Qual é a diferença entre um validador de sintaxe e um inspetor de registro?

Um validador de sintaxe analisa um registro DNS bruto que você cola, sem resolução DNS. Um inspetor resolve o domínio ao vivo pela Internet e mostra a resposta como vista pelos servidores de email.

Em que ordem configurar SPF, DKIM e DMARC?

Comece com SPF para autorizar seus servidores de envio, depois configure DKIM para assinar suas mensagens. Ative DMARC em modo p=none para observar, depois passe gradualmente para quarantine e reject.

Por que meus emails vão para spam apesar de SPF e DKIM válidos?

SPF e DKIM válidos nem sempre são suficientes. Verifique o alinhamento DMARC (o domínio SPF/DKIM deve corresponder ao From), a reputação do seu IP, e use o testador de email para um diagnóstico completo.

O que é o limite de 10 lookups DNS para SPF?

Cada mecanismo include, a, mx, ptr e redirect dispara uma consulta DNS. A especificação SPF limita essas consultas a 10 por verificação. Acima disso, SPF retorna permerror e seus emails podem ser rejeitados.

BIMI é necessário para boa entregabilidade?

Não, BIMI não afeta a entregabilidade. É uma camada de identidade visual que exibe seu logo em clientes webmail compatíveis. Requer DMARC em quarantine ou reject para funcionar.

Como sei se minha chave DKIM é muito curta?

O inspetor DKIM mostra o comprimento da chave pública. Chaves de 1024 bits são aceitas mas 2048 bits são recomendados. Chaves de 512 bits são consideradas fracas e podem ser rejeitadas.

O que significa alinhamento strict vs relaxed no DMARC?

O alinhamento strict exige correspondência exata entre o domínio From e o domínio SPF/DKIM. O alinhamento relaxed aceita subdomínios. Por padrão, DMARC usa relaxed para maior flexibilidade.

O que é MTA-STS e por que preciso dele?

MTA-STS (Mail Transfer Agent Strict Transport Security) impõe criptografia TLS para email de entrada. Ele previne ataques man-in-the-middle e de downgrade ao informar servidores remetentes para exigir TLS ao conectar aos seus servidores de email.

Como MTA-STS funciona com DMARC?

MTA-STS e DMARC são complementares. DMARC valida a identidade do remetente, enquanto MTA-STS impõe a criptografia do transporte. Juntos, protegem tanto a autenticidade quanto a confidencialidade do seu email.

Ferramentas SPF DKIM DMARC MTA-STS - Valide autenticação email

Validadores de sintaxe

Validador de sintaxe SPF

Controle sua string SPF antes de modificar. Verifique a ordem dos mecanismos, conte os lookups DNS e evite ultrapassar limites.

Validador de sintaxe DKIM

Cole um registro DKIM bruto e verifique cada tag antes de publicar. Detecte erros de sintaxe, chaves truncadas e opções inválidas.

Validador de sintaxe DMARC

Valide as tags p=, sp=, adkim=, aspf= e verifique os endereços de relatório rua/ruf antes de publicar.

Validador de sintaxe BIMI

Verifique a conformidade Tiny-PS do seu logo SVG, a URL HTTPS e a presença do certificado VMC.

Validador de sintaxe MTA-STS

Valide seu registro DNS TXT MTA-STS e o conteúdo do arquivo de política offline. Verifique versão, modo, padrões MX e max_age antes da implantação.

Validador de sintaxe TLS-RPT

Valide registros TXT TLS-RPT offline antes da implantação.

Inspetores de registro

Inspetor de registro SPF

Resolva o domínio e expanda a cadeia SPF completa. Detecte onde o limite de 10 consultas DNS seria ultrapassado.

Inspetor de registro DKIM

Resolva um seletor DKIM ao vivo pela Internet. Visualize a chave pública, seu comprimento e detecte problemas de rotação.

Inspetor de registro DMARC

Resolva _dmarc.domínio, visualize a política ativa e a porcentagem de aplicação. Verifique antes de mudar para reject.

Inspetor de registro BIMI

Resolva default._bimi.domínio, baixe o logo e verifique o VMC antes de implantar sua identidade visual.

Inspetor de registro MTA-STS

Resolva registros MTA-STS ao vivo. Obtenha o arquivo de política, verifique certificados TLS e cruze os padrões MX com seus servidores de email.

Inspetor de registro TLS-RPT

Verifique a configuração TLS-RPT para qualquer domínio com verificação de RUA externo.

DKIM Selector Finder

Descubra automaticamente todos os seletores DKIM configurados para um domínio sem precisar saber seus nomes.

Geradores de registro

Gerador de Registro SPF

Gere um registro SPF válido com provedores de email pré-configurados.

SPF Flattener

Aplane seus registros SPF para eliminar includes aninhados e respeitar o limite de 10 consultas DNS.

Gerador DKIM

Gere pares de chaves DKIM (RSA/Ed25519) e registros DNS TXT.

Gerador de registro DMARC

Crie um registro DMARC completo com todas as opções: políticas, alinhamentos, relatórios, porcentagens. Pronto para publicar.

Gerador MTA-STS

Gere registros e arquivos de política MTA-STS em conformidade com RFC 8461. Configure modo, padrões MX e duração de cache com guia passo a passo.

Gerador TLS-RPT

Gere registros DNS TLS-RPT com URIs de relatório mailto e HTTPS.

Gerador de registros BIMI

Gere registros BIMI DNS com URL do logo e certificado VMC opcional.

Ferramentas de entregabilidade

Auditoria de entregabilidade de email

Analise MX, SPF, DKIM e DMARC simultaneamente. Identifique em segundos as causas que bloqueiam a entregabilidade.

Testador de email

Envie um email de teste e obtenha uma pontuação de entregabilidade de 100. Diagnóstico completo com ações recomendadas.

Analisador de cabeçalhos de email

Cole os cabeçalhos brutos de um email recebido. Identifique o remetente, verifique SPF/DKIM/DMARC e rastreie o roteamento completo.

Verificador blacklist IP

Verifique se seu IP está em blacklists

Verificador blacklist domínio

Verifique se seu domínio está em blacklists URI

Por que a autenticação de email é essencial

Três peças que se complementam

SPF indica quais servidores têm o direito de enviar pelo seu domínio. A regra é publicada em um registro TXT no apex. Bem configurado, limita o spoofing. Muito permissivo, deixa passar abusos.

DKIM assina suas mensagens. A chave pública vive em um TXT sob selector._domainkey. Uma assinatura válida prova que a mensagem não foi modificada e indica qual domínio a assinou.

DMARC vincula o endereço visível ao SPF e DKIM. Se SPF ou DKIM passa e está alinhado com o domínio do remetente, a mensagem é considerada conforme. A política decide então o tratamento em caso de falha: observação, quarentena ou rejeição.

O que um servidor destinatário vê

Ao receber, o servidor lê seus registros DNS e adiciona um cabeçalho Authentication-Results. Você encontrará spf=pass ou fail, dkim=pass ou fail, dmarc=pass ou fail, com o domínio avaliado. Este cabeçalho é sua verdade de campo. Confirma o efeito real das suas configurações, além da teoria.

O que BIMI muda

BIMI não é um filtro antispam. Exibe um logo validado quando DMARC está em vigor com uma política aplicada. O logo é solicitado via um registro DNS dedicado e às vezes um certificado VMC. Resultado: o destinatário identifica melhor sua marca e detecta um falso mais rápido.

Os erros mais comuns

Dois SPF com o mesmo nome → Unificar em um único valor
SPF que ultrapassa 10 lookups → Simplificar os include ou usar o SPF Flattener
Seletor DKIM mal escrito → A chave se torna impossível de encontrar
Chave pública truncada → A verificação falha silenciosamente
DMARC sem alinhamento → A mensagem passa mas não protege a identidade
Relatórios DMARC para caixa não monitorada → Você perde observabilidade

TTL e propagação DNS

A rede não "propaga" no sentido estrito. Ela armazena em cache conforme o TTL. Um TTL curto ajuda durante uma atualização. Um TTL muito curto ao longo do tempo sobrecarrega desnecessariamente. Um TTL médio (3600-86400s) estabiliza uma configuração validada. Reduza antes de uma mudança, restaure depois.

Como usar a caixa de ferramentas CaptainDNS

Validadores de sintaxe SPF, DKIM, DMARC

Os validadores leem seus registros brutos e explicam cada elemento:

SPF: ordem dos mecanismos, include, redirect, presença de all, contagem de consultas DNS, IPs e domínios inexistentes. O objetivo é ficar abaixo de 10 lookups e evitar loops.

DKIM: leitura das tags v, k, p, t, s. Verificação do comprimento da chave, detecção de truncamentos, caracteres inválidos e melhores práticas de rotação.

DMARC: leitura das tags v, p, sp, adkim, aspf, pct, rua, ruf. Verificação do alinhamento escolhido e validade dos endereços de relatório.

Inspetores de registros ao vivo

Os inspetores resolvem DNS e mostram a resposta como vista pela Internet:

Inspetor SPF: expande a cadeia include, mostra os domínios chamados e onde o limite seria ultrapassado
Inspetor DKIM: resolve o seletor, extrai a chave pública e verifica a consistência do formato
Inspetor DMARC: lê _dmarc.domínio, mostra a política ativa, endereços rua/ruf e porcentagem de aplicação

Essas ferramentas verificam o presente, não a teoria. Ideal para um ticket ou implantação em produção.

Auditoria de entregabilidade de email

Este controle analisa MX, SPF, DKIM e DMARC simultaneamente para responder uma pergunta simples: o domínio está pronto para enviar? Também aponta a causa mais provável de falha: SPF muito permissivo, chave DKIM faltando, política DMARC não aplicada, alinhamento strict que falha em um subdomínio, MX apontando para um CNAME.

Gerador de registro DMARC

O gerador ajuda você a criar registros DMARC completos e em conformidade com as RFCs:

Configuração de domínio: entrada simples com geração automática do hostname _dmarc
Políticas flexíveis: escolha entre none, quarantine e reject com gestão de subdomínios
Relatórios integrados: endereços rua/ruf com validação e guia de implementação
Opções avançadas: alinhamentos DKIM/SPF, porcentagens, intervalos e opções de falha

A ferramenta gera o registro completo pronto para publicar e guia ao inspetor para verificação pós-implantação.

BIMI operacional

O validador BIMI controla a estrutura do registro, testa a URL HTTPS do logo, verifica as restrições Tiny-PS e baixa o VMC quando disponível. Combinado com DMARC aplicado em quarantine ou reject, protege a exibição do seu logo em clientes webmail compatíveis.

MTA-STS para segurança do transporte

MTA-STS (RFC 8461) adiciona uma camada crítica de proteção ao impor criptografia TLS para email de entrada. Sem MTA-STS, o TLS oportunista pode ser degradado por atacantes. Com MTA-STS, os servidores remetentes devem usar TLS ou rejeitar a entrega.

Ferramentas MTA-STS

Validador de sintaxe: Cole seu registro DNS TXT e o conteúdo do arquivo de política. O validador verifica versão, modo, padrões MX e diretivas max_age antes da publicação.

Inspetor de registro: Digite um domínio para obter o registro MTA-STS e arquivo de política ao vivo. Verifica certificados TLS e cruza padrões MX com servidores de email reais.

Gerador: Crie registros e arquivos de política MTA-STS em conformidade. Configure modo testing ou enforce, adicione padrões MX, defina duração de cache. Saída pronta para copiar com instruções de implantação.

Implantação MTA-STS recomendada

Gere o registro DNS TXT e o arquivo de política
Hospede o arquivo de política em https://mta-sts.seudominio.com.br/.well-known/mta-sts.txt
Publique o registro DNS TXT em _mta-sts.seudominio.com.br
Comece em modo testing para identificar problemas sem quebrar a entrega
Mude para enforce depois de verificar que todos os servidores MX suportam TLS
Monitore com TLS-RPT para receber relatórios de falha

Método recomendado para implantação em produção

Documentar estado inicial: capturas DNS e exemplos de Authentication-Results
Reduzir TTL antes das mudanças (300-600s)
Implantar SPF limpo e único, verificar com o inspetor
Publicar chave DKIM em um novo seletor, testar a assinatura
Ativar DMARC em p=none, analisar relatórios, corrigir e então aplicar
Adicionar BIMI quando DMARC estiver aplicado e logo/VMC passarem validação
Restaurar TTL confortável (3600-86400s) quando estável

Monitoramento e operação diária

As configurações evoluem com provedores, subdomínios, microsserviços e campanhas pontuais. Mantenha um ciclo simples: controle regular, leitura de relatórios, rotação de chaves, limpeza de includes e seletores obsoletos. Uma mudança deve sempre deixar rastro: data, autor, valor anterior, novo valor, motivo. Isso encurta cada diagnóstico.

Ferramentas complementares

Ferramenta	Utilidade
Verificador de propagação DNS	Confirmar que suas mudanças DNS são visíveis globalmente
Pesquisa DNS	Consultar qualquer tipo de registro DNS
Whois IP	Identificar o proprietário de um endereço IP
Verificador blacklist IP	Verificar se seu IP está em uma blacklist
Verificador blacklist domínio	Verificar se seu domínio está em blacklist

Recursos úteis

RFC 7208 - Sender Policy Framework (SPF) (especificação oficial)
RFC 6376 - DomainKeys Identified Mail (DKIM) (especificação oficial)
RFC 7489 - Domain-based Message Authentication (DMARC) (especificação oficial)
Google - Diretrizes para remetentes de email (requisitos Gmail)
Microsoft - Autenticação de email no Microsoft 365 (guia Outlook/M365)