Qual é a diferença entre um validador de sintaxe e um inspetor de registro?

Um validador de sintaxe analisa um registro DNS bruto que você cola, sem resolução DNS. Um inspetor resolve o domínio ao vivo pela Internet e mostra a resposta como vista pelos servidores de email.

Em que ordem configurar SPF, DKIM e DMARC?

Comece com SPF para autorizar seus servidores de envio, depois configure DKIM para assinar suas mensagens. Ative DMARC em modo p=none para observar, depois passe gradualmente para quarantine e reject.

Por que meus emails vão para spam apesar de SPF e DKIM válidos?

SPF e DKIM válidos nem sempre são suficientes. Verifique o alinhamento DMARC (o domínio SPF/DKIM deve corresponder ao From), a reputação do seu IP, e use o testador de email para um diagnóstico completo.

O que é o limite de 10 lookups DNS para SPF?

Cada mecanismo include, a, mx, ptr e redirect dispara uma consulta DNS. A especificação SPF limita essas consultas a 10 por verificação. Acima disso, SPF retorna permerror e seus emails podem ser rejeitados.

BIMI é necessário para boa entregabilidade?

Não, BIMI não afeta a entregabilidade. É uma camada de identidade visual que exibe seu logo em clientes webmail compatíveis. Requer DMARC em quarantine ou reject para funcionar.

Como sei se minha chave DKIM é muito curta?

O inspetor DKIM mostra o comprimento da chave pública. Chaves de 1024 bits são aceitas mas 2048 bits são recomendados. Chaves de 512 bits são consideradas fracas e podem ser rejeitadas.

O que significa alinhamento strict vs relaxed no DMARC?

O alinhamento strict exige correspondência exata entre o domínio From e o domínio SPF/DKIM. O alinhamento relaxed aceita subdomínios. Por padrão, DMARC usa relaxed para maior flexibilidade.

O que é MTA-STS e por que preciso dele?

MTA-STS (Mail Transfer Agent Strict Transport Security) impõe criptografia TLS para email de entrada. Ele previne ataques man-in-the-middle e de downgrade ao informar servidores remetentes para exigir TLS ao conectar aos seus servidores de email.

Como MTA-STS funciona com DMARC?

MTA-STS e DMARC são complementares. DMARC valida a identidade do remetente, enquanto MTA-STS impõe a criptografia do transporte. Juntos, protegem tanto a autenticidade quanto a confidencialidade do seu email.

Caixa de ferramentas de autenticação de email

Diagnóstico completo de entregabilidade em segundos

Emails no spam? Configuração incerta? Analise, valide e corrija seus registros SPF, DKIM, DMARC, BIMI, MTA-STS e TLS-RPT com mais de 25 ferramentas gratuitas.

Validadores de sintaxe

Validador de sintaxe SPF

Controle sua string SPF antes de modificar. Verifique a ordem dos mecanismos, conte os lookups DNS e evite ultrapassar limites.

Validador de sintaxe DKIM

Cole um registro DKIM bruto e verifique cada tag antes de publicar. Detecte erros de sintaxe, chaves truncadas e opções inválidas.

Validador de sintaxe DMARC

Valide as tags p=, sp=, adkim=, aspf= e verifique os endereços de relatório rua/ruf antes de publicar.

Validador de sintaxe BIMI

Verifique a conformidade Tiny-PS do seu logo SVG, a URL HTTPS e a presença do certificado VMC.

Validador de sintaxe MTA-STS

Valide seu registro DNS TXT MTA-STS e o conteúdo do arquivo de política offline. Verifique versão, modo, padrões MX e max_age antes da implantação.

Validador de sintaxe TLS-RPT

Valide registros TXT TLS-RPT offline antes da implantação.

Validador de sintaxe DANE TLSA

Valide registros TLSA offline antes da implantação.

Inspetores de registro

Inspetor de registro SPF

Resolva o domínio e expanda a cadeia SPF completa. Detecte onde o limite de 10 consultas DNS seria ultrapassado.

Inspetor de registro DKIM

Resolva um seletor DKIM ao vivo pela Internet. Visualize a chave pública, seu comprimento e detecte problemas de rotação.

Inspetor de registro DMARC

Resolva _dmarc.domínio, visualize a política ativa e a porcentagem de aplicação. Verifique antes de mudar para reject.

DMARCbis Checker

Analise a compatibilidade DMARCbis do seu domínio: DNS Tree Walk, tags obsoletas, recomendações de migração.

Inspetor de registro BIMI

Resolva default._bimi.domínio, baixe o logo e verifique o VMC antes de implantar sua identidade visual.

Inspetor de registro MTA-STS

Resolva registros MTA-STS ao vivo. Obtenha o arquivo de política, verifique certificados TLS e cruze os padrões MX com seus servidores de email.

Inspetor de registro TLS-RPT

Verifique a configuração TLS-RPT para qualquer domínio com verificação de RUA externo.

Verificador DANE TLSA

Verifique a configuração DANE/TLSA para qualquer domínio com DNSSEC e correspondência de certificado.

Pesquisa de seletores DKIM

Descubra automaticamente todos os seletores DKIM configurados para um domínio sem precisar saber seus nomes.

Geradores de registro

Gerador de Registro SPF

Gere um registro SPF válido com provedores de email pré-configurados.

Simplificador SPF

Aplane seus registros SPF para eliminar includes aninhados e respeitar o limite de 10 consultas DNS.

Gerador DKIM

Gere pares de chaves DKIM (RSA/Ed25519) e registros DNS TXT.

Gerador de registro DMARC

Crie um registro DMARC completo com todas as opções: políticas, alinhamentos, relatórios, porcentagens. Pronto para publicar.

Migração DMARCbis

Converta seu registro DMARC atual em um registro compatível com o novo padrão DMARCbis.

Gerador MTA-STS

Gere registros e arquivos de política MTA-STS em conformidade com RFC 8461. Configure modo, padrões MX e duração de cache com guia passo a passo.

Gerador TLS-RPT

Gere registros DNS TLS-RPT com URIs de relatório mailto e HTTPS.

Gerador DANE TLSA

Gere registros TLSA a partir de um certificado para proteger SMTP com DANE.

Gerador de registros BIMI

Gere registros BIMI DNS com URL do logo e certificado VMC opcional.

Ferramentas de entregabilidade

Leitor de relatórios DMARC

Carregue e analise relatórios agregados DMARC para compreender os resultados de autenticação e identificar problemas.

Auditoria de entregabilidade de email

Analise MX, SPF, DKIM e DMARC simultaneamente. Identifique em segundos as causas que bloqueiam a entregabilidade.

Testador de email

Envie um email de teste e obtenha uma pontuação de entregabilidade de 100. Diagnóstico completo com ações recomendadas.

Analisador de cabeçalhos de email

Cole os cabeçalhos brutos de um email recebido. Identifique o remetente, verifique SPF/DKIM/DMARC e rastreie o roteamento completo.

Verificador blacklist IP

Verifique se seu IP está em blacklists

Verificador blacklist domínio

Verifique se seu domínio está em blacklists URI

Verificador SMTP/MX

Teste a conectividade SMTP dos seus servidores MX: banner, STARTTLS, certificado TLS, open relay.

Leitor de relatórios TLS-RPT

Analise seus relatórios TLS-RPT

Serviços de hospedagem

Hospedagem MTA-STS

Hospede sua política MTA-STS automaticamente com implantação DNS gratuita.

Hospedagem BIMI

Hospede seus logos e certificados BIMI com verificação automática de domínio.

Monitoring TLS-RPT

Monitore e analise automaticamente os relatórios TLS-RPT para seus domínios.

DMARC Monitoring

Receba e monitore automaticamente os relatórios DMARC para seus domínios.

Por que a autenticação de email é essencial

Três peças que se complementam

SPF indica quais servidores têm o direito de enviar pelo seu domínio. A regra é publicada em um registro TXT no apex. Bem configurado, limita o spoofing. Muito permissivo, deixa passar abusos.

DKIM assina suas mensagens. A chave pública vive em um TXT sob selector._domainkey. Uma assinatura válida prova que a mensagem não foi modificada e indica qual domínio a assinou.

DMARC vincula o endereço visível ao SPF e DKIM. Se SPF ou DKIM passa e está alinhado com o domínio do remetente, a mensagem é considerada conforme. A política decide então o tratamento em caso de falha: observação, quarentena ou rejeição.

O que um servidor destinatário vê

Ao receber, o servidor lê seus registros DNS e adiciona um cabeçalho Authentication-Results. Você encontrará spf=pass ou fail, dkim=pass ou fail, dmarc=pass ou fail, com o domínio avaliado. Este cabeçalho é sua verdade de campo. Confirma o efeito real das suas configurações, além da teoria.

O que BIMI muda

BIMI não é um filtro antispam. Exibe um logo validado quando DMARC está em vigor com uma política aplicada. O logo é solicitado via um registro DNS dedicado e às vezes um certificado VMC. Resultado: o destinatário identifica melhor sua marca e detecta um falso mais rápido.

Os erros mais comuns

Dois SPF com o mesmo nome → Unificar em um único valor
SPF que ultrapassa 10 lookups → Simplificar os include ou usar o SPF Flattener
Seletor DKIM mal escrito → A chave se torna impossível de encontrar
Chave pública truncada → A verificação falha silenciosamente
DMARC sem alinhamento → A mensagem passa mas não protege a identidade
Relatórios DMARC para caixa não monitorada → Você perde observabilidade. Use o Monitoring DMARC para coletar e visualizar os relatórios automaticamente

TTL e propagação DNS

A rede não "propaga" no sentido estrito. Ela armazena em cache conforme o TTL. Um TTL curto ajuda durante uma atualização. Um TTL muito curto ao longo do tempo sobrecarrega desnecessariamente. Um TTL médio (3600-86400s) estabiliza uma configuração validada. Reduza antes de uma mudança, restaure depois.

Como usar a caixa de ferramentas CaptainDNS

Validadores de sintaxe SPF, DKIM, DMARC

Os validadores leem seus registros brutos e explicam cada elemento:

SPF: ordem dos mecanismos, include, redirect, presença de all, contagem de consultas DNS, IPs e domínios inexistentes. O objetivo é ficar abaixo de 10 lookups e evitar loops.

DKIM: leitura das tags v, k, p, t, s. Verificação do comprimento da chave, detecção de truncamentos, caracteres inválidos e melhores práticas de rotação.

DMARC: leitura das tags v, p, sp, adkim, aspf, pct, rua, ruf. Verificação do alinhamento escolhido e validade dos endereços de relatório.

Inspetores de registros ao vivo

Os inspetores resolvem DNS e mostram a resposta como vista pela Internet:

Inspetor SPF: expande a cadeia include, mostra os domínios chamados e onde o limite seria ultrapassado
Inspetor DKIM: resolve o seletor, extrai a chave pública e verifica a consistência do formato
Inspetor DMARC: lê _dmarc.domínio, mostra a política ativa, endereços rua/ruf e porcentagem de aplicação

Essas ferramentas verificam o presente, não a teoria. Ideal para um ticket ou implantação em produção.

Auditoria de entregabilidade de email

Este controle analisa MX, SPF, DKIM e DMARC simultaneamente para responder uma pergunta simples: o domínio está pronto para enviar? Também aponta a causa mais provável de falha: SPF muito permissivo, chave DKIM faltando, política DMARC não aplicada, alinhamento strict que falha em um subdomínio, MX apontando para um CNAME.

Gerador de registro DMARC

O gerador ajuda você a criar registros DMARC completos e em conformidade com as RFCs:

Configuração de domínio: entrada simples com geração automática do hostname _dmarc
Políticas flexíveis: escolha entre none, quarantine e reject com gestão de subdomínios
Relatórios integrados: endereços rua/ruf com validação e guia de implementação
Opções avançadas: alinhamentos DKIM/SPF, porcentagens, intervalos e opções de falha

A ferramenta gera o registro completo pronto para publicar e guia ao inspetor para verificação pós-implantação.

DMARCbis: preparar a transição para o DMARC v2

DMARCbis sucede a RFC 7489 e eleva o DMARC ao status de Proposed Standard do IETF. A mudança principal: a Public Suffix List é substituída por um algoritmo DNS Tree Walk para identificar o domínio organizacional.

Três tags são adicionadas (psd, np, t), três são removidas (pct, ri, rf). O reporting é separado em três documentos normativos distintos.

DMARCbis Checker analisa a compatibilidade dos seus registros DMARC com o novo padrão. Detecta tags obsoletas, verifica a descoberta via Tree Walk e recomenda os ajustes necessários.

Migração DMARCbis gera automaticamente um registro em conformidade com o novo padrão a partir do seu registro DMARC atual, com um comparativo antes/depois.

BIMI operacional

O validador BIMI controla a estrutura do registro, testa a URL HTTPS do logo, verifica as restrições Tiny-PS e baixa o VMC quando disponível. Combinado com DMARC aplicado em quarantine ou reject, protege a exibição do seu logo em clientes webmail compatíveis.

MTA-STS para segurança do transporte

MTA-STS (RFC 8461) adiciona uma camada crítica de proteção ao impor criptografia TLS para email de entrada. Sem MTA-STS, o TLS oportunista pode ser degradado por atacantes. Com MTA-STS, os servidores remetentes devem usar TLS ou rejeitar a entrega.

Ferramentas MTA-STS

Validador de sintaxe: Cole seu registro DNS TXT e o conteúdo do arquivo de política. O validador verifica versão, modo, padrões MX e diretivas max_age antes da publicação.

Inspetor de registro: Digite um domínio para obter o registro MTA-STS e arquivo de política ao vivo. Verifica certificados TLS e cruza padrões MX com servidores de email reais.

Gerador: Crie registros e arquivos de política MTA-STS em conformidade. Configure modo testing ou enforce, adicione padrões MX, defina duração de cache. Saída pronta para copiar com instruções de implantação.

Hospedagem MTA-STS: Deixe o CaptainDNS hospedar seu arquivo de política MTA-STS. Sem servidor web para configurar: crie sua política, verifique a propriedade do domínio, aponte um CNAME e pronto. HTTPS automático, certificados gerenciados e atualizações instantâneas ao modificar sua política.

Implantação MTA-STS recomendada

Gere o registro DNS TXT e o arquivo de política
Hospede o arquivo de política: use a hospedagem MTA-STS para hospedagem sem manutenção, ou hospede você mesmo em https://mta-sts.seudominio.com.br/.well-known/mta-sts.txt
Publique o registro DNS TXT em _mta-sts.seudominio.com.br
Comece em modo testing para identificar problemas sem quebrar a entrega
Mude para enforce depois de verificar que todos os servidores MX suportam TLS
Monitore com TLS-RPT para receber relatórios de falha

TLS-RPT para relatórios de transporte

TLS-RPT (RFC 8460) complementa MTA-STS recebendo relatórios sobre falhas de negociação TLS. Sem esses relatórios, você não saberia se emails de entrada estão falhando silenciosamente por um certificado expirado ou configuração incorreta.

Validador de sintaxe: Cole seu registro DNS TXT TLS-RPT e valide a conformidade RFC antes de publicar. Verificação dos URIs de relatório mailto e HTTPS.

Inspetor de registro: Resolva o registro TLS-RPT de um domínio ao vivo. Verifique os endereços de relatório, incluindo autorizações de recepção externa.

Gerador: Crie um registro TLS-RPT válido com URIs de relatório mailto e/ou HTTPS. Saída pronta para copiar na sua zona DNS.

Monitoramento TLS-RPT: Acompanhe os relatórios TLS-RPT dos seus domínios sem sair do CaptainDNS. Visualize falhas de negociação TLS, identifique certificados problemáticos e receba alertas em caso de anomalias.

DANE/TLSA para autenticação de certificados

DANE (RFC 6698/7672) vincula certificados TLS a nomes de domínio via registros DNS TLSA assinados por DNSSEC. Diferente do modelo clássico baseado em autoridades certificadoras, DANE permite ao proprietário do domínio especificar exatamente qual certificado um servidor deve apresentar.

Validador de sintaxe: Cole um registro TLSA bruto e verifique os campos usage, selector, matching type e dados do certificado antes de publicar. Detecta combinações não recomendadas e erros de formato hexadecimal.

Inspetor de registro: Digite um domínio para verificar a configuração DANE completa: resolução MX, consulta TLSA, validação DNSSEC e correspondência com o certificado TLS do servidor.

Gerador: Crie um registro TLSA a partir do seu certificado PEM ou diretamente do servidor via STARTTLS. Suporta DANE-EE, DANE-TA, SHA-256, SHA-512 e seletor SPKI.

Implantação DANE recomendada

Ative DNSSEC no seu domínio (pré-requisito absoluto)
Gere o registro TLSA com o gerador DANE
Publique o registro em _25._tcp.seumailhost
Verifique com o inspetor DANE após a propagação
Ative TLS-RPT para receber relatórios de falha DANE
Planeje a rotação: atualize o registro TLSA antes de cada renovação de certificado

Geradores de registros

Além do gerador DMARC, a caixa de ferramentas cobre a criação de registros para cada protocolo:

Gerador SPF: Construa um registro SPF válido selecionando seus provedores de email pré-configurados (Google Workspace, Microsoft 365, etc.). O gerador monta os mecanismos, verifica o limite de 10 lookups e produz um registro pronto para publicar.

SPF Flattener: Achate seus registros SPF para eliminar includes aninhados. A ferramenta resolve cada include em endereços IP diretos, reduzindo os lookups DNS e prevenindo erros permerror em produção.

Gerador DKIM: Gere um par de chaves DKIM (RSA 1024/2048 bits ou Ed25519) e o registro DNS TXT associado. A ferramenta produz a chave privada para seu servidor e a chave pública para publicação no DNS.

Gerador BIMI: Crie um registro BIMI DNS com a URL do seu logo SVG e certificado VMC opcional. A ferramenta verifica os pré-requisitos DMARC e guia a publicação.

DKIM Selector Finder

Encontrar um seletor DKIM pode ser trabalhoso quando você não conhece o nome dele. O DKIM Selector Finder consulta automaticamente uma base de dados de seletores conhecidos (Google, Microsoft, Amazon SES, etc.) e testa cada um contra seu domínio. Resultado: a lista de seletores ativos com suas chaves públicas, sem necessidade de adivinhar.

Verificação de reputação e conectividade

Blacklists de IP e domínio

SPF e DKIM perfeitos não adiantam nada se seu IP ou domínio está em uma blacklist. O verificador blacklist IP consulta as principais DNSBLs (Spamhaus, Barracuda, SORBS, etc.) e o verificador blacklist domínio verifica as listas URI (SURBL, URIBL, etc.). Um domínio em blacklist terá seus emails rejeitados ou marcados como spam, independentemente da autenticação.

SMTP/MX Tester

O testador SMTP verifica a conectividade dos seus servidores MX: resolução DNS, conexão SMTP, banner, suporte STARTTLS, validade do certificado TLS e detecção de open relay. É o último elo: a autenticação DNS está correta, mas o servidor é realmente acessível e seguro?

Método recomendado para implantação em produção

Documentar estado inicial: capturas DNS e exemplos de Authentication-Results
Reduzir TTL antes das mudanças (300-600s)
Implantar SPF limpo e único, verificar com o inspetor
Publicar chave DKIM em um novo seletor, testar a assinatura
Ativar DMARC em p=none, analisar relatórios, corrigir e então aplicar
Adicionar BIMI quando DMARC estiver aplicado e logo/VMC passarem validação
Restaurar TTL confortável (3600-86400s) quando estável

Monitoramento e operação diária

As configurações evoluem com provedores, subdomínios, microsserviços e campanhas pontuais. Mantenha um ciclo simples: controle regular, leitura de relatórios, rotação de chaves, limpeza de includes e seletores obsoletos. Uma mudança deve sempre deixar rastro: data, autor, valor anterior, novo valor, motivo. Isso encurta cada diagnóstico.

Ferramentas complementares

Ferramenta	Utilidade
Verificador de propagação DNS	Confirmar que suas mudanças DNS são visíveis globalmente
Pesquisa DNS	Consultar qualquer tipo de registro DNS
Whois IP	Identificar o proprietário de um endereço IP
Verificador blacklist IP	Verificar se seu IP está em uma blacklist
Verificador blacklist domínio	Verificar se seu domínio está em blacklist
Monitoring DMARC	Coletar e visualizar os relatórios DMARC agregados dos seus domínios
SMTP/MX Tester	Testar conectividade SMTP, STARTTLS e certificados TLS

Recursos úteis

RFC 7208 - Sender Policy Framework (SPF) (especificação oficial)
RFC 6376 - DomainKeys Identified Mail (DKIM) (especificação oficial)
RFC 7489 - Domain-based Message Authentication (DMARC) (especificação oficial)
RFC 8461 - MTA Strict Transport Security (MTA-STS) (especificação oficial)
RFC 8460 - SMTP TLS Reporting (TLS-RPT) (especificação oficial)
RFC 6698 - DNS-Based Authentication of Named Entities (DANE) (especificação oficial)
RFC 7672 - SMTP Security via Opportunistic DANE TLS (DANE para SMTP)
Google - Diretrizes para remetentes de email (requisitos Gmail)
Microsoft - Autenticação de email no Microsoft 365 (guia Outlook/M365)