DKIM Explicado: O Que É, Como Funciona e Como Configurar
Guia completo de DKIM — verifique seu registro DKIM, entenda seletores, gere chaves e corrija erros de autenticação. Ferramenta gratuita de DKIM checker.
Todos os dias, bilhões de e-mails atravessam a internet. Sem uma forma de verificar se uma mensagem realmente veio do domínio que ela afirma, atacantes podem forjar o endereço "From" e se passar por marcas confiáveis. O DKIM (DomainKeys Identified Mail) resolve esse problema anexando uma assinatura criptográfica a cada e-mail enviado, permitindo que servidores de e-mail receptores verifiquem se a mensagem não foi adulterada e se realmente veio do seu domínio.
Neste guia, vamos detalhar exatamente como o DKIM funciona, percorrer o processo de configuração passo a passo e cobrir os erros mais comuns que confundem as pessoas.
O Que É DKIM?#
O DKIM é um padrão de autenticação de e-mail definido na RFC 6376. Ele permite que um domínio remetente assuma a responsabilidade por uma mensagem ao assiná-la com uma assinatura digital. O servidor receptor pode então consultar a chave pública do remetente no DNS e verificar a assinatura.
Em essência, o DKIM responde a uma pergunta: Este e-mail foi realmente enviado pelo domínio que aparece na assinatura, e foi alterado durante o transporte?
Por si só, o DKIM não impede spam ou phishing. Em vez disso, ele fornece um bloco de construção que outros sistemas, principalmente o DMARC, usam para tomar decisões de política sobre mensagens não autenticadas.
Como o DKIM Funciona: O Processo de Assinatura#
O DKIM se baseia em criptografia de chave pública. Veja o que acontece quando um e-mail é enviado a partir de um domínio com DKIM habilitado:
1. Geração do Par de Chaves#
O proprietário do domínio gera um par de chaves RSA (ou Ed25519):
- Chave privada: Armazenada com segurança no servidor de e-mail. Essa chave assina as mensagens enviadas.
- Chave pública: Publicada como um registro TXT no DNS. Os servidores receptores usam essa chave para verificar as assinaturas.
2. Assinatura da Mensagem#
Quando um e-mail sai do servidor remetente, o módulo DKIM realiza o seguinte:
- Canonicaliza os cabeçalhos e o corpo: O DKIM normaliza espaços em branco e quebras de linha para que pequenas mudanças de formatação durante o transporte não invalidem a assinatura. Os dois modos de canonicalização são "simple" (estrito) e "relaxed" (tolerante a mudanças de espaços em branco).
- Gera um hash do corpo da mensagem: Um hash SHA-256 do corpo canonicalizado é calculado. Esse hash é colocado na tag
bh=(body hash) do cabeçalho da assinatura. - Assina os cabeçalhos selecionados: O módulo seleciona cabeçalhos específicos para incluir na assinatura (From, To, Subject, Date e outros). Ele calcula um hash sobre esses cabeçalhos canonicalizados mais o próprio cabeçalho DKIM-Signature (sem o valor
b=) e depois criptografa esse hash com a chave privada. - Insere o cabeçalho DKIM-Signature: A assinatura resultante, junto com metadados, é adicionada como um cabeçalho
DKIM-Signatureao e-mail.
3. Verificação da Assinatura#
Quando o e-mail chega ao servidor receptor:
- O servidor extrai o cabeçalho
DKIM-Signature. - Lê as tags
d=(domínio) es=(seletor) para determinar onde encontrar a chave pública. - Consulta o DNS por um registro TXT em
{selector}._domainkey.{domain}. - Usa a chave pública para descriptografar a assinatura e compará-la com seu próprio hash dos cabeçalhos e do corpo.
- Se os hashes coincidem, a verificação DKIM passa. Caso contrário, falha.
Anatomia de um Cabeçalho DKIM-Signature#
Veja um exemplo de cabeçalho DKIM-Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=google;
h=from:to:subject:date:message-id;
bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
b=AuUoFEfDxTDkHlLXSZEpZj79LICEps6eda7W3deTVFOk...
As tags principais são:
- v=1: Versão do DKIM (sempre 1).
- a=rsa-sha256: O algoritmo de assinatura. RSA com SHA-256 é o mais comum.
- c=relaxed/relaxed: Método de canonicalização para cabeçalhos/corpo. "relaxed/relaxed" é o mais tolerante e amplamente recomendado.
- d=example.com: O domínio que assina. Este é o domínio que assume a responsabilidade pela mensagem.
- s=google: O seletor. Indica ao verificador qual chave pública consultar.
- h=from:to:subject:date:message-id: A lista de cabeçalhos incluídos na assinatura.
- bh=...: O hash do corpo canonicalizado, codificado em Base64.
- b=...: A própria assinatura, codificada em Base64.
Entendendo os Seletores DKIM#
Um seletor é um rótulo que aponta para uma chave pública específica no seu DNS. O caminho completo da consulta DNS é:
{selector}._domainkey.{domain}
Por exemplo, se seu domínio é example.com e seu seletor é google, o servidor receptor consulta:
google._domainkey.example.com
Por Que os Seletores Existem?#
Os seletores permitem que um domínio tenha várias chaves DKIM simultaneamente. Isso é útil para:
- Rotação de chaves: Você pode publicar uma nova chave sob um novo seletor, atualizar seu servidor de e-mail para assinar com ela e depois remover o registro DNS antigo, tudo sem nenhuma interrupção na autenticação.
- Múltiplos serviços de e-mail: Se você envia e-mails pelo Google Workspace, SendGrid e Mailchimp, cada serviço pode ter seu próprio seletor e par de chaves. O Google pode usar
google, o SendGrid pode usars1, e o Mailchimp pode usark1. - Testes: Você pode implantar uma chave de teste sob um seletor separado antes de migrar o tráfego de produção.
Nomes Comuns de Seletores por Provedor#
Provedores de e-mail diferentes usam seletores padrão diferentes:
| Provedor | Seletores Comuns |
|---|---|
| Google Workspace | google |
| Microsoft 365 | selector1, selector2 |
| SendGrid | s1, s2, sendgrid |
| Mailchimp | k1, k2, k3 |
| Zoho | s1, s2, zoho |
| Amazon SES | amazonses |
| Postmark | postmark |
| Mailgun | mailgun |
Guia Passo a Passo de Configuração do DKIM#
Passo 1: Gere Seu Par de Chaves DKIM#
Se você usa um serviço de e-mail hospedado (Google Workspace, Microsoft 365, etc.), o provedor normalmente gera as chaves para você. Você só precisa publicar a chave pública que ele fornecer.
Se você gerencia seu próprio servidor de e-mail, gere um par de chaves RSA de 2048 bits:
openssl genrsa -out dkim-private.pem 2048
openssl rsa -in dkim-private.pem -pubout -out dkim-public.pem
A chave privada permanece no seu servidor. A chave pública vai para o DNS.
Passo 2: Escolha um Seletor#
Escolha um nome de seletor descritivo. Opções comuns incluem default, mail, dkim ou um nome baseado em data como jan2026 para facilitar o controle de rotação. Evite seletores que revelem detalhes da sua infraestrutura interna.
Passo 3: Publique o Registro TXT no DNS#
Crie um registro TXT em {selector}._domainkey.seudominio.com com sua chave pública. O valor do registro tem este formato:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
As tags no registro DNS são:
- v=DKIM1: Identifica este registro como uma chave DKIM. Observe que, segundo a RFC 6376, a tag
v=é recomendada, mas não obrigatória. - k=rsa: O tipo de chave (RSA é o padrão e pode ser omitido).
- p=...: A chave pública codificada em Base64. Se essa tag estiver vazia (
p=), significa que a chave foi revogada.
Importante: Muitos provedores de DNS têm um limite de caracteres em registros TXT. Uma chave de 2048 bits gera uma string longa. Se seu provedor permitir, publique o valor completo. Caso contrário, alguns provedores permitem dividir o valor em várias strings dentro de um único registro TXT.
Passo 4: Configure Seu Servidor de E-mail#
A configuração depende do seu setup:
- Google Workspace: Vá até Admin Console, depois Apps, depois Google Workspace, depois Gmail, depois "Authenticate Email." O Google fornece o valor do registro TXT e o seletor. Você publica no DNS e clica em "Start Authentication."
- Microsoft 365: Acesse o portal Microsoft 365 Defender, depois Policies, depois DKIM. Habilite a assinatura DKIM para seu domínio. A Microsoft fornece dois registros CNAME para publicar.
- Postfix com OpenDKIM: Instale o
opendkim, configure a signing table, key table e trusted hosts. Aponte para o arquivo da sua chave privada.
Passo 5: Verifique Sua Configuração#
Depois de publicar o registro DNS, espere a propagação do DNS (normalmente de 5 a 60 minutos, mas pode levar até 48 horas dependendo do TTL). Em seguida, envie um e-mail de teste e confira os cabeçalhos.
Você também pode verificar sua configuração DKIM instantaneamente usando o Email Health Checker gratuito do Nova Uptime. Ele varre mais de 50 seletores comuns automaticamente para detectar sua configuração DKIM e fornece um relatório detalhado do status de autenticação dos seus e-mails.
Erros Comuns de DKIM#
1. Chave Curta Demais#
Uma chave RSA de 1024 bits é considerada fraca e pode ser rejeitada por alguns receptores. Use sempre chaves de 2048 bits. Alguns provedores agora suportam chaves de 4096 bits, embora os limites de tamanho dos registros DNS possam dificultar a publicação.
2. Erros de Formatação no Registro DNS#
Espaços em branco extras, aspas faltando ou quebras de linha no valor do registro TXT são a causa mais frequente de falhas no DKIM. Sempre verifique o conteúdo exato do registro depois de publicá-lo.
3. Esquecer de Assinar com Serviços de Terceiros#
Se você envia e-mails por uma plataforma de marketing, serviço de e-mail transacional ou CRM, cada serviço precisa ter sua própria configuração DKIM. Um e-mail enviado pelo SendGrid não será assinado com sua chave do Google Workspace. Você precisa configurar o DKIM separadamente para cada serviço de envio.
4. Não Rotacionar as Chaves#
Chaves DKIM devem ser rotacionadas periodicamente (a cada 6 a 12 meses é uma cadência razoável). Use seletores para tornar a rotação suave: publique uma nova chave sob um novo seletor, mude sua configuração de assinatura, verifique se funciona e depois remova o registro DNS do seletor antigo.
5. Assinar Poucos Cabeçalhos#
No mínimo, sempre inclua o cabeçalho From na assinatura. A maioria das implementações também inclui To, Subject, Date e Message-ID. Assinar mais cabeçalhos oferece proteção mais forte contra adulterações, mas pode aumentar o risco de quebra da assinatura por processamento legítimo de e-mail. O cabeçalho From é obrigatório segundo a especificação do DKIM.
6. Usar Canonicalização "simple"#
O modo de canonicalização "simple" é muito rigoroso quanto a espaços em branco e formatação. Se algum servidor intermediário (lista de e-mails, serviço de encaminhamento) fizer mesmo pequenas alterações nos cabeçalhos ou no corpo, a assinatura quebra. Use "relaxed/relaxed" a menos que tenha um motivo específico para não fazer isso.
Como o DKIM Se Relaciona com SPF e DMARC#
O DKIM é uma das três camadas de um sistema de autenticação de e-mail:
- SPF (Sender Policy Framework): Especifica quais endereços IP estão autorizados a enviar e-mails pelo seu domínio. Verifica o remetente do envelope (MAIL FROM), não o cabeçalho "From" visível.
- DKIM: Verifica criptograficamente que o conteúdo da mensagem não foi alterado e que ela foi autorizada pelo domínio que a assina.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): Conecta SPF e DKIM. Verifica se o domínio do cabeçalho "From" visível está alinhado com o domínio que passou no SPF ou no DKIM, e especifica o que fazer com mensagens que falham (none, quarantine ou reject).
Para que o DMARC passe, ou o SPF ou o DKIM precisam passar e estar alinhados com o domínio "From". Isso significa que o DKIM é especialmente importante quando o SPF sozinho pode falhar, como quando um e-mail é encaminhado (o encaminhamento quebra o SPF porque o IP de envio muda, mas as assinaturas DKIM sobrevivem ao encaminhamento intactas).
Verificando Sua Configuração DKIM#
Consultar o DNS manualmente em busca de registros DKIM é tedioso porque você precisa saber o nome exato do seletor, e não há uma forma padrão de descobrir seletores.
O Email Health Checker do Nova Uptime resolve isso varrendo automaticamente mais de 50 seletores comuns dos principais provedores de e-mail. Ele verifica seus registros MX, SPF, DKIM e DMARC em uma única passagem e te dá uma pontuação de 0 a 100 com uma nota em letra.
A ferramenta é totalmente gratuita, não exige cadastro, e fornece recomendações práticas se forem encontrados problemas na sua configuração DKIM.
Pontos Principais#
- O DKIM usa criptografia de chave pública para assinar e-mails, provando que vieram do seu domínio e não foram alterados.
- O sistema de seletores permite múltiplas chaves para rotação e múltiplos serviços de envio.
- Sempre use chaves RSA de 2048 bits com canonicalização "relaxed/relaxed".
- Configure o DKIM separadamente para cada serviço que envia e-mails em seu nome.
- O DKIM funciona junto com SPF e DMARC. Os três devem ser configurados para uma autenticação de e-mail completa.
- Use o Email Health Checker do Nova Uptime para verificar sua configuração DKIM e obter um relatório completo de autenticação de e-mail.
Configurar o DKIM corretamente é uma das coisas mais impactantes que você pode fazer pela entregabilidade dos seus e-mails. Uma mensagem assinada corretamente diz aos servidores receptores que você é um remetente legítimo que leva a segurança de e-mail a sério, e isso ajuda muito a chegar à caixa de entrada.
Perguntas Frequentes#
Como verifico meu registro DKIM?#
Use uma ferramenta gratuita de DKIM checker para consultar seu registro DKIM. Digite seu domínio e a ferramenta varre automaticamente mais de 50 seletores comuns para encontrar sua configuração DKIM. Você também pode verificar manualmente com dig TXT selector._domainkey.seudominio.com se souber o nome do seu seletor.
O que é um seletor DKIM?#
Um seletor DKIM é um rótulo que identifica qual par de chaves DKIM usar para assinar. Ele aparece no cabeçalho DKIM-Signature dos e-mails assinados como s=selector. Seletores comuns incluem google, selector1, default, s1 e k1. Cada provedor de e-mail usa nomes de seletores diferentes, e por isso a detecção automática de seletores é tão valiosa.
Que ferramenta posso usar para verificar o registro DKIM dos meus e-mails?#
O DKIM Checker gratuito do Nova Uptime varre seu domínio em busca de registros DKIM automaticamente. Ele detecta seletores, valida a chave pública e verifica a conformidade com a RFC 6376. Para uma auditoria completa de autenticação de e-mail incluindo SPF, DKIM, DMARC e blacklists, use o Email Health Checker.
O DKIM é obrigatório para entrega de e-mails?#
A partir de 2026, Gmail e Yahoo exigem DKIM para remetentes em massa. Mesmo para remetentes de baixo volume, e-mails sem DKIM têm mais chance de cair no spam. O DKIM também é necessário para o alinhamento DMARC, que é cada vez mais obrigatório para e-mails empresariais.
O que acontece se o DKIM falhar?#
Se a verificação DKIM falhar, o servidor receptor consulta sua política DMARC. Com p=none, o e-mail é entregue normalmente. Com p=quarantine, ele vai para o spam. Com p=reject, ele é bloqueado. Mesmo sem DMARC, uma falha no DKIM aumenta a chance de filtragem por spam.
Leitura Relacionada#
- Consulta e Detecção de Seletor DKIM — Como funciona a descoberta automática de seletores DKIM
- Configuração e Validação de Registro DKIM — Configuração de DKIM passo a passo
- Guia Completo de SPF, DKIM e DMARC — Como os três protocolos funcionam juntos
- Fundamentos de Entregabilidade de E-mail — Por que a autenticação importa para a caixa de entrada
- DKIM Checker Gratuito — Valide seus registros DKIM instantaneamente
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArtigos relacionados
Guia de Configuração de DKIM: Passo a Passo Completo
Configure DKIM em 20 min: ache o seletor, gere chaves, adicione DNS. Validador DKIM grátis. Exigido por Gmail e Yahoo desde fev/2026.
Detecção de Seletor DKIM Explicada — Encontrando Seu Registro DKIM
Não sabe seu seletor DKIM? Detecção automática grátis em 50+ provedores. Verifique Google, Mailgun, SendGrid e Microsoft 365 em segundos.
SPF, DKIM e DMARC: O Guia Completo de Autenticação de E-mail
Guia dos três pilares da autenticação de e-mail. Como SPF, DKIM e DMARC trabalham juntos para proteger seu domínio e o posicionamento na caixa de entrada.