Seu email Mautic pode ser perfeito, mas se não implementar SPF, DKIM e DMARC corretamente, 30-50% das suas mensagens terminam na pasta de spam. Email deliverability (a taxa em que seus emails realmente chegam à inbox do destinatário) é o segredo ignorado da automação de marketing. Este guia técnico ensina você como configurar esses três protocolos de autenticação de DNS, verificar sua implementação e finalmente alcançar a inbox (não spam) dos seus leads.

SPF, DKIM e DMARC são como passaportes para seu email: provam para Gmail, Outlook e Yahoo que você é quem diz ser, que seu domínio autoriza você a enviar email, e que as mensagens não foram adulteradas no caminho. Configurar errado custa conversões; configurar certo aumenta taxa de abertura em 20-40%.

Email Deliverability em 30 segundos (resumo rápido)

  • SPF (Sender Policy Framework): Record DNS que diz quais IPs podem enviar email do seu domínio. Fácil, essencial.
  • DKIM (DomainKeys Identified Mail): Assinatura criptográfica que prova que email não foi modificado. Médio (requer chave privada).
  • DMARC (Domain-based Message Authentication): Política que define o que fazer com emails que falham SPF/DKIM. Avançado (requer análise de relatórios).
  • Impacto: Sem esses, deliverability é ~50%; com os três, é 95%+. Diferença entre $100/mês e $1000/mês em conversão.
  • Timeframe de Configuração: SPF: 5 min. DKIM: 15-30 min. DMARC: 1h (inclui monitoramento). Tudo via painel DNS do seu host.

Entender o Problema: Por Que Emails Vão para Spam

Provedores de email (Gmail, Outlook, Yahoo) usam algoritmos sofisticados para detectar spam. Eles checam:

  • Reputação de IP: De qual IP está vindo o email? Esse IP já enviou spam antes?
  • Reputação de domínio: Seu domínio está em blacklist? Já enviou spam?
  • Autenticação: O email é assinado (DKIM)? O IP está autorizado (SPF)? A política é clara (DMARC)?
  • Conteúdo: O email tem muitos links? Usa palavras “spam” clássicas (Viagra, ganha dinheiro)? HTML mal formatado?
  • Comportamento: Muitos bounces (emails mal endereçados)? Taxa alta de rejeição? Muitas reclamações?

SPF, DKIM e DMARC cobrem autenticação. Os outros pontos dependem de infraestrutura (IP reputation, warm-up) e conteúdo (copy, design).

SPF (Sender Policy Framework): O Primeiro Passo

O Que É

SPF é um record DNS que diz: “Esses IPs estão autorizados a enviar email em nome do meu domínio.” Exemplo:

v=spf1 include:zenvia.com include:mautic.seuhost.com.br ~all

Tradução: “Versão 1 de SPF. Incluir os IPs que Zenvia usa, incluir os IPs que Mautic usa no host X, e se alguém mais tentar enviar, marcar como suspeito (~all).”

Como Configurar

Você precisa acessar o painel DNS do seu registrador (GoDaddy, NameCheap, Registro.br, etc.).

  1. Acesse seu painel de controle (ex: GoDaddy → Domains → Manage DNS)
  2. Encontre “TXT Records” (às vezes chamado “Text Records”)
  3. Clique “Add” ou “Novo” e configure:
    • Type: TXT
    • Name: @ (representa o domínio raiz)
    • Value: v=spf1 include:zenvia.com ~all (exemplo mínimo)
  4. Se usa múltiplos provedores:
    • v=spf1 include:mautic.seuhost.com.br include:zenvia.com include:sendgrid.net ~all
  5. Clique Salvar. Pode levar 24-48h para propagar, mas geralmente funciona em minutos.

Validar SPF

Use ferramenta de teste:

  • MXToolbox SPF Check: mxtoolbox.com/spf.aspx. Digite seu domínio, veja se SPF está correto.
  • Google Admin Toolbox: toolbox.googleapps.com/apps/checkmx/. Mais detalhado.

Resultado esperado: “SPF record found” com lookup = Pass.

DKIM (DomainKeys Identified Mail): A Assinatura Criptográfica

O Que É

DKIM adiciona uma assinatura digital a cada email. É como um selo de cera em uma carta: prova que é genuína e não foi modificada em trânsito. Funciona assim:

Seu servidor Mautic:
  1. Gera assinatura (DKIM private key)
  2. Assina o email
  3. Envia com header "DKIM-Signature: ..."

Gmail recebe:
  1. Extrai assinatura
  2. Busca chave pública (DKIM public key) nos DNS do seu domínio
  3. Valida assinatura
  4. Se válida: "Este email é genuíno"
  5. Se inválida: "Este email foi adulterado ou fake"

Gerar Chaves DKIM

Geralmente, seu provedor (Zenvia, Mautic host) gera as chaves para você. Se não:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Resultado: dois arquivos. A chave privada fica em Mautic/BSP (seguro). A pública vai em DNS.

Adicionar DKIM ao DNS

  1. Acesse painel DNS (mesmo lugar que SPF)
  2. Clique “Add TXT Record”
  3. Configure (exemplo Mautic com Zenvia):
    • Type: TXT
    • Name: default._domainkey (ou o selector que Zenvia fornece)
    • Value: v=DKIM1; k=rsa; p=MIGfMA0BCGA... (sua chave pública gerada)
  4. Salve e aguarde propagação (24-48h).

Validar DKIM

dig default._domainkey.atraca.com.br TXT

Esperado resultado:
;; ANSWER SECTION:
default._domainkey.atraca.com.br. 300 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."

Ou use MXToolbox DKIM Check: mxtoolbox.com/dkim.aspx

DMARC (Domain-based Message Authentication, Reporting and Conformance): A Política

O Que É

DMARC define a política: “Se um email falhar SPF/DKIM, o que fazer?” Opções:

  • none: Não fazer nada, só monitorar (recomendado para começar)
  • quarantine: Enviar para spam folder
  • reject: Rejeitar completamente (arriscado; use apenas quando tiver 100% de confiança)

Implementar DMARC

  1. Acesse painel DNS
  2. Clique “Add TXT Record”
  3. Configure:
    • Type: TXT
    • Name: _dmarc
    • Value: v=DMARC1; p=none; rua=mailto:seu_email@atraca.com.br
  4. Salve. Agora você receberá relatórios diários (arquivo XML com análise de emails que falharam).

Explicação do record:

  • v=DMARC1 — Versão DMARC
  • p=none — Política: não fazer nada, só avisar
  • rua=mailto:... — Email que receberá relatórios
  • (Opcional) fo=1 — Report even if subdomain fails

Monitorar e Escalar Política

Semana 1: Monitore relatórios (p=none). Veja quantos emails falham.

Semana 2-4: Se <99% passam, mude para p=quarantine:

v=DMARC1; p=quarantine; rua=mailto:seu_email@atraca.com.br

Mês 2: Se tudo estável, mude para p=reject (máxima proteção):

v=DMARC1; p=reject; rua=mailto:seu_email@atraca.com.br

Implementação Específica para Mautic

Configurar Mautic para Usar DKIM

Em Mautic, vá para Settings → Email Settings:

  • Mailer Host: seu_host.com.br (Ex: mail.seuhost.com.br)
  • SMTP User: seu_email@atraca.com.br
  • SMTP Password: senha (use app password, não sua senha real)
  • Return Path: bounce@atraca.com.br (diferente de seu email principal, para bounces)

Seu host fornecerá configuração DKIM automática se usar painel cPanel/Plesk. Se não fornece, peça suporte técnico.

Implementação com Zenvia (recomendado)

Se usa Zenvia, ele gerencia DKIM automaticamente. Você não precisa fazer nada além de:

  1. Em Zenvia → Integrations → Autenticação, veja as chaves geradas
  2. Copie a chave pública
  3. Adicione em DNS (como explicado acima)
  4. Zenvia confirma quando detectar record DKIM ativo

Warm-up de IP: Complementar SPF/DKIM/DMARC

Mesmo com SPF/DKIM/DMARC perfeito, um IP novo ou que nunca enviou email tem “reputação desconhecida”. Gmail & Co. não confiam automaticamente. Solução: warm-up.

Warm-up é enviar volumes pequenos e crescentes de email durante 2-4 semanas para “treinar” o IP. Exemplo:

SemanaVolume Dia 1Volume Dia 5Meta
150 emails/dia200/diaBounce < 1%
2300/dia1000/diaBounce < 0.5%
32000/dia5000/diaComplaint rate < 0.1%
45000/diaIlimitadoStable reputation

Envie primeiro para seus emails conhecidos (gmail pessoal, hotmail, etc) que você sabe que são válidos e não vão marcar como spam.

Ferramenta de Teste Completa

Envie um email de teste e verifique tudo:

  1. Envie email de Mautic para seu Gmail
  2. Em Gmail, clique nos três pontos (⋯) → “Show original”
  3. Procure por:
    • SPF: PASS — Seu SPF funcionou
    • DKIM: PASS — Seu DKIM funcionou
    • DMARC: PASS — Sua política DMARC aprovada
    • Se houver FAIL, algo está errado; volte aos passos acima

Perguntas Frequentes (FAQ)

Preciso de SPF, DKIM E DMARC simultaneamente?

Não. SPF é mínimo (fácil). DKIM melhora muito (médio). DMARC é o ouro (fácil depois que SPF + DKIM estão). Comece com SPF + DKIM; DMARC depois de 1 semana.

Quanto tempo leva para entrar em vigor?

Imediato para sua traficação (5 min). Para Gmail/Yahoo/Outlook reconhecerem: 24-48h é o standard, mas alguns recebem em minutos. Configure e aguarde, não se desespere.

E se meu host não suporta DKIM?

Mude de host. Qualquer host decente desde 2010+ suporta. Se usar Zenvia/Mautic cloud, eles sempre suportam. Se usar servidor próprio, instale Postfix/Sendmail com libopendkim.

DMARC p=reject vai bloquear meus emails?

Só se SPF/DKIM falhar. Por isso comece com p=none, monitore 1 semana, depois p=quarantine. Só use p=reject após confirmar 99%+ de emails passando.

Qual é o impacto de SPF/DKIM/DMARC no meu revenue?

Direto: se 40% dos seus emails iam para spam antes, implementar esses protocolos traz 40% mais emails para inbox = 40% mais conversões. Em atraca.com.br, isso pode ser $100-500/mês de diferença.