Recebe um email do seu fornecedor a pedir uma alteração de dados bancários. Parece legítimo, vem do endereço correcto e tem o logótipo certo. Mas é falso. Esta é uma das fraudes mais comuns que afecta as PMEs portuguesas — e a única defesa técnica eficaz começa por três siglas: SPF, DKIM e DMARC.
Se o domínio da sua empresa não tem estes três registos configurados, qualquer pessoa no mundo pode enviar emails fingindo ser de @suaempresa.pt. E o pior: a sua taxa de entrega no Gmail e Outlook está a cair sem que se aperceba.
Neste guia explicamos, sem jargão, o que são SPF, DKIM e DMARC, porque é que são obrigatórios em 2026 e como ativá-los no seu domínio em menos de uma hora.
Verifique se a sua PME tem todas as protecções essenciais →
O que são SPF, DKIM e DMARC?
Imagine o sistema de correio dos CTT. Quando recebe uma carta, o carteiro confirma que: 1) o remetente é quem diz ser, 2) o envelope não foi aberto pelo caminho, e 3) sabe o que fazer se algo for suspeito. SPF, DKIM e DMARC fazem exactamente isto, mas para email.
São três registos DNS — pequenas configurações no domínio da sua empresa (ex.: suaempresa.pt) — que dizem aos servidores de email do mundo inteiro como verificar se uma mensagem é mesmo sua ou se é uma falsificação.
SPF (Sender Policy Framework)
O SPF é uma lista oficial dos servidores autorizados a enviar email em nome do seu domínio. É como uma lista VIP à porta de uma discoteca: se o servidor não está na lista, a mensagem é rejeitada ou marcada como spam.
Exemplo prático: se a sua PME usa o Microsoft 365 para enviar email, o registo SPF informa o Gmail e o Outlook do destinatário: “Só os servidores da Microsoft podem enviar emails de @suaempresa.pt.” Qualquer outro servidor que tente fingir o seu domínio é bloqueado.
DKIM (DomainKeys Identified Mail)
O DKIM é uma assinatura digital invisível em cada email que envia. Funciona como o selo de cera nas cartas antigas: se alguém abre o envelope pelo caminho, o selo parte-se e o destinatário percebe.
Tecnicamente, é uma chave criptográfica que prova duas coisas: a mensagem veio mesmo do seu domínio e o conteúdo não foi alterado entre o envio e a recepção.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
O DMARC é o “gestor” que diz aos servidores receptores o que fazer quando SPF ou DKIM falham: rejeitar a mensagem, mandar para spam, ou apenas registar. Além disso, o DMARC envia-lhe relatórios semanais sobre quem tentou usar o seu domínio indevidamente — uma janela rara sobre as tentativas de fraude.
Porque é que a sua PME precisa disto em 2026?
Em 2024, o Gmail e o Yahoo passaram a exigir DMARC a qualquer remetente que envie mais de 5.000 emails por dia. Em 2026, esta exigência alarga-se a praticamente todos os domínios profissionais. Sem estes três registos, a sua empresa sofre três problemas graves:
1. Os seus emails vão para spam. Mesmo emails legítimos para clientes — propostas, facturas, newsletters — começam a cair na pasta de spam. Já notou que algumas respostas demoram dias? Pode ser por isto.
2. Qualquer pessoa pode falsificar o seu domínio. Sem SPF e DMARC, um burlão pode enviar emails como “comercial@suaempresa.pt” a partir de um servidor na Rússia. Os seus clientes e fornecedores podem cair em fraudes pensando que estão a falar consigo.
3. Risco de incumprimento NIS2 e RGPD. A nova directiva NIS2, em vigor em Portugal desde Abril de 2026, obriga PMEs em sectores críticos a implementar autenticação forte de email. A CNPD considera o controlo de email autenticado uma “medida técnica adequada” no âmbito do RGPD.
O Centro Nacional de Cibersegurança (CNCS) publicou a Recomendação Técnica RT01/19 a recomendar “vivamente” a adopção dos três protocolos a todas as organizações portuguesas com presença na internet. Pode consultar o documento completo em cncs.gov.pt.
Como verificar se a sua PME já tem SPF, DKIM e DMARC?
É simples e demora 2 minutos. Vá a uma ferramenta gratuita como o MXToolbox ou o Mail Tester e introduza o seu domínio. Verá imediatamente:
– Se tem SPF (deve aparecer um registo TXT começado por v=spf1)
– Se tem DKIM (chave pública DNS no selector usado pelo seu provedor)
– Se tem DMARC (registo TXT em _dmarc.suaempresa.pt)
Se algum estiver em falta, é urgente avançar para a configuração.
Como configurar SPF, DKIM e DMARC no seu domínio
O processo varia ligeiramente conforme o provedor de email (Microsoft 365, Google Workspace, cPanel, etc.) mas os passos são sempre os mesmos:
Passo 1 — SPF. No painel DNS do registo do seu domínio (ex.: GoDaddy, OVH, AMEN), crie um registo TXT na raiz do domínio. Para Microsoft 365: v=spf1 include:spf.protection.outlook.com -all. Para Google Workspace: v=spf1 include:_spf.google.com ~all. O -all rejeita; o ~all marca como suspeito mas entrega.
Passo 2 — DKIM. No painel do Microsoft 365 ou Google Workspace, active o DKIM. Receberá um valor para colocar como registo CNAME ou TXT no DNS (geralmente em selector1._domainkey.suaempresa.pt). Após guardar, ative no painel do provedor.
Passo 3 — DMARC. Crie um registo TXT em _dmarc.suaempresa.pt com o valor: v=DMARC1; p=none; rua=mailto:dmarc@suaempresa.pt. Comece sempre com p=none (apenas monitorizar) durante 4 semanas. Após verificar que tudo funciona, mude para p=quarantine e, mais tarde, p=reject.
Erros comuns a evitar
Vemos PMEs portuguesas a cometer sempre os mesmos erros. Não tenha mais do que um registo SPF — alguns admin criam vários porque usam serviços diferentes (ex.: Microsoft 365 + Mailchimp). Tem de juntar todos num único registo SPF com vários include.
Outro erro: passar directamente para p=reject sem monitorizar. Pode bloquear emails legítimos do seu departamento de RH ou da sua plataforma de facturação. Comece sempre por p=none.
Por fim, não esqueça serviços terceiros. Se usa o Mailchimp para newsletters ou o Sendinblue para emails transaccionais, esses serviços têm de estar autorizados no seu SPF e ter as suas próprias chaves DKIM activas.
O que fazer com os relatórios DMARC?
Após activar o DMARC com rua=mailto:dmarc@suaempresa.pt, vai começar a receber relatórios XML diários ou semanais dos principais provedores (Google, Microsoft, Yahoo). Estes relatórios contêm informação valiosa: quantos emails foram enviados em seu nome, de que servidores, e quantos passaram ou falharam SPF/DKIM.
O problema é que estes XML são ilegíveis para humanos. Use uma ferramenta gratuita como o DMARC Analyzer ou o Postmark DMARC Digests para os interpretar. Recebe um resumo semanal em linguagem natural com tudo o que precisa de saber — e detecta imediatamente se algum servidor não autorizado tenta usar o seu domínio.
Para PMEs em sectores regulados (saúde, banca, advocacia), estes relatórios são também uma evidência valiosa em caso de auditoria RGPD ou NIS2, demonstrando que monitoriza activamente a autenticação do seu email.
E se ainda tiver dúvidas?
A maioria das PMEs portuguesas não tem competência técnica interna para implementar SPF, DKIM e DMARC. E não é grave. Pode pedir ao seu actual provedor de email ou empresa de IT que faça a configuração. Habitualmente o custo varia entre €100 e €300, uma única vez.
Se preferir validar primeiro o nível de exposição da sua empresa antes de contratar um serviço, comece pela nossa checklist gratuita — em 10 minutos sabe exactamente que ameaças precisa de mitigar e em que ordem.
Conclusão: invista uma hora hoje para evitar problemas amanhã
Configurar SPF, DKIM e DMARC não é uma tarefa para o técnico de informática “quando puder”. É uma das medidas com melhor retorno em cibersegurança: 60 minutos de trabalho que protegem a reputação da sua marca, melhoram a entrega dos seus emails e reduzem o risco de fraude por falsificação de identidade.
Se preferir não fazer sozinho, qualquer técnico de TI ou empresa especializada em segurança de email faz isto em meia tarde por menos de €200. É um investimento mínimo perante o risco.
Para aprofundar, leia também os nossos guias sobre o que fazer se foi hackeado e como reconhecer um ataque de phishing em 2026.
Conhece alguém que precisa de proteger o negócio? Partilhe este artigo.
Guia Completo de Cibersegurança para PMEs (€14,90) →
Leave a Reply