Ir para o conteúdo
D1
PT

Autenticação de e-mail

Verificador e validador de registros DKIM

Consulte o registro TXT selector._domainkey de qualquer domínio e valide as tags DKIM, o tipo e o comprimento da chave.

Este formulário chama o endpoint relativo: /site-api/tools/dkim

O que o validador DKIM verifica?

  1. Informe o seletor DKIM (por exemplo google, default ou k1) e o domínio. A ferramenta consulta o registro TXT {selector}._domainkey.{domínio} no DNS público.
  2. O registro é analisado tag por tag: versão v=DKIM1, tipo de chave k=, chave pública p=, algoritmos h=, tipos de serviço s= e flags t=, além do comprimento da chave decodificado.
  3. Veja o veredito e os avisos: registro ausente, tag p= vazia (chave revogada), chave fraca de 1024 bits ou flag t=y recebem explicações claras.

Tags DKIM para revisar

O validador cobre a metade DNS do DKIM: o registro de chave pública publicado. Ele confirma que o registro existe, analisa cada tag e sinaliza chaves fracas ou revogadas — não assina nem recebe e-mails por você.

TagPor que importaExemplo
v=DKIM1Tag de versão com que todo registro DKIM válido deve começarv=DKIM1
k / pTipo de chave e chave pública em Base64 usada para verificar assinaturask=rsa; p=MIIBIjANBg…
Comprimento da chaveTamanho do módulo RSA — chaves de 1024 bits são consideradas fracas hoje2048 bits
t=yFlag de teste: os receptores tratam as assinaturas como se o domínio não assinasset=y

Quando verificar um registro DKIM

Verifique logo após adicionar ou alterar o registro DNS de um provedor de e-mail. O Google Workspace costuma usar o seletor google, o Microsoft 365 usa selector1 e selector2, o Amazon SES emite três seletores CNAME aleatórios, o Mailchimp usa k1 (e k2/k3) e o SendGrid geralmente usa s1 e s2.

Cheque o DKIM quando as mensagens caem no spam ou os relatórios DMARC mostram dkim=fail. Um registro ausente ou malformado é uma das causas mais comuns.

Verifique ambos os seletores durante a rotação de chaves: os provedores publicam a chave nova em um segundo seletor antes de aposentar a antiga, e os dois precisam resolver enquanto assinaturas antigas ainda estão em trânsito.

Corrigindo registros DKIM ausentes ou inválidos

Se nenhum registro for encontrado, confirme a grafia exata do seletor e que o TXT (ou CNAME) está em selector._domainkey.seudominio.com — um erro muito comum é publicá-lo no apex ou duplicar o domínio no campo host.

Se o registro existe mas é inválido, olhe as tags analisadas: um v=DKIM1 ausente, um valor p= truncado (painéis DNS costumam dividir chaves longas em várias strings entre aspas) ou espaços extras quebram a verificação.

Uma tag p= vazia significa que a chave foi revogada de propósito. A flag t=y indica modo de teste: os receptores verificam a assinatura mas não a aplicam estritamente; remova a flag depois de confirmar o rollout.

Seletores, chaves e rotação DKIM

O DKIM permite que o servidor de envio assine cada mensagem com uma chave privada; os receptores buscam a chave pública no DNS usando o seletor indicado no cabeçalho DKIM-Signature (tag s=). Seletores permitem que um domínio publique várias chaves ao mesmo tempo.

O comprimento importa: chaves RSA de 1024 bits ainda são aceitas mas consideradas fracas, e a maioria dos provedores já emite chaves de 2048 bits. Alguns painéis DNS exigem dividir a string Base64 longa em dois trechos entre aspas.

Rotacione as chaves publicando a nova sob um seletor novo, migrando a assinatura para ela e só então removendo ou revogando o registro antigo. Verificar cada seletor individualmente confirma cada etapa.

Fluxo de autenticação de e-mail

  1. Confirme os registros MX e SPF com o DNS Checker.
  2. Valide cada seletor DKIM com que seus provedores assinam.
  3. Verifique o registro TXT _dmarc e sua política.
  4. Reconfirme após qualquer migração de provedor ou rotação de chaves.

Validador DKIM vs dig e cabeçalhos de e-mail

Você pode consultar o registro com dig TXT selector._domainkey.example.com, mas ainda precisa analisar as tags e decodificar o comprimento da chave manualmente. O validador faz isso automaticamente e explica cada achado.

Ler os cabeçalhos Authentication-Results de uma mensagem recebida mostra se aquela mensagem específica passou. O validador responde a pergunta anterior: o registro publicado existe e é válido?

Suítes completas de entregabilidade testam caixas seed e reputação. Esta ferramenta cobre a base DNS da qual todo o resto depende — rápida, gratuita e automatizável via API.

Por que usar o validador DKIM da DN01

  • Consulta por seletor que analisa cada tag DKIM e informa tipo e comprimento da chave, não apenas o TXT bruto.
  • Avisos claros para chaves revogadas (p= vazio), modo de teste (t=y) e chaves fracas de 1024 bits.
  • Integra-se ao fluxo DN01 ao lado das verificações de DNS, SPF/TXT e listas negras, com interface em 8 idiomas.

FAQ

FAQ do validador DKIM

Seletores, registros TXT no DNS, comprimento de chave e o que significam as flags de teste ou revogação.

O que é um seletor DKIM?

O seletor é o rótulo indicado na tag s= do cabeçalho DKIM-Signature da mensagem. O receptor o combina com seu domínio para consultar o registro TXT selector._domainkey.seudominio.com — assim um domínio pode publicar várias chaves de assinatura ao mesmo tempo.

Como encontro meu seletor DKIM?

Abra uma mensagem enviada e veja o cabeçalho DKIM-Signature: a tag s= é o seletor. Valores comuns: google no Google Workspace, selector1/selector2 no Microsoft 365, k1 no Mailchimp e s1/s2 no SendGrid. Você pode confirmar que o TXT existe com o DNS Checker.

Por que meu registro DKIM é inválido?

Causas frequentes: tag v=DKIM1 ausente, valor p= truncado após dividir mal a chave longa no painel DNS, aspas ou espaços sobrando, ou o registro publicado no hostname errado. O validador analisa cada tag e aponta o problema exato.

O que significa t=y em um registro DKIM?

É a flag de teste: os receptores verificam a assinatura, mas tratam falhas como se a mensagem não estivesse assinada. É aceitável durante o rollout, mas remova a flag quando os relatórios DMARC mostrarem DKIM passando de forma consistente.

Chave DKIM de 1024 ou 2048 bits?

Use 2048 bits. Chaves RSA de 1024 bits ainda são verificadas, mas consideradas fracas, e os grandes provedores já emitem 2048 bits por padrão. Se o painel DNS rejeitar o valor longo, divida a string Base64 em dois trechos entre aspas.

Um domínio pode ter vários seletores DKIM?

Sim, e normalmente deve. Cada provedor de e-mail assina com o próprio seletor, e a rotação de chaves depende de publicar a chave nova sob um seletor novo antes de revogar a antiga. Valide cada seletor separadamente.

Troca de ferramenta

Escolha a próxima etapa no seu fluxo de domínio ou segurança.

Catálogo completo de ferramentas

Guias

Guias práticas para tarefas comuns com Validador DKIM — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.

Voltar para Validador DKIM