15 min de leitura · Guia técnico
Testar DKIM e SPF significa verificar se os registros de autenticação de email do seu domínio estão publicados corretamente no DNS e sendo validados pelos servidores de destino. Para executar esse checklist completo, siga os passos abaixo:
- Consulte o registro SPF no DNS com
digou uma ferramenta online como MXToolbox. - Verifique o registro DKIM publicado no DNS usando o seletor correto do seu servidor.
- Envie um email de teste para uma ferramenta como mail-tester.com e analise o resultado.
- Inspecione o cabeçalho do email recebido e localize o campo
Authentication-Results. - Confirme que ambos retornam
passe configure DMARC para completar a tríade de autenticação.
Pré-requisitos para testar DKIM e SPF corretamente
- Acesso ao painel de gerenciamento de DNS do seu domínio (cPanel, Cloudflare, Registro.br ou similar).
- Conhecimento do seletor DKIM configurado no servidor de email (ex.:
default,mail,google). - Acesso a um terminal Linux com
diginstalado, ou acesso a ferramentas online como MXToolbox e mail-tester.com. - Um endereço de email externo para receber mensagens de teste (Gmail, Outlook ou Proton Mail).
- Permissão para visualizar cabeçalhos completos de email no cliente de email utilizado.
- Se usar cPanel, acesso ao módulo de Email Authentication ou ao Gerenciador de Zonas DNS.
Como verificar o registro SPF no DNS do seu domínio
A validação do registro SPF começa pela consulta direta ao DNS. O SPF (Sender Policy Framework) é um registro TXT que lista os servidores autorizados a enviar email pelo seu domínio. Antes de qualquer teste de entrega, confirme que o registro existe e está sintaticamente correto.
No terminal Linux (Debian 12, Ubuntu 24.04 ou qualquer distribuição com bind-utils ou dnsutils), execute:
dig TXT seudominio.com.br +shortO output esperado deve conter uma linha iniciando com v=spf1:
"v=spf1 include:_spf.seudominio.com.br ip4:203.0.113.10 ~all"Pontos críticos a verificar nessa saída:
- Apenas um registro SPF: se aparecerem dois registros
v=spf1distintos, o SPF será inválido. Consolide tudo em uma única linha TXT. - Mecanismo
allcorreto:~all(softfail) é mais permissivo;-all(hardfail) rejeita emails não autorizados. Escolha conforme sua política. - Limite de 10 lookups DNS: cada
include:consome um lookup. Exceder 10 invalida o SPF silenciosamente.
Para uma verificação visual rápida, acesse mxtoolbox.com/spf.aspx, insira seu domínio e clique em "SPF Record Lookup". A ferramenta exibe o registro completo, conta os lookups e aponta erros de sintaxe.
Se você gerencia o DNS pelo cPanel, consulte o artigo Como Configurar DNS Personalizado para Seu Domínio na AviraHost para localizar a zona DNS correta antes de editar registros.
Como verificar o registro DKIM publicado no DNS
A autenticação DKIM (DomainKeys Identified Mail) depende de um par de chaves criptográficas: a chave privada fica no servidor de email e assina cada mensagem enviada; a chave pública é publicada no DNS como registro TXT e permite que servidores de destino validem a assinatura.
Para consultar a chave pública DKIM, você precisa saber o seletor configurado. Em servidores com cPanel/WHM, o seletor padrão costuma ser default. Em Google Workspace, é google. Em Postfix com OpenDKIM, você define o seletor no arquivo de configuração.
Execute no terminal:
dig TXT default._domainkey.seudominio.com.br +shortOutput esperado (chave pública RSA truncada):
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3..."Se o comando retornar vazio ou NXDOMAIN, o registro DKIM não está publicado. Verifique:
- Se o seletor usado na consulta corresponde ao configurado no servidor de email.
- Se o registro foi adicionado na zona DNS correta (especialmente em domínios com nameservers externos ao servidor de email).
- Se houve propagação de DNS — aguarde até 48 horas após a publicação.
No MXToolbox, use a ferramenta DKIM Lookup em mxtoolbox.com/dkim.aspx. Informe o domínio e o seletor. A ferramenta decodifica a chave pública e confirma se o registro está bem formado.
Como testar DKIM e SPF enviando um email real
A verificação prática de autenticação de email exige o envio de uma mensagem real, pois apenas a consulta DNS não confirma que o servidor está assinando corretamente com DKIM. Existem dois métodos principais:
Método 1: mail-tester.com
- Acesse mail-tester.com. A ferramenta gera um endereço temporário único, como
[email protected]. - Envie um email do seu domínio para esse endereço. Use o mesmo servidor e conta que seus usuários utilizam no dia a dia.
- Clique em "Then check your score". O relatório exibirá:
- SPF: pass ou fail, com o IP verificado.
- DKIM: pass ou fail, com o seletor identificado.
- DMARC: alinhamento entre SPF/DKIM e o domínio do remetente.
- Pontuação geral de 1 a 10, com detalhes sobre listas negras e conteúdo.
Método 2: inspecionar cabeçalho no Gmail
- Envie um email do seu domínio para uma conta Gmail.
- Abra a mensagem recebida. Clique nos três pontos (⋮) no canto superior direito da mensagem e selecione "Mostrar original".
- Localize o campo
Authentication-Resultsno cabeçalho completo.
Exemplo de cabeçalho com autenticação bem-sucedida:
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=default header.b=AbCdEfGh;
spf=pass (google.com: domain of [email protected] designates 203.0.113.10 as permitted sender) [email protected];
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=seudominio.com.brSe qualquer campo mostrar fail ou softfail, o problema está na configuração correspondente — não na ferramenta de teste.
Método 3: Google Admin Toolbox — Verificador de Cabeçalhos
Acesse toolbox.googleapps.com/apps/messageheader, cole o cabeçalho completo do email e clique em "Analyze the header above". A ferramenta destaca visualmente cada etapa de autenticação e o tempo de entrega entre servidores.
Como verificar DKIM e SPF via linha de comando com nslookup
O diagnóstico de registros DNS de email também pode ser feito com nslookup, disponível em Linux, macOS e Windows. Isso é útil quando o servidor não tem dig instalado ou quando você está em um ambiente Windows.
Para verificar o SPF:
nslookup -type=TXT seudominio.com.brPara verificar o DKIM com seletor default:
nslookup -type=TXT default._domainkey.seudominio.com.brEm Rocky Linux 9 ou AlmaLinux 9, instale as ferramentas de DNS com:
dnf install bind-utils -yEm Debian 12 ou Ubuntu 24.04:
apt install dnsutils -yApós instalar, use dig normalmente. Para forçar a consulta em um servidor DNS específico (útil para verificar propagação antes de mudar o nameserver padrão), use:
dig TXT seudominio.com.br @8.8.8.8 +shortO @8.8.8.8 direciona a consulta ao DNS público do Google, garantindo que você está vendo o que o mundo externo enxerga — não o cache local do servidor.
Como configurar DMARC após validar DKIM e SPF
A política DMARC (Domain-based Message Authentication, Reporting and Conformance) é o terceiro pilar da autenticação de email e só funciona corretamente quando DKIM e SPF já estão validados. O DMARC instrui servidores de destino sobre o que fazer quando um email falha na autenticação.
Verifique se o DMARC já está publicado:
dig TXT _dmarc.seudominio.com.br +shortOutput esperado:
"v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"Significado dos parâmetros principais:
p=none: modo de monitoramento — não rejeita emails, apenas envia relatórios. Ideal para início.p=quarantine: emails que falham vão para spam.p=reject: emails que falham são rejeitados. Use apenas após confirmar que DKIM e SPF estão 100% funcionais.rua: endereço para receber relatórios agregados diários.
Para criar o registro DMARC no DNS, adicione um novo registro TXT com o nome _dmarc e o valor acima. Se você gerencia o domínio pelo cPanel, o artigo Como gerenciar um domínio explica como acessar o editor de zona DNS.
Problemas comuns e como resolver
Sintoma: SPF retorna "permerror" ou "too many DNS lookups"
Causa: o registro SPF excede o limite de 10 consultas DNS recursivas. Cada diretiva include:, a: e mx: consome um lookup. Provedores como Google Workspace, SendGrid e Mailchimp adicionam múltiplos includes, e a soma pode ultrapassar o limite facilmente.
Solução: use uma ferramenta como dmarcian.com/spf-survey para contar os lookups atuais. Substitua includes redundantes por IPs diretos com ip4: ou ip6:, que não consomem lookups. Considere serviços de "SPF flattening" que consolidam automaticamente os IPs em um único registro.
Sintoma: DKIM retorna "fail" mesmo com o registro publicado no DNS
Causa: a chave privada no servidor de email não corresponde à chave pública publicada no DNS. Isso ocorre após migrações de servidor, reinstalações do agente DKIM (como OpenDKIM ou amavisd) ou quando o registro DNS foi copiado incorretamente (caracteres truncados ou quebras de linha indevidas).
Solução: regenere o par de chaves no servidor de email, atualize o registro TXT no DNS com a nova chave pública e aguarde a propagação. No cPanel/WHM, acesse Email > Email Authentication e clique em "Install" para regenerar e publicar automaticamente. Após a propagação, reenvie o email de teste e verifique o cabeçalho novamente.
Sintoma: DMARC retorna "fail" mesmo com SPF e DKIM passando
Causa: o DMARC exige alinhamento — o domínio autenticado pelo SPF ou DKIM deve corresponder ao domínio do cabeçalho From:. Se você usa um serviço de envio terceirizado (como Mailchimp ou SendGrid) sem configurar o DKIM com seu próprio domínio, o SPF pode passar pelo domínio do provedor, mas o alinhamento com o From: do seu domínio falha.
Solução: configure o DKIM com seu próprio domínio no painel do provedor de envio (todos os grandes provedores suportam isso). Isso garante que a assinatura DKIM use @seudominio.com.br e o alinhamento DMARC seja satisfeito.
Sintoma: emails chegam ao spam mesmo com SPF e DKIM passando
Causa: autenticação de email é necessária, mas não suficiente para evitar spam. Outros fatores incluem reputação do IP de envio, presença em listas negras (blacklists), conteúdo do email com palavras-chave de spam, ausência de cabeçalho List-Unsubscribe em emails em massa ou taxa de reclamação elevada.
Solução: verifique se o IP do servidor está em blacklists usando mxtoolbox.com/blacklists.aspx. Analise o relatório completo do mail-tester.com, que pontua cada fator individualmente. Se o IP estiver listado, solicite remoção diretamente nas blacklists identificadas e revise as práticas de envio.
Perguntas frequentes sobre DKIM e SPF
Como saber se o DKIM está funcionando corretamente?
Envie um email de teste para um endereço externo (como Gmail ou Outlook) e verifique o cabeçalho da mensagem recebida. Procure pelo campo Authentication-Results — se aparecer dkim=pass, o DKIM está validando corretamente. Você também pode usar ferramentas como MXToolbox ou mail-tester.com para verificar sem precisar enviar emails manualmente, obtendo um relatório detalhado com o seletor identificado e o status de cada mecanismo.
O que acontece se o SPF estiver errado ou ausente?
Sem um registro SPF válido, servidores de destino podem rejeitar ou marcar como spam os emails enviados pelo seu domínio. O SPF define quais IPs estão autorizados a enviar email em nome do domínio, e sua ausência aumenta drasticamente a chance de entrega falhar ou cair em lixo eletrônico. Erros comuns incluem múltiplos registros SPF no DNS ou uso incorreto dos mecanismos include e all, que podem invalidar silenciosamente toda a política.
Posso ter DKIM e SPF configurados ao mesmo tempo?
Sim, e é altamente recomendado. DKIM e SPF são mecanismos complementares: o SPF valida o servidor de envio pelo IP, enquanto o DKIM assina criptograficamente o conteúdo do email. Usar ambos, junto com DMARC, forma a tríade de autenticação de email mais robusta disponível atualmente, reduzindo significativamente o risco de spoofing e phishing usando seu domínio.
Qual ferramenta online usar para testar DKIM e SPF?
As ferramentas mais confiáveis são MXToolbox (mxtoolbox.com), mail-tester.com e o verificador de cabeçalhos do Google Admin Toolbox. O MXToolbox permite consultar registros DNS diretamente, enquanto o mail-tester.com analisa um email real enviado para um endereço temporário gerado pela ferramenta, retornando uma pontuação detalhada com cada fator de entregabilidade avaliado individualmente.
DKIM e SPF precisam ser reconfigurados ao trocar de servidor?
Sim. Ao migrar para um novo servidor ou provedor de email, o registro SPF deve ser atualizado para incluir o novo IP ou mecanismo include do novo provedor. O DKIM também precisa ser reconfigurado, pois o par de chaves pública/privada é gerado no servidor de envio — a chave pública no DNS deve corresponder à chave privada usada pelo novo servidor. Ignorar essa etapa após uma migração é uma das causas mais comuns de falha de entrega de email.
Conclusão
Após executar este checklist, você terá confirmado que a autenticação de email do seu domínio está funcionando de ponta a ponta. Os próximos passos recomendados são:
- Ative o DMARC em modo
p=noneimediatamente após validar SPF e DKIM, para começar a receber relatórios de autenticação sem impactar a entrega. - Monitore os relatórios DMARC semanalmente durante 30 dias antes de migrar para
p=quarantineoup=reject, garantindo que nenhum fluxo legítimo de email seja bloqueado. - Repita o checklist após qualquer mudança de servidor, provedor de email ou configuração de DNS, pois migrações são a principal causa de quebra silenciosa de autenticação de email.
Leia também
- Checklist para configurar servidor de email seguro no Ubuntu 22.04
- Checklist de DNS: o que todo sysadmin precisa verificar
- Checklist para Configurar e Testar Limite de E-mails Enviados por Hora no VPS Linux e Servidor Dedicado
Precisa de ajuda com email profissional e configuração de DNS?
Configurar DKIM, SPF e DMARC corretamente exige acesso ao DNS do domínio e ao servidor de email simultaneamente. Na AviraHost, os planos de hospedagem incluem suporte a email profissional com autenticação integrada, facilitando a publicação e manutenção desses registros sem complicações técnicas.
Conheça os planos de hospedagem da AviraHost com email profissional incluso
