Pensando Linux

Por Fabio Soares Schmidt

Novas exigências Google e Microsoft: o fim do SPF isolado e a obrigatoriedade prática do DKIM

Nos últimos meses, tornou-se recorrente o cenário em que ambientes de e-mail historicamente estáveis passaram a apresentar problemas de entregabilidade, principalmente para destinatários do Gmail e Microsoft (Outlook/Hotmail). O padrão observado não está relacionado a indisponibilidade ou falha de infraestrutura, mas sim a uma mudança estrutural nos critérios de aceitação de mensagens por esses provedores.…

fsschmidt
3–4 minutos
, , , , , , , , , , ,

Nos últimos meses, tornou-se recorrente o cenário em que ambientes de e-mail historicamente estáveis passaram a apresentar problemas de entregabilidade, principalmente para destinatários do Gmail e Microsoft (Outlook/Hotmail).

O padrão observado não está relacionado a indisponibilidade ou falha de infraestrutura, mas sim a uma mudança estrutural nos critérios de aceitação de mensagens por esses provedores.

Mudança de postura dos provedores

A partir de 2024, provedores como Google e Microsoft passaram a exigir, de forma mais rigorosa, a conformidade com mecanismos de autenticação de e-mail.

Na prática, isso significa:

  • SPF válido
  • DKIM ativo
  • DMARC publicado
  • Alinhamento entre os mecanismos

Não se trata mais de recomendação. Trata-se de requisito de aceitação.

O próprio Google passou a exigir autenticação adequada para envio, incluindo SPF, DKIM e DMARC, especialmente para remetentes com maior volume .

SPF não resolve mais o problema

Um dos principais equívocos ainda encontrados em ambientes produtivos é considerar SPF como mecanismo suficiente.

Do ponto de vista técnico, isso nunca foi verdade.

O SPF valida apenas o envelope sender (RFC5321.MailFrom), não o domínio visível ao usuário no cabeçalho From: .

Exemplo clássico:

From: usuario@empresa.com.br
Return-Path: relay@terceiro.com
SPF: PASS

Neste cenário:

  • SPF está válido
  • O domínio autenticado é terceiro.com
  • O domínio visível é empresa.com.br

Resultado:

Falha de alinhamento → DMARC FAIL

DMARC e o conceito de alinhamento

O DMARC não valida apenas autenticação. Ele valida alinhamento entre domínios.

Para que uma mensagem seja considerada válida:

  • SPF deve estar alinhado com o From, ou
  • DKIM deve estar alinhado com o From

Caso contrário:

  • A mensagem falha em DMARC
  • O provedor classifica como suspeita
  • Pode ser entregue em spam ou rejeitada

Esse comportamento é esperado, pois o DMARC foi projetado exatamente para impedir spoofing e uso indevido de domínio .

DKIM deixou de ser opcional

O DKIM (DomainKeys Identified Mail) passa a ser o principal mecanismo de sustentação de entregabilidade.

Tecnicamente, o DKIM:

  • Assina criptograficamente a mensagem
  • Associa a mensagem a um domínio (d=)
  • Permite validação via DNS
  • Garante integridade do conteúdo

O ponto crítico aqui não é apenas “ter DKIM”.

É ter:

d=empresa.com.br

Ou seja, alinhado com o domínio do remetente.

Novo requisito implícito: autenticação + consistência

Além da autenticação, os provedores passaram a correlacionar:

  • Volume de envio
  • Taxa de rejeição
  • Taxa de spam
  • Consistência de autenticação

Isso significa que ambientes com:

  • Alto volume
  • Falha de DKIM
  • DMARC não alinhado

tendem a sofrer degradação progressiva de reputação.

E, uma vez degradada, a reputação não é recuperada de forma imediata.

O que mudou na prática

Antes:

  • SPF válido → suficiente em muitos cenários

Agora:

  • SPF + DKIM + DMARC → obrigatório
  • Alinhamento → obrigatório
  • Reputação → fator determinante

Inclusive, diretrizes recentes indicam que SPF e DKIM devem estar implementados simultaneamente, mesmo que apenas um esteja alinhado para efeito de DMARC .

Diagnóstico típico em ambientes afetados

Padrão recorrente:

  • SPF: PASS
  • DKIM: inexistente ou desalinhado
  • DMARC: FAIL
  • Volume: médio ou alto

Sintomas:

  • Entrega em spam no Gmail
  • Intermitência no Outlook
  • Reclamações de não recebimento

Abordagem correta

Do ponto de vista operacional, a correção não é complexa, mas exige precisão.

1. Implementação de DKIM

  • Geração de chave
  • Publicação no DNS
  • Assinatura ativa no MTA

2. Garantia de alinhamento

Validar:

  • From:
  • DKIM d=
  • Return-Path (quando aplicável)

3. Publicação de DMARC

Exemplo mínimo:

v=DMARC1; p=none;

A partir daí, evoluir política conforme maturidade.

Conclusão

O cenário atual elimina definitivamente a possibilidade de operar e-mail corporativo sem controle de autenticação adequado.

Não se trata apenas de configurar SPF.

Trata-se de garantir:

  • identidade do domínio
  • integridade da mensagem
  • consistência operacional

DKIM passa a ser o elemento central nesse processo.

Ambientes que não se adequarem a esse novo modelo continuarão apresentando:

  • degradação de entregabilidade
  • aumento de rejeições
  • perda de confiabilidade do domínio

Deixe um comentário

Tendência