Detecção de Seletor DKIM Explicada — Encontrando Seu Registro DKIM

O Problema do Seletor DKIM Que Confunde Todo Mundo#

Você acabou de configurar a autenticação de e-mail para seu domínio. Você configurou SPF (simples). Você configurou DMARC (levou uma hora, mas conseguiu). Agora você precisa adicionar DKIM.

Seu provedor de e-mail diz: "Adicione registros DKIM para o seletor [alguma coisa]." Mas eles não dizem explicitamente qual é esse seletor. Você precisa:

1. Vasculhar a documentação deles (que pode nem existir)
2. Verificar seu painel de administração (que pode não mostrar)
3. Pesquisar no Google "Qual é meu seletor DKIM?"
4. Tentar os comuns manualmente: default, google, selector1, s1, k1, mandrill...
5. Verificar o DNS para cada um: default._domainkey.seudominio.com, google._domainkey.seudominio.com, etc.
6. Torcer para acertar antes de desistir

Esse processo leva de 3 a 8 horas para alguns usuários. Outros nunca descobrem e o DKIM deles fica sem configurar.

Três horas para encontrar um único registro DNS. Isso não devia ser tão difícil.

Este guia explica o que são seletores DKIM, por que os provedores de e-mail tornam isso confuso e como ferramentas modernas como o scanner DKIM da Nova Uptime encontram seus registros em segundos.

---

O Que É um Seletor DKIM e Por Que Ele Existe?#

Seletores DKIM Explicados de Forma Simples#

Um seletor DKIM é um rótulo que identifica qual chave de assinatura DKIM deve ser usada.

Pense assim: um domínio pode ter vários serviços de e-mail, cada um com sua própria chave de assinatura. Os seletores DKIM permitem que você tenha várias chaves ativas simultaneamente:

default._domainkey.seudominio.com  → Chave A (seu servidor de e-mail)
google._domainkey.seudominio.com   → Chave B (Google Workspace)
sendgrid._domainkey.seudominio.com → Chave C (SendGrid)
mailgun._domainkey.seudominio.com  → Chave D (Mailgun)

Cada serviço assina os e-mails com sua própria chave privada. Os servidores destinatários verificam cada assinatura comparando com a chave pública correspondente no DNS.

Por que vários seletores?

Imagine que você quer migrar do SendGrid para o Mailgun. Se você apagar o seletor DKIM do SendGrid imediatamente, os e-mails em trânsito assinados com a chave do SendGrid vão falhar na verificação. Mantendo os dois seletores ativos durante a migração, tanto os e-mails antigos quanto os novos são autenticados corretamente.

Como os Seletores DKIM Funcionam: O Fluxo Completo#

1. Seu provedor de e-mail gera um par de chaves:

   • Chave privada (mantida em segredo no servidor deles)
   • Chave pública (você publica no DNS)

2. Eles te falam o nome do seletor (de preferência com clareza — geralmente não falam)

3. Você publica a chave pública no DNS em seletor._domainkey.seudominio.com

4. Quando você envia um e-mail:

   • O servidor do provedor assina o e-mail com a chave privada
   • A assinatura é adicionada aos cabeçalhos do e-mail: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=seudominio.com; bh=...
   • O e-mail é enviado

5. Quando o servidor destinatário recebe o e-mail:

   • Extrai o seletor do cabeçalho da assinatura: s=google
   • Consulta a chave pública: google._domainkey.seudominio.com
   • Verifica a assinatura com aquela chave pública
   • Se a assinatura for válida, o DKIM passa

A Parte Crítica: O seletor no cabeçalho do e-mail (s=google) PRECISA ser igual ao seletor no DNS (google._domainkey.seudominio.com). Até uma diferença de um caractere faz a autenticação falhar.

---

Por Que os Provedores de E-mail Tornam Isso Tão Confuso#

Você pensaria que os provedores diriam claramente: "Seu seletor DKIM é sendgrid." Geralmente não dizem. Veja por quê:

Motivo 1: Seletores Diferentes para Situações Diferentes#

Alguns provedores usam seletores diferentes dependendo da configuração:

SendGrid:

• Seletor padrão: sendgrid
• Mas se você usar domínio remetente personalizado: um seletor gerado aleatoriamente como s1234567890
• Usuários configuram um seletor, depois adicionam outro domínio de envio e não sabem que ele tem um seletor diferente

Google Workspace:

• Seletor é fixo: google
• Mas alguns usuários veem s0, s1, s2 dependendo do método de configuração

Zoho Mail:

• O seletor depende da configuração: zl1234567 (onde os números são únicos por domínio)
• Não documentado em local óbvio

Mailgun:

• Você escolhe o seletor ao criar o registro DKIM
• O padrão é k1, mas você pode chamar como quiser: mail, bounce, my-custom-key
• Os usuários esquecem o que escolheram

Motivo 2: A Documentação Está Escondida ou Desatualizada#

Pesquise "SendGrid DKIM selector" e você encontra:

• Uma página de documentação de 2015 (capturas de tela com UI desatualizada)
• Um artigo de ajuda sobre "links com marca", não sobre seletores DKIM
• Posts de fórum de 2018 com respostas diferentes
• Documentação oficial dizendo "vá para Settings > API Keys > DKIM" (mas não fica nesse lugar)

Motivo 3: Os Painéis de Administração Não Exibem com Clareza#

Quando você faz login no painel de administração do Gmail e procura por DKIM, vê:

Status: Not set up
[Set up DKIM]

Clique em "Set up DKIM" e aparece:

DKIM is enabled for your domain.
[Show DNS records]

O seletor está enterrado no registro DNS que eles mostram — você precisa extrair sozinho. A maioria não consegue.

Motivo 4: Múltiplos Seletores Confundem Ainda Mais#

Se você usou vários provedores de e-mail ao longo do tempo:

• Seletor antigo do SendGrid: sendgrid (no DNS, mas sem uso)
• Seletor atual do Mailgun: k1 (ativo)
• Seletor de caixa de backup: mail (no DNS para recuperação de desastre)

Os usuários não lembram qual é qual. Quando rodam uma verificação DKIM, veem três seletores e acham que algo está errado.

---

O Processo Tradicional de Descoberta de Seletor DKIM (Horas de Sofrimento)#

O Método Manual: Tentativa e Erro#

A maioria das pessoas encontra seletores DKIM assim:

Passo 1: Ler a documentação

• Pesquise nos docs do seu provedor: "DKIM selector"
• Gaste 30 minutos lendo
• Encontre uma frase: "Os registros DKIM ficam em s._domainkey.dominio.com"
• Sem clareza sobre o que s realmente é

Passo 2: Verificar seu painel de administração

• Vá nas configurações do provedor de e-mail
• Procure por "DKIM" ou "DNS records"
• Se encontrar registros DNS, tire prints
• Tente achar o seletor neles

Passo 3: Testar seletores comuns manualmente

• Verifique no DNS: default._domainkey.seudominio.com
• Verifique no DNS: selector1._domainkey.seudominio.com
• Verifique no DNS: google._domainkey.seudominio.com
• Verifique no DNS: s1._domainkey.seudominio.com
• Verifique no DNS: mail._domainkey.seudominio.com

Passo 4: Perguntar em fóruns

• Pesquise no StackOverflow: "How do I find my DKIM selector?"
• Encontre respostas conflitantes
• Gaste mais 2 horas testando cada uma

Tempo total: 3 a 8 horas para algo que devia levar 30 segundos.

Por Que Esse Processo Manual Falha#

1. Erros de digitação: você perde um seletor porque escreveu errado
2. Cache de DNS: você não vê resultados porque o TTL ainda não expirou
3. Múltiplos seletores: você acha o seletor 1 e supõe que é só ele, perdendo o seletor 2
4. Nível de domínio errado: você verifica _domainkey.seudominio.com em vez de seletor._domainkey.seudominio.com
5. Provedor mudou o seletor: você acha documentação antiga que cita um seletor descontinuado

---

A Solução Moderna: Detecção Automática de Seletor DKIM#

O Email Health Checker da Nova Uptime resolve isso com detecção automática de seletor DKIM:

Como a Nova Uptime Detecta Seletores DKIM#

Em vez de adivinhar 50 seletores um por um, a Nova Uptime:

1. Escaneia 50 seletores comuns em paralelo

   • Comuns para grandes provedores: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun, etc.
   • Os resultados voltam em 2-3 segundos (consultas DNS paralelas são bem mais rápidas que sequenciais)

2. Valida conformidade com a RFC 6376

   • Verifica tanto v=DKIM1 (recomendado, mas opcional) QUANTO a presença de p= (chave pública presente)
   • Motivo: alguns provedores (Zoho) geram seletores automaticamente sem v=DKIM1, e ainda assim funcionam

3. Informa se o DKIM está configurado

   • Mostra "Configurado" se ao menos um seletor válido for encontrado
   • Mostra "Não Encontrado" se nenhum dos 50 seletores comuns coincidir

4. Evita falsos positivos

   • Verifica a formatação do DNS
   • Valida a presença da chave
   • Só reporta seletores com chaves públicas reais

Resultados: O Que Você Vê#

Quando você roda o email health checker da Nova Uptime:

Se o DKIM for encontrado:

DKIM Status: Configured
Status: Valid

Se não for encontrado:

DKIM Status: Not Configured

Scanned 50 common selectors. No DKIM records found.

Next Steps:
1. Check your email provider's documentation for the exact selector
2. Have your provider generate DKIM records
3. Add records to your DNS provider
4. Re-run this check in 24 hours (DNS takes time to propagate)

---

Entendendo os 50 Seletores Que a Nova Uptime Escaneia#

Seletores dos Principais Provedores de E-mail#

Esses são os seletores mais usados:

Google Workspace

• Seletor: google
• Motivo: o Google usa nomenclatura consistente em todos os clientes

SendGrid

• Seletores: sendgrid, s1234567890 (se for domínio personalizado)
• Motivo: o padrão é sendgrid, mas domínios de envio personalizados ganham seletores gerados automaticamente

Mailgun

• Seletores: k1, k2, ou personalizado (você escolhe)
• Motivo: você configura o seletor; os padrões são k1 e k2

Klaviyo

• Seletor: mailgun-key
• Motivo: o Klaviyo usa o backend do Mailgun

HubSpot

• Seletor: hubspot
• Motivo: consistente, como o Google

Zendesk

• Seletor: zendesk1, zendesk2
• Motivo: o Zendesk permite vários domínios de envio

Amazon SES

• Seletor: varia (depende da região e da configuração)
• Comum: amazonses, ou gerado aleatoriamente

Postmark

• Seletor: postmark
• Motivo: nomenclatura fixa

Mandrill

• Seletor: mandrill
• Motivo: nomenclatura fixa

Zoho Mail

• Seletor: zl1234567 (único por domínio)
• Motivo: identificador gerado automaticamente

Microsoft 365 / Outlook

• Seletor: selector1, selector2
• Motivo: dois seletores padrão para rotação de chaves

Brevo (antigo Sendinblue)

• Seletor: brevo, brevo1
• Motivo: vários para rotação de chaves

Seu Servidor de E-mail Personalizado#

Se você hospeda o e-mail por conta própria:

• Seletor: o que você configurou
• Comuns: default, mail, dkim, main, ou nomes personalizados

A Lista Completa de 50 Seletores#

A Nova Uptime escaneia estes 50 seletores:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Se seu seletor não está nessa lista, você ainda pode verificá-lo consultando o DNS diretamente.

---

Passo a Passo: Usando a Detecção Automática de DKIM#

Passo 1: Acesse o Email Health Checker#

Visite Nova Uptime Email Health Checker

Passo 2: Digite Seu Domínio#

Digite seu domínio (ex.: seudominio.com) sem nenhum protocolo ou subdomínio.

Passo 3: Revise os Resultados de DKIM#

Em segundos, você verá se o DKIM está configurado para seu domínio.

Passo 4: Próximos Passos com Base nos Resultados#

Se encontrado: nada a fazer. Seu DKIM está configurado corretamente. Siga para checar o alinhamento DMARC.

Se não encontrado:

1. Verifique a documentação do seu provedor de e-mail para o nome exato do seletor
2. Entre em contato com o suporte do provedor: "Qual é o seletor DKIM do meu domínio?"
3. Quando souber o nome do seletor, peça que eles forneçam o registro DNS
4. Adicione no seu provedor de DNS
5. Refaça a verificação após 24 horas (propagação de DNS)

---

Erros Comuns Com Seletores DKIM#

Erro 1: Verificar no Nível de Domínio Errado#

Errado:

Verificar: dkim._domainkey.com (faltando seu domínio!)
Deveria ser: dkim._domainkey.seudominio.com

Os registros DKIM são específicos de cada domínio. Verificar .com ou .org não vai encontrar o seu.

Erro 2: Erros de Digitação no Nome do Seletor#

O provedor diz: selector Você verifica: selectors ('s' a mais) Resultado: não encontrado, e você acha que o DKIM não existe

A Nova Uptime checa as grafias corretas dos principais provedores, evitando esse problema.

Erro 3: Esquecer o Sufixo ._domainkey

Errado:

Verificar DNS para: sendgrid.seudominio.com
Deveria ser: sendgrid._domainkey.seudominio.com

Os registros DKIM PRECISAM ter ._domainkey no nome. Sem isso, as consultas DNS retornam vazio.

Erro 4: Não Esperar a Propagação do DNS#

Você adiciona um registro DKIM ao DNS, verifica logo em seguida e vê "não encontrado".

Mudanças de DNS levam tempo para propagar (normalmente 1-2 horas, no máximo 24-48 horas). Verifique depois.

Erro 5: Usar a Ferramenta de DNS Errada#

Algumas ferramentas de DNS (como verificadores básicos de MX) não suportam consulta de registros TXT. Use a Nova Uptime, que verifica especificamente os registros TXT de DKIM.

---

Por Que a Detecção DKIM da Nova Uptime É Melhor Que a Verificação Manual#

Fator	Verificação Manual	Detecção Automática Nova Uptime
Tempo Necessário	3-8 horas	2-3 segundos
Precisão	Sujeita a erros de digitação e mal-entendidos	Verifica 50 seletores comuns com precisão
Cobertura	Pode perder seletores menos conhecidos	Todos os principais provedores cobertos
Falsos Positivos	Fácil interpretar resultados de forma errada	Aprovado/falhou claros, com explicação
Monitoramento Contínuo	Roda manualmente quando quer	Verifique trimestralmente para detectar mudanças
Documentação	Requer ler a documentação do provedor	Explicações claras, em linguagem simples

---

E Se Seu Seletor DKIM Não Estiver Entre os 50 Escaneados?#

Se você usa um provedor de e-mail de nicho ou e-mail auto-hospedado com seletor personalizado:

1. Você sabe o nome do seletor → a Nova Uptime pode confirmar se ele funciona (use o health checker principal com os resultados)
2. Você não sabe o nome do seletor → entre em contato com o provedor ou consulte os docs

Se for um provedor totalmente desconhecido, os 50 seletores comuns ainda devem capturá-lo (a maioria dos provedores usa um desses padrões).

Se não:

1. Use uma ferramenta DNS direta: dig selector._domainkey.seudominio.com TXT
2. Contate o suporte do provedor de e-mail: "Qual é meu seletor DKIM?"
3. Quando souber, refaça o health check da Nova Uptime para confirmar que está correto

---

O Impacto da Detecção Automática de DKIM no Negócio#

Antes (verificação manual):

• 3 horas: pesquisando e adivinhando seletores DKIM
• 30 minutos: validando cada palpite com consultas DNS
• Email health continua quebrado porque a configuração é tediosa demais
• Resultado: e-mails caem no spam por semanas

Depois (detecção automática Nova Uptime):

• 2 minutos: rodar o health check da Nova Uptime
• 30 segundos: ler os resultados e entender exatamente o que está configurado
• 5 minutos: contatar o provedor ou adicionar os registros faltantes seguindo orientação clara
• Resultado: problemas de e-mail identificados e corrigidos no mesmo dia

Impacto Organizacional:

• Configuração mais rápida da autenticação de e-mail para novos domínios
• Menos chamados de suporte sobre "por que não estamos recebendo e-mails"
• Confiança de que a autenticação de e-mail está correta
• Auditorias trimestrais para identificar mudanças de DNS ou migrações de provedor

---

Mantendo o DKIM: Boas Práticas Contínuas#

Mensalmente#

Nada exigido. O DKIM é estável quando configurado corretamente.

Trimestralmente#

Rode o Nova Uptime Email Health Checker para verificar:

• Se os seletores DKIM continuam ativos
• Se não há adições inesperadas de seletores (sinal de má configuração ou ataque)

Após Mudanças de Provedor de E-mail#

Se você:

• Mudar do SendGrid para o Mailgun
• Adicionar um segundo serviço de e-mail
• Migrar servidores de e-mail

Rode o health checker imediatamente:

• Confirme que os seletores antigos ainda funcionam (se necessário durante a transição)
• Confirme que o novo seletor está ativo
• Apague os seletores antigos quando a transição terminar

Sinais de Alerta para Ficar de Olho#

Se uma checagem trimestral mostrar:

• Seletor sumiu: possível erro de configuração de DNS ou problema do provedor
• Novo seletor desconhecido: possível comprometimento de conta (alguém adicionou uma chave DKIM)
• Múltiplos seletores não esperados: possível resíduo de provedor antigo (limpe)

---

Resumo: Seletores DKIM Desmistificados#

Seletores DKIM são apenas rótulos para diferentes chaves de assinatura. A confusão vem de:

• Provedores de e-mail não documentarem com clareza qual seletor usar
• Usuários precisarem adivinhar manualmente entre mais de 50 possibilidades
• Seletores variarem por provedor e configuração

A detecção automática de DKIM da Nova Uptime resolve isso ao:

• Escanear 50 seletores comuns em paralelo
• Retornar resultados em 2-3 segundos
• Validar conformidade com a RFC
• Fornecer próximos passos claros

Em vez de gastar 3 a 8 horas verificando manualmente, você ganha clareza imediata:

• "DKIM está configurado, funcionando perfeitamente" → nada a fazer
• "DKIM não encontrado" → veja aqui o que fazer em seguida

---

Leituras Relacionadas#

• Guia Completo do Email Health Checker — Verifique toda a sua configuração de autenticação de e-mail (SPF, DKIM, DMARC e blacklists) em uma única varredura.
• DKIM Explicado: Guia Completo — Mergulho profundo em como o DKIM funciona, rotação de chaves e troubleshooting.
• Como Configurar Registros SPF — Configure o SPF junto com o DKIM para autorização completa de e-mail.
• Guia de Configuração de Política DMARC — Una SPF e DKIM com a aplicação do DMARC.
• Checklist de Entregabilidade de E-mail — Garanta que toda a sua stack de e-mail está configurada para máxima entregabilidade.

---

Comece agora: Verifique grátis sua configuração DKIM →