arrobaMail
Entregabilidade · Autenticação

DKIMsua assinatura digital

DomainKeys Identified Mail

DomainKeys Identified Mail adiciona uma assinatura criptográfica ao header de cada email que você envia. O destinatário verifica essa assinatura em relação a uma chave pública publicada no seu DNS. Se coincidir, o email é autêntico e não foi alterado.

arrobaMail · EntregabilidadeDKIM
Conceito

O que é DKIM e como funciona?

DKIM (DomainKeys Identified Mail), definido na RFC 6376, usa criptografia de chave pública. Quando um servidor de envio manda um email, ele o assina com uma chave privada que só ele possui.

O servidor destinatário pega a assinatura (incluída em um header do email), busca a chave pública no DNS do seu domínio (em um registro TXT específico) e verifica se a assinatura é válida.

Se a assinatura for validada, duas coisas ficam comprovadas: (1) o email foi realmente enviado por alguém com acesso à chave privada do seu domínio, e (2) o conteúdo não foi alterado no caminho.

Anatomia

Anatomia de um registro DKIM

Exemplo real

arroba2026._domainkey.tudominio.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb..."
arroba2026._domainkey

Selector

Identifica essa chave específica. Um mesmo domínio pode ter várias chaves ativas com selectors diferentes. A arrobaMail atribui um automaticamente.

v=DKIM1

Versão

Indica que é um registro DKIM versão 1.

k=rsa

Algoritmo

rsa é o mais comum. Alguns provedores também suportam ed25519. A arrobaMail usa RSA 2048 bits.

p=MIGfMA0...

Chave pública

A chave pública em base64. É ela que os destinatários usam para verificar a assinatura. A chave privada nunca é publicada.

Passo a passo

Como configurar corretamente

Etapas em ordem. Pular uma costuma gerar problemas que levam dias para diagnosticar.

  1. 01

    Gere o par de chaves

    Na arrobaMail, essa etapa é automática: quando você adiciona seu domínio como remetente, geramos o par RSA e entregamos o selector e a chave pública prontos para publicar.

  2. 02

    Publique o registro TXT no seu DNS

    Crie um registro TXT no seu DNS com Name = arroba2026._domainkey (ou o selector que indicamos) e Value = v=DKIM1; k=rsa; p=...

    Dica: Muitos provedores de DNS cortam strings com mais de 255 caracteres. Certifique-se de colar como uma única string ou usar a sintaxe multi-string que seu provedor suportar.

  3. 03

    Aguarde a propagação

    Assim como o SPF, leva de minutos a horas de acordo com o TTL do DNS. Até propagar, a assinatura não vai validar.

  4. 04

    Ative a assinatura na arrobaMail

    Depois de verificar a publicação, você ativa o DKIM nas configurações do remetente. A partir desse momento, todos os emails que enviarmos em seu nome levam a assinatura.

  5. 05

    Monitore a validação

    Nos primeiros dias, revise os relatórios para confirmar que os destinatários estão validando OK. Se você tiver DMARC com rua=, os relatórios vão mostrar dkim=pass.

Erros comuns

O que quebra com frequência (e como consertar)

Chave truncada ao colar no DNS

Alguns provedores de DNS cortam o valor do TXT em 255 caracteres e salvam só a parte inicial. A verificação falha porque a chave fica incompleta.

Como consertar: Verifique com dig se o TXT publicado tem o mesmo tamanho do original. Se não, divida em várias strings entre aspas conforme a sintaxe do seu provedor.

Selector escrito errado

Um erro de digitação no selector (ex.: arroba2026 vs arroba_2026) faz o destinatário buscar uma chave que não existe, e a assinatura falha.

Como consertar: Copie exatamente o selector que fornecemos na arrobaMail, sem adicionar nem remover caracteres.

Mais de um registro DKIM com o mesmo selector

Se você publicar dois TXT com o mesmo selector, os destinatários não conseguem decidir qual usar.

Como consertar: Remova o antigo antes de publicar o novo. Se precisar rotacionar, use um selector diferente.

Nunca rotacionar as chaves

As chaves DKIM idealmente devem ser rotacionadas a cada 6-12 meses como boa prática de segurança.

Como consertar: Programe rotações periódicas e documente qual selector está ativo em cada provedor.

Verificação

Como confirmar que ficou certo

Três formas de verificar — pelo terminal ou por ferramentas online. Se todas retornarem OK, está pronto.

01

Terminal Linux/Mac

dig TXT selector._domainkey.tudominio.com +short

Retorna o registro DKIM se estiver publicado corretamente.

02

Email de teste para o Gmail

Headers > Show original > DKIM

Aparece "dkim=pass [email protected]".

03

Online

mxtoolbox.com/dkim.aspx

Diagnóstico de selector + validação de assinatura.

Como a arrobaMail faz isso

A arrobaMail gera o par de chaves DKIM automaticamente ao validar seu domínio, mostra o registro TXT exato a publicar e monitora a verificação.

Perguntas frequentes

O que mais se pergunta sobre DKIM

Quantos selectors diferentes você usar. É comum ter um por provedor (um da arrobaMail, outro do Google Workspace, outro do seu CRM), cada um com seu selector único.

Depende da política DMARC. Sem DMARC, o destinatário decide caso a caso (geralmente relaxando o filtro para spam). Com DMARC em p=quarantine ou p=reject e alinhamento estrito, sim, é rejeitado.

Sim. A chave pública é exatamente isso: pública. Ela só serve para verificar assinaturas, não para criá-las. A chave privada nunca sai do servidor de envio.

Sim. A assinatura cobre os headers definidos e o corpo inteiro da mensagem, incluindo anexos. Qualquer modificação em trânsito invalida a assinatura.

RSA de 2048 bits é o padrão e é suportado universalmente. O Ed25519 é mais moderno e rápido, mas ainda tem menos suporte. Na arrobaMail usamos RSA 2048 por compatibilidade.

Comece com o arrobaMail
em menos de 5 minutos.

Plano Gratuito, gerações de IA incluídas, sem cartão de crédito e suporte real em português.

Testar grátis agora
WhatsAppA equipe responde