EMAIL GUIA

DKIM Lookup: Assinatura Digital de E-mails Explicada

Como o DKIM protege a integridade dos seus e-mails com criptografia assimétrica, como verificar o registro e resolver os problemas mais comuns.

DKIM: a impressão digital dos seus e-mails

DomainKeys Identified Mail (DKIM) é um protocolo de autenticação de e-mail que utiliza criptografia de chave pública para garantir que um e-mail não foi alterado durante o trânsito. Diferentemente do SPF, que verifica apenas o IP do servidor remetente, o DKIM assina criptograficamente o conteúdo do e-mail, permitindo ao destinatário verificar sua integridade e autenticidade. Todo e-mail assinado com DKIM contém um cabeçalho DKIM-Signature com a assinatura digital calculada sobre o corpo da mensagem e alguns cabeçalhos selecionados.

O mecanismo funciona com duas chaves: uma chave privada (mantida pelo servidor de correio que envia) e uma chave pública (publicada no DNS do domínio). Quando o servidor envia um e-mail, ele calcula um hash do conteúdo e o criptografa com a chave privada. O servidor receptor recupera a chave pública do DNS, descriptografa a assinatura e compara o hash com o calculado localmente. Se forem iguais, a mensagem é autêntica e íntegra.

Como funciona o seletor DKIM

Cada registro DKIM é identificado por um seletor, um prefixo que permite ter múltiplas chaves DKIM para o mesmo domínio. O registro está localizado em seletor._domainkey.dominio.com. Por exemplo, se o Google Workspace usa o seletor "google", a chave pública é encontrada em google._domainkey.exemplo.com. Esse sistema permite usar chaves diferentes para diferentes serviços: uma para o servidor corporativo, outra para a plataforma de marketing e outra para o sistema de tickets.

Registro DKIM no DNS
# Record DKIM per Google Workspace (selector: google)
google._domainkey.esempio.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki...chiave_pubblica_base64..."

# Header DKIM-Signature in un'email
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=esempio.com; s=google;
  h=from:to:subject:date:message-id;
  bh=hash_del_body;
  b=firma_digitale_base64

No cabeçalho DKIM-Signature, os parâmetros-chave são: d= (domínio assinante), s= (seletor), h= (cabeçalhos incluídos na assinatura), bh= (hash do corpo), b= (a assinatura propriamente dita). O parâmetro a= especifica o algoritmo (rsa-sha256 é o padrão atual). O parâmetro c= especifica a canonicalização: relaxed é mais tolerante com alterações menores em espaços em branco, strict exige correspondência exata.

Diagnóstico e solução de problemas DKIM

O problema DKIM mais comum é uma assinatura que falha na verificação. As causas principais são: chave pública ausente ou incorreta no DNS (verifique com o nosso DKIM Lookup), modificações na mensagem durante o trânsito (listas de distribuição que alteram o assunto ou o corpo), chave privada não correspondente à pública e registros DNS com erros de formatação. As listas de distribuição são particularmente problemáticas porque frequentemente adicionam rodapés ou modificam o cabeçalho Subject, invalidando a assinatura DKIM original.

Para diagnosticar problemas DKIM, analise os cabeçalhos do e-mail recebido com o Analisador de Cabeçalhos de E-mail. Procure o campo Authentication-Results que mostra o resultado da verificação DKIM: dkim=pass significa que a assinatura é válida, dkim=fail indica um problema. O cabeçalho DKIM-Signature no e-mail contém o seletor (s=) e o domínio (d=) necessários para a verificação manual.

Tamanho da chave e rotação

O tamanho da chave DKIM é um aspecto crucial para a segurança. Chaves de 1024 bits, que antes eram o padrão, agora são consideradas vulneráveis a ataques de fatoração com hardware moderno. A recomendação atual é usar chaves de 2048 bits, que oferecem um nível de segurança adequado para os próximos anos. Alguns provedores suportam chaves de 4096 bits, mas essas podem causar problemas com os limites de tamanho dos registros TXT no DNS (255 caracteres por string).

A rotação periódica das chaves DKIM é uma boa prática frequentemente negligenciada. Consiste em gerar um novo par de chaves, publicar a nova chave pública com um novo seletor, configurar o servidor para assinar com a nova chave privada e, após um período de transição, remover a chave pública antiga do DNS. Recomenda-se a rotação a cada 6-12 meses para limitar a exposição em caso de comprometimento da chave privada.

DKIM no contexto da autenticação de e-mail

O DKIM é o segundo pilar da autenticação de e-mail, entre SPF e DMARC. Enquanto o SPF verifica quem envia (o IP do servidor), o DKIM verifica o que é enviado (a integridade da mensagem). O DMARC então combina os resultados de ambos verificando o alinhamento do domínio: o domínio no cabeçalho From deve corresponder ao domínio autenticado pelo SPF (envelope from) ou DKIM (domínio de assinatura). Sem DKIM, o DMARC depende exclusivamente do SPF, reduzindo significativamente a proteção.

Para uma verificação completa da sua configuração DKIM, use o nosso DKIM Lookup especificando o domínio e o seletor. A ferramenta mostra a chave pública, o tamanho em bits, o algoritmo e sinaliza quaisquer problemas. Combine o resultado com as verificações do SPF Lookup e do DMARC Lookup para obter um panorama completo da sua autenticação de e-mail.

Experimente DKIM Lookup grátis
Verifica o registro DKIM para a assinatura digital dos e-mails
Usar DKIM Lookup >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →