Guia de Configuração de DKIM: Passo a Passo Completo
Configure DKIM em 20 min: ache o seletor, gere chaves, adicione DNS. Validador DKIM grátis. Exigido por Gmail e Yahoo desde fev/2026.
O que é DKIM e por que ele é crítico#
DKIM (DomainKeys Identified Mail) é uma assinatura digital para seus e-mails. Ele prova que um e-mail dizendo ser do seu domínio realmente saiu da sua caixa postal — e não de um atacante que invadiu outra coisa.
Em fevereiro de 2026: Gmail e Yahoo exigem DKIM para entrega de e-mails. Mensagens sem ele são rejeitadas.
Este guia mostra a configuração de DKIM em 20 minutos.
Como o DKIM funciona#
DKIM usa criptografia de chave pública/privada:
- Seu servidor de e-mail assina as mensagens enviadas com uma chave privada (secreta)
- A assinatura é anexada ao cabeçalho de cada e-mail
- Os destinatários verificam a assinatura usando sua chave pública (no DNS)
- Se a assinatura for válida: o e-mail não foi adulterado
- Se a assinatura falhar: o e-mail foi forjado ou modificado
Entendendo os seletores DKIM#
É aqui que a maioria das pessoas se confunde.
Os registros DKIM ficam em um local específico do DNS: [selector]._domainkey.seudominio.com
Exemplos:
default._domainkey.seudominio.comgoogle._domainkey.seudominio.coms1._domainkey.seudominio.comsendgrid._domainkey.seudominio.com
O seletor é apenas um rótulo. Seu provedor de e-mail escolhe qual usar. Seletores comuns:
| Serviço | Seletor |
|---|---|
| Google Workspace | google, default |
| Microsoft 365 | selector1, selector2 |
| SendGrid | default, sendgrid |
| Mailgun | default, k1 |
| Zoho | s1, s2, s3 |
Você não pode adivinhar o seletor. Você precisa achá-lo nas instruções de configuração do seu provedor de e-mail.
Passo 1: Encontre seu seletor DKIM#
Para Google Workspace:
- Acesse admin.google.com
- Vá em Segurança → Autenticação → Gerenciamento de domínio
- Encontre o seletor DKIM (geralmente "google" ou "default")
Para Microsoft 365:
- Acesse admin.microsoft.com
- Vá em Configurações → Domínios
- Encontre a seção DKIM (geralmente "selector1")
Para SendGrid:
- Acesse as configurações do SendGrid
- Encontre as API keys e a configuração DKIM
- O seletor geralmente é "default" ou "sendgrid"
Para Mailgun:
- Acesse o dashboard do Mailgun
- Vá em configurações de domínio
- O seletor está na configuração DKIM
Não usa um serviço de terceiros? Você está num servidor de e-mail próprio. Entre em contato com o provedor de hospedagem para obter o seletor DKIM.
Passo 2: Gere ou recupere a chave pública DKIM#
Seu provedor de e-mail gera uma chave pública. Você não cria ela — o provedor cria, você copia.
A chave parece com isso:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...
Onde encontrar:
- Google Workspace: copie do admin console
- Microsoft 365: copie do Exchange admin center
- SendGrid: Dashboard → configurações DKIM
- Mailgun: configurações de domínio → DKIM
- Outros provedores: consulte a documentação deles
Passo 3: Publique o registro DKIM no DNS#
Com a chave pública em mãos, adicione-a ao DNS:
- Acesse seu provedor DNS (Cloudflare, Route 53, GoDaddy, etc.)
- Adicione um registro TXT com:
- Nome:
[selector]._domainkey(ex.:google._domainkey) - Valor: a chave pública do passo 2
- TTL: 3600 (ou padrão)
- Nome:
- Salve e aguarde de 5 a 15 minutos
Passo 4: Teste a configuração DKIM#
Use estas ferramentas grátis para verificar:
Opção 1: Nova Uptime Email Health Checker
- Acesse /tools/email-health
- Digite seu domínio
- Verifique o status DKIM
Opção 2: MXToolbox
- Acesse mxtoolbox.com
- Use o DKIM checker
- Digite o seletor e o domínio
Opção 3: Mail-tester
- Acesse mail-tester.com
- Envie um e-mail de teste do seu domínio
- Confira a assinatura DKIM nos cabeçalhos
Erros comuns de DKIM#
Erro 1: Seletor errado#
Se o seu servidor de e-mail assina com o seletor google mas o DNS tem o seletor default, a validação DKIM falha.
Solução: verifique se o seletor é exatamente o mesmo que seu servidor de e-mail está usando.
Erro 2: Chave pública truncada no DNS#
Alguns provedores DNS truncam registros TXT longos. Se a chave pública for cortada, o DKIM falha.
Solução: use um provedor DNS que aceite registros TXT de tamanho completo, ou divida a chave usando aspas.
Erro 3: Múltiplos registros DKIM (antigo vs novo)#
Ao migrar de provedor de e-mail, podem ficar chaves DKIM antigas no DNS.
Bom: múltiplos seletores de provedores diferentes
google._domainkey → chave pública do Google
s1._domainkey → chave pública do SendGrid
Ruim: múltiplos registros para o mesmo seletor (o DNS lê só o primeiro)
Solução: remova seletores antigos, mantenha apenas os ativos.
Erro 4: Não rotacionar chaves#
Se sua chave privada for comprometida e você continuar usando, atacantes podem forjar e-mails.
Solução: rotacione as chaves no mínimo anualmente. Desative as antigas no DNS depois de confirmar que as novas funcionam.
Erro 5: Usar chaves fracas (1024 bits)#
Chaves DKIM de 1024 bits são criptograficamente fracas. Atacantes podem forjar assinaturas.
Solução: use chaves de no mínimo 2048 bits. Verifique com seu provedor de e-mail o que ele suporta.
Múltiplos provedores de e-mail? Você precisa de múltiplos seletores#
Se você usa Google Workspace E SendGrid:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → publique em google._domainkey
v=DKIM1; k=rsa; p=... (diferente) ... → publique em sendgrid._domainkey
Os dois funcionam de forma independente. E-mails do Google são verificados com a chave do Google. E-mails do SendGrid são verificados com a chave do SendGrid.
DKIM + SPF + DMARC#
DKIM faz parte do trio de autenticação:
- SPF: "O servidor está autorizado?"
- DKIM: "A mensagem é autêntica?"
- DMARC: "Os dois passam e estão alinhados?"
Configure os três. Nova Uptime verifica todos automaticamente — rode sua primeira verificação de saúde de e-mail.
Depois de publicar: monitoramento#
Semana 1: monitore a entrega de e-mails, confira a pasta de spam Semanalmente: use o Nova Uptime Email Health Checker para verificar o status DKIM Mensalmente: confira se nenhum seletor antigo ficou sobrando no DNS
Resumo#
- Encontre seu seletor DKIM (com o provedor de e-mail)
- Pegue a chave pública (com o provedor de e-mail)
- Publique no DNS em
[selector]._domainkey.seudominio.com - Teste com ferramentas de verificação
- Aguarde 1 semana, monitore a entrega
- Mantenha os registros limpos (remova seletores antigos)
DKIM é obrigatório em 2026. A configuração leva 20 minutos. Não ter custa receita.
Monitore os três protocolos de autenticação automaticamente: Nova Uptime Email Health Checker. Grátis.
Leitura relacionada#
- Guia de Configuração e Verificação DKIM — solução de problemas DKIM
- Guia de Detecção de Seletor DKIM — encontre e valide seletores DKIM
- Guia de Configuração e Verificação SPF — configuração SPF junto com DKIM
- Configuração DMARC: de None a Reject — DMARC requer alinhamento DKIM
- Guia do Email Health Checker — auditoria completa de autenticação
- DKIM Checker Grátis — valide seu registro DKIM na hora
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArtigos relacionados
DKIM Explicado: O Que É, Como Funciona e Como Configurar
Guia completo de DKIM — verifique seu registro DKIM, entenda seletores, gere chaves e corrija erros de autenticação. Ferramenta gratuita de DKIM checker.
SPF, DKIM e DMARC: O Guia Completo de Autenticação de E-mail
Guia dos três pilares da autenticação de e-mail. Como SPF, DKIM e DMARC trabalham juntos para proteger seu domínio e o posicionamento na caixa de entrada.
Como configurar registros SPF: guia passo a passo
Configure e verifique registros SPF passo a passo. Aprenda a sintaxe SPF, teste seu registro com um SPF checker grátis, resolva limites de lookup e evite.