Ir para o conteúdo principal
CaptainDNS
NOVO·Monitoramento de segurança e entregabilidade de e-mail. Receba um alerta assim que uma mudança de nota ou de registro DNS colocar seu domínio em risco.Saiba mais

Audite a segurança e a entregabilidade email do seu domínio

SPF, DKIM, DMARC, BIMI, MX, MTA-STS, DANE e DNSSEC num único scan

Seus emails caem no spam, ou um atacante falsifica seu domínio? Tudo se decide em duas frentes. No envio, a autenticação (SPF, DKIM, DMARC) define seu lugar na caixa de entrada; na recepção, a criptografia do transporte e a integridade do DNS protegem suas trocas. Esta auditoria verifica SPF, DKIM, DMARC, BIMI, MX, MTA-STS, DANE, TLS-RPT e DNSSEC num único scan, e devolve uma pontuação de 100 com as correções prioritárias.

Separe vários seletores com vírgulas.

Pontuação global de 100

Três pilares, uma pontuação. Envio (SPF, DKIM, DMARC, BIMI), recepção (MX, MTA-STS, DANE, TLS-RPT) e segurança DNS (DNSSEC, CAA). Entregabilidade e proteção juntas.

Duas vertentes em paridade

A auditoria cobre o envio (autenticação e entregabilidade) e a recepção (segurança do transporte e do DNS), sem privilegiar um lado em relação ao outro.

Diagnóstico e correções

Cada problema é detectado e explicado: lookups SPF em excesso, seletor DKIM ausente, MTA-STS ausente, zona não assinada com DNSSEC. Ações corretivas incluídas.

Exportar e compartilhar o relatório

Baixe o relatório JSON para sua equipe técnica ou seu provedor DNS. As correções prioritárias ficam destacadas.

Conforme aos padrões RFC

Conformidade com as RFC 7208 (SPF), 6376 (DKIM), 7489 (DMARC), 8461 (MTA-STS), 8460 (TLS-RPT), 6698 (DANE) e recomendações Google/Microsoft.

Uma auditoria completa da segurança e da entregabilidade email

A configuração email de um domínio se decide em duas frentes. No envio, a autenticação (SPF, DKIM, DMARC) define se suas mensagens chegam à caixa de entrada ou param no spam. Na recepção, a segurança do transporte (MTA-STS, DANE, TLS-RPT) e a integridade do DNS (DNSSEC) protegem suas trocas contra interceptação e falsificação. Uma falha de um único lado fragiliza o conjunto.

Esta auditoria de entregabilidade e segurança email (também chamada de "DMARC checker", "SPF lookup", "DKIM validator", "domain health check" ou "email security audit") passa a pente fino nove protocolos, repartidos em três pilares, num único scan.

Envio (outbound):

ProtocoloPapelImpacto se ausente ou inválido
SPFAutoriza servidores a enviar pelo seu domínioRisco de rejeição ou classificação como spam
DKIMAssina criptograficamente suas mensagensAutenticação fraca, risco de spoofing
DMARCDefine a política em caso de falha SPF/DKIMNenhuma proteção contra falsificação
BIMIExibe seu logotipo nas caixas de entradaOpcional, reforça a confiança visual

Recepção (inbound):

ProtocoloPapelImpacto se ausente ou inválido
MXIndica onde receber os emailsDomínio tido como não destinado a email
MTA-STSForça a criptografia TLS para os emails recebidosEmails transmitidos em texto aberto, vulneráveis a interceptação
DANEAutentica os certificados TLS dos MX via DNSSECSem verificação criptográfica do servidor de email
TLS-RPTRecebe os relatórios de falha TLSNenhuma visibilidade sobre os problemas de criptografia

A gente roda esta auditoria em três situações. Antes de uma campanha, para confirmar que o domínio está pronto para enviar. Para proteger a recepção, controlando a criptografia do transporte e a integridade do DNS. E depois de trocar de plataforma, quando é preciso verificar se os novos seletores DKIM e seus registros foram bem publicados.

Como usar a auditoria email em 3 passos

Passo 1: Digite seu domínio

Informe o domínio a auditar (captaindns.com). Se você envia por várias plataformas (Mailchimp, Brevo, Google Workspace), adicione os seletores DKIM correspondentes para uma verificação completa do envio.

Onde encontrar seus seletores DKIM:

  • Mailchimp: k1 (configurações → domínio → autenticação)
  • Brevo: mail (configurações → remetentes → DKIM)
  • Google Workspace: google (Admin Console → Apps → Gmail → Autenticação)
  • Microsoft 365: selector1, selector2 (Admin → Domínios → Registros DNS)

Passo 2: Execução da análise

A ferramenta consulta seus registros DNS sem nenhuma intervenção da sua parte.

No envio, ela verifica a sintaxe SPF, sua contagem de lookups e seu mecanismo -all, valida cada seletor DKIM e o tamanho da chave (2048 bits ou mais), controla a política DMARC e seus relatórios, e confirma que o registro BIMI aponta para um logotipo acessível.

Na recepção, ela lista seus MX e testa sua resolução e redundância, verifica o registro MTA-STS, sua política HTTPS e seu modo (enforce ou testing), confronta os registros TLSA do DANE com a validação DNSSEC, e garante que o TLS-RPT declara mesmo um destino de relatórios.

Passo 3: Leitura dos resultados

Você obtém:

  • Pontuação global de 100 com selo de configuração (Excelente, Bom, Médio, Insuficiente)
  • Diagnósticos por protocolo com estado pass/fail
  • Ações corretivas classificadas por prioridade
  • Exportação JSON para compartilhar com sua equipe técnica

Cálculo da pontuação de 100

A pontuação global agrega três pilares ponderados: envio (50%), recepção (35%) e segurança DNS (15%). Veja como cada um é composto.

PilarPesoComponentes
Envio (outbound)50%SPF, DKIM, DMARC, BIMI
Recepção (inbound)35%MX, MTA-STS, DANE, TLS-RPT
Segurança DNS15%DNSSEC, CAA

Cada pilar é avaliado em 100, depois ponderado conforme seu peso. O total resulta num grau. Acima de 90, está tudo no lugar: é o Excelente. Entre 75 e 89, a base se sustenta, faltam alguns ajustes (Bom). De 55 a 74, erros ou avisos vão corroendo sua entregabilidade ou sua segurança (Médio). Abaixo de 55%, o prognóstico é sombrio: um bloqueio sério compromete o envio ou a recepção (Insuficiente).

Detalhe de pontos por pilar

Envio (100 pontos):

ComponentePontos máxCritérios principais
DMARC40Política p=reject, relatórios rua/ruf, alinhamento estrito
SPF30Sintaxe válida, limite de 10 lookups, mecanismo -all
DKIM25Seletores válidos, chave ≥2048 bits, redundância
BIMI5Registro válido, logotipo SVG Tiny PS, VMC presente

Recepção (100 pontos):

ComponentePontos máxCritérios principais
MX40Presença, resolução, redundância (2+ MX)
MTA-STS30DNS válido, política HTTPS, modo enforce
DANE15Registros TLSA publicados, DNSSEC assinado
TLS-RPT15Registro válido, destinos RUA configurados

Segurança DNS (100 pontos):

ComponentePontos máxCritérios principais
DNSSEC80Zona assinada e cadeia validada
CAA20Registro presente, emissão restrita, contato iodef definido

Um registro CAA (Certification Authority Authorization) declara quais autoridades de certificação têm o direito de emitir um certificado para seu domínio. Sem ele, qualquer uma pode assinar um certificado para captaindns.com. O valor 0 issue ";" fecha a porta a toda emissão, e a tag iodef abre um canal para avisar você das tentativas.

Erros frequentes detectados pela auditoria

Quatro problemas voltam na grande maioria das auditorias malsucedidas. Veja como reconhecê-los e corrigi-los.

SPF: consultas DNS demais (permerror)

O SPF tolera no máximo 10 lookups DNS. Um único include: a mais e tudo quebra: o resolvedor devolve permerror e simplesmente ignora sua política. O sintoma típico é uma pontuação SPF lá embaixo mesmo com o registro existindo de fato. A auditoria reconta seus lookups, detecta os include: aninhados (muitas vezes 12 ou mais) e aponta o estouro. A saída: substitua os include: por faixas de IP, ou faça o trabalho num clique com nosso SPF Flattener.

DKIM: seletor não encontrado

Cada plataforma de envio tem seu próprio seletor DKIM. Enquanto ele não estiver publicado na sua zona, a assinatura falha a cada email, sem exceção. Você acha o DKIM configurado, e a auditoria mostra um NXDOMAIN em k1._domainkey.captaindns.com: a chave não existe no DNS. Pegue o seletor certo com seu provedor de envio e publique o registro TXT correspondente.

DMARC: política permissiva demais

Uma política p=none não protege de nada. Ela observa, não bloqueia: os provedores de email deixam passar os emails não autenticados enviados em seu nome. A auditoria sinaliza assim que lê p=none, ainda mais quando os relatórios rua também faltam. O caminho: endureça por etapas, p=quarantine e depois p=reject, de olho nos relatórios DMARC para não bloquear nenhum envio legítimo.

MX: registro ausente ou inválido

Sem MX, sem correio entrando. Um domínio sem MX não recebe nenhum email, e alguns filtros até o consideram ilegítimo no envio. Quando a auditoria devolve uma pontuação MX zerada, é porque nenhum registro foi encontrado. Publique pelo menos um MX válido. Se o domínio não deve receber correio, declare um null MX (0 .): é uma postura explícita, não um erro.

Plano de ação para melhorar sua segurança e sua entregabilidade

Ataque o trabalho por ordem de impacto. As duas tabelas abaixo classificam as correções do envio e depois da recepção, do mais crítico ao opcional.

Envio:

PrioridadeAçãoImpacto
1. CríticaConfigurar SPF com -all e ficar abaixo de 10 lookupsEvita a rejeição pelos servidores
2. AltaPublicar DKIM com chave ≥2048 bits para cada ESPAssinatura autêntica dos emails
3. AltaPassar DMARC para p=quarantine e depois p=rejectProteção contra falsificação
4. MédiaConfigurar os relatórios DMARC (rua) com o Monitoring DMARCMonitoramento das falhas
5. OpcionalAdicionar BIMI com logotipo certificadoReforça a confiança visual

Recepção:

PrioridadeAçãoImpacto
1. AltaPublicar ao menos 2 MX para a redundânciaGarante a recepção mesmo se um servidor cair
2. MédiaImplantar MTA-STS em modo enforceForça a criptografia TLS para os emails recebidos
3. BaixaPublicar um registro TLS-RPTRecebe os relatórios de falha de conexão TLS
4. BaixaAdicionar registros DANE/TLSA (se DNSSEC ativo)Autenticação criptográfica dos certificados MX

Dica: refaça a auditoria nos momentos que importam, antes de uma campanha, depois de trocar de provedor, a cada mudança DNS. Assim você flagra os problemas antes que penalizem seus envios ou exponham seu domínio.

Casos de uso concretos

Incidente 1: campanha de marketing com 80% no spam

Sintoma: Você envia uma newsletter via Mailchimp, mas a maioria cai no spam.

Diagnóstico com a auditoria:

  • MX = ✅ Pass
  • SPF = ❌ Fail → 14 lookups (limite ultrapassado)
  • DKIM = ❌ Fail → Seletor k1 não encontrado
  • DMARC = ⚠️ p=none

Ações prioritárias:

  1. Achatar o SPF para ficar abaixo de 10 lookups
  2. Publicar o CNAME DKIM do Mailchimp
  3. Passar o DMARC para p=quarantine

Incidente 2: emails B2B rejeitados pelo Microsoft 365

Sintoma: Seus emails profissionais são rejeitados pelos clientes que usam Outlook/Microsoft 365.

Diagnóstico com a auditoria:

  • SPF = ✅ Pass
  • DKIM = ✅ Pass
  • DMARC = ❌ Fail → Política p=reject mas alinhamento falhou

Ações prioritárias:

  1. Verificar se o domínio From corresponde ao domínio DKIM (alinhamento estrito)
  2. Configurar aspf=r e adkim=r para um alinhamento relaxado

Incidente 3: migração para o Google Workspace

Sintoma: Depois da migração para o Google Workspace, os emails caem no spam.

Diagnóstico com a auditoria:

  • SPF = ⚠️ Warning → include:_spf.google.com ausente
  • DKIM = ❌ Fail → Seletor google não publicado

Ações prioritárias:

  1. Adicionar include:_spf.google.com ao SPF
  2. Gerar e publicar a chave DKIM no Admin Console

FAQ - Perguntas frequentes

P: O que exatamente esta auditoria email verifica?

R: Nove protocolos repartidos em três pilares. No envio, a auditoria controla o SPF (servidores autorizados), o DKIM (assinatura criptográfica), o DMARC (política de autenticação) e o BIMI (logotipo da marca). Na recepção, cobre os MX (servidores de entrada), MTA-STS (criptografia TLS forçada), DANE (autenticação dos certificados via DNSSEC) e TLS-RPT (relatórios de falha TLS). O pilar de segurança DNS trata do DNSSEC (assinatura da zona) e do CAA (autoridades de certificação autorizadas).

P: Como funciona a pontuação de 100?

R: Três pilares ponderados se combinam: o envio (50%) reúne DMARC (40 pts), SPF (30 pts), DKIM (25 pts) e BIMI (5 pts); a recepção (35%) soma MX (40 pts), MTA-STS (30 pts), DANE (15 pts) e TLS-RPT (15 pts); a segurança DNS (15%) reparte DNSSEC (80 pts) e CAA (20 pts). Cada pilar é avaliado em 100, depois trazido ao total conforme seu peso. Acima de 90, a configuração está no ponto.

P: Por que meu SPF mostra "lookups demais"?

R: A RFC 7208 limita o SPF a 10 resoluções DNS. Cada include:, a:, mx: ou redirect= consome uma. Empilhe Mailchimp, Brevo e Google, e a conta estoura rápido. Para voltar abaixo da linha, nosso SPF Flattener converte seus includes em endereços IP diretos.

P: Como adiciono um seletor DKIM?

R: O seletor muda de um provedor para outro: k1 para Mailchimp, mail para Brevo, google para Google Workspace, selector1 e selector2 para Microsoft 365. Informe-o no formulário de auditoria, e a ferramenta confirma se ele está mesmo publicado na sua zona.

P: Qual política DMARC devo usar?

R: Avance por etapas. A gente começa em p=none para observar sem bloquear nada, passa para p=quarantine para mandar as mensagens suspeitas ao spam, e por fim tranca em p=reject para rejeitar tudo que não estiver autenticado. A cada passo, mantenha os relatórios rua ativos: são eles que evitam você bloquear um envio legítimo.

P: A auditoria é gratuita?

R: Sim, gratuita e sem cadastro. Você digita seu domínio, os resultados aparecem.

P: Meus dados são armazenados?

R: Não. A auditoria consulta apenas registros DNS públicos, acessíveis a qualquer um por uma consulta DNS padrão. Nada fica guardado conosco.

Ferramentas complementares

FerramentaUtilidade
Analisador de cabeçalhos de emailVerificar os veredictos SPF/DKIM/DMARC num email recebido
Inspetor SPFAnalisar em detalhe seu registro SPF
SPF FlattenerAchatar seu SPF para ficar abaixo dos 10 DNS lookups
Inspetor DKIMValidar suas chaves DKIM seletor por seletor
Inspetor DMARCDestrinchar e testar sua política DMARC
Verificador de propagação DNSConfirmar que seus registros DNS estão propagados globalmente
Verificador de blacklist IPVerificar se seu IP está em uma lista de bloqueio
Verificador de blacklist de domínioVerificar se seu domínio está em uma lista de bloqueio
Monitoring DMARCColetar e visualizar os relatórios DMARC agregados dos seus domínios
Analisador de relatórios TLS-RPTAnalisar os relatórios TLS-RPT recebidos por email

Recursos úteis