Este artigo traz orientações sobre uma das principais políticas de segurança solicitadas por servidores de e-mail, para facilitar o entendimento e cadastro, ajudando a melhorar a entrega dos e-mails aos destinatários.
Principais situações abordadas: baixa entrega de e-mails (grande volume de e-mails retornando por política de segurança).
Se o SPF é a "lista de convidados", o DKIM é o selo de cera real no envelope. Ele garante que ninguém abriu a carta e alterou o conteúdo durante o trajeto entre remetente e destinatário.
O que é DKIM?
O DKIM é um protocolo de segurança que adiciona uma assinatura digital criptográfica às mensagens de e-mail. Essa assinatura não é visível para o usuário comum, mas os servidores de e-mail a utilizam para verificar dois pontos importantes:
Integridade: O e-mail não foi alterado depois do envio (protege contra ataques do tipo "man-in-the-middle").
Autenticidade: O remetente é realmente quem diz ser, pois possui a "chave" privada do domínio.
Como o DKIM funciona? (O par de chaves)
O funcionamento se baseia em Criptografia Assimétrica, que utiliza duas chaves diferentes:
Chave Privada: Fica guardada com segurança no seu servidor de e-mail (Superlógica). Sempre que você envia um e-mail, o servidor usa essa chave para criar uma assinatura única baseada no conteúdo da mensagem.
Chave Pública: Você a publica no seu DNS (nas configurações do seu domínio). Ela fica disponível para qualquer pessoa consultar.
Como funciona a verificação:
Você envia o e-mail; o servidor (Superlógica) assina o cabeçalho usando a chave privada.
O servidor do destinatário recebe o e-mail e identifica a assinatura DKIM.
Ele consulta o seu DNS, obtém a chave pública e tenta validar a assinatura.
Se tudo estiver correto, o servidor confirma que a mensagem é legítima e que o conteúdo não foi alterado.
Como configurar o DKIM em 3 passos
Diferente do SPF, você não consegue "inventar" um registro DKIM sozinho; seu provedor de e-mail precisa gerá-lo para você (Superlógica gera as chaves).
1. Gere a Chave no seu Provedor
Entre em contato com o suporte e solicite as chaves.
2. Publique no DNS
O provedor fornecerá dois dados: um Nome/Host (geralmente algo como google._domainkey) e um Valor (uma sequência longa de letras e números começando com v=DKIM1; k=rsa; p=...).
Vá ao painel do seu domínio (Registro.br, Cloudflare, etc.). (Possível caminho, valide com seu prestador de serviço)
Crie um novo registro do tipo TXT.
Insira o Host e o Valor fornecidos.
Salve.
3. Ative a Autenticação
Após salvar no DNS, aguardo o prazo de 72 horas para propagação global e contate o suporte para validar a ativação
Por que usar DKIM se eu já tenho SPF?
O SPF tem uma falha grave: ele quebra quando um e-mail é encaminhado. Se você envia um e-mail para um amigo e ele o encaminha para outra pessoa, o IP do servidor do seu amigo não estará no seu SPF, e o e-mail pode ser bloqueado.
O DKIM sobrevive ao encaminhamento, pois a assinatura está "grampeada" na própria mensagem, independentemente de qual servidor a está movendo.
Links para artigos relacionados: