Checklist: como testar se o DKIM e SPF estão configurados

Por Equipe Técnica AviraHost · 15 min de leitura · Atualizado em · DKIM, SPF, email, DNS, AviraHost · 0

Testar DKIM e SPF significa verificar se os registros de autenticação de email do seu domínio estão publicados corretamente no DNS e sendo validados pelos servidores de destino. Para executar esse checklist completo, siga os passos abaixo:

  1. Consulte o registro SPF no DNS com dig ou uma ferramenta online como MXToolbox.
  2. Verifique o registro DKIM publicado no DNS usando o seletor correto do seu servidor.
  3. Envie um email de teste para uma ferramenta como mail-tester.com e analise o resultado.
  4. Inspecione o cabeçalho do email recebido e localize o campo Authentication-Results.
  5. Confirme que ambos retornam pass e configure DMARC para completar a tríade de autenticação.

Pré-requisitos para testar DKIM e SPF corretamente

  • Acesso ao painel de gerenciamento de DNS do seu domínio (cPanel, Cloudflare, Registro.br ou similar).
  • Conhecimento do seletor DKIM configurado no servidor de email (ex.: default, mail, google).
  • Acesso a um terminal Linux com dig instalado, ou acesso a ferramentas online como MXToolbox e mail-tester.com.
  • Um endereço de email externo para receber mensagens de teste (Gmail, Outlook ou Proton Mail).
  • Permissão para visualizar cabeçalhos completos de email no cliente de email utilizado.
  • Se usar cPanel, acesso ao módulo de Email Authentication ou ao Gerenciador de Zonas DNS.

Como verificar o registro SPF no DNS do seu domínio

A validação do registro SPF começa pela consulta direta ao DNS. O SPF (Sender Policy Framework) é um registro TXT que lista os servidores autorizados a enviar email pelo seu domínio. Antes de qualquer teste de entrega, confirme que o registro existe e está sintaticamente correto.

No terminal Linux (Debian 12, Ubuntu 24.04 ou qualquer distribuição com bind-utils ou dnsutils), execute:

dig TXT seudominio.com.br +short

O output esperado deve conter uma linha iniciando com v=spf1:

"v=spf1 include:_spf.seudominio.com.br ip4:203.0.113.10 ~all"

Pontos críticos a verificar nessa saída:

  • Apenas um registro SPF: se aparecerem dois registros v=spf1 distintos, o SPF será inválido. Consolide tudo em uma única linha TXT.
  • Mecanismo all correto: ~all (softfail) é mais permissivo; -all (hardfail) rejeita emails não autorizados. Escolha conforme sua política.
  • Limite de 10 lookups DNS: cada include: consome um lookup. Exceder 10 invalida o SPF silenciosamente.

Para uma verificação visual rápida, acesse mxtoolbox.com/spf.aspx, insira seu domínio e clique em "SPF Record Lookup". A ferramenta exibe o registro completo, conta os lookups e aponta erros de sintaxe.

Se você gerencia o DNS pelo cPanel, consulte o artigo Como Configurar DNS Personalizado para Seu Domínio na AviraHost para localizar a zona DNS correta antes de editar registros.

Como verificar o registro DKIM publicado no DNS

A autenticação DKIM (DomainKeys Identified Mail) depende de um par de chaves criptográficas: a chave privada fica no servidor de email e assina cada mensagem enviada; a chave pública é publicada no DNS como registro TXT e permite que servidores de destino validem a assinatura.

Para consultar a chave pública DKIM, você precisa saber o seletor configurado. Em servidores com cPanel/WHM, o seletor padrão costuma ser default. Em Google Workspace, é google. Em Postfix com OpenDKIM, você define o seletor no arquivo de configuração.

Execute no terminal:

dig TXT default._domainkey.seudominio.com.br +short

Output esperado (chave pública RSA truncada):

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3..."

Se o comando retornar vazio ou NXDOMAIN, o registro DKIM não está publicado. Verifique:

  • Se o seletor usado na consulta corresponde ao configurado no servidor de email.
  • Se o registro foi adicionado na zona DNS correta (especialmente em domínios com nameservers externos ao servidor de email).
  • Se houve propagação de DNS — aguarde até 48 horas após a publicação.

No MXToolbox, use a ferramenta DKIM Lookup em mxtoolbox.com/dkim.aspx. Informe o domínio e o seletor. A ferramenta decodifica a chave pública e confirma se o registro está bem formado.

Como testar DKIM e SPF enviando um email real

A verificação prática de autenticação de email exige o envio de uma mensagem real, pois apenas a consulta DNS não confirma que o servidor está assinando corretamente com DKIM. Existem dois métodos principais:

Método 1: mail-tester.com

  1. Acesse mail-tester.com. A ferramenta gera um endereço temporário único, como [email protected].
  2. Envie um email do seu domínio para esse endereço. Use o mesmo servidor e conta que seus usuários utilizam no dia a dia.
  3. Clique em "Then check your score". O relatório exibirá:
  • SPF: pass ou fail, com o IP verificado.
  • DKIM: pass ou fail, com o seletor identificado.
  • DMARC: alinhamento entre SPF/DKIM e o domínio do remetente.
  • Pontuação geral de 1 a 10, com detalhes sobre listas negras e conteúdo.

Método 2: inspecionar cabeçalho no Gmail

  1. Envie um email do seu domínio para uma conta Gmail.
  2. Abra a mensagem recebida. Clique nos três pontos (⋮) no canto superior direito da mensagem e selecione "Mostrar original".
  3. Localize o campo Authentication-Results no cabeçalho completo.

Exemplo de cabeçalho com autenticação bem-sucedida:

Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=default header.b=AbCdEfGh;
       spf=pass (google.com: domain of [email protected] designates 203.0.113.10 as permitted sender) [email protected];
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=seudominio.com.br

Se qualquer campo mostrar fail ou softfail, o problema está na configuração correspondente — não na ferramenta de teste.

Método 3: Google Admin Toolbox — Verificador de Cabeçalhos

Acesse toolbox.googleapps.com/apps/messageheader, cole o cabeçalho completo do email e clique em "Analyze the header above". A ferramenta destaca visualmente cada etapa de autenticação e o tempo de entrega entre servidores.

Como verificar DKIM e SPF via linha de comando com nslookup

O diagnóstico de registros DNS de email também pode ser feito com nslookup, disponível em Linux, macOS e Windows. Isso é útil quando o servidor não tem dig instalado ou quando você está em um ambiente Windows.

Para verificar o SPF:

nslookup -type=TXT seudominio.com.br

Para verificar o DKIM com seletor default:

nslookup -type=TXT default._domainkey.seudominio.com.br

Em Rocky Linux 9 ou AlmaLinux 9, instale as ferramentas de DNS com:

dnf install bind-utils -y

Em Debian 12 ou Ubuntu 24.04:

apt install dnsutils -y

Após instalar, use dig normalmente. Para forçar a consulta em um servidor DNS específico (útil para verificar propagação antes de mudar o nameserver padrão), use:

dig TXT seudominio.com.br @8.8.8.8 +short

O @8.8.8.8 direciona a consulta ao DNS público do Google, garantindo que você está vendo o que o mundo externo enxerga — não o cache local do servidor.

Como configurar DMARC após validar DKIM e SPF

A política DMARC (Domain-based Message Authentication, Reporting and Conformance) é o terceiro pilar da autenticação de email e só funciona corretamente quando DKIM e SPF já estão validados. O DMARC instrui servidores de destino sobre o que fazer quando um email falha na autenticação.

Verifique se o DMARC já está publicado:

dig TXT _dmarc.seudominio.com.br +short

Output esperado:

"v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1"

Significado dos parâmetros principais:

  • p=none: modo de monitoramento — não rejeita emails, apenas envia relatórios. Ideal para início.
  • p=quarantine: emails que falham vão para spam.
  • p=reject: emails que falham são rejeitados. Use apenas após confirmar que DKIM e SPF estão 100% funcionais.
  • rua: endereço para receber relatórios agregados diários.

Para criar o registro DMARC no DNS, adicione um novo registro TXT com o nome _dmarc e o valor acima. Se você gerencia o domínio pelo cPanel, o artigo Como gerenciar um domínio explica como acessar o editor de zona DNS.

Problemas comuns e como resolver

Sintoma: SPF retorna "permerror" ou "too many DNS lookups"

Causa: o registro SPF excede o limite de 10 consultas DNS recursivas. Cada diretiva include:, a: e mx: consome um lookup. Provedores como Google Workspace, SendGrid e Mailchimp adicionam múltiplos includes, e a soma pode ultrapassar o limite facilmente.
Solução: use uma ferramenta como dmarcian.com/spf-survey para contar os lookups atuais. Substitua includes redundantes por IPs diretos com ip4: ou ip6:, que não consomem lookups. Considere serviços de "SPF flattening" que consolidam automaticamente os IPs em um único registro.

Sintoma: DKIM retorna "fail" mesmo com o registro publicado no DNS

Causa: a chave privada no servidor de email não corresponde à chave pública publicada no DNS. Isso ocorre após migrações de servidor, reinstalações do agente DKIM (como OpenDKIM ou amavisd) ou quando o registro DNS foi copiado incorretamente (caracteres truncados ou quebras de linha indevidas).
Solução: regenere o par de chaves no servidor de email, atualize o registro TXT no DNS com a nova chave pública e aguarde a propagação. No cPanel/WHM, acesse Email > Email Authentication e clique em "Install" para regenerar e publicar automaticamente. Após a propagação, reenvie o email de teste e verifique o cabeçalho novamente.

Sintoma: DMARC retorna "fail" mesmo com SPF e DKIM passando

Causa: o DMARC exige alinhamento — o domínio autenticado pelo SPF ou DKIM deve corresponder ao domínio do cabeçalho From:. Se você usa um serviço de envio terceirizado (como Mailchimp ou SendGrid) sem configurar o DKIM com seu próprio domínio, o SPF pode passar pelo domínio do provedor, mas o alinhamento com o From: do seu domínio falha.
Solução: configure o DKIM com seu próprio domínio no painel do provedor de envio (todos os grandes provedores suportam isso). Isso garante que a assinatura DKIM use @seudominio.com.br e o alinhamento DMARC seja satisfeito.

Sintoma: emails chegam ao spam mesmo com SPF e DKIM passando

Causa: autenticação de email é necessária, mas não suficiente para evitar spam. Outros fatores incluem reputação do IP de envio, presença em listas negras (blacklists), conteúdo do email com palavras-chave de spam, ausência de cabeçalho List-Unsubscribe em emails em massa ou taxa de reclamação elevada.
Solução: verifique se o IP do servidor está em blacklists usando mxtoolbox.com/blacklists.aspx. Analise o relatório completo do mail-tester.com, que pontua cada fator individualmente. Se o IP estiver listado, solicite remoção diretamente nas blacklists identificadas e revise as práticas de envio.

Perguntas frequentes sobre DKIM e SPF

Como saber se o DKIM está funcionando corretamente?

Envie um email de teste para um endereço externo (como Gmail ou Outlook) e verifique o cabeçalho da mensagem recebida. Procure pelo campo Authentication-Results — se aparecer dkim=pass, o DKIM está validando corretamente. Você também pode usar ferramentas como MXToolbox ou mail-tester.com para verificar sem precisar enviar emails manualmente, obtendo um relatório detalhado com o seletor identificado e o status de cada mecanismo.

O que acontece se o SPF estiver errado ou ausente?

Sem um registro SPF válido, servidores de destino podem rejeitar ou marcar como spam os emails enviados pelo seu domínio. O SPF define quais IPs estão autorizados a enviar email em nome do domínio, e sua ausência aumenta drasticamente a chance de entrega falhar ou cair em lixo eletrônico. Erros comuns incluem múltiplos registros SPF no DNS ou uso incorreto dos mecanismos include e all, que podem invalidar silenciosamente toda a política.

Posso ter DKIM e SPF configurados ao mesmo tempo?

Sim, e é altamente recomendado. DKIM e SPF são mecanismos complementares: o SPF valida o servidor de envio pelo IP, enquanto o DKIM assina criptograficamente o conteúdo do email. Usar ambos, junto com DMARC, forma a tríade de autenticação de email mais robusta disponível atualmente, reduzindo significativamente o risco de spoofing e phishing usando seu domínio.

Qual ferramenta online usar para testar DKIM e SPF?

As ferramentas mais confiáveis são MXToolbox (mxtoolbox.com), mail-tester.com e o verificador de cabeçalhos do Google Admin Toolbox. O MXToolbox permite consultar registros DNS diretamente, enquanto o mail-tester.com analisa um email real enviado para um endereço temporário gerado pela ferramenta, retornando uma pontuação detalhada com cada fator de entregabilidade avaliado individualmente.

DKIM e SPF precisam ser reconfigurados ao trocar de servidor?

Sim. Ao migrar para um novo servidor ou provedor de email, o registro SPF deve ser atualizado para incluir o novo IP ou mecanismo include do novo provedor. O DKIM também precisa ser reconfigurado, pois o par de chaves pública/privada é gerado no servidor de envio — a chave pública no DNS deve corresponder à chave privada usada pelo novo servidor. Ignorar essa etapa após uma migração é uma das causas mais comuns de falha de entrega de email.

Conclusão

Após executar este checklist, você terá confirmado que a autenticação de email do seu domínio está funcionando de ponta a ponta. Os próximos passos recomendados são:

  • Ative o DMARC em modo p=none imediatamente após validar SPF e DKIM, para começar a receber relatórios de autenticação sem impactar a entrega.
  • Monitore os relatórios DMARC semanalmente durante 30 dias antes de migrar para p=quarantine ou p=reject, garantindo que nenhum fluxo legítimo de email seja bloqueado.
  • Repita o checklist após qualquer mudança de servidor, provedor de email ou configuração de DNS, pois migrações são a principal causa de quebra silenciosa de autenticação de email.

Leia também

Precisa de ajuda com email profissional e configuração de DNS?

Configurar DKIM, SPF e DMARC corretamente exige acesso ao DNS do domínio e ao servidor de email simultaneamente. Na AviraHost, os planos de hospedagem incluem suporte a email profissional com autenticação integrada, facilitando a publicação e manutenção desses registros sem complicações técnicas.

Conheça os planos de hospedagem da AviraHost com email profissional incluso


Esta resposta foi útil?