Logo do Guia de Autenticação de E-mails

Tudo sobre DKIM

DomainKeys Identified Mail

Breve Apresentação

O que é DKIM?

O DKIM (DomainKeys Identified Mail) é um método de autenticação de e-mails que ajuda a proteger seu domínio contra falsificação (spoofing), autenticando seu e-mail com uma assinatura digital. Ele impede que o conteúdo da mensagem seja alterado durante o trânsito.

Por que configurar o DKIM?

  • Garante a entrega da mensagem: Especialmente para remetentes de e-mail que enviam para contas pessoais do Gmail, a configuração da autenticação de e-mail, incluindo o DKIM, é crucial para que a mensagem seja entregue conforme o esperado.
  • Proteção contra spoofing e phishing: O DKIM ajuda a evitar que spammers e outros invasores falsifiquem a identidade da sua organização, enviando e-mails que parecem ser do seu domínio.
  • Recomendação para todos os remetentes: Todos os remetentes de e-mail precisam configurar o SPF ou o DKIM. Remetentes de e-mails em massa (mais de 5.000 mensagens por dia) devem configurar SPF, DKIM e DMARC. O Google recomenda configurar ambos, DKIM e SPF, para um sinal mais forte de autenticidade.

Como o DKIM funciona?

A configuração do DKIM envolve a geração de um par de chaves DKIM para o seu domínio:

  1. Chave privada: É enviada para o servidor de e-mail do remetente. Essa chave gera e adiciona uma assinatura DKIM a todos os e-mails enviados.
  2. Chave pública: É armazenada no registro TXT do DNS do seu domínio para DKIM. Esta é a chave que você adiciona ao seu domínio.

Quando um e-mail é enviado:

  • O servidor de e-mail do remetente adiciona uma assinatura DKIM ao cabeçalho do e-mail usando a chave privada.
  • Quando o servidor de e-mail do destinatário recebe a mensagem, ele acessa o registro TXT do DNS do remetente para obter a chave pública.
  • Ele então usa a chave pública para ler a assinatura DKIM e autenticar o e-mail, verificando a sua integridade e origem. Se os resultados do DKIM mostrarem "DKIM=pass" ou "DKIM=OK" no cabeçalho, significa que o e-mail foi autenticado com sucesso.

Etapas para configurar o DKIM

A configuração do DKIM geralmente segue estes passos:

  1. Gerar um par de chaves DKIM: Para usuários do Google Workspace, isso é feito no Google Admin Console, onde você pode selecionar o tamanho da chave (2048 bits é mais seguro, 1024 bits se o provedor não suportar 2048) e um seletor de prefixo (o padrão é "google"). Para quem não usa o Google Workspace, ferramentas online podem ser utilizadas.
  2. Adicionar a chave pública ao seu domínio: A chave pública (valor do registro TXT) gerada é adicionada aos registros DNS do seu provedor de domínio, criando um registro TXT com um nome de host específico (por exemplo, google._domainkey) e o valor da chave. Pode levar até 48 horas para a autenticação DKIM começar a funcionar após adicionar a chave.
  3. Ativar e verificar o DKIM: No Google Admin Console (para usuários do Google Workspace), você clica em "Iniciar autenticação". Para verificar se está funcionando, envie um e-mail para alguém que use Gmail ou Google Workspace e verifique o cabeçalho completo da mensagem no destino. A presença de "DKIM=pass" ou "DKIM=OK" indica sucesso.

Considerações adicionais

  • Se o provedor do domínio for Google Domains ou Squarespace, o Google pode criar e adicionar a chave DKIM automaticamente.
  • É importante verificar se os gateways de saída não interferem no DKIM, especialmente se eles modificam as mensagens enviadas.
  • O Google recomenda a configuração de SPF e DMARC em conjunto com o DKIM para uma proteção mais robusta. O DMARC permite especificar o que fazer com mensagens que não passam nas verificações de SPF ou DKIM (rejeitar, colocar em quarentena ou entregar) e oferece relatórios sobre a autenticação.

Se tiver problemas com o DKIM ou se as mensagens estiverem indo para a pasta de spam, há recursos de solução de problemas disponíveis.