de spam.