Verifique chaves e assinaturas DKIM em segundos. Valide seletores, comprimento da chave e registos TXT para evitar falsificação e problemas de entrega.
Introduza o seu domínio e (opcionalmente) um seletor para validar a sua configuração DKIM.
O verificador DKIM da DMARCFlow testa e verifica a configuração DKIM do seu domínio para garantir que está corretamente definida. Confirma que os e-mails são assinados com a sua chave privada e que a assinatura permanece intacta - garantindo a autenticidade e a integridade da mensagem.
Valide que uma chave pública está corretamente publicada num seletor e detete problemas antes de afetarem a entrega ou a segurança.
Um registo DKIM é uma entrada TXT de DNS que contém um seletor e uma chave pública. O seletor aponta para a chave privada que assina os e-mails; a chave pública permite aos recetores verificar a assinatura e confirmar a integridade.
Analisar domínioExemplo: mailo é o seletor e dmarcflow.online é o domínio. v=DKIM1 indica o tipo de registo, k=rsa o algoritmo da chave e p=... contém a chave pública.
O DKIM adiciona uma assinatura digital aos e-mails de saída. O seu servidor assina com uma chave privada; os recetores obtêm a sua chave pública a partir do DNS e verificam a assinatura. Assinaturas coincidentes indicam autenticidade; divergências sinalizam risco. Resultado: melhor reputação e melhor colocação na caixa de entrada.
Uma lista de verificação rápida para manter a autenticação robusta e a entregabilidade elevada
Prefira chaves de 2048 bits para maior segurança e melhor aceitação pelas principais caixas de entrada.
Utilize seletores distintos por fluxo de correio (marketing, transacional) para rodar em segurança.
Publique os registos TXT diretamente, a menos que o seu fornecedor exija um alias gerido.
Introduza novos seletores, atualize os assinantes e, depois, descontinue as chaves antigas após a transição.
O que cada estado de verificação DKIM significa e o que fazer a respeito.
A assinatura DKIM é válida. A chave pública no DNS corresponde à chave privada que assinou a mensagem e o conteúdo do e-mail não foi modificado em trânsito. A sua configuração DKIM está a funcionar corretamente.
A assinatura não foi verificada. Ou a mensagem foi modificada após a assinatura, ou foi usada a chave privada errada, ou a chave pública no DNS não corresponde. Verifique se o corpo ou os cabeçalhos do e-mail foram alterados - as listas de distribuição são uma causa comum.
Não existe qualquer registo TXT de DKIM no seletor e domínio especificados. Ou o seletor está errado, ou o registo nunca foi publicado, ou foi eliminado. Confirme o nome do seletor com o seu fornecedor de correio e volte a publicar o registo.
A chave pública tem menos de 1024 bits. As normas atuais exigem, no mínimo, chaves RSA de 2048 bits. As chaves curtas são consideradas fracas e alguns fornecedores rejeitam as mensagens assinadas com elas. Rode para uma chave de 2048 bits de imediato.
A assinatura está presente, mas o hash do corpo não corresponde. O conteúdo do e-mail foi alterado após a assinatura - isto acontece frequentemente quando um relay ou uma lista de distribuição adiciona um rodapé ou modifica os cabeçalhos. Configure a sua lista de distribuição para quebrar a assinatura DKIM de forma limpa, em vez de a corromper silenciosamente.
A consulta de DNS do registo DKIM esgotou o tempo limite. Trata-se de um erro transitório, mas, se persistir, indica um problema na infraestrutura de DNS. Verifique o estado do seu fornecedor de DNS e confirme se o registo está publicado com um TTL suficientemente baixo.
As causas mais frequentes de falhas de DKIM observadas nos relatórios DMARC - e as respetivas soluções.
Cada assinatura DKIM referencia um seletor. Se não conhecer o seu seletor, verifique o cabeçalho DKIM-Signature de um e-mail enviado - a etiqueta s= contém o nome do seletor.
Correção: Utilize o seletor indicado na documentação do seu servidor ou fornecedor de correio. Seletores comuns: google, s1, s2, default, mail.
A aprovação do DKIM não é suficiente para o DMARC. O domínio na etiqueta d= do DKIM tem de alinhar com o domínio do cabeçalho From:. Se o seu ESP assinar com o domínio dele em vez do seu, o alinhamento falha.
Correção: Configure o seu ESP para assinar com o seu domínio. A maioria das grandes plataformas (Mailchimp, HubSpot, SendGrid) suporta a assinatura DKIM personalizada.
As mensagens reencaminhadas têm frequentemente o corpo modificado (rodapés adicionados, codificação alterada), o que quebra o hash do corpo do DKIM e provoca uma falha. Este é um comportamento esperado - não é culpa sua.
Correção: Utilize a canonicalização relaxada (c=relaxed/relaxed), que tolera pequenas alterações de espaços em branco. Em cenários de reencaminhamento, o DMARC ainda passa se o alinhamento de SPF se mantiver.
Ao rodar as chaves DKIM, o seletor antigo é removido do DNS antes de o servidor de correio ter mudado para a nova chave - ou o novo registo de DNS ainda não se propagou.
Correção: Publique sempre primeiro o novo seletor, aguarde a propagação do DNS (até 48 horas) e, depois, mude o servidor de correio para assinar com a nova chave. Só então deve retirar o seletor antigo.
Perguntas comuns sobre o DKIM e a DMARCFlow
Dúvidas? Temos respostas!selector._domainkey.exemplo.com.