Infraestrutura de email do zero: o que configurar antes do primeiro envio

Tem uma confusão comum em quem começa a enviar email marketing: achar que o ESP cuida da infraestrutura. Não cuida. O ESP é o motor. A infraestrutura é o chassi, o combustível e a placa do carro. Você é responsável por ela.

Esse texto é um caminho de execução, em ordem, do que precisa estar no lugar antes do primeiro envio sério acontecer. Não cobre estratégia de copy nem segmentação. Cobre o que provedores como Gmail e Outlook olham para decidir se você é alguém em quem podem confiar.

1. Subdomínio dedicado para marketing

Primeira decisão técnica: você não envia marketing pelo mesmo domínio que envia email transacional importante.

Se a sua empresa é acme.com, o time de produto usa acme.com para invoice, recuperação de senha, notificação crítica. Marketing deveria operar em news.acme.com, email.acme.com ou mkt.acme.com. A razão é simples: a reputação de cada subdomínio é avaliada de forma relativamente independente pelos provedores. Se um envio de marketing der ruim, você não quer arrastar o login do produto para o spam junto.

Configure o subdomínio antes de configurar o ESP. Não depois.

2. SPF (Sender Policy Framework)

SPF é um registro TXT no DNS do seu subdomínio que lista quais servidores estão autorizados a enviar email em nome dele.

Exemplo de SPF para quem usa um ESP típico:

v=spf1 include:_spf.exemplo-esp.com -all

Três coisas para acertar:

• O registro vai no subdomínio que envia (news.acme.com), não no domínio raiz.
• Use -all (hardfail) quando souber exatamente quem envia. Use ~all (softfail) só durante migrações.
• SPF tem limite de 10 lookups DNS. Estourar esse limite invalida o registro inteiro. ESPs grandes podem incluir múltiplos include:. Se você acumulou muitos remetentes ao longo do tempo, faça flattening.

SPF sozinho não basta. Ele falha quando o email é encaminhado (porque o servidor intermediário não está na lista). Por isso existe DKIM.

3. DKIM (DomainKeys Identified Mail)

DKIM assina cada mensagem com uma chave privada que o seu ESP guarda. O destinatário verifica essa assinatura com uma chave pública que você publica no DNS, também como TXT.

O ESP gera as chaves. Você publica os registros. Use chaves de pelo menos 2048 bits. Chaves de 1024 bits ainda são aceitas mas estão sendo depreciadas progressivamente.

DKIM sobrevive ao encaminhamento que SPF não sobrevive. Por isso a recomendação prática é configurar os dois. Não é escolha entre um e outro.

4. DMARC, em três fases

DMARC é o protocolo que junta SPF e DKIM e diz ao provedor o que fazer quando algum dos dois falha. É também a única forma do destinatário te avisar que alguém está tentando se passar pelo seu domínio.

DMARC se publica em três fases, e a maioria das empresas pula direto para a fase três e quebra coisa.

Fase 1: monitoramento (p=none).

v=DMARC1; p=none; rua=mailto:dmarc@acme.com; ruf=mailto:dmarc@acme.com; fo=1; pct=100

Você não está bloqueando nada. Está pedindo para os provedores te mandarem relatórios diários sobre quem está enviando email em nome do seu domínio. Esse passo dura entre 4 e 8 semanas. O objetivo é descobrir todos os remetentes legítimos que você esqueceu (CRM, ferramenta de suporte, sistema de assinatura digital, agência que dispara newsletter terceirizada).

Fase 2: quarentena (p=quarantine).

Quando os relatórios mostram que 99%+ dos envios passam em SPF ou DKIM alinhado, você sobe para quarentena. Mensagens que falharem vão para a pasta de spam do destinatário em vez de serem rejeitadas.

v=DMARC1; p=quarantine; rua=mailto:dmarc@acme.com; pct=10

Note o pct=10. Você está aplicando a política a 10% das mensagens que falham. Aumente progressivamente.

Fase 3: rejeição (p=reject).

Política completa. Mensagens que falham SPF e DKIM são rejeitadas pelo servidor receptor antes de chegar à caixa do destinatário. Essa é a postura que Gmail e Yahoo passaram a exigir de remetentes em massa em 2024.

v=DMARC1; p=reject; rua=mailto:dmarc@acme.com

Se você operar em p=none para sempre, BIMI não funciona, e remetentes em massa ficam expostos a spoofing.

5. BIMI (Brand Indicators for Message Identification)

BIMI exibe o logo da sua marca no inbox, ao lado do nome do remetente, em provedores que suportam o padrão (Gmail, Yahoo, Apple Mail, entre outros).

Requisitos:

• DMARC em p=quarantine ou p=reject (não funciona em p=none).
• Logo em formato SVG Tiny PS, hospedado em URL pública sobre HTTPS.
• Para Gmail e Apple Mail, um VMC (Verified Mark Certificate) emitido por autoridade certificadora reconhecida. Tem custo anual, e exige que sua marca seja registrada.

BIMI não melhora deliverability diretamente. Melhora reconhecimento visual no inbox e indiretamente reduz reclamação por confusão de identidade.

6. Warm-up: paciência sobre volume

Subir uma infra nova e disparar 200 mil emails no primeiro dia é uma forma rápida de queimar o IP e o domínio.

Provedores avaliam padrão de envio. Volume crescente e consistente vindo de um remetente novo é interpretado como remetente legítimo construindo audiência. Volume súbito é interpretado como spammer.

Padrão de warm-up que funciona, semana por semana:

• Semana 1. 500 a 1.000 envios por dia para os subscribers mais engajados (abriram nos últimos 30 dias).
• Semana 2. Dobre o volume diário. Mantenha o foco em quem engaja.
• Semana 3 em diante. Continue dobrando a cada poucos dias, expandindo gradualmente para subscribers menos engajados.
• Sinais de parada. Se bounce rate passar de 2% ou complaint rate passar de 0,1% em qualquer ponto, pare de aumentar volume e investigue.

Warm-up típico para volumes corporativos (milhões de envios/mês) leva entre 4 e 8 semanas até o IP/domínio operar em capacidade plena.

7. Monitoramento, do dia 1 ao dia 365

Você não vai saber se a infraestrutura está saudável a menos que esteja medindo. Os três painéis gratuitos que valem a configuração:

• Google Postmaster Tools. Mostra spam rate, IP reputation, domain reputation, taxa de autenticação e taxa de criptografia para envios para Gmail. Configura uma vez, dispara TXT de verificação no DNS, esquece.
• Microsoft SNDS (Smart Network Data Services). Equivalente do lado Outlook/Hotmail. Mais cru, focado em IP. Útil quando você opera IP dedicado.
• Yahoo Sender Hub. Lançado em 2024 quando a Yahoo apertou requisitos. Acompanha métricas equivalentes para envios para Yahoo, AOL e outras propriedades do grupo.

Métricas para vigiar diariamente:

• Complaint rate. Abaixo de 0,3%. Idealmente abaixo de 0,1%. Acima de 0,3% é zona vermelha, e Gmail filtra ativamente.
• Hard bounce rate. Abaixo de 2%. Acima disso indica lista ruim ou infraestrutura mal configurada.
• Domain reputation. Em Postmaster Tools, deve estar em "High" ou "Medium". "Low" ou "Bad" são alerta máximo.
• Status em blocklist. Verificadores como MXToolbox ou MultiRBL monitoram listas como Spamhaus, SORBS e Barracuda. Estar em blocklist mata entregabilidade para milhões de inboxes ao mesmo tempo.

8. O que não está nesse texto, mas existe

Cobrimos a infraestrutura técnica de envio. Não cobrimos: feedback loops com provedores (úteis para automação de unsubscribe), suppression lists (críticas para LGPD/GDPR), CSPs para conteúdo dinâmico no email, AMP for Email (suporte ainda parcial), e a estratégia de IP compartilhado versus dedicado (depende de volume).

Cada um desses tópicos merece o próprio texto. O importante aqui é fechar o conjunto mínimo: subdomínio + SPF + DKIM + DMARC + warm-up + monitoramento. Sem isso, qualquer otimização de copy é trabalhar em cima de um chão que treme.

Como o Email Intelligence ajuda

O Email Intelligence opera na camada acima dessa infraestrutura. Depois que você configurou o setup técnico, ainda fica em aberto a pergunta: "como sei, por subscriber, se essa pessoa está engajando, se o endereço é descartável, se o domínio é trap risk, se o engagement está caindo?". O Email Intelligence conecta na sua conta de ActiveCampaign e materializa essas respostas como campos automáticos, prontos para automação e segmentação.

Estamos abrindo acesso ao beta gratuito.

Quero acessar o beta →