Autenticação de e-mail
Verificador e validador de registros DKIM
Consulte o registro TXT selector._domainkey de qualquer domínio e valide as tags DKIM, o tipo e o comprimento da chave.
O que o validador DKIM verifica?
- Informe o seletor DKIM (por exemplo google, default ou k1) e o domínio. A ferramenta consulta o registro TXT {selector}._domainkey.{domínio} no DNS público.
- O registro é analisado tag por tag: versão v=DKIM1, tipo de chave k=, chave pública p=, algoritmos h=, tipos de serviço s= e flags t=, além do comprimento da chave decodificado.
- Veja o veredito e os avisos: registro ausente, tag p= vazia (chave revogada), chave fraca de 1024 bits ou flag t=y recebem explicações claras.
Tags DKIM para revisar
O validador cobre a metade DNS do DKIM: o registro de chave pública publicado. Ele confirma que o registro existe, analisa cada tag e sinaliza chaves fracas ou revogadas — não assina nem recebe e-mails por você.
| Tag | Por que importa | Exemplo |
|---|---|---|
| v=DKIM1 | Tag de versão com que todo registro DKIM válido deve começar | v=DKIM1 |
| k / p | Tipo de chave e chave pública em Base64 usada para verificar assinaturas | k=rsa; p=MIIBIjANBg… |
| Comprimento da chave | Tamanho do módulo RSA — chaves de 1024 bits são consideradas fracas hoje | 2048 bits |
| t=y | Flag de teste: os receptores tratam as assinaturas como se o domínio não assinasse | t=y |
Quando verificar um registro DKIM
Verifique logo após adicionar ou alterar o registro DNS de um provedor de e-mail. O Google Workspace costuma usar o seletor google, o Microsoft 365 usa selector1 e selector2, o Amazon SES emite três seletores CNAME aleatórios, o Mailchimp usa k1 (e k2/k3) e o SendGrid geralmente usa s1 e s2.
Cheque o DKIM quando as mensagens caem no spam ou os relatórios DMARC mostram dkim=fail. Um registro ausente ou malformado é uma das causas mais comuns.
Verifique ambos os seletores durante a rotação de chaves: os provedores publicam a chave nova em um segundo seletor antes de aposentar a antiga, e os dois precisam resolver enquanto assinaturas antigas ainda estão em trânsito.
Corrigindo registros DKIM ausentes ou inválidos
Se nenhum registro for encontrado, confirme a grafia exata do seletor e que o TXT (ou CNAME) está em selector._domainkey.seudominio.com — um erro muito comum é publicá-lo no apex ou duplicar o domínio no campo host.
Se o registro existe mas é inválido, olhe as tags analisadas: um v=DKIM1 ausente, um valor p= truncado (painéis DNS costumam dividir chaves longas em várias strings entre aspas) ou espaços extras quebram a verificação.
Uma tag p= vazia significa que a chave foi revogada de propósito. A flag t=y indica modo de teste: os receptores verificam a assinatura mas não a aplicam estritamente; remova a flag depois de confirmar o rollout.
Seletores, chaves e rotação DKIM
O DKIM permite que o servidor de envio assine cada mensagem com uma chave privada; os receptores buscam a chave pública no DNS usando o seletor indicado no cabeçalho DKIM-Signature (tag s=). Seletores permitem que um domínio publique várias chaves ao mesmo tempo.
O comprimento importa: chaves RSA de 1024 bits ainda são aceitas mas consideradas fracas, e a maioria dos provedores já emite chaves de 2048 bits. Alguns painéis DNS exigem dividir a string Base64 longa em dois trechos entre aspas.
Rotacione as chaves publicando a nova sob um seletor novo, migrando a assinatura para ela e só então removendo ou revogando o registro antigo. Verificar cada seletor individualmente confirma cada etapa.
Fluxo de autenticação de e-mail
- Confirme os registros MX e SPF com o DNS Checker.
- Valide cada seletor DKIM com que seus provedores assinam.
- Verifique o registro TXT _dmarc e sua política.
- Reconfirme após qualquer migração de provedor ou rotação de chaves.
Validador DKIM vs dig e cabeçalhos de e-mail
Você pode consultar o registro com dig TXT selector._domainkey.example.com, mas ainda precisa analisar as tags e decodificar o comprimento da chave manualmente. O validador faz isso automaticamente e explica cada achado.
Ler os cabeçalhos Authentication-Results de uma mensagem recebida mostra se aquela mensagem específica passou. O validador responde a pergunta anterior: o registro publicado existe e é válido?
Suítes completas de entregabilidade testam caixas seed e reputação. Esta ferramenta cobre a base DNS da qual todo o resto depende — rápida, gratuita e automatizável via API.
Por que usar o validador DKIM da DN01
- Consulta por seletor que analisa cada tag DKIM e informa tipo e comprimento da chave, não apenas o TXT bruto.
- Avisos claros para chaves revogadas (p= vazio), modo de teste (t=y) e chaves fracas de 1024 bits.
- Integra-se ao fluxo DN01 ao lado das verificações de DNS, SPF/TXT e listas negras, com interface em 8 idiomas.
FAQ
FAQ do validador DKIM
Seletores, registros TXT no DNS, comprimento de chave e o que significam as flags de teste ou revogação.
O que é um seletor DKIM?
O seletor é o rótulo indicado na tag s= do cabeçalho DKIM-Signature da mensagem. O receptor o combina com seu domínio para consultar o registro TXT selector._domainkey.seudominio.com — assim um domínio pode publicar várias chaves de assinatura ao mesmo tempo.
Como encontro meu seletor DKIM?
Abra uma mensagem enviada e veja o cabeçalho DKIM-Signature: a tag s= é o seletor. Valores comuns: google no Google Workspace, selector1/selector2 no Microsoft 365, k1 no Mailchimp e s1/s2 no SendGrid. Você pode confirmar que o TXT existe com o DNS Checker.
Por que meu registro DKIM é inválido?
Causas frequentes: tag v=DKIM1 ausente, valor p= truncado após dividir mal a chave longa no painel DNS, aspas ou espaços sobrando, ou o registro publicado no hostname errado. O validador analisa cada tag e aponta o problema exato.
O que significa t=y em um registro DKIM?
É a flag de teste: os receptores verificam a assinatura, mas tratam falhas como se a mensagem não estivesse assinada. É aceitável durante o rollout, mas remova a flag quando os relatórios DMARC mostrarem DKIM passando de forma consistente.
Chave DKIM de 1024 ou 2048 bits?
Use 2048 bits. Chaves RSA de 1024 bits ainda são verificadas, mas consideradas fracas, e os grandes provedores já emitem 2048 bits por padrão. Se o painel DNS rejeitar o valor longo, divida a string Base64 em dois trechos entre aspas.
Um domínio pode ter vários seletores DKIM?
Sim, e normalmente deve. Cada provedor de e-mail assina com o próprio seletor, e a rotação de chaves depende de publicar a chave nova sob um seletor novo antes de revogar a antiga. Valide cada seletor separadamente.
Troca de ferramenta
Continue com outra verificação
Escolha a próxima etapa no seu fluxo de domínio ou segurança.
- Verificador DNSTodos os tipos de registro em uma passagemAbrir
- DIGUm tipo de registro, resposta estilo resolverAbrir
- WHOISRegistrador, expiração e status do domínioAbrir
- Encontrar IP do domínioIPs A e AAAA de um domínioAbrir
- Verificador de Lista NegraReputação DNSBL para IP e domínioAbrir
- Verificador de Certificado SSLCadeia de certificados, SAN e versão TLSAbrir
- Testador HTTP/2Suporte HTTP/2, ALPN e TLSAbrir
- Verificador de Cabeçalhos HTTPCabeçalhos de resposta, redirecionamentos e cacheAbrir
- Conversor PunycodeUnicode ↔ Punycode para domínios IDNAbrir
- Calculadora IPCálculos de sub-rede para CIDR IPv4 e IPv6Abrir
- BIN CheckerBandeira, banco e país do cartão pelo BIN/IINAbrir
- Codec Base64Codificar e decodificar texto Base64Abrir
- Gerador de SenhasSenhas aleatórias fortes para trabalho operacionalAbrir
- Gerador de frases-senhaFrases aleatórias memoráveis para testes segurosAbrir
Artigos relacionados
Guias práticas para tarefas comuns com Validador DKIM — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.
DKIM selector, what is DKIM selector, selector._domainkey
DKIM Selector Explained: How selector._domainkey Works
What a DKIM selector is, where it appears in DNS, and why mail providers use different selectors for signing keys.
Ler artigo →find DKIM selector, DKIM selector lookup, Google Workspace DKIM selector
How to Find Your DKIM Selector
Practical places to find DKIM selectors in Google Workspace, Microsoft 365, Amazon SES, Mailchimp, SendGrid and email headers.
Ler artigo →DKIM p tag, DKIM public key, DKIM TXT p=
DKIM p= Tag: Public Key Checks That Matter
How to read the DKIM p= public key tag, why empty p= revokes a key, and what truncated DNS TXT records look like.
Ler artigo →DKIM 1024 vs 2048, DKIM key length, weak DKIM key
DKIM 1024 vs 2048 Bit Keys: What to Use
Why 2048-bit DKIM keys are preferred, when 1024-bit keys still appear, and how key length affects DNS TXT records.
Ler artigo →DKIM t=y, DKIM testing mode, DKIM flags
DKIM t=y Testing Mode: When to Remove It
What the DKIM t=y flag means, why it is useful during rollout, and why it should not stay forever.
Ler artigo →rotate DKIM keys, DKIM key rotation, multiple DKIM selectors
How to Rotate DKIM Keys Safely
A safe workflow for publishing a new selector, switching signing, waiting out TTL, and retiring the old DKIM key.
Ler artigo →Google Workspace DKIM, google DKIM selector, Gmail DKIM record
Google Workspace DKIM Check: Selector and TXT Record
How Google Workspace DKIM records are named, what the google selector means, and how to troubleshoot missing or invalid records.
Ler artigo →Microsoft 365 DKIM selector1 selector2, Office 365 DKIM, M365 DKIM CNAME
Microsoft 365 DKIM: selector1 and selector2 Explained
Why Microsoft 365 uses selector1 and selector2, how CNAME-based DKIM publishing works, and what to check when validation fails.
Ler artigo →