Ir para o conteúdo principal
CaptainDNS
NOVO·Monitoramento de segurança e entregabilidade de e-mail. Receba um alerta assim que uma mudança de nota ou de registro DNS colocar seu domínio em risco.Saiba mais

SPF Validator

Valide a sintaxe SPF e teste a autorização IP antes de publicar

Como corrigir erros de sintaxe SPF? Cole o seu registo SPF abaixo para validar a sintaxe, detetar mecanismos inválidos e verificar se um endereço IP é autorizado pela sua política.

Análise sintática completa

Verificação da estrutura v=spf1, mecanismos (ip4, mx, include) e modificadores (redirect, exp). Cada termo é validado individualmente.

Deteção de erros críticos

Identifique termos desconhecidos, valores em falta, duplicados e caracteres erróneos que quebrariam a sua política.

Contador de consultas DNS

Visualize o número de lookups DNS (include, mx, a, ptr, exists). Máximo 10 permitidos segundo RFC 7208.

Avisos de segurança

Sinalize qualificadores fracos (?all, +all) e políticas permissivas que enfraquecem a sua proteção anti-spoofing.

Teste de autorização IP

Insira um endereço IP para testá-lo contra a política SPF. Veja instantaneamente se o IP passaria (pass), falharia (fail) ou softfail - antes de enviar um único email.

Porquê validar a sintaxe SPF antes de publicar?

Um registo SPF (Sender Policy Framework) mal formado pode ter consequências imediatas: emails rejeitados, autenticação desativada ou, pior ainda, uma falsa sensação de segurança. A validação sintática deteta estes problemas antes de afetarem a sua entregabilidade.

Três casos de uso principais:

  • Novo SPF -> Valide a estrutura antes da primeira publicação
  • Modificação SPF -> Verifique que as alterações não introduzem erros
  • Diagnóstico de entregabilidade -> Confirme que a sintaxe não causa as rejeições

Como usar o validador em 3 passos

Passo 1: Copiar o registo SPF

Recupere o seu registo de:

  • A sua interface DNS (PTisp, Cloudflare, Route 53, etc.)
  • Uma ferramenta de lookup DNS
  • Diretamente do seu editor de texto se o está a escrever

Formato esperado:

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com -all

Passo 2: Colar no validador

Cole o registo completo no formulário acima. A ferramenta analisa automaticamente:

  • ✅ Estrutura base (v=spf1)
  • ✅ Mecanismos (ip4, ip6, mx, a, include, exists, ptr)
  • ✅ Modificadores (redirect, exp)
  • ✅ Qualificadores (+, -, ~, ?)
  • ✅ Diretiva final (all)

Passo 2b: Testar um IP (opcional)

Insira um endereço IP no campo dedicado para verificar se é autorizado pela política SPF:

  • Pass (verde): O IP está explicitamente autorizado
  • Fail (vermelho): O IP é explicitamente rejeitado
  • Softfail (laranja): O IP não está autorizado mas não é estritamente rejeitado
  • Neutral (cinzento): Sem correspondência ou sem opinião

A ferramenta avalia os mecanismos por ordem (ip4, ip6, a, mx, include) em conformidade com a RFC 7208 §4.6.2.

Passo 3: Corrigir e publicar

O relatório mostra:

  • Erros (vermelho): Problemas bloqueantes a corrigir
  • Avisos (laranja): Riscos de segurança ou boas práticas
  • Informações (azul): Detalhes sobre a estrutura analisada

Corrija os erros e depois publique no seu DNS.

O que é a sintaxe SPF?

Um registo SPF é uma cadeia de caracteres publicada num registo DNS TXT. A sua sintaxe segue uma estrutura precisa definida pela RFC 7208:

v=spf1 [qualificador]mecanismo [modificador] ... diretiva_final

Componentes:

ElementoExemplosFunção
Versãov=spf1Obrigatório, sempre primeiro
Qualificador+, -, ~, ?Determina a ação (pass, fail, softfail, neutral)
Mecanismoip4:, mx, include:, a:Define os remetentes autorizados
Modificadorredirect=, exp=Opções adicionais
Diretiva final-all, ~all, ?allAção padrão para não correspondências

O que analisa exatamente o validador?

Erros de sintaxe

Código de erroDescriçãoImpacto
missing_versionFalta v=spf1SPF ignorado (permerror)
unknown_mechanismMecanismo não reconhecidoSPF inválido
mechanism_missing_valueinclude: sem domínioSPF inválido
mechanism_invalid_valueIP ou CIDR mal formadoSPF inválido
duplicate_modifierDois redirect=SPF inválido
multiple_allMúltiplas diretivas allSPF inválido

Avisos de segurança

CódigoDescriçãoRisco
weak_qualifier?all (neutral)Sem proteção
permissive_all+allAutoriza todos
softfail_all~all sem transição para -allProteção parcial

Limites DNS

CódigoDescriçãoLimite RFC
lookup_limit_exceededMais de 10 consultas DNS10 máx
void_lookup_limit_exceededDemasiadas respostas vazias2 máx
lookup_cycleCiclo de referênciaProibido

Casos de uso concretos

Caso 1: Novo domínio, primeiro SPF

Situação: Está a configurar o email para captaindns.com com Google Workspace.

Ação: Valide antes de publicar:

v=spf1 include:_spf.google.com -all

Resultado esperado:

  • ✅ Sintaxe válida
  • ✅ 1 consulta DNS (abaixo do limite de 10)
  • ✅ Diretiva final rigorosa (-all)

Caso 2: Adicionar um novo serviço de marketing

Situação: Está a adicionar Mailchimp ao seu SPF existente.

SPF atual:

v=spf1 include:_spf.google.com -all

SPF modificado:

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

Validação: Confirme que a adição não ultrapassa 10 lookups e que a sintaxe continua válida.

Caso 3: "permerror" em produção

Sintoma: Os seus emails falham com SPF permerror.

Diagnóstico: Cole o registo no validador.

Erro detetado:

v=spf1 ip4:203.0.113.42 include: -all

Erro: mechanism_missing_value - include: sem domínio.

Correção:

v=spf1 ip4:203.0.113.42 include:_spf.captaindns.com -all

Caso 4: Demasiadas consultas DNS

Sintoma: O validador mostra lookup_limit_exceeded.

Diagnóstico: O seu SPF tem demasiados includes:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:amazonses.com include:_spf.salesforce.com include:sendgrid.net include:mailchimp.com -all

Soluções:

  1. Substitua alguns includes por ip4/ip6 diretos
  2. Use um subdomínio dedicado (ex: marketing.captaindns.com)
  3. Remova os serviços não utilizados
  4. Use nosso SPF Flattener para resolver automaticamente os includes em IPs

Testar um IP contra a política SPF

Porquê testar um IP contra um registo SPF?

Quando um email é recebido, o servidor destinatário verifica se o IP do remetente é autorizado pelo SPF do domínio. Se o IP não estiver coberto, o email pode ser rejeitado ou marcado como suspeito.

Casos de uso comuns:

  • Novo servidor de correio -> Verifique que o seu IP está coberto antes do primeiro envio
  • Serviço de terceiros (Mailchimp, SendGrid, SES) -> Confirme que o include cobre os IPs do prestador
  • Diagnóstico "SPF fail" -> Identifique exatamente qual mecanismo rejeita o IP
  • Migração de servidor -> Teste os novos IPs antes de descontinuar os antigos

Como funciona o teste IP?

A ferramenta avalia o registo SPF mecanismo por mecanismo, por ordem:

  1. ip4/ip6: Correspondência direta de IP ou CIDR
  2. a: Resolução DNS do domínio, comparação com o IP
  3. mx: Resolução dos servidores MX, depois dos seus IPs
  4. include: Avaliação recursiva do SPF do domínio incluído
  5. all: Correspondência universal (resultado segundo o qualificador)

O primeiro mecanismo que corresponde determina o resultado. Se nenhum corresponder e não houver diretiva all, o resultado é "neutral".

FAQ - Perguntas frequentes

P: O que é um registo SPF?

R: SPF (Sender Policy Framework) é um registo DNS TXT que lista os servidores autorizados a enviar emails pelo seu domínio. Formato: v=spf1 seguido de mecanismos (ip4, mx, include) e uma diretiva final (-all, ~all).

P: Porquê validar a sintaxe SPF antes de publicar?

R: Um registo SPF mal formado gera um erro permanente (permerror) que pode rejeitar todos os seus emails ou desativar completamente a verificação SPF. Validar antes de publicar evita interrupções de serviço.

P: Qual é o limite de consultas DNS para SPF?

R: A RFC 7208 limita a avaliação SPF a 10 consultas DNS. Cada include, a, mx, ptr e exists conta. Ultrapassar este limite gera um permerror e pode falhar a autenticação.

P: O que significa o qualificador -all vs ~all?

R:

  • -all (hard fail): Rejeita os emails não autorizados
  • ~all (soft fail): Marca como suspeitos mas aceita

Comece com ~all em testes, depois mude para -all em produção para máxima proteção.

P: Como corrijo o erro "too many DNS lookups"?

R:

  1. Substitua includes por ip4/ip6 diretos
  2. Remova mecanismos não utilizados
  3. Use subdomínios com o seu próprio SPF
  4. Evite ptr (obsoleto e dispendioso em consultas)

P: Posso ter vários registos SPF?

R: Não. A RFC exige um único registo SPF por domínio. Vários registos geram um permerror. Funda as suas políticas num único TXT que comece por v=spf1.

P: A ferramenta valida os domínios dos includes?

R: O validador verifica a sintaxe dos domínios referenciados por include e redirect. Para uma análise completa com resolução DNS e contagem recursiva de lookups, use o Inspetor SPF.

Ferramentas complementares

FerramentaUtilidade
Gerador SPFCriar um registro SPF válido a partir dos seus provedores de email
Inspetor SPFAnalisar um SPF publicado com resolução DNS completa
SPF FlattenerAchatar seu SPF para ficar dentro do limite de 10 DNS lookups
Inspetor DKIMValidar a sua assinatura DKIM
Inspetor DMARCConfigurar e testar a sua política DMARC
Validador DMARCValidar a sintaxe de um registo DMARC antes da publicação
Analisador de cabeçalhos emailDiagnosticar SPF/DKIM/DMARC num email recebido

Recursos úteis