Testar configuração de email no Mail-Tester e verificar score 10 de 10
Como testar configuração email no Mail-Tester, verificar score SPF DKIM DMARC e corrigir falhas antes de enviar campanhas em produção.
Antes de colocar qualquer fluxo de email em produção — transacionais de signup, recuperação de senha, notificações de billing ou newsletters — você precisa validar que o servidor envia mensagens autenticadas corretamente. Sem SPF, DKIM e DMARC bem configurados, suas mensagens vão pro spam mesmo com conteúdo legítimo, e nenhum provedor sério (Gmail, Outlook, iCloud) entrega pra inbox.
O Mail-Tester é a ferramenta padrão da indústria pra essa validação. É gratuito pra três testes diários, gera um relatório detalhado em segundos e atribui um score de 0 a 10 cobrindo autenticação, formatação, reputação do IP, sinais de SpamAssassin e blacklists. Atingir 10/10 não garante inbox em todos os provedores, mas score abaixo de 8 garante problemas.
Este tutorial é pra sysadmins e desenvolvedores que já tem Postfix (ou outro MTA) rodando em uma VPS Linux e precisam validar a configuração antes de subir pra produção. Tempo estimado: 20-30 minutos pro primeiro teste, mais o tempo de corrigir cada falha encontrada.
Pré-requisitos
Você precisa de uma VPS Linux com Postfix instalado e funcionando, acesso sudo no servidor, controle do DNS do domínio (Cloudflare, Registro.br, etc) e um cliente capaz de enviar email autenticado — pode ser o próprio sendmail, swaks, ou um script PHP/Python.
Postfix 3.6+ Ubuntu 22.04 / 24.04 LTS 25 (saída) e 587 (submission) swaks ou mail Confirme que o Postfix está rodando antes de continuar:
sudo systemctl status postfixSe o output mostra active (running), você está pronto. Caso contrário, instale e habilite com sudo apt install postfix && sudo systemctl enable --now postfix.
Gerar o endereço único no Mail-Tester
Cada teste do Mail-Tester usa um endereço único, descartável, que expira em 45 minutos. Você manda um email pra esse endereço, abre a página do relatório e o serviço analisa a mensagem.
Acesse mail-tester.com em uma aba do navegador. A página inicial exibe um endereço no formato [email protected].
Copie esse endereço inteiro — você vai usar como destinatário no próximo passo. Não recarregue a página antes de mandar o email, senão o endereço muda e o relatório fica vazio.
No servidor, instale o swaks (Swiss Army Knife for SMTP), que facilita testar envio autenticado com headers customizados:
sudo apt install -y swaksO swaks roda em Perl, ocupa menos de 200 KB e aceita controle fino de HELO, From, To, headers e body — útil pra reproduzir exatamente o que sua aplicação envia em produção.
Envie o email de teste substituindo seudominio.com.br pelo seu domínio real e o endereço do Mail-Tester gerado no passo 01:
swaks --to [email protected] \
--from "[email protected]" \
--server localhost \
--h-Subject "Teste Mail-Tester $(date +%F)" \
--body "Conteúdo de teste pra validar autenticação SPF DKIM DMARC."Se tudo correu bem, o swaks mostra 250 2.0.0 Ok: queued as ... na última linha. Esse código é o servidor confirmando que aceitou a mensagem pra entrega.
Volte pra aba do Mail-Tester e clique em “Then check your score”. Em até 30 segundos o relatório aparece com o score na lateral esquerda e a análise detalhada à direita.
Se o relatório mostra “We did not receive your email yet”, aguarde mais 60 segundos e clique de novo. Postfix pode demorar pra processar a fila se houver mensagens travadas; verifique com mailq no servidor.
Interpretar o relatório e as deduções
O score do Mail-Tester parte de 10 e desconta pontos por falha. As categorias principais são autenticação (SPF/DKIM/DMARC), conteúdo (formatação HTML, links, peso da mensagem), reputação (IP em blacklists públicas) e identificação (rDNS, HELO válido).
Falha de SPF
Se o relatório mostra “SPF: softfail” ou “no SPF record”, o domínio não publicou autorização pro IP do seu servidor enviar. Solução: adicione um registro TXT na zona DNS:
seudominio.com.br. IN TXT "v=spf1 ip4:203.0.113.45 -all"Substitua 203.0.113.45 pelo IPv4 público da sua VPS. O -all no final é hardfail — qualquer IP fora da lista é rejeitado. Use ~all (softfail) só durante migração; em produção, hardfail é padrão.
Falha de DKIM
DKIM exige uma chave assinada que prova que o email saiu do seu domínio sem alteração no caminho. O Postfix sozinho não assina DKIM — você precisa do OpenDKIM rodando como milter.
Instale e configure o OpenDKIM:
sudo apt install -y opendkim opendkim-tools
sudo mkdir -p /etc/opendkim/keys/seudominio.com.br
cd /etc/opendkim/keys/seudominio.com.br
sudo opendkim-genkey -s mail -d seudominio.com.br
sudo chown opendkim:opendkim mail.privateIsso gera dois arquivos: mail.private (chave privada que o servidor usa pra assinar) e mail.txt (registro DNS pra publicar).
Publique o conteúdo de mail.txt como registro TXT no DNS. O arquivo tem o formato:
mail._domainkey.seudominio.com.br. IN TXT "v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSq..."Cole exatamente o valor entre aspas no painel DNS. Espere 5-10 minutos pra propagação e valide com dig TXT mail._domainkey.seudominio.com.br +short.
Falha de DMARC
DMARC instrui o provedor receptor sobre o que fazer se SPF ou DKIM falharem. Sem DMARC publicado, o Mail-Tester desconta 1.0 ponto. Adicione:
_dmarc.seudominio.com.br. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; aspf=s; adkim=s"A política p=quarantine manda emails que falham pra pasta de spam — política mais segura pra começar. Depois de uma semana de relatórios limpos via rua, evolua pra p=reject.
Reverse DNS ausente
Se o relatório mostra “Your message could not be tested” ou “PTR record missing”, o IP da VPS não tem rDNS configurado. Sem PTR, Gmail e Outlook rejeitam direto.
PTR é registrado na zona reversa do IP, controlada pelo provedor que aloca o bloco. Em VPS Hostini, configure o rDNS pelo painel em VPS > IPs > rDNS. Outros provedores podem exigir abrir ticket.
Verificação
Depois de aplicar SPF, DKIM, DMARC e rDNS, gere um endereço novo no Mail-Tester (não reuse o anterior) e repita os passos 01 a 04. O relatório deve mostrar:
SPF: pass
DKIM: pass (signed by seudominio.com.br)
DMARC: pass
PTR: ptr.seudominio.com.br
SpamAssassin: 0.0 / negative is good
Score: 10/10Se ainda não chegou em 10, o relatório aponta exatamente cada dedução. Os erros mais comuns que sobram nessa altura são SpamAssassin reagindo a conteúdo (URLs encurtadas, palavras gatilho) ou o IP estar em alguma blacklist menor — clique em cada item pra ver o detalhe.
Resolução de problemas
Score baixo por SpamAssassin
Se o relatório mostra SpamAssassin: 2.3 ou similar, abra a seção e leia cada regra que disparou. Regras comuns: HTML_MESSAGE (envie versão texto plano também), MIME_HTML_ONLY (mesmo problema), HTML_IMAGE_RATIO_02 (HTML quase só imagem, pouco texto). Corrigir o conteúdo zera essa categoria sem mexer em configuração do servidor.
IP em blacklist
O Mail-Tester checa contra ~10 blacklists públicas (Spamhaus, SORBS, Barracuda). Se aparece “Listed on X”, visite o site da blacklist e siga o processo de delistagem — geralmente é um formulário simples explicando o uso legítimo do IP. Spamhaus costuma delistar em 24h pra IPs comerciais.
DKIM falha mesmo com chave publicada
Confirme que mail.private no servidor corresponde EXATAMENTE ao p= publicado no DNS. Se você gerou a chave duas vezes durante setup, a versão antiga pode estar no disco e a nova no DNS — e a assinatura nunca bate. Limpe /etc/opendkim/keys/ e regenere do zero.
Confirme com:
opendkim-testkey -d seudominio.com.br -s mail -vvvOutput esperado: key OK. Qualquer outra coisa indica mismatch entre arquivo local e DNS publicado.
Próximos passos
Score 10/10 no Mail-Tester é o piso, não o teto. Pra ir além:
- Configure relatórios DMARC agregados (
rua) e parseie eles com Postmark DMARC Monitor ou dmarcian — assim você vê tentativas de spoofing em tempo real. - Implemente BIMI (Brand Indicators for Message Identification) pra exibir seu logo na inbox do Gmail e Yahoo Mail — exige DMARC em
p=rejecte certificado VMC. - Teste inbox placement em provedores reais com GlockApps ou Mailtrap — esses serviços enviam pra contas seed em Gmail, Outlook, Yahoo e reportam onde caiu (inbox, promotions, spam).
- Monitore reputação contínua via Google Postmaster Tools e Microsoft SNDS — ambos gratuitos, mostram volume, taxa de spam e reputação do IP.
Se você está colocando esse fluxo em produção em escala, uma VPS Hostini já vem com rDNS configurável pelo painel e IPs com reputação limpa, sem precisar passar por aquecimento longo antes de mandar volume significativo.
Perguntas frequentes
Por que meu score começou em 10/10 e caiu para 8 horas depois?
O Mail-Tester gera um endereço novo a cada teste — ele expira em 45 minutos. Se você reutiliza um endereço antigo, o serviço bloqueia ou reporta dados inconsistentes. Sempre gere um endereço fresco antes de cada rodada de teste.
Posso atingir 10/10 sem registro DMARC?
Não. O Mail-Tester desconta entre 0.5 e 1.0 ponto se SPF, DKIM ou DMARC estiverem ausentes. Para nota máxima, os três precisam estar publicados e alinhados com o domínio do header From.
Meu SPF passa no Mail-Tester mas o Gmail manda pro spam — por quê?
Mail-Tester avalia configuração técnica. Gmail também leva em conta reputação do IP, volume histórico e engajamento. IPs novos ou de faixas residenciais podem entrar em greylist mesmo com SPF, DKIM e DMARC perfeitos. Aquecimento gradual de IP resolve.
O Mail-Tester acusa SpamAssassin score positivo — isso é ruim?
Sim. SpamAssassin atribui pontos positivos pra características suspeitas (URLs encurtadas, excesso de exclamações, mismatch de URL/anchor text). Cada ponto acima de zero te custa nota. Revise o conteúdo do email seguindo a lista de regras que o relatório mostra.
Quantos testes grátis o Mail-Tester permite?
Três testes por dia por IP no plano free. Acima disso o site mostra um paywall. Pra desenvolvimento intenso, alternativas como GlockApps ou Mailtrap rodam quotas separadas e oferecem inbox placement em provedores reais (Gmail, Outlook, Yahoo).
Preciso de IP dedicado pra atingir 10/10?
Não pro score em si — IP compartilhado limpo passa em SPF/DKIM/DMARC normalmente. Mas pra envio em volume (>1.000 emails/dia) o IP dedicado evita ser arrastado pela reputação de outros tenants no IP compartilhado.