O Que é um Registro SPF?
Um registro SPF (Sender Policy Framework) é um registro DNS do tipo TXT que especifica quais servidores de email estão autorizados a enviar emails em nome do seu domínio. Ele ajuda a prevenir spoofing e phishing ao permitir que servidores de email receptores verifiquem se um email recebido vem de um servidor autorizado.
Quando um servidor de email recebe uma mensagem, ele consulta o registro SPF do domínio remetente e verifica se o IP do servidor que enviou a mensagem está na lista de servidores autorizados. Se não estiver, o email pode ser rejeitado ou marcado como spam conforme a política definida.
Nosso verificador SPF grátis analisa o registro SPF completo do seu domínio, valida a sintaxe conforme RFC 7208, conta as consultas DNS, resolve todas as cadeias de include e fornece uma pontuação de saúde detalhada. Combine com o verificador DMARC e o verificador DKIM para autenticação completa de email.
Como Verificar o Registro SPF (3 Métodos)
Existem várias formas de verificar registros SPF de qualquer domínio. Nossa ferramenta online é o método mais completo, mas alternativas de linha de comando são úteis para administradores de sistemas.
Siga os passos abaixo para verificar e validar o registro SPF do seu domínio.
Digite qualquer nome de domínio na ferramenta acima e clique em "Check SPF". Você verá instantaneamente o registro SPF completo com parsing de mecanismos, contagem de DNS lookups, cadeias de include resolvidas e pontuação de saúde com 12 verificações.
Abra um terminal e execute nslookup -type=txt exemplo.com. Procure o registro que começa com v=spf1. Este método mostra o registro bruto mas não valida a sintaxe nem conta os lookups.
Execute dig exemplo.com TXT +short para listar todos os registros TXT. Filtre o SPF procurando v=spf1. Para uma consulta DNS completa, use nossa ferramenta dedicada.
Mecanismos do Registro SPF — Guia Completo
O registro SPF usa mecanismos para definir quais servidores estão autorizados a enviar email pelo seu domínio. Cada mecanismo pode ter um qualificador: + (pass), - (fail), ~ (softfail) ou ? (neutral). Entender esses mecanismos é essencial para configurar o SPF corretamente.
Nosso verificador SPF analisa cada mecanismo do seu registro e verifica se estão configurados corretamente conforme RFC 7208.
include
Referencia o registro SPF de outro domínio. Usado para autorizar serviços terceiros como Google Workspace (include:_spf.google.com) ou Microsoft 365. Conta como 1 DNS lookup.
ip4 / ip6
Autoriza endereços IP específicos ou ranges CIDR. Exemplo: ip4:192.168.1.0/24. Não conta como DNS lookup — ideal para reduzir a contagem de lookups.
a / mx
O mecanismo a autoriza os IPs do registro A do domínio. O mx autoriza os IPs dos servidores MX. Ambos contam como 1 DNS lookup cada.
all
Mecanismo catch-all no final do registro. -all (hard fail) rejeita tudo que não corresponde. ~all (soft fail) marca como suspeito. +all autoriza tudo (nunca use).
redirect
Redireciona a avaliação SPF para outro domínio. Substitui completamente o registro atual. Conta como 1 DNS lookup. Diferente de include que é aditivo.
exists
Verifica se um domínio específico existe via consulta DNS. Usado em configurações avançadas com macros SPF. Conta como 1 DNS lookup.
As 12 Verificações de Validação SPF
Nosso verificador SPF executa 12 verificações abrangentes para garantir que seu registro SPF está configurado corretamente e em conformidade com RFC 7208. Cada verificação é classificada como aprovado, aviso ou falha.
Registro SPF encontrado — Verifica se o domínio tem um registro SPF válido publicado no DNS
Registro único — Confirma que existe apenas um registro SPF (múltiplos causam permerror)
Sintaxe válida — Valida que o registro começa com
v=spf1e segue a gramática RFC 7208Contagem de DNS lookups ≤ 10 — Conta todos os mecanismos que geram consultas DNS (include, a, mx, ptr, exists, redirect)
Void lookups ≤ 2 — Verifica consultas que retornam NXDOMAIN ou SERVFAIL
Mecanismo all presente — Confirma que o registro termina com um mecanismo all (catch-all)
Qualificador adequado — Verifica se usa
-allou~all(não+allque autoriza tudo)Sem mecanismo PTR — Detecta uso do mecanismo PTR deprecado pela RFC
Includes resolvíveis — Verifica se todos os domínios em mecanismos include existem e têm SPF
Sem loops de include — Detecta referências circulares em cadeias de include
Comprimento do registro — Verifica se o registro não excede 450 caracteres (limite prático de TXT)
IPs autorizados — Lista todos os endereços IP autorizados após resolução completa
Boas Práticas de Registro SPF
Siga estas recomendações para manter seu registro SPF configurado corretamente. Problemas de SPF podem causar rejeição de emails legítimos, falhas de autenticação e vulnerabilidades de segurança.
Monitoramento regular com nosso verificador SPF ajuda a detectar problemas antes que afetem a entrega de emails. Combine com o verificador DMARC para política de autenticação completa.
Use apenas um registro SPF — Múltiplos registros causam permerror e invalidam toda a autenticação
Mantenha abaixo de 10 DNS lookups — Use
ip4/ip6em vez deincludequando possívelUse `-all` (hard fail) — Após testar com
~all, mude para-allpara segurança máximaEvite o mecanismo PTR — Deprecado pela RFC 7208, lento e não confiável
Revise regularmente — Serviços terceiros podem mudar seus registros SPF, afetando sua contagem de lookups
Considere SPF flattening — Substitua includes por IPs diretos para reduzir a contagem de lookups
Teste antes de publicar — Use nosso verificador SPF para validar alterações antes de publicá-las no DNS
Combine com DKIM e DMARC — SPF sozinho não é suficiente; implemente os três para proteção completa
SPF vs DKIM vs DMARC — Autenticação de Email Explicada
O SPF, DKIM e DMARC são os três pilares da autenticação de email moderna. Cada protocolo protege contra diferentes tipos de ataques e todos devem ser configurados juntos para segurança completa.
O SPF verifica se o IP do servidor remetente está autorizado. O DKIM adiciona uma assinatura criptográfica para verificar a integridade da mensagem. O DMARC define a política de tratamento quando SPF ou DKIM falham e habilita relatórios. Use nosso verificador DKIM e verificador DMARC para verificar todos os três.
SPF (Sender Policy Framework)
Verifica se o IP do servidor remetente está na lista de servidores autorizados do domínio. Protege contra spoofing de envelope. Limitado a 10 DNS lookups.
DKIM (DomainKeys Identified Mail)
Adiciona assinatura criptográfica ao email que verifica que a mensagem não foi alterada em trânsito. Protege contra tampering de conteúdo.
DMARC (Domain-based Message Authentication)
Define a política quando SPF ou DKIM falham (none, quarantine, reject). Habilita relatórios de autenticação e alinhamento de domínio.
Ferramentas de Email e DNS Relacionadas
O DNS Robot oferece diversas ferramentas complementares ao verificador SPF para análise completa de autenticação de email e configuração DNS.
Verifique a política DMARC e configuração de relatórios do domínio
Verifique assinaturas DKIM para autenticação de email
Crie registros DMARC com assistente visual passo a passo
Teste a conectividade SMTP e configuração TLS dos servidores de email
Verifique registros MX e servidores de email de qualquer domínio
Execute 17 verificações de saúde DNS incluindo SPF e DMARC