O Que é um Registro DKIM?
Um registro DKIM (DomainKeys Identified Mail) é um registro DNS TXT que contém uma chave criptográfica pública usada para verificar a autenticidade de emails. Quando um email é enviado, o servidor adiciona uma assinatura digital usando uma chave privada. O servidor receptor consulta a chave pública no DNS para validar essa assinatura.
O DKIM garante que o conteúdo do email não foi alterado durante o trânsito e que a mensagem realmente foi enviada pelo domínio indicado. Isso é essencial para prevenir ataques de phishing e spoofing. Junto com SPF e DMARC, o DKIM forma o trio de autenticação de email.
O registro DKIM é publicado em seletor._domainkey.dominio.com, onde o seletor identifica qual chave usar. Um domínio pode ter múltiplos seletores — um para cada serviço de email (Google Workspace, Microsoft 365, etc.).
Como Verificar Registro DKIM (3 Métodos)
Verificar registros DKIM é essencial para garantir que suas chaves estão configuradas corretamente e que emails estão sendo autenticados. Existem três métodos principais para verificar registros DKIM:
Digite qualquer domínio acima e clique em 'Check DKIM'. A ferramenta detecta automaticamente seletores comuns (google, default, selector1, etc.), recupera o registro DKIM, analisa todas as tags, verifica tipo e tamanho da chave, e executa 10 verificações de validação com pontuação de saúde.
No Mac/Linux use: dig seletor._domainkey.dominio.com TXT +short. No Windows: nslookup -type=txt seletor._domainkey.dominio.com. Você precisa saber o seletor — verifique nos cabeçalhos de um email enviado (campo DKIM-Signature, parâmetro s=).
Abra um email enviado, visualize os cabeçalhos completos e procure por 'DKIM-Signature'. O campo s= mostra o seletor e d= mostra o domínio. Verifique também os resultados 'Authentication-Results' para ver se DKIM passou ou falhou.
Tags de Registro DKIM — Referência Completa
Um registro DKIM contém diversas tags que definem como a verificação funciona. Entender cada tag ajuda a configurar e diagnosticar problemas de autenticação DKIM.
v= (Versão)
Deve ser 'DKIM1'. Identifica o registro como um registro de chave pública DKIM. Obrigatório.
k= (Tipo de Chave)
Algoritmo criptográfico: 'rsa' (padrão) ou 'ed25519'. RSA 2048-bit é o mais comum. Ed25519 é mais moderno e eficiente.
p= (Chave Pública)
A chave pública codificada em Base64. Obrigatório. Se vazio (p=), a chave foi revogada e assinaturas com este seletor são inválidas.
t= (Flags)
Flags opcionais: 't=y' indica modo de teste (falhas DKIM tratadas como não-assinadas), 't=s' exige correspondência exata de domínio.
h= (Hash)
Algoritmos de hash aceitos: 'sha256' (recomendado), 'sha1' (obsoleto). sha256 é o padrão e deve ser usado.
s= (Tipo de Serviço)
Tipo de serviço: '*' para todos (padrão) ou 'email' para restringir apenas a email. A maioria dos domínios usa o padrão '*'.
Nossas 10 Verificações de Validação DKIM
Nosso verificador DKIM executa 10 verificações abrangentes para avaliar a saúde completa do seu registro DKIM:
Registro DKIM encontrado — verifica se o registro existe no DNS para o seletor especificado
Formato de registro válido — confirma que o registro segue a sintaxe correta do padrão DKIM
Versão presente (v=DKIM1) — valida que a tag de versão está presente e correta
Chave pública presente (p=) — verifica se a chave pública está incluída e não está vazia
Tipo de chave (k=rsa ou ed25519) — confirma que o algoritmo criptográfico é suportado
Tamanho da chave adequado — verifica se a chave RSA tem pelo menos 2048-bit para segurança
Chave não revogada — confirma que p= não está vazio (chave revogada)
Modo de teste desativado — verifica se t=y não está presente em produção
Algoritmo hash seguro — confirma que sha256 é suportado (não apenas sha1)
Registro não duplicado — verifica se não há múltiplos registros DKIM conflitantes
Boas Práticas de DKIM
Siga estas boas práticas para garantir uma configuração DKIM robusta e segura:
Use chaves RSA de pelo menos 2048-bit — chaves de 1024-bit são consideradas fracas e podem ser rejeitadas
Rotacione chaves DKIM a cada 6-12 meses para manter a segurança
Use seletores descritivos por serviço (ex: google, mailchimp, sendgrid) para facilitar gerenciamento
Remova o flag t=y (modo de teste) após confirmar que DKIM está funcionando corretamente
Configure DKIM para todos os serviços que enviam email pelo seu domínio
Monitore resultados de autenticação nos cabeçalhos de email regularmente
Revogue chaves antigas (p=) após rotação bem-sucedida
SPF vs DKIM vs DMARC — Autenticação de Email Explicada
SPF, DKIM e DMARC trabalham juntos para formar um sistema completo de autenticação de email. Cada protocolo cobre um aspecto diferente da segurança:
O SPF (Sender Policy Framework) verifica se o servidor que enviou o email está autorizado pelo domínio. O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica para verificar que o conteúdo não foi alterado. O DMARC (Domain-based Message Authentication, Reporting and Conformance) une SPF e DKIM, definindo a política para emails que falham na autenticação.
Para máxima proteção, configure os três protocolos. Use nosso Verificador SPF e Verificador DMARC para verificar a configuração completa do seu domínio.
SPF — Autorização de Servidor
Verifica se o IP do servidor está autorizado a enviar email pelo domínio. Protege contra spoofing de envelope.
DKIM — Integridade da Mensagem
Adiciona assinatura criptográfica ao email. Garante que o conteúdo não foi modificado durante o trânsito.
DMARC — Política e Relatórios
Define o que fazer quando SPF ou DKIM falham (monitorar, quarentena, rejeitar). Habilita relatórios de autenticação.
Ferramentas Relacionadas de Email e DNS
Explore nossas outras ferramentas grátis para verificação completa de email e DNS:
Valide registros SPF e verifique a contagem de DNS lookups do seu domínio.
Analise a política DMARC, modos de alinhamento e URIs de relatório.
Crie registros DMARC personalizados com política, relatórios e alinhamento.
Teste a conectividade e configuração do seu servidor SMTP em tempo real.
Verifique registros BIMI e visualize o logo de marca no email.
Consulte registros MX para verificar o roteamento de email do domínio.