Live Direct Marketing
InícioBlogEntregabilidade

SPF, DKIM e DMARC explicados sem jargão técnico

12 de julho de 2026 · 10 min de leitura · Guia: Entregabilidade

Se um vendedor te disser que configurou SPF mas não sabe o que é DKIM, ele resolveu um terço do problema. Provedores como Gmail e Microsoft 365 usam os três registros juntos para decidir se um email é legítimo ou se deve ir direto para spam, e falhar em qualquer um deles derruba a taxa de entrega de uma campanha de outreach B2B inteira. Este guia explica o que cada sigla faz, em português direto, sem precisar de um técnico de TI para traduzir.

Resumo
  • SPF é uma lista de servidores autorizados a enviar email pelo seu domínio, publicada como registro TXT no DNS
  • DKIM é uma assinatura criptográfica que prova que o conteúdo do email não foi alterado no caminho
  • DMARC diz ao provedor de destino o que fazer quando SPF ou DKIM falham, e te avisa quando isso acontece
  • Os três juntos formam a base técnica de deliverability — nenhum sozinho resolve o problema
  • Para outreach B2B direcionado, esses registros protegem tanto a reputação do domínio quanto a credibilidade do email junto ao decisor

Por que isso importa para quem faz outreach B2B

Cold email para decisores específicos não é disparo em massa para uma lista de assinantes. É um volume pequeno e planejado de mensagens personalizadas para pessoas certas em empresas certas. Mas do ponto de vista técnico do Gmail ou do Outlook, todo email que chega de um domínio desconhecido passa pelo mesmo crivo de autenticação, não importa se são 20 mensagens por dia ou 20 mil.

Um vendedor da área de logística, por exemplo, pode escrever o melhor email personalizado do mundo para o diretor de compras de uma transportadora e mesmo assim ver a mensagem cair em spam simplesmente porque o domínio da empresa nunca configurou SPF, DKIM ou DMARC. O conteúdo é irrelevante se a infraestrutura técnica falha antes.

É por isso que qualquer estratégia de prospecção por email séria começa pela configuração desses três registros, antes mesmo de pensar em copy, cadência ou personalização.

SPF: quem tem permissão para enviar pelo seu domínio

SPF significa Sender Policy Framework. Na prática, é um registro do tipo TXT publicado no DNS do seu domínio que lista quais servidores têm autorização para enviar emails em nome dele. Quando um servidor de destino recebe uma mensagem, ele consulta esse registro e confere se o servidor de origem está na lista autorizada.

Se a empresa usa Google Workspace para enviar email, o registro SPF precisa incluir o servidor do Google. Se além disso usa uma ferramenta de outreach ou um serviço de automação de vendas para disparar os follow-ups, o servidor dessa ferramenta também precisa estar autorizado — senão o SPF falha para esses emails.

Um erro comum é ter mais de um registro SPF publicado no mesmo domínio. O padrão exige um único registro TXT com todos os servidores autorizados combinados; dois registros separados quebram a validação e o provedor de destino simplesmente ignora o SPF, tratando como se não existisse.

Exemplo

Um registro SPF típico se parece com isto: v=spf1 include:_spf.google.com include:sendgrid.net ~all — ele diz que os servidores do Google e do SendGrid podem enviar pelo domínio, e que outros devem passar por verificação branda (~all).

DKIM: a assinatura que prova que a mensagem não foi adulterada

DKIM significa DomainKeys Identified Mail. Diferente do SPF, que verifica o servidor de origem, o DKIM verifica o conteúdo da mensagem. Funciona assim: o servidor de envio gera uma assinatura criptográfica baseada no corpo e em cabeçalhos específicos do email, usando uma chave privada, e insere essa assinatura no cabeçalho da mensagem.

O servidor de destino busca a chave pública correspondente, publicada também como registro DNS (normalmente um TXT em um subdomínio do tipo seletor._domainkey.seudominio.com.br), e usa essa chave para conferir se a assinatura bate com o conteúdo recebido. Se bater, o email não foi alterado no meio do caminho. Se não bater, algo mudou — e isso é sinal de possível falsificação.

Cada provedor de envio (Google Workspace, Microsoft 365, ferramentas de outreach) gera sua própria chave DKIM e fornece o registro exato para você publicar no DNS. Não dá para inventar esse valor — ele precisa vir da plataforma que está enviando o email.

DMARC: a política que une SPF e DKIM

DMARC significa Domain-based Message Authentication, Reporting and Conformance. Ele não substitui SPF nem DKIM — ele trabalha em cima dos dois, dizendo ao provedor de destino o que fazer quando um email falha na verificação de SPF ou DKIM (ou nos dois).

O registro DMARC é publicado como TXT em _dmarc.seudominio.com.br e define uma política: none (só monitorar e não fazer nada), quarantine (mandar para spam) ou reject (rejeitar a mensagem por completo). Ele também define para onde enviar relatórios diários sobre quem está tentando enviar email usando seu domínio.

Esses relatórios são valiosos porque mostram, por exemplo, se alguém está falsificando o domínio da empresa para enviar phishing, ou se um serviço legítimo de outreach está falhando na autenticação sem que ninguém tenha percebido. Para quem faz prospecção B2B, começar com política none e evoluir gradualmente para quarantine é o caminho mais seguro.

O que acontece quando falta um dos três

Ter só SPF configurado e nada mais é a situação mais comum em empresas que nunca cuidaram disso. O problema é que SPF sozinho é fácil de contornar — um golpista pode registrar um domínio parecido e enviar phishing sem esbarrar no seu SPF, porque ele não está enviando pelo seu domínio, só imitando o nome de exibição.

Ter SPF e DKIM sem DMARC deixa o provedor de destino sem instrução clara sobre o que fazer quando algo falha. Alguns provedores tratam isso com mais rigor, outros com menos — o resultado é inconsistente entre Gmail, Outlook e provedores corporativos menores.

Sem os três configurados corretamente, é comum ver campanhas de outreach B2B com taxa de abertura artificialmente baixa não porque o copy é ruim, mas porque uma fração relevante das mensagens nunca chega a ser vista — cai direto em spam ou é silenciosamente descartada.

Erros comuns e checklist rápido

O erro mais frequente é publicar o SPF apenas para o provedor de email principal e esquecer de incluir a ferramenta de outreach ou o CRM que também dispara mensagens em nome do domínio. Isso é ainda mais crítico em outreach B2B, onde geralmente há uma ferramenta de automação de sequência de follow-ups além da caixa principal.

Outro erro comum é subir o DMARC direto para reject sem antes rodar um período de monitoramento com policy=none. Isso pode derrubar emails legítimos que ainda não passaram por todos os ajustes de SPF e DKIM, incluindo respostas automáticas e encaminhamentos internos.

Por fim, muita gente esquece que subdomínios usados para enviar email (como mail.suaempresa.com.br) precisam de seus próprios registros SPF e DKIM — eles não herdam automaticamente os do domínio raiz.

Perguntas frequentes

Preciso configurar SPF, DKIM e DMARC mesmo enviando poucos emails por dia?

Sim. Deliverability não depende só de volume — provedores como Gmail avaliam a reputação do domínio e a autenticação em cada mensagem, mesmo que sejam 10 emails de outreach B2B por dia. Domínios sem essa configuração têm taxa de entrega pior desde o primeiro envio.

Qual a diferença prática entre SPF e DKIM?

SPF verifica se o servidor que enviou o email tem permissão para usar aquele domínio. DKIM verifica se o conteúdo da mensagem não foi alterado no caminho, usando uma assinatura criptográfica. São verificações diferentes e complementares, não uma alternativa à outra.

O que o DMARC faz que SPF e DKIM sozinhos não fazem?

O DMARC define uma política clara — o que o provedor de destino deve fazer quando SPF ou DKIM falham — e gera relatórios sobre tentativas de uso do domínio, inclusive por terceiros mal-intencionados. Sem DMARC, cada provedor decide por conta própria como tratar falhas.

Configurar esses registros é o suficiente para não cair em spam?

É a base necessária, mas não é suficiente sozinha. Volume de envio, taxa de resposta, reputação do IP e do domínio, e a qualidade do conteúdo do email também influenciam a decisão do provedor de destino.

Existe alguma relação entre esses registros e a LGPD?

Indiretamente. A LGPD trata do tratamento de dados pessoais, incluindo emails de contatos usados em prospecção B2B; ter uma infraestrutura de envio autenticada e rastreável (com relatórios DMARC, por exemplo) ajuda a demonstrar boas práticas de segurança no tratamento desses dados, embora não seja um requisito legal direto da lei.

Importante: isto não é email em massa nem spam. Trabalhamos de forma direcionada: cada mensagem vai para um representante específico de uma empresa específica, por um motivo comercial legítimo, em pequenos volumes diários e personalizada para o destinatário. Todo email identifica o remetente e traz descadastro em um clique; descadastros e listas de bloqueio valem para todas as campanhas futuras, sem exceção.

Quer aplicar isso no seu outreach?

Mostramos como funciona para o seu segmento e produto — antes de começar.

Fale conosco