Does HubSpot create the SPF record for me?

No. HubSpot shows you the SPF value it needs, but your DNS provider controls the record. HubSpot can confirm that it sees the expected entry, not whether the full SPF setup is merged correctly or safe under strict policies.

Can I have more than one SPF record on my domain?

You shouldn’t. SPF is meant to be evaluated as a single policy per domain. Multiple SPF TXT records can cause inconsistent behaviour or outright failure, even if each one looks valid on its own.

Why did deliverability drop after I tightened my DMARC policy?

Strict DMARC (p=quarantine or p=reject) removes margin for error. If SPF fails on a message and DKIM isn’t aligned, DMARC decides the outcome. Small SPF issues that were previously tolerated can suddenly cause filtering or rejection.

If SPF passes, why did my marketing email still go to spam?

SPF only authorises sending. It doesn’t measure engagement or trust. Mailbox providers still look at user behaviour, complaint rates, and list quality.

Erros de configuração de registros SPF da HubSpot

Se os e-mails enviados pelo HubSpot estiverem caindo em spam ou não forem entregues, o registro SPF é o primeiro lugar que você deve verificar. Embora raramente esteja faltando, muitas vezes ele está inchado, duplicado ou quebrado por uma “correção rápida” que alguém fez meses atrás.

Neste artigo, você aprenderá como o registro SPF da HubSpot funciona na prática: o que ele faz quando a HubSpot envia “em nome” do seu domínio, qual é o lugar dele na configuração de DNS que você já tem e por que as coisas ficam implacáveis quando políticas DMARC rigorosas entram no bate-papo. Para que você tenha uma visão mais ampla de como a autenticação se encaixa no desempenho geral de envio, a integração adequada de e-mail da HubSpot desempenha um papel fundamental. Vamos começar!

Principais conclusões

Um SPF (Sender Policy Framework) da HubSpot é um protocolo de autenticação de e-mail que informa aos provedores de caixa de correio quais servidores têm permissão para enviar em nome do seu domínio. Ele deve ser alinhado ao DKIM (DomainKeys Identified Mail) e ao DMARC (Domain-Based Message Authentication).
A aprovação no processo de verificação SPF é necessária, mas não suficiente; o posicionamento de longo prazo na caixa de entrada depende tanto do envolvimento e do comportamento de envio quanto da autenticação.

O problema do registro SPF da HubSpot que você talvez não saiba que tem

Um sinal de pare rotulado

A maioria dos domínios já tem um registro SPF no momento em que o HubSpot é adicionado. É aí que os problemas começam. Porque uma vez que ele está lá (e uma vez que a HubSpot mostra o domínio de envio de e-mail como autenticado), as pessoas geralmente param de pensar nisso. A suposição é que, se você passou uma vez, deve estar tudo bem. Na realidade, o SPF pode permanecer tecnicamente válido e, ao mesmo tempo, prejudicar a entrega.

Um registro SPF pode ser “aprovado” e ainda assim causar falhas leves, permerrors em determinados caminhos de roteamento ou falhar no alinhamento quando os registros DMARC são aplicados. Nada disso aparece de forma confiável como um erro claro dentro da sua conta da HubSpot. No entanto, os provedores de caixa de correio percebem isso e, quando deixam de confiar em um domínio, é difícil reconstruir essa confiança.

Quando o desempenho cai, o HubSpot geralmente é o primeiro suspeito. Isso é compreensível, pois é o remetente com o qual você interage. Mas a HubSpot está enviando em nome do seu domínio. O DNS que autoriza esse comportamento é o seu. Uma edição SPF malfeita pode prejudicar não apenas o HubSpot, mas todas as outras ferramentas que dependem do mesmo domínio.

O que um registro SPF da HubSpot faz

O SPF é configurado no seu DNS como um registro TXT e informa aos provedores de caixa de correio quais servidores estão autorizados a enviar e-mails no seu domínio. É só isso que ele faz. Quando uma mensagem chega, o provedor verifica: “Esse e-mail veio de um servidor que o proprietário do domínio aprovou?” Se sim, o SPF pode ser aprovado. Se não, ele falha, e a mensagem agora parece suspeita.

Quando a HubSpot envia seu e-mail de marketing, ele geralmente é enviado por meio de uma infraestrutura compartilhada. O e-mail não está vindo fisicamente do seu escritório ou do seu host. Ele está vindo dos sistemas de envio da HubSpot, mas o domínio “De” é seu. Seu registro SPF torna esse arranjo legítimo. Ele informa ao Gmail, Yahoo e Microsoft: “Sim, a HubSpot tem permissão para enviar em nome deste domínio”. Sem essa permissão, você está basicamente pedindo aos provedores que confiem no que parece ser uma falsificação de e-mail.

Mas há um limite importante: o SPF não é uma garantia de capacidade de entrega. Ele não avalia sua cópia nem se importa se as pessoas gostam de seus e-mails ou os denunciam como spam. Ele também não lida bem com o encaminhamento, pois o IP do remetente pode mudar no meio do caminho.

Adicionando o HubSpot a um registro SPF existente sem quebrar tudo

Ilustração mostrando dois erros de configuração de SPF com ícones de aviso, um símbolo de link entre eles e um exemplo de um registro SPF inválido da HubSpot que pode afetar a caixa de entrada.

É aqui que o SPF deixa de ser “um conceito simples” e pode fazer com que metade dos seus e-mails não chegue até você.

A maioria dos domínios já tem um registro SPF muito antes de a HubSpot entrar em cena. Ele pode vir do Google Workspace, do Microsoft 365 ou até mesmo de um ESP mais antigo. Às vezes, um remetente transacional como Stripe, Shopify ou um provedor de aplicativos. Portanto, quando a HubSpot mostra a você o valor SPF que deseja, a suposição perigosa é: “Legal, vamos adicionar um novo.” Não faça isso.

O SPF não foi projetado para ser dividido em vários registros TXT. Os provedores de caixas postais devem avaliar uma política de SPF por domínio. Os problemas começam quando eles encontram duas (ou mais). Alguns tratam isso como um erro, outros escolhem um e ignoram o restante. De qualquer forma, é um caos, especialmente porque a falha não será muito clara.

Portanto, o trabalho não é apenas criar um registro SPF da HubSpot. É mesclar o HubSpot no registro SPF que você já tem sem quebrar a autorização existente.

Mas espere! Há também o limite de pesquisa de DNS.

O SPF tem um limite de 10 pesquisas de DNS durante a avaliação. E sim, é mais fácil chegar a ele do que as pessoas pensam. Cada inclusão, redirecionamento e existência contam para esse número. Algumas macros também podem contar, dependendo do que elas expandem. Essa falha de “muitas pesquisas” é um dos motivos mais comuns pelos quais os envios da HubSpot parecem bons na plataforma, mas são ruins na natureza.

A última parte que você não deve subestimar é o mecanismo de finalização: ~all vs -all.

~all é uma falha suave. Ele diz: “Tudo o que não estiver listado provavelmente não é autorizado”. Útil quando você ainda está configurando as coisas e não quer quebrar um e-mail legítimo do qual se esqueceu.
-all é uma falha grave. Ele diz: “Se não estiver listado, rejeite-o”. Sob uma política rigorosa de DMARC, você pode rapidamente deixar de ter segurança adicional e passar a rejeitar seu próprio e-mail legítimo.

Um personagem. Resultados muito diferentes.

SPF + HubSpot + DMARC: onde as coisas não perdoam

Diagrama mostrando o SPF como uma verificação aprovada com o registro SPF correto do HubSpot, o HubSpot enviando um e-mail de news.company.com e o DMARC como uma verificação com falha marcada com um X - destacando possíveis erros de configuração que afetam a caixa de entrada.

Você pode sobreviver a erros de SPF… até que o DMARC se torne rigoroso.

Veja por quê: O DMARC não pergunta apenas: “O SPF foi aprovado?” Ele pergunta: “O SPF (ou DKIM) foi aprovado e está alinhado com o domínio que o destinatário vê?” O alinhamento é o ponto principal. É assim que os provedores impedem a falsificação que, tecnicamente, “passa” em outro ponto da cadeia.

Portanto, você pode ter um registro SPF que seja aprovado em alguns casos, mas se ele falhar em uma determinada mensagem, e o DKIM também não estiver alinhado, o DMARC se torna o juiz e o júri. Com uma política relaxada, você pode se dar bem. Com p=reject, você não tem folga. A mensagem não é “levemente rebaixada”. Ela pode ser bloqueada.

É nesse ponto que as configurações da HubSpot tendem a falhar de maneira muito previsível.

Um: alguém da equipe autentica um domínio no HubSpot, mas envia de outro. Eles acham que estão protegidos porque “é a mesma empresa”. Os provedores de caixa de correio não se preocupam com isso. Eles avaliam apenas o domínio exato mostrado no endereço “De”.

Dois: subdomínios. Algumas empresas enviam de news.company.com enquanto a política do DMARC se aplica a company.com. Se a política não for configurada com subdomínios em mente, o DMARC tratará a mensagem como não autenticada.

Três: Configurações de SPF que nunca foram revisadas. Um registro que funcionava quando você usava apenas o Google não tem a garantia de funcionar quando você adiciona a HubSpot e alguns outros remetentes.

Se você quiser receber um aviso antecipado, verifique seus relatórios DMARC regularmente. Os relatórios agregados mostram a você avaliações de SPF com falha, inclusões quebradas e serviços aleatórios que tentam enviar como seu domínio. Normalmente, é nesse ponto que os problemas de SPF deixam de ser teóricos e começam a ser óbvios.

Quando o SPF está correto, mas o posicionamento da caixa de entrada ainda é degradado

Ilustração que mostra um escudo SPF, um envelope marcado, um documento, um gráfico em declínio, um velocímetro e um ícone de polegar para baixo em um fundo escuro - destacando problemas de caixa de entrada devido à configuração incorreta do registro SPF da HubSpot.

A autenticação apenas prova que você tem permissão para enviar. Depois disso, os provedores de caixas de correio observam o que acontece quando seus e-mails chegam às caixas de entrada reais. A forma como os destinatários interagem (abrindo, lendo, respondendo, movendo as mensagens para fora do spam ou excluindo sem olhar) molda a reputação muito mais do que as configurações perfeitas de DNS. Você pode passar no SPF todas as vezes e ainda assim ter seus e-mails filtrados se o tráfego parecer indesejado ou sem vida.

É por isso que você deve sempre considerar uma ferramenta de reputação de remetente como o InboxAlly, especialmente quando um domínio já sofreu alguns golpes. O InboxAlly usa contas semente que se comportam como usuários reais e geram os mesmos tipos de sinais de envolvimento aos quais os provedores de caixa de correio prestam atenção. Com o tempo, esses sinais podem ajudar a estabilizar ou reconstruir um domínio ou uma reputação de IP ruim juntamente com a autenticação adequada.

Portanto, antes que você reescreva o texto ou altere os horários de envio, verifique primeiro os indicadores chatos:

Aumento dos saltos fortes
picos de filtragem após edições de SPF
queda do engajamento em todos os setores

Se a sua autenticação estiver correta e a entrega ainda não estiver como deveria, agende uma demonstração gratuita do InboxAlly e veja o que acontece quando a confiança do remetente aumenta.

Uma boa ordem de operações para o HubSpot SPF

Diagrama ilustrando as etapas de autenticação de e-mail: revisão do seu registro SPF, edição de configurações no HubSpot, adição de SPF/DKIM/DMARC e confirmação de caixa de entrada segura com um envelope marcado.

Comece auditando o que o SPF já autoriza. Não o que você acha que ele autoriza, mas o que o registro realmente permite hoje. É aqui que a maioria dos erros se esconde. Conte suas pesquisas de DNS. Procure inclusões antigas vinculadas a ferramentas que você não usa mais e verifique novamente se a HubSpot está presente no registro SPF para o domínio do qual a HubSpot está enviando.

Depois que você souber o que está lá, simplifique. Corte os serviços mortos, mescle os registros de forma limpa e evite colocar -tudo no final como algum tipo de atualização de segurança quando você não tiver certeza absoluta de que todos os remetentes legítimos foram contabilizados.

Somente depois disso você deve se preocupar com o alinhamento com SPF, DKIM e DMARC. Certifique-se de que pelo menos um caminho de autenticação corresponda de forma confiável ao domínio mostrado no endereço From. E valide isso enviando, e não apenas com uma ferramenta de verificação que presume o melhor cenário possível.

Por fim, observe os resultados. As tendências de posicionamento na caixa de entrada são mais importantes do que os selos de “aprovação de FPS”.

Resumo

Um registro SPF da HubSpot não é difícil de adicionar, mas é fácil errar sutilmente. A maioria dos problemas de capacidade de entrega é causada por registros inchados, limites de pesquisa, políticas rígidas aplicadas muito cedo ou a suposição de que o SPF sozinho é suficiente. Mantenha o SPF simples, combine-o com um bom envolvimento, hábitos de lista limpos e a camada de capacidade de entrega do InboxAlly, e você não terá problemas para alcançar seus clientes.

PERGUNTAS FREQUENTES

A HubSpot cria o registro SPF para mim?
▼ Você pode criar o registro SPF para mim?

Não. A HubSpot mostra a você o valor SPF necessário, mas seu provedor de DNS controla o registro. A HubSpot pode confirmar que você vê a entrada esperada, não se a configuração completa do SPF foi mesclada corretamente ou se está segura sob políticas rigorosas.

Posso ter mais de um registro SPF no meu domínio?
▼ Você pode ter mais de um registro SPF no meu domínio?

Você não deveria. O SPF deve ser avaliado como uma única política por domínio. Vários registros SPF TXT podem causar comportamento inconsistente ou falha total, mesmo que cada um pareça válido por si só.

Por que a capacidade de entrega caiu depois que tornei minha política de DMARC mais rígida?
▼ Você pode ver o que está acontecendo com você?

O DMARC rigoroso (p=quarentena ou p=rejeitar) elimina a margem de erro. Se o SPF falhar em uma mensagem e o DKIM não estiver alinhado, o DMARC decidirá o resultado. Pequenos problemas de SPF que antes eram tolerados podem repentinamente causar filtragem ou rejeição.

Se o SPF é aprovado, por que meu e-mail de marketing ainda foi para o spam?
▼ Você pode ver o que está acontecendo?

O SPF apenas autoriza o envio. Ele não mede o envolvimento ou a confiança. Os provedores de caixas postais ainda analisam o comportamento do usuário, as taxas de reclamação e a qualidade da lista.

Plataforma principal

Inteligência de capacidade de entrega

Compare InboxAlly

Por público

Estudos de caso

Por que o InboxAlly

Aprender

Documentação

Tópicos de capacidade de entrega

Autenticação de e-mail e DNS

Ferramentas de teste

Ferramentas de planejamento e lista

Todas as ferramentas são 100% gratuitas

Erros de configuração de registro SPF da HubSpot que quebram a caixa de entrada