Configuração SPF, DKIM e DMARC em Portugal:
emails que chegam à caixa de entrada — não ao spam
Cerca de 20% dos emails legítimos de empresas nunca chegam ao destino por falta de autenticação de email correta. Configuramos SPF, DKIM e DMARC para garantir entregabilidade máxima, proteger o domínio de spoofing e cumprir as exigências de 2024 do Google e Yahoo para envio em volume.
Tudo o que recebe na configuração de autenticação de email
Configuração completa de SPF, DKIM e DMARC para o domínio e todas as plataformas de envio — com monitorização dos primeiros 30 dias de relatórios DMARC.
Quando a falta de SPF, DKIM e DMARC custa dinheiro
Situações concretas onde a ausência de autenticação de email tem impacto direto no negócio — e que uma configuração correta resolve de forma permanente.
Propostas comerciais que vão para spam
Um comercial envia uma proposta importante e o cliente nunca a viu — foi direto para a pasta de spam. Sem DKIM e SPF corretos, emails enviados por um servidor desconhecido têm alta probabilidade de ser filtrados pelos clientes de email empresarial.
Clientes a receber emails fraudulentos com o domínio da empresa
Alguém está a enviar emails de phishing em nome do domínio da empresa, pedindo pagamentos ou dados a clientes. Sem DMARC com política "reject", qualquer pessoa pode enviar emails com o endereço de remetente da empresa — o DMARC bloqueia isto.
Campanhas de newsletter bloqueadas pelo Google
Desde fevereiro de 2024, o Google exige DMARC, SPF e DKIM para qualquer remetente que envie mais de 5.000 emails por dia para contas Gmail. Sem conformidade, as campanhas são rejeitadas em bloco — independentemente do conteúdo.
Emails transacionais nunca chegam aos clientes
Confirmações de encomenda, recuperação de password, faturas enviadas por email — emails transacionais críticos que o cliente nunca vê porque são filtrados como spam pelo cliente de email. Com autenticação correta, a entregabilidade de transacionais sobe para 99%+.
Múltiplas plataformas de envio sem coordenação
A empresa usa Gmail para email do dia-a-dia, Mailchimp para newsletters e uma plataforma de faturação que envia faturas por email — e nenhuma está corretamente autorizada no SPF/DKIM. O resultado são emails com resultados de autenticação inconsistentes.
Domínio na lista negra por falta de controlo
O domínio acabou numa blacklist de email porque terceiros não autorizados enviaram email em seu nome (spoofing) e os destinatários marcaram como spam. DMARC com política "reject" impede que isto aconteça — e ajuda a sair das listas negras.
Os vossos emails estão a chegar onde devem?
Verificamos gratuitamente o estado atual do SPF, DKIM e DMARC do domínio e identificamos o que precisa de ser corrigido. Proposta em 24 horas.
Da auditoria à autenticação de email completa — sem risco
Uma abordagem progressiva que garante que nenhum email legítimo é bloqueado durante a configuração — o erro mais comum quando se avança demasiado depressa para políticas restritivas.
Auditoria do domínio e plataformas de envio
Analisamos os registos DNS atuais, testamos o estado atual de SPF, DKIM e DMARC, e mapeamos todas as plataformas que enviam email em nome do domínio — incluindo as que possam ter sido esquecidas.
Configuração de SPF e DKIM
Criamos ou corrigimos o registo SPF para incluir todos os serviços autorizados, e ativamos DKIM em cada plataforma de envio com adição dos registos públicos ao DNS. Verificamos a propagação e validamos com ferramentas de teste.
DMARC em modo monitorização
Ativamos o DMARC com política "p=none" e configuramos a receção e agregação de relatórios. Nesta fase, nenhum email é bloqueado — apenas recolhemos dados sobre todos os envios em nome do domínio.
Análise de relatórios e ajustes
Após 2-4 semanas de relatórios, identificamos se todos os serviços legítimos estão corretamente autorizados e se há envios não autorizados a usar o domínio. Fazemos os ajustes necessários antes de avançar.
Escalada para política enforce
Com a validação completa, escalamos a política DMARC de "none" para "quarantine" e depois para "reject" — protegendo o domínio de spoofing sem qualquer impacto no email legítimo.
O que configuramos e monitoramos
Utilizamos as melhores ferramentas de diagnóstico e monitorização de email para garantir que a configuração está correta e se mantém assim ao longo do tempo.
SPF (Sender Policy Framework)
Registo DNS TXT que lista todos os servidores e serviços autorizados a enviar email em nome do domínio. Os servidores de destino verificam o SPF e rejeitam emails de servidores não autorizados.
DKIM (DomainKeys Identified Mail)
Assinatura criptográfica adicionada a cada email enviado, verificável pelo servidor de destino com a chave pública no DNS. Garante que o email não foi alterado em trânsito e que foi enviado por um servidor autorizado.
DMARC (Domain-based Message Authentication)
Política que define o que acontece a emails que falhem SPF e DKIM: monitorizar (none), colocar em quarentena (quarantine) ou rejeitar (reject). Inclui relatórios automáticos de todos os envios em nome do domínio.
Ferramentas de análise DMARC
Configuramos plataformas como DMARC Analyzer, dmarcian ou Postmark DMARC para converter os relatórios XML brutos em dashboards legíveis que mostram quem está a enviar email em nome do domínio e com que resultados.
Ferramentas de teste e validação
Utilizamos MXToolbox, Mail-Tester, Google Postmaster Tools e o testador de entregabilidade do Google para validar a configuração e medir o impacto na entregabilidade antes de dar o trabalho por concluído.
BIMI (Brand Indicators for Message Identification)
O próximo nível após DMARC enforce. Mostra o logótipo da empresa no cliente de email do destinatário. Requer DMARC com política "quarantine" ou "reject" ativa. Configurado como serviço adicional após a configuração base.
Configuração de email que funciona — e que se mantém a funcionar
Configurar SPF, DKIM e DMARC parece simples — até que se bloqueia email legítimo por um erro de configuração. A nossa abordagem progressiva garante que isso não acontece. Complementa o nosso serviço de Email Profissional para Empresas.
Abordagem progressiva sem risco
Começamos sempre em modo monitorização antes de ativar qualquer política restritiva. Este processo evita o bloqueio acidental de emails legítimos — o erro mais comum quando a configuração é feita sem experiência.
Todas as plataformas de envio cobertas
Mapeamos e autorizamos cada plataforma que envia email em nome do domínio — servidor principal, newsletter, CRM, faturação, plataforma transacional — para que nenhum email legítimo falhe autenticação.
Monitorização dos primeiros 30 dias incluída
Não configuramos e desaparecemos. Os primeiros 30 dias de relatórios DMARC são analisados e reportados — é neste período que se identificam serviços não mapeados ou configurações que precisam de ajuste.
Resultado permanente — não mensal
Ao contrário de muitos serviços de gestão de email, esta é uma configuração que se faz uma vez e permanece a funcionar indefinidamente. Não é necessário contrato mensal para manter a autenticação ativa.
Conformidade com requisitos 2024
Google e Yahoo exigem DMARC, SPF e DKIM para qualquer remetente com mais de 5.000 emails diários desde fevereiro de 2024. A configuração que entregamos garante conformidade total com estas exigências e com as melhores práticas de entregabilidade.
Suporte em português, resposta rápida
Equipa baseada em Portugal, suporte em português e fuso horário local. Quando surgem questões sobre entregabilidade ou relatórios DMARC, respondemos com clareza — sem jargão técnico desnecessário.
Dúvidas sobre Configuração SPF, DKIM e DMARC
Os meus emails vão imediatamente para a caixa de entrada após a configuração?
Para a maioria dos destinatários, a melhoria na entregabilidade é imediata após a propagação dos registos DNS — que demora tipicamente entre 30 minutos e 4 horas. Domínios com histórico negativo prolongado (muitos bounces, reclamações de spam, listas negras) podem precisar de algumas semanas de envio consistente com boa configuração para recuperar reputação junto dos principais filtros de email. Nos casos mais complexos, um programa de warm-up controlado pode acelerar a recuperação da reputação do domínio.
O que acontece se o DMARC estiver mal configurado?
Uma política DMARC mal configurada pode bloquear emails legítimos — especialmente se se avançar diretamente para "p=reject" sem perceber quais os serviços que enviam email em nome do domínio. Por isso, começamos sempre com política de monitorização (p=none), que não bloqueia nada mas gera relatórios. Analisamos os relatórios durante 2-4 semanas para identificar todos os serviços autorizados e qualquer envio legítimo que precise de ser incluído no SPF/DKIM. Só depois avançamos para "quarantine" e finalmente "reject", garantindo que nenhum email legítimo é afetado.
Uso várias plataformas de envio (newsletter, CRM, transacional). Funciona?
Sim — e é precisamente este cenário que exige configuração cuidadosa. Cada plataforma de envio (Mailchimp, SendGrid, HubSpot, Brevo, ActiveCampaign, plataforma transacional própria) precisa de estar autorizada no registo SPF e ter o seu DKIM configurado no DNS do domínio. Mapeamos todas as plataformas que enviam email em nome do domínio, incluímos todas no SPF e ativamos DKIM para cada uma. Os relatórios DMARC ajudam a confirmar que nenhuma plataforma ficou de fora.
Quanto tempo demora a propagação das alterações DNS?
A propagação depende do TTL (Time To Live) dos registos DNS existentes e do DNS provider. Com TTLs padrão, a propagação pode demorar entre 15 minutos e 48 horas, embora a maioria dos resolvers DNS propague as alterações em menos de 4 horas. Para acelerar a propagação em intervenções urgentes, reduzimos o TTL antes de fazer as alterações — desta forma, as alterações propagam muito mais rapidamente quando são publicadas.
Monitorizam os relatórios DMARC após a configuração?
Sim — configuramos uma ferramenta de agregação e análise de relatórios DMARC (como DMARC Analyzer, dmarcian ou similar) que converte os relatórios XML brutos em informação legível. Fornecemos uma leitura dos primeiros 30 dias de relatórios para validar que todos os serviços autorizados estão corretamente configurados, identificar qualquer tentativa de spoofing do domínio e confirmar que a política pode ser escalada de "none" para "quarantine" ou "reject" com segurança.
Também configuram o BIMI?
Sim — o BIMI (Brand Indicators for Message Identification) é o próximo nível após o DMARC com política "enforce". Permite que o logótipo da empresa apareça junto ao nome do remetente em clientes de email compatíveis (Gmail, Yahoo, Apple Mail), aumentando o reconhecimento da marca e a confiança dos destinatários. A configuração do BIMI exige DMARC com política "quarantine" ou "reject" ativa e, para Gmail, um certificado VMC (Verified Mark Certificate) — disponível como serviço adicional após a configuração base de SPF/DKIM/DMARC.