O que é um registro SPF?
SPF (Sender Policy Framework) é um mecanismo de autenticação de email definido na RFC 7208. Ele permite que um domínio declare quais servidores estão autorizados a enviar emails em seu nome.
Por que configurar SPF:
- Proteger seu domínio — Impede a falsificação de identidade (spoofing) dos seus emails
- Melhorar a entregabilidade — Emails legítimos são melhor aceitos pelos destinatários
- Pré-requisito para DMARC — SPF é um dos dois pilares da autenticação DMARC (junto com DKIM)
- Padrão da indústria — Todos os grandes provedores (Gmail, Outlook, Yahoo) verificam SPF
Sintaxe de um registro SPF
Um registro SPF é um registro DNS TXT que sempre começa com v=spf1:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
Mecanismos SPF
| Mecanismo | Descrição | Exemplo | DNS Lookup |
|---|---|---|---|
include: | Inclui o SPF de outro domínio | include:_spf.google.com | Sim |
ip4: | Autoriza um endereço ou faixa IPv4 | ip4:192.0.2.1 ou ip4:192.0.2.0/24 | Não |
ip6: | Autoriza um endereço ou faixa IPv6 | ip6:2001:db8::1 | Não |
a | Autoriza o IP do registro A do domínio | a ou a:mail.exemplo.com | Sim |
mx | Autoriza os servidores MX do domínio | mx | Sim |
all | Define o comportamento padrão | -all, ~all, ?all | Não |
Qualificadores de política
| Política | Sintaxe | Significado | Recomendação |
|---|---|---|---|
| Fail | -all | Rejeitar emails não autorizados | Produção (após testes) |
| Softfail | ~all | Marcar como suspeito mas aceitar | Recomendado para começar |
| Neutral | ?all | Nenhuma política (proteção fraca) | Não recomendado |
O limite de 10 DNS lookups
A RFC 7208 impõe um máximo de 10 DNS lookups durante a avaliação de um registro SPF. É um limite estrito que, se ultrapassado, causa um erro permerror e a falha da validação.
O que conta como lookup
| Mecanismo | Conta como lookup? | Observação |
|---|---|---|
include: | Sim (+ lookups aninhados) | Google = ~4 lookups |
a | Sim | |
mx | Sim | + 1 por MX resolvido |
redirect= | Sim | |
exists: | Sim | |
ip4: / ip6: | Não | Use-os para economizar |
all | Não |
Exemplo de contagem
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
| Mecanismo | Lookups |
|---|---|
include:_spf.google.com | 4 |
include:sendgrid.net | 1 |
include:servers.mcsv.net | 1 |
mx | 1 |
| Total | 7 / 10 |
Nosso gerador exibe esse contador em tempo real para ajudar você a ficar dentro do limite.
Provedores de email pré-configurados
Nosso gerador inclui 14 provedores com seus includes SPF oficiais:
| Provedor | Include SPF | DNS Lookups |
|---|---|---|
| Google Workspace | _spf.google.com | ~4 |
| Microsoft 365 | spf.protection.outlook.com | ~2 |
| SendGrid | sendgrid.net | 1 |
| Mailchimp | servers.mcsv.net | 1 |
| Amazon SES | amazonses.com | 1 |
| Brevo (Sendinblue) | sendinblue.com | 1 |
| Mailgun | mailgun.org | 1 |
| Postmark | spf.mtasv.net | 1 |
| HubSpot | spf.hubspot.com | 1 |
| Salesforce | _spf.salesforce.com | ~2 |
| Zendesk | mail.zendesk.com | 1 |
| Freshdesk | email.freshdesk.com | 1 |
| Zoho | zoho.com | 1 |
| Klaviyo | _spf.klaviyo.com | 1 |
FAQ - Perguntas frequentes
P: Como criar um registro SPF para meu domínio?
R: Use nosso gerador: 1) Selecione seus provedores de email, 2) Adicione seus IPs personalizados se necessário, 3) Escolha a política (~all recomendado), 4) Copie o registro TXT e adicione-o na sua zona DNS.
P: Qual é o limite de 10 DNS lookups do SPF?
R: A RFC 7208 impõe um máximo de 10 DNS lookups. Cada include, a, mx, redirect e exists conta. Os ip4/ip6 não contam. Ultrapassar esse limite causa um erro permerror.
P: Qual a diferença entre ~all e -all?
R: ~all (softfail) marca emails não autorizados como suspeitos. -all (fail) os rejeita. Comece com ~all para testar, depois passe para -all em produção.
P: Posso ter vários registros SPF?
R: Não, um domínio deve ter apenas um SPF. Vários SPF causam um erro permerror. Combine seus provedores em um único registro.
P: Como configurar SPF para Google Workspace?
R: Adicione include:_spf.google.com. Nosso gerador faz isso automaticamente. Esse include conta aproximadamente 4 DNS lookups.
P: Como configurar SPF para Microsoft 365?
R: Adicione include:spf.protection.outlook.com. Nosso gerador adiciona quando você seleciona Microsoft 365. Conta aproximadamente 2 lookups.
P: Como resolver "too many DNS lookups"?
R: 1) Remova includes não utilizados, 2) Substitua alguns includes por IPs diretos (ip4/ip6), 3) Use um serviço de SPF flattening. Nosso gerador exibe o contador para prevenir esse problema.
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| SPF Record Check | Verifique seu SPF publicado e sua validade |
| SPF Syntax Check | Valide a sintaxe SPF antes da publicação |
| DKIM Generator | Crie suas chaves DKIM (RSA/Ed25519) |
| DMARC Generator | Configure DMARC para completar a autenticação |
| Mail Tester | Teste a entregabilidade dos seus emails |
Recursos úteis
- RFC 7208 - Sender Policy Framework (SPF) — Especificação oficial SPF
- RFC 7489 - DMARC — Como SPF se integra com DMARC
- Google Workspace - Configurar SPF — Guia oficial Google
- Microsoft 365 - Configurar SPF — Guia oficial Microsoft