Por que o limite de 10 buscas é importante?

RFC 7208 limita a avaliação SPF a 10 buscas DNS por verificação (cada include:, a, mx, ptr, exists custa uma). Se você excede, o verificador retorna permerror, que a maioria das políticas DMARC estritas tratam como falha.

É mais seguro `-all` ou `~all`?

`-all` (hardfail) é a meta uma vez que você tem certeza que cada remetente está listado — DMARC `p=reject` só dispara pra hard fails. `~all` (softfail) é a configuração de bootstrap mais segura; o correio ainda chega mas em quarentena.

Construtor de Registro SPF

Rede

Constrói o registro TXT `v=spf1` que diz aos servidores de e-mail receptores quais hosts estão autorizados a enviar e-mail do seu domínio. Coloque seus IPs de envio, provedores externos (Google Workspace, Microsoft 365, Mailgun, etc.), e escolha um qualificador all de fechamento. A ferramenta mantém uma contagem corrente de buscas DNS — SPF tem um limite rígido de 10 buscas por avaliação, e excedê-lo produz um permerror que quebra a entrega. Avisos acendem pros erros comuns: `+all`, `?all` neutro, registros que excedem um chunk TXT de 255 bytes.

—

Presets

Mecanismos embutidosmx (permitir seus hosts MX)a (permitir seus hosts A/AAAA)

ip4: hosts (separados por vírgula ou nova linha)ip6: hosts (separados por vírgula ou nova linha)include: (domínios SPF externos)Qualificador all

Registro TXT

v=spf1 mx ~all

Buscas DNS: 1 / 10 · 14 B

Avisos

`~all` softfail é o valor bootstrap seguro. Aperte pra `-all` uma vez que os relatórios DMARC pareçam limpos.

Publique como registro TXT no seu domínio apex. Só um registro SPF por domínio — múltiplos são erro de configuração.

Como usar

Comece do preset relaxed (`~all`) enquanto descobre remetentes — soft-fail é indulgente com correio legítimo-mas-não-listado.
Adicione cada provedor externo via include: — nunca cole os IPs deles diretamente, eles rotacionam.
Aperte pra `-all` uma vez que seus relatórios DMARC mostrem nenhuma fonte legítima faltando.

Perguntas frequentes

Por que o limite de 10 buscas é importante?: RFC 7208 limita a avaliação SPF a 10 buscas DNS por verificação (cada include:, a, mx, ptr, exists custa uma). Se você excede, o verificador retorna permerror, que a maioria das políticas DMARC estritas tratam como falha.
É mais seguro `-all` ou `~all`?: `-all` (hardfail) é a meta uma vez que você tem certeza que cada remetente está listado — DMARC `p=reject` só dispara pra hard fails. `~all` (softfail) é a configuração de bootstrap mais segura; o correio ainda chega mas em quarentena.

Ferramentas relacionadas

Inspetor de Endereço IP

Digite um endereço IPv4 ou IPv6 e veja sua classe, scope (privado / público / loopback / link-local), valor decimal, binário, notação reverse-DNS e CIDR /32.

Rede00

Referência de Portas

Cheat sheet pesquisável de ~60 portas TCP / UDP padrão — de 22 (SSH) e 80 (HTTP) até 6379 (Redis) e 27017 (MongoDB).

Rede00

Referência de Registros DNS

Cheat sheet pesquisável de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — com exemplos.

Rede00

Calculadora de Subrede (IPv4 / CIDR)

Parseia CIDR IPv4 em endereço de rede, broadcast, netmask, wildcard, faixa de hosts e classe. Mostra desdobramento binário e status privado/público.

Rede00

Parser de User Agent

Parseia string User-Agent em navegador, engine, OS, dispositivo e CPU. Detecta 20+ bots incluindo GPTBot, ClaudeBot, PerplexityBot.

Rede00

Referência de Códigos de Status HTTP

Lista pesquisável de todos os códigos HTTP (1xx-5xx) com resumo, RFC, quando usar e armadilhas comuns.

Rede00