Glossário/DKIM (DomainKeys Identified Mail)
Autenticação

DKIM (DomainKeys Identified Mail)

Uma assinatura criptográfica adicionada aos cabeçalhos do e-mail para que os servidores destinatários possam verificar que a mensagem não foi alterada e veio de um remetente autorizado.

O que é DKIM?

DKIM, ou DomainKeys Identified Mail, é um método de autenticação de e-mail baseado em DNS que anexa uma assinatura criptográfica a cada mensagem enviada. Os servidores destinatários buscam a chave pública do remetente no DNS e a usam para verificar que a mensagem não foi adulterada em trânsito e foi autorizada pelo dono do domínio.

Por que isso importa

Sem DKIM, qualquer servidor na internet pode forjar e-mail se passando pelo seu domínio. Provedores modernos de caixa postal, incluindo Gmail e Yahoo, agora rejeitam ou colocam em quarentena e-mails em massa sem autenticação. O DKIM também é pré-requisito para aplicar DMARC, então todo time que opera um domínio de envio precisa configurá-lo corretamente.

Como funciona

O servidor de envio calcula um hash de cabeçalhos selecionados e do corpo, assina esse hash com uma chave privada e adiciona um header DKIM-Signature à mensagem. O servidor destinatário extrai o selector e o domínio da assinatura, consulta o DNS pela chave pública e verifica a assinatura. Um registro DNS fica assim:

selector1._domainkey.acme.io IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN..."

Múltiplos selectors permitem rotacionar chaves sem downtime.

Exemplos

  • Uma startup publicando uma chave DKIM de 2048 bits em s1._domainkey.example.com antes da primeira campanha
  • Uma plataforma usando um selector por ambiente para que staging e produção assinem de forma independente
  • Um time de ops rotacionando os selectors de sk2024 para sk2025 com janelas de publicação sobrepostas

Boas práticas

  • Use chaves RSA de pelo menos 2048 bits; 1024 é considerado fraco
  • Rotacione chaves pelo menos uma vez por ano e mantenha o selector anterior ativo durante a transição
  • Assine, no mínimo, os cabeçalhos From, Subject, Date e To
  • Deixe o Sendkit provisionar e rotacionar suas chaves DKIM automaticamente sempre que possível

Perguntas frequentes

O que é um selector DKIM?

Um selector é um rótulo que permite publicar múltiplas chaves DKIM para o mesmo domínio. Ele aparece no header de assinatura e determina qual registro DNS o destinatário consulta.

O DKIM criptografa meu e-mail?

Não. O DKIM só assina a mensagem para provar autenticidade e integridade. O corpo continua legível para qualquer um que intercepte, a menos que TLS também esteja em uso.

Por que minha assinatura DKIM falhou após a configuração?

Causas comuns incluem um gateway de e-mail reescrevendo o corpo, mudanças de quebra de linha ou um selector divergente no DNS. Verifique o header Authentication-Results no servidor destinatário para ver o motivo exato da falha.

Comece a enviar em minutos.

3.000 e-mails/mês no plano gratuito. Sem cartão de crédito, sem compromisso.

Google Cadastre-se com o GoogleGitHub Cadastre-se com o GitHub

Ainda na dúvida?

Veja o que o seu LLM favorito tem a dizer sobre a gente e tome uma decisão informada.

Pergunte ao ChatGPTPergunte ao ChatGPTPergunte ao GeminiPergunte ao GeminiPergunte ao ClaudePergunte ao ClaudePergunte ao PerplexityPergunte ao Perplexity