Gerador gratuito de registros SPF

Um registro SPF (Sender Policy Framework) é uma entrada DNS TXT que lista quais servidores e serviços estão autorizados a enviar e-mail em nome do seu domínio. Os provedores de caixa de entrada verificam o registro em cada e-mail recebido; se o servidor de envio não estiver listado, a autenticação SPF falha. Sem SPF (ou com um SPF quebrado), os e-mails são frequentemente direcionados para spam ou rejeitados de imediato. O SPF também é uma exigência dos requisitos de remetentes em massa do Gmail e do Yahoo a partir de 2024.

Como um registro DNS TXT na raiz (apex) do seu domínio de envio; o host normalmente é informado como @ ou simplesmente o nome do domínio (depende da interface do seu provedor de DNS). Por exemplo, em example.com, o registro fica no host @ e o valor é a string TXT inteira (incluindo as aspas). Subdomínios usados para envio (por exemplo, mail.example.com) precisam dos seus próprios registros SPF separados se você envia a partir deles.

A RFC 7208 §4.6.4 limita o número de buscas DNS que os receptores precisam realizar ao avaliar seu registro SPF em 10. Cada include:, a, mx, exists e redirect conta como uma busca, e include também conta as buscas dentro do registro incluído (de forma recursiva). Cruze o limite e o receptor retorna permerror, tratando o seu domínio como se não tivesse SPF. Nossa ferramenta conta as buscas em tempo real conforme você adiciona remetentes.

O mecanismo all no final diz aos receptores o que fazer com correspondência de servidores que NÃO estão na sua lista autorizada. ~all (softfail) aceita a correspondência, mas a marca como suspeita; o padrão recomendado durante a transição. -all (fail) instrui os receptores a rejeitar a correspondência diretamente; mais rigoroso, melhor depois de você confirmar que o seu SPF está completo. ?all (neutral) trata a correspondência como se não houvesse uma política, raramente útil. Comece com ~all, mude para -all quando o seu SPF estiver estável.

Não. A RFC 7208 §3.2 proíbe explicitamente vários registros v=spf1 no mesmo nome DNS. Se um receptor encontrar dois, retorna permerror e trata o seu domínio como se não tivesse SPF algum, o mesmo resultado de não ter nenhum. Mescle todos os seus remetentes autorizados em um único registro v=spf1 em vez disso. Nossa ferramenta gera um único registro consolidado a partir de todos os remetentes selecionados.

Alguns ESPs (HubSpot, ActiveCampaign, ConvertKit, Beehiiv, Substack) usam subdomínios SPF de include por cliente, como 1234567.spf04.hubspotemail.net. Como a string exata do host é diferente para cada conta, não podemos pré-cadastrá-la em um preset universal. Adicione o seu include específico do ESP manualmente na seção "Adicionar include personalizado" da ferramenta; ele conta para o orçamento de 10 buscas da mesma forma que qualquer outro include.

Uma única string TXT é limitada a 255 caracteres, mas um registro TXT pode conter várias strings entre aspas que os receptores concatenam. A maioria dos provedores de DNS (Cloudflare, Route 53, Google Workspace, GoDaddy) divide automaticamente as strings longas em pedaços; alguns exigem que você as separe manualmente entre aspas. Se a interface do seu DNS rejeitar uma string longa, divida em segmentos de ≤255 caracteres entre aspas, sem espaços ou caracteres extras. O conteúdo do registro deve continuar sendo um único registro v=spf1.

A propagação de DNS normalmente termina em uma hora para a maioria dos receptores; alguns mantêm em cache por até 24 horas, dependendo do TTL que você definiu no registro. A ferramenta busca novamente o domínio via DNS-over-HTTPS a cada vez que você verifica, então você consegue confirmar a propagação à medida que os receptores acessam o novo registro. Para mudanças críticas, faça em uma janela de baixo tráfego e teste com um e-mail real para uma caixa de entrada que você controla antes do próximo envio em massa.

O SPF sozinho não é suficiente. O SPF autentica o servidor de envio; o DKIM autentica o conteúdo da mensagem com uma assinatura criptográfica; o DMARC diz aos receptores o que fazer quando qualquer um deles falha, e é o que move o e-mail para spam ou faz com que ele seja rejeitado de forma confiável. Os três trabalham juntos. Publique SPF, ative DKIM (no seu ESP) e depois publique DMARC com p=none para começar, monitorando os relatórios antes de avançar para quarantine ou reject.

Não. Cada busca DNS é feita diretamente do seu navegador para o endpoint público DNS-over-HTTPS do Google (dns.google/resolve). A ferramenta não tem backend; nada sobre o seu domínio ou configuração de remetente é enviado para um servidor do InboxAlly. Os resultados são todos no lado do cliente: você poderia rodar a ferramenta offline depois que a página inicial carrega, desde que o seu navegador consiga alcançar o dns.google.

Um SPF que passa é um dos três sinais (junto com o alinhamento de DKIM e DMARC) que os provedores de caixa de entrada usam para decidir se a sua correspondência é legítima. Domínios sem SPF, ou com SPF quebrado (mais de 10 buscas, várias políticas, sintaxe inválida), são tratados como suspeitos: maior probabilidade de spam, taxas de entrega mais baixas e desclassificação no novo enquadramento de remetentes em massa do Gmail/Yahoo. Publicar SPF válido (e mantê-lo abaixo do limite de buscas) é uma vitória pequena que evita uma grande quantidade de problemas de entregabilidade.