O que é DKIM e por que é obrigatório hoje
DKIM é a assinatura digital que prova que a sua mensagem não foi alterada durante o trajeto. Entenda como gerar as chaves e publicar no DNS para passar em Gmail, Outlook e Yahoo.
Desde fevereiro de 2024, Google e Yahoo exigem DKIM para qualquer remetente que envie em volume. Quem não se adaptou viu o volume na caixa principal despencar. Este guia explica o que é, como funciona e como configurar sem dor.
DKIM em uma analogia
Imagine que você envia uma carta importante com a sua assinatura. Quem recebe quer provar que (a) foi você quem escreveu e (b) ninguém alterou o conteúdo no meio do caminho. DKIM faz exatamente isso, digitalmente: anexa uma assinatura criptográfica no cabeçalho de cada e-mail e publica a chave pública no DNS para quem quiser verificar.
Como funciona na prática
- Você gera um par de chaves (pública e privada).
- A chave privada fica no servidor que envia os e-mails — ela assina cada mensagem.
- A chave pública é publicada no seu DNS em um registro TXT.
- Quando o e-mail chega no destinatário, ele busca a chave pública no DNS, confere a assinatura e confirma a autenticidade.
Como configurar no DNS
O DKIM usa "selectors" para permitir que vários serviços assinem o mesmo domínio. Cada selector vira um subdomínio do tipo {selector}._domainkey.seudominio.com.
Tipo: TXT
Nome: rapidcloud._domainkey
Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCA...Os campos mais importantes:
v=DKIM1— versão do DKIM.k=rsa— algoritmo da chave (RSA é o padrão universal).p=...— a chave pública em base64 (costuma ter 400 caracteres ou mais).
Se você usa Google Workspace, Mailchimp, SendGrid ou RapidCloud, o próprio painel gera o valor pronto pra copiar. Você só cola no DNS.
Chaves de 1024 ou 2048 bits?
Use 2048 bits sempre que possível. Chaves de 1024 bits ainda funcionam, mas vários provedores já mostram alertas. Chaves menores que 1024 (512, 768) são rejeitadas.
Um efeito colateral das chaves de 2048 bits: o valor TXT fica muito longo e precisa ser quebrado em múltiplas strings. A maioria dos painéis DNS faz isso automaticamente, mas se você edita manualmente (BIND, PowerDNS cru), precisa usar a sintaxe "parte 1" "parte 2".
Rotação de chaves: importante mas esquecido
Boa prática de segurança: trocar as chaves DKIM a cada 6–12 meses. Funciona assim:
- Publique um novo selector (
rapidcloud2024._domainkey) com a nova chave. - Configure o servidor de envio para assinar com o novo selector.
- Deixe o selector antigo publicado por mais algumas semanas — e-mails em trânsito ainda podem precisar validá-lo.
- Depois de confirmar que ninguém está usando mais, remova o selector antigo.
Validando o DKIM
Envie um e-mail pelo MailTester RapidCloud. Na aba "Autenticação do servidor", você vê:
- Se a assinatura DKIM estava presente.
- O selector usado.
- O tamanho da chave.
- Se a validação passou (ideal: "Perfeito" em verde).
Erros comuns
DKIM_SIGNED mas sem DKIM_VALID
Significa que a mensagem tem assinatura, mas ela não bate. Causas mais comuns:
- Um servidor intermediário modificou o conteúdo (caracteres especiais, line endings).
- A chave pública no DNS está diferente da privada no servidor.
- O selector foi publicado errado.
Esquecer o DKIM em subdomínios
Se você envia como @newsletter.seudominio.com, precisa publicar o DKIM também nesse subdomínio. O selector mora em rapidcloud._domainkey.newsletter.seudominio.com.
RapidCloud SMTP gera e assina DKIM automaticamente para todo domínio cadastrado. Você copia uma linha de TXT no DNS e está resolvido — sem gerenciar chaves, sem rotação manual.
Perguntas frequentes
O que é DKIM?
DKIM é obrigatório?
Qual tamanho de chave DKIM usar?
Posso ter várias chaves DKIM?
Como sei se meu DKIM está válido?
Teste agora o que você acabou de configurar
Envie um e-mail pelo MailTester RapidCloud e veja em segundos se SPF, DKIM, DMARC e rDNS estão passando.
Testar entregabilidade