O Guia Completo de Configuração SMTP: Portas, Autenticação e Configuração de Servidor de Email

Navegar
Voltar ao blog
Publicado
Apr 20, 2026
Tempo de leitura
10 min de leitura
Escrito por
Simon Meier
Ilustração de cibersegurança com autenticação, servidor protegido com escudo e cadeado, e portas conectadas por linhas de circuito em fundo azul escuro

Configuração de SMTP é o processo de configurar seu servidor de email (ou cliente de email) para enviar mensagens corretamente usando o Simple Mail Transfer Protocol. Faça certo e seus emails chegam nas caixas de entrada. Faça errado e você enfrentará falhas de entrega, erros de autenticação ou mensagens caindo silenciosamente em pastas de spam. As três coisas que você precisa acertar sempre são a porta correta, o método de criptografia correto e credenciais de autenticação funcionando.

Índice de Conteúdo

O Que SMTP Realmente Faz

SMTP é o protocolo que seu cliente de email ou aplicação usa para entregar mensagens de saída a um servidor de email, que depois as roteia para o destinatário. Ele lida apenas com o lado do envio. O recebimento de email é tratado por protocolos separados: IMAP (para sincronização) ou POP3 (para download).

Quando você clica em "Enviar", seu cliente abre uma conexão TCP com o servidor SMTP, se autentica, entrega a mensagem e desconecta. O servidor então tenta entregar essa mensagem ao servidor de email do destinatário usando o mesmo protocolo, procurando o registro DNS MX (Mail Exchange) do destino para saber para onde enviá-la.

SMTP é definido em RFC 5321 , que substituiu a RFC 2821 original. Entender a especificação ajuda quando você precisa depurar conversas SMTP brutas ou configurar um servidor do zero.

Portas SMTP Explicadas: 25, 465 e 587

Há três portas que você encontrará em qualquer configuração de SMTP. Cada uma tem um papel específico, e usar a errada é uma das causas mais comuns de falhas na entrega de email.

Porta Nome Criptografia Uso Típico
25 SMTP Nenhuma (ou STARTTLS) Retransmissão servidor-para-servidor (MTA para MTA)
465 SMTPS SSL/TLS Implícito Submissão de cliente legada (aplicações antigas)
587 Submissão STARTTLS (TLS Explícito) Submissão de email do cliente autenticado

Porta 25 vs 587: Qual Devo Usar?

A porta 25 é a porta SMTP original, definida em 1982. Foi projetada para servidores de email se comunicarem entre si, não para usuários finais enviarem email. A maioria dos ISPs e provedores de nuvem bloqueia a porta 25 de saída em IPs residenciais e de hospedagem compartilhada especificamente para prevenir spam. Se você está rodando uma aplicação que envia email, tentar usar a porta 25 quase certamente falhará.

A porta 587 é a escolha certa para enviar email de um cliente ou aplicação. Foi padronizada em RFC 6409 como a porta dedicada de "submissão de mensagem". Ela exige STARTTLS, o que significa que a conexão começa sem criptografia e depois é atualizada para TLS antes de qualquer credencial ser enviada. Isso é o que Gmail, Outlook e praticamente todos os provedores de email modernos esperam que você use.

Nunca envie credenciais em uma conexão sem criptografia. Se seu cliente SMTP voltar para texto simples quando STARTTLS falha, ele transmitirá seu nome de usuário e senha em texto claro. Sempre configure seu cliente para exigir TLS e rejeitar a conexão se a criptografia não puder ser estabelecida.

Porta SMTP 465: A Porta SSL Legada

A porta 465 tem uma história inusitada. Foi brevemente atribuída a SMTPS (SMTP sobre SSL) em 1997, depois essa atribuição foi revogada em 1998 quando STARTTLS na porta 587 se tornou a abordagem preferida. Apesar de ser oficialmente descontinuada, muitos servidores de email continuaram apoiando-a, e foi posteriormente re-registrada pela IANA para um propósito diferente.

Na prática, a maioria dos provedores ainda aceita conexões na porta 465 usando SSL/TLS implícito. Isso significa que TLS envolve a conexão inteira desde o primeiro byte, em vez de fazer upgrade no meio do handshake como STARTTLS. Algumas aplicações antigas e hardware (certas impressoras de rede, CRMs legados) só suportam porta 465, então ela continua útil nesses casos.

  • Use a porta 465 se sua aplicação ou dispositivo exigir especificamente SSL implícito e não puder fazer STARTTLS.
  • Use a porta 587 para tudo o mais. É o padrão moderno.
  • Evite a porta 25 para submissão de cliente completamente.

Autenticação SMTP: Como Funciona

Autenticação SMTP (frequentemente escrita como SMTP AUTH) é definida em RFC 4954 . Ela exige que o cliente prove sua identidade antes do servidor aceitar email de saída. Sem ela, qualquer um que pudesse alcançar seu servidor poderia usá-lo para enviar spam, é por isso que relays abertos são tratados como um problema de segurança grave.

Os mecanismos de autenticação mais comuns que você verá na configuração de SMTP são:

  • PLAIN: Envia o nome de usuário e senha codificados em base64. Seguro apenas em uma conexão criptografada (TLS deve estar ativo primeiro).
  • LOGIN: Similar a PLAIN mas envia nome de usuário e senha como trocas separadas. Também exige TLS.
  • CRAM-MD5: Um mecanismo de desafio-resposta que evita enviar a senha diretamente. Menos comum em servidores modernos.
  • XOAUTH2: Usado pelo Gmail e outras contas do Google Workspace. Em vez de uma senha, você fornece um token de acesso OAuth 2.0. Isso é o que você precisa quando o acesso a "aplicativos menos seguros" está desabilitado.
Senhas de app vs. sua senha principal: Gmail, Outlook e Yahoo todos suportam senhas específicas do app para clientes SMTP que não suportam OAuth. Gere uma nas configurações de segurança da sua conta e use essa em vez de sua senha real. Ela pode ser revogada independentemente sem alterar suas credenciais principais.

Configuração de Servidor de Email Passo a Passo

Quer você esteja configurando um cliente de email como Thunderbird, uma aplicação web enviando email transacional ou um servidor de email auto-hospedado, o processo segue a mesma sequência lógica.

Para Clientes de Email e Aplicações

  1. Obtenha o nome de host SMTP do seu provedor. Exemplos: smtp.gmail.com , smtp.office365.com , mail.yourdomain.com .
  2. Escolha a porta correta. Use 587 com STARTTLS como seu padrão. Volte para 465 com SSL apenas se sua aplicação exigir.
  3. Digite suas credenciais de autenticação. Geralmente é seu endereço de email completo como nome de usuário mais sua senha ou senha de app.
  4. Defina o método de criptografia. Corresponda à porta: STARTTLS para 587, SSL/TLS para 465.
  5. Teste a conexão. A maioria dos clientes de email tem um botão "Testar Configurações de Conta" ou "Verificar". Use antes de salvar.

Para um Servidor de Email Auto-Hospedado (Exemplo com Postfix)

Se você está rodando seu próprio servidor com Postfix, a configuração SMTP principal fica em /etc/postfix/main.cf . Aqui está um exemplo mínimo funcional para um servidor que retransmite através de um provedor SMTP de terceiros: 

# /etc/postfix/main.cf - Basic relay configuration

relayhost = [smtp.sendgrid.net]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes

Após editar, crie /etc/postfix/sasl_passwd com suas credenciais, execute postmap /etc/postfix/sasl_passwd para fazer hash, depois recarregue o Postfix com systemctl reload postfix .

Bloqueie sasl_passwd imediatamente. Execute chmod 600 /etc/postfix/sasl_passwd e chmod 600 /etc/postfix/sasl_passwd.db após criar o arquivo. Arquivos de credenciais legíveis são uma configuração de servidor comum.

Configurações SMTP Comuns para Provedores Populares

Provedor Host SMTP Porta Criptografia Nota de Autenticação
Gmail smtp.gmail.com 587 STARTTLS Use senha de app ou OAuth2
Gmail (alt) smtp.gmail.com 465 SSL/TLS Use senha de app ou OAuth2
Microsoft 365 smtp.office365.com 587 STARTTLS Autenticação Moderna / senha de app
Yahoo Mail smtp.mail.yahoo.com 465 SSL/TLS Senha de app obrigatória
Zoho Mail smtp.zoho.com 587 STARTTLS Email completo como nome de usuário
Amazon SES email-smtp.us-east-1.amazonaws.com 587 STARTTLS Credenciais SMTP do IAM

Resolvendo Problemas de Conexão SMTP

A maioria das falhas de SMTP se enquadra em um pequeno número de categorias. Antes de mergulhar em logs, verifique se a porta é realmente acessível do seu servidor ou rede. Um bloqueio de firewall ou ISP é frequentemente o culpado, e você pode confirmar rapidamente sem ferramentas especiais.

Você pode verificar se uma porta SMTP está aberta no seu servidor de email usando um verificador de portas online gratuito. Digite o nome de host ou IP do seu servidor de email, selecione a porta 25, 465 ou 587 e execute o teste. Se o resultado voltar como fechado ou timeout, o problema é de nível de rede (firewall, bloqueio de ISP ou o serviço não está rodando) em vez de um erro de configuração dentro de sua aplicação.

Mensagens de Erro Comuns e O Que Significam

  • Conexão recusada / Tempo de conexão expirado: A porta está bloqueada ou o serviço não está escutando. Verifique suas regras de firewall e confirme que o daemon SMTP está rodando.
  • 535 Autenticação falhou: Nome de usuário ou senha incorretos. Para Gmail, isso geralmente significa que você precisa de uma senha de app, não sua senha de conta.
  • 550 5.7.1 Acesso de retransmissão negado: Seu servidor não está configurado para retransmitir email para esse endereço de remetente, ou a autenticação não aconteceu antes do comando MAIL FROM.
  • 421 Muitas conexões: O servidor receptor está limitando sua taxa. Reduza a frequência de envio ou implemente uma fila com atrasos.
  • Falha no handshake TLS: Incompatibilidade de certificado ou versão TLS desatualizada. Verifique se o certificado SSL do seu servidor é válido e que você não está tentando usar TLS 1.0 ou 1.1, que a maioria dos provedores desabilitou.

Lista de Verificação de Diagnóstico Rápido

  1. Confirme que a porta SMTP está aberta e acessível de seu ambiente de envio.
  2. Verifique se o nome de host é resolvido corretamente com nslookup smtp.yourdomain.com .
  3. Verifique se seu IP de envio não está em uma lista de bloqueio usando uma ferramenta como Verificação de Lista Negra do MXToolbox .
  4. Confirme que seus registros DNS SPF, DKIM e DMARC estão publicados corretamente. Registros ausentes ou quebrados causam email legítimo ser rejeitado ou colocado em spam.
  5. Revise seus logs de servidor de email. Para Postfix, verifique /var/log/mail.log . Os códigos de resposta SMTP reais no log dizem exatamente o que o servidor remoto rejeitou e por quê.
SPF, DKIM e DMARC importam tanto quanto suas configurações de SMTP. Mesmo um servidor SMTP perfeitamente configurado terá problemas de entregabilidade se esses registros DNS estiverem faltando. SPF diz aos servidores receptores quais IPs são permitidos enviar para seu domínio. DKIM adiciona uma assinatura criptográfica às mensagens de saída. DMARC diz aos receptores o que fazer quando qualquer um dos testes falha.
Ferramenta de verificação de porta online verificando status da porta SMTP para configuração de servidor de email

Sua Porta SMTP Está Realmente Aberta?

Antes de culpar sua configuração de smtp, confirme que o problema não é uma porta bloqueada. Nosso verificador de portas gratuito permite testar a porta 25, 465 ou 587 em qualquer servidor de email instantaneamente, então você sabe se está lidando com um problema de firewall ou um erro de configuração.

Verifique Sua Porta SMTP Agora →

A porta 465 usa SSL/TLS implícito, significando que a conexão inteira é criptografada desde o início. A porta 587 usa STARTTLS, que começa como uma conexão simples e depois faz upgrade para TLS antes de enviar credenciais. Ambas são seguras quando configuradas corretamente, mas a porta 587 é o padrão moderno recomendado para submissão de email de cliente. Use 465 apenas se sua aplicação exigir especificamente SSL implícito e não puder suportar STARTTLS.

A porta 25 é bloqueada na maioria das redes residenciais e de hospedagem compartilhada porque foi historicamente usada para enviar spam diretamente de máquinas comprometidas. Ao bloquear a porta 25 de saída, ISPs e provedores de nuvem (incluindo AWS EC2 por padrão) impedem que seus intervalos de IP sejam usados como fontes de spam. Para enviar email de aplicações, use a porta 587. Se você está rodando um servidor de email legítimo que precisa da porta 25 aberta para retransmissão servidor-para-servidor, você tipicamente precisa solicitar ao seu provedor que levante o bloqueio.

Na maioria dos casos, seu nome de usuário SMTP é seu endereço de email completo, por exemplo you@yourdomain.com . Alguns sistemas mais antigos usam apenas a parte local antes do sinal @. Para serviços como Amazon SES, o nome de usuário é uma credencial SMTP gerada separadamente pelo IAM, não seu endereço de email. Sempre verifique a documentação do seu provedor específico. Ao usar Gmail ou Outlook com autenticação de dois fatores habilitada, você precisará gerar uma senha específica do app em vez de usar sua senha de conta regular.

Você pode testar em vários níveis. Primeiro, verifique se a porta SMTP é acessível usando uma ferramenta de verificação de portas ou executando telnet smtp.yourdomain.com 587 do seu servidor. Se a porta está aberta, você pode testar o handshake SMTP completo usando openssl s_client -starttls smtp -connect smtp.yourdomain.com:587 , que mostra o certificado TLS e permite digitar comandos SMTP brutos. Para um teste completo de ponta a ponta sem entregar em uma caixa de entrada real, use um serviço como Mailtrap, que aceita conexões SMTP e mostra a mensagem sem encaminhá-la.

Autenticação SMTP bem-sucedida apenas prova que você está autorizado a usar o servidor. Filtragem de spam acontece separadamente no lado receptor e é baseada em uma combinação de fatores: se seu IP de envio está em uma lista de bloqueio, se seu registro SPF autoriza esse IP a enviar para seu domínio, se sua assinatura DKIM é válida e corresponde ao seu registro DNS, e se sua política DMARC está publicada. Um registro SPF ausente ou quebrado sozinho é suficiente para fazer Gmail ou Outlook colocar suas mensagens em spam. Verifique todos os três registros DNS e valide a reputação do seu IP de envio.

Sim, mas com limitações. O servidor SMTP do Gmail ( smtp.gmail.com na porta 587) enviará email autenticado como sua conta Gmail. Se você quer que o endereço "De" mostre seu domínio personalizado, você precisa adicionar esse endereço nas configurações do Gmail em "Enviar email como" e verificar a propriedade. Porém, Gmail adiciona uma anotação "enviado via gmail.com" visível em alguns clientes de email. Para uma configuração mais limpa com seu próprio domínio, usar um provedor de email transacional como Amazon SES ou um relay SMTP dedicado é uma escolha melhor a longo prazo.