Defaults.Exposed › Relatórios
O que é o SPF — e como corrijo o meu registo SPF? (2026)
Publicado 2026-07-01
Valores de 2026-06-29 · metodologia v7. Dados agregados do censo em 261 milhões de domínios avaliados. O SPF (Sender Policy Framework) é um registo DNS que lista quais os servidores autorizados a enviar correio em nome do seu domínio. Veja como atribuímos as notas.
O SPF é uma única linha no seu DNS que diz “estes servidores podem enviar e-mail em meu nome — trate tudo o resto como suspeito.” Nos 261 milhões de domínios, 53,21% publicam um registo SPF. Parece saudável, mas um registo, por si só, não o protege: o qualificador terminal decide se os remetentes não listados são rejeitados ou deixados passar, e uma grande parte dos registos está configurada de forma tão permissiva que nada altera. Eis o que o SPF realmente faz, os erros que mais vemos e como corrigir o seu.
O que é um registo SPF?
Quando um servidor de correio recebe uma mensagem que alega ser do seu domínio, procura o seu registo SPF e verifica se o servidor remetente está na sua lista de servidores aprovados. O registo termina com uma instrução para tudo o que não consta da lista:
-all(hardfail) — rejeitar remetentes não listados. É esta a configuração que fala a sério.~all(softfail) — aceitar, mas marcar como suspeito. A maior parte do correio ainda é entregue.?all(neutral) — não fazer nada; equivale a não ter opinião.+all— aceitar qualquer coisa de qualquer pessoa. Isto é ativamente perigoso e nunca deve ser publicado.
Dos 139 milhões de domínios que publicam SPF, apenas 39,3% usam um -all estrito, enquanto 55,8% usam o mais brando ~all. E 36.014 domínios publicam +all — um convite aberto que diz ao mundo que qualquer pessoa pode enviar em seu nome.
Os erros que silenciosamente estragam o SPF
- Demasiadas consultas DNS. O SPF está limitado a 10 consultas (RFC 7208); se exceder esse limite, todo o registo falha com “permerror” e é ignorado. 7.958 domínios (0,01% dos que têm SPF) ultrapassam este limite — geralmente por encadearem demasiadas instruções
include:para remetentes de terceiros. - Publicar
+all. Raro, mas catastrófico — desativa o SPF por completo e legitima os falsificadores. - Assumir que o SPF impede a personificação. Não impede, por si só. O SPF verifica o percurso técnico de envio, não o endereço “De” que a pessoa vê. 32,4% de todos os domínios publicam SPF mas não têm DMARC — pelo que o remetente visível pode ainda assim ser falsificado. O SPF é a canalização; a aplicação do DMARC é a fechadura. Veja SPF sem DMARC.
Como corrijo o meu registo SPF?
- Publique um único registo SPF — um só registo TXT começando por
v=spf1. Nunca publique dois; isso é uma falha automática. - Liste todos os remetentes legítimos — o seu fornecedor de caixa de correio, plataforma de marketing, CRM, helpdesk — usando os valores
include:documentados por cada um. - Termine com
-allquando tiver a certeza de que a lista está completa. Comece por~allse precisar de uma margem de segurança e depois aperte. Veja corrigir o SPF. - Mantenha-se abaixo das 10 consultas — achate ou consolide os includes se estiver perto do limite.
- Depois adicione o DMARC — o SPF e o DKIM alimentam o DMARC, o controlo que realmente impede alguém de enviar e-mail em nome do seu domínio.
Perguntas frequentes
Qual é o aspeto de um registo SPF?
Um único registo DNS TXT como v=spf1 include:_spf.google.com -all. As entradas include: são os seus remetentes aprovados; o -all no final rejeita todos os outros.
É melhor ~all ou -all?
-all (hardfail) é mais forte — indica aos recetores para rejeitarem remetentes não listados. ~all (softfail) normalmente ainda entrega o correio. Em 2026-06-29, 39,3% dos registos SPF usam -all e 55,8% usam ~all.
O SPF impede que as pessoas falsifiquem o meu domínio? Não por si só. O SPF não controla o endereço “De” visível. É preciso configurar o DMARC para aplicação. 32,4% dos domínios têm SPF mas não têm DMARC e continuam falsificáveis.
Porque é que o meu registo SPF “falha” mesmo parecendo estar correto?
Na maioria das vezes, excede o limite de 10 consultas e devolve permerror. 0,01% dos domínios com SPF esbarram nisto. Reduza o número de consultas include:.
Corrigir o SPF é caro? Não — é uma alteração DNS gratuita. O esforço está em obter uma lista de remetentes completa e correta, não em dinheiro.
Verifique gratuitamente o SPF do seu domínio
Veja o seu registo SPF, o seu qualificador terminal e se está completo — de forma privada e apenas para o proprietário.
Verifique o seu domínio → · Corrigir o SPF → · Corrigir o DMARC → · Como atribuímos as notas → · Apenas dados agregados. Dados armazenados e processados na UE.