Guia
Este verificador SPF gratuito consulta o registro SPF de um domínio, expande cada referência include:, conta as consultas DNS em relação ao limite de 10 e sinaliza problemas de configuração.
Como verificar um registro SPF
- Informe um domínio (por exemplo,
example.com— colar uma URL completa ou um endereço de e-mail também funciona). - Clique em "Verificar SPF". A ferramenta busca os registros TXT do domínio e encontra o que começa com
v=spf1. - Leia o veredito: o próprio registro, cada registro referenciado expandido, a contagem de consultas DNS e uma lista de erros e avisos.
O que o verificador valida
| Verificação | Por que importa |
|---|---|
| O registro existe e há exatamente um | Zero registros significa sem proteção; dois ou mais causam um erro permanente (permerror) |
| Sintaxe de cada mecanismo | Termos desconhecidos fazem os destinatários retornarem permerror |
| Consultas DNS ≤ 10 | include, a, mx, exists, ptr e redirect consomem uma consulta cada, contadas em todos os includes; acima de 10 é permerror |
Qualificador all | +all e ?all não oferecem proteção; recomenda-se ~all (softfail) ou -all (fail) |
ptr obsoleto | Lento, não confiável e obsoleto segundo a RFC 7208 |
| Registros referenciados são resolvidos | Um include: apontando para um domínio sem registro SPF é uma falha oculta |
Exemplo
Ao verificar example.com, pode retornar v=spf1 include:_spf.google.com ~all. A ferramenta então busca _spf.google.com, que inclui mais três registros de blocos de rede do Google, e informa 4 de 10 consultas DNS usadas — um registro saudável terminando em ~all.
Quando o SPF sozinho não basta
O SPF valida apenas o remetente do envelope e quebra com encaminhamento. Combine-o com a assinatura DKIM e uma política DMARC para que os destinatários possam autenticar o endereço From visível — você pode verificá-los com o verificador DKIM e o verificador DMARC.
Limitações
- Macros (
%{i}e similares) não podem ser expandidas estaticamente, portanto registros por trás de macros são contados, mas não buscados. - A ferramenta verifica o registro DNS publicado, não o fluxo de mensagens real; um registro válido não garante a entrega na caixa de entrada.


