Defaults.Exposed › Correções › DKIM

Como corrigir DKIM

O DKIM é o selo invisível à prova de adulteração em cada e-mail que a sua empresa envia. Permite ao fornecedor de correio recetor confirmar que o e-mail veio mesmo de si e chegou inalterado. Sem ele, o seu correio é mais fácil de falsificar, mais fácil de alterar e tem muito mais probabilidade de cair no spam.

O essencial para o seu negócio: Sem DKIM, os e-mails que envia podem ser adulterados em trânsito, são mais fáceis de imitar por criminosos e têm mais probabilidade de ser filtrados para o spam ou rejeitados de imediato — custando-lhe em silêncio negócios, pagamentos e confiança que nunca soube que perdeu.

Quanto isto lhe pode custar

• Uma fatura que enviou por e-mail é intercetada e os dados bancários são alterados antes de chegar ao seu cliente. O e-mail continua a parecer vir de si, o cliente paga ao criminoso e, quando tudo se desfaz, é você o culpado.
• Os seus orçamentos, contratos e faturas genuínos continuam a cair na pasta de spam dos clientes. Assume que o cliente se calou ou escolheu outro — mas ele simplesmente nunca viu o seu e-mail.
• A equipa de segurança ou de compras de um cliente maior faz uma verificação rápida ao seu domínio antes de assinar, não vê DKIM e ou adia o negócio semanas até corrigir ou escolhe em silêncio um concorrente que passou.
• Um criminoso envia e-mails falsos convincentes «da sua empresa» aos seus próprios clientes. Como nada prova quais os e-mails realmente seus, os falsos são tão credíveis como os verdadeiros — e o seu nome leva o dano.
• Os grandes fornecedores de correio e os bancos tratam cada vez mais o correio não assinado como suspeito. Com o tempo, mais do seu e-mail empresarial do dia a dia é abrandado, deitado fora ou devolvido, e o seu contacto deixa lentamente de funcionar.

Por que importa. O e-mail nunca foi construído para provar quem o enviou, e falsificar o remetente é trivialmente fácil. O DKIM acrescenta uma assinatura criptográfica que o fornecedor recetor verifica automaticamente — confirmando que a mensagem é genuinamente do seu domínio e não foi alterada pelo caminho. É uma das três coisas que todo o fornecedor de correio moderno procura, afeta diretamente se o seu e-mail é confiável ou deitado fora, e a correção é gratuita.

O que é isto, em palavras simples

Cada e-mail que a sua empresa envia passa por várias mãos antes de chegar à caixa de entrada. Por si só, um e-mail não traz prova de quem realmente o enviou nem de se alguém o alterou pelo caminho — a linha «de» é apenas texto que qualquer pessoa pode escrever.

O DKIM resolve isso. Coloca um selo invisível e à prova de adulteração em cada mensagem que a sua empresa envia. Quando o e-mail chega, o fornecedor de correio recetor verifica o selo contra uma chave que publica no seu domínio. Se bater certo, o fornecedor sabe duas coisas com certeza: o e-mail veio mesmo do seu domínio e nem um único carácter foi alterado em trânsito. Se não bater certo — porque a mensagem foi falsificada ou alterada — o selo falha, e o fornecedor trata o correio com desconfiança.

Não gere nada disto à mão. Depois de ligado, a assinatura e a verificação acontecem automaticamente em cada e-mail, para sempre. Todo o objetivo do DKIM é tornar o seu correio real comprovadamente real — para que seja confiável, e para que os falsos se destaquem.

Quanto isto lhe pode custar

Isto não é abstrato. Eis como é, na prática, um selo DKIM em falta ou fraco para uma pequena ou média empresa.

• A fatura alterada. Envia uma fatura por e-mail a um cliente. Algures entre o seu servidor e o dele, um atacante interceta-a e troca os seus dados bancários pelos próprios. O e-mail continua a parecer vir de si, o cliente paga — para a conta do criminoso. Sem DKIM, não há nada que sinalize que a mensagem foi adulterada. Com ele, essa alteração silenciosa quebra o selo e é apanhada.
• Os negócios que morreram no spam. Os seus orçamentos, propostas e seguimentos continuam a escorregar para as pastas de lixo dos clientes. Nunca recebe resposta e assume que não estavam interessados. Na realidade, o correio não assinado é um forte sinal de spam — o seu e-mail empresarial genuíno simplesmente não foi visto.
• O contrato perdido. A equipa de compras ou de segurança de um cliente maior avalia o seu domínio antes de assinar. Não vê DKIM e trata-o como sinal vermelho — ou atrasa o negócio semanas enquanto corrige, ou escolhe em silêncio um fornecedor cuja segurança de e-mail passou.
• O seu nome usado contra os seus próprios clientes. Um burlão dispara e-mails convincentes «da sua empresa» para a sua base de clientes. Como nada prova quais as mensagens realmente suas, os falsos parecem tão legítimos como os verdadeiros — e é a sua reputação que leva o golpe quando as pessoas são enganadas.
• Estrangulamento lento do seu e-mail. Bancos, grandes fornecedores de correio e filtros empresariais desconfiam cada vez mais do correio não assinado. O efeito instala-se com o tempo: mais abrandamento, mais lixo, mais devoluções — até o seu contacto do dia a dia deixar de chegar em silêncio.

O que é na realidade

DKIM significa DomainKeys Identified Mail (correio identificado por chaves de domínio). Eis como o selo funciona, sem o jargão:

• Publica uma chave pública no seu domínio (nas definições de DNS). Qualquer pessoa a pode ler — esse é o objetivo.
• O seu fornecedor de correio guarda a chave privada correspondente e usa-a para assinar cada e-mail que envia, acrescentando um cabeçalho oculto.
• Quando o e-mail chega, o fornecedor do destinatário obtém a sua chave pública, verifica a assinatura contra a mensagem e confirma que é genuína e inalterada.

Alguns termos que pode ouvir do seu técnico de TI:

• Seletor — uma etiqueta que aponta para uma chave específica, ex.: selector1._domainkey.seudominio. Permite ter e rodar várias chaves de forma limpa. O seu fornecedor configura isto.
• Força da chave — as chaves DKIM vêm em tamanhos. A base moderna é RSA de 2048 bits; chaves RSA de 4096 bits ou Ed25519 são ainda mais fortes. Chaves mais antigas de 1024 bits ainda funcionam, mas são consideradas fracas pelos padrões atuais (NIST SP 800-131A / RFC 8301).

Como é o «bom»: está publicada uma chave DKIM válida num seletor do seu domínio, o seu correio de saída está a ser assinado com ela e a chave tem 2048 bits ou mais forte. É a passagem completa.

Uma nota sobre a pontuação. Esta verificação procura uma chave DKIM genuína e bem formada publicada nos seletores que os fornecedores de correio costumam usar. Uma chave válida publicada é o sinal positivo — um analisador externo não pode reproduzir as suas assinaturas em direto, por isso o que se mede é a presença de uma chave correta. Nenhuma chave encontrada falha a verificação (é uma brecha de severidade alta). Uma chave válida mas fraca (RSA de 1024 bits) merece cerca de metade da pontuação — funciona, mas deve ser atualizada. Uma chave forte (RSA de 2048 bits ou melhor, ou Ed25519) merece pontuação máxima. É uma das verificações de segurança de e-mail que contam para a sua nota, valendo uma fatia significativa dela.

Como corrigir (gratuito, ~15 minutos)

Esta parte é para quem gere o seu e-mail ou domínio — se não for você, entregue-lhe esta secção. A correção é gratuita. Só cobramos para monitorizar que as suas proteções se mantêm saudáveis ao longo do tempo, não para as configurar.

A forma geral é a mesma em todo o lado: ligar o DKIM no seu fornecedor de e-mail, pegar na chave que ele gera, publicá-la no seu DNS e depois confirmar que está ativa. Os passos exatos dependem de quem gere o seu e-mail — eis os mais comuns.

Google Workspace (Gmail)

1. Consola de Administração → Apps → Google Workspace → Gmail → Autenticar e-mail.
2. Selecione o seu domínio e clique em Gerar novo registo (escolha o comprimento de chave de 2048 bits).
3. O Google dá-lhe um registo de DNS. Adicione-o no seu fornecedor de DNS como registo TXT, host google._domainkey.seudominio, com o valor que o Google forneceu.
4. Aguarde a propagação (minutos a poucas horas), depois volte ao mesmo ecrã e clique em Iniciar autenticação.

Microsoft 365 (Outlook / Exchange Online)

1. Vá ao portal Microsoft Defender → E-mail e colaboração → Políticas e regras → Políticas de ameaças → Definições de autenticação de e-mail → DKIM.
2. Selecione o seu domínio. A Microsoft mostra-lhe dois registos CNAME para publicar (selector1 e selector2).
3. Adicione ambos os registos CNAME no seu fornecedor de DNS exatamente como mostrados.
4. De volta ao ecrã do DKIM, ative a assinatura DKIM para Ativado no domínio.

Zoho Mail

1. Painel de Controlo → Autenticação de E-mail → DKIM.
2. Gere uma chave (use um seletor como zoho), depois adicione o registo TXT fornecido em zoho._domainkey.seudominio no seu DNS.
3. Verifique no painel do Zoho assim que o registo estiver ativo.

Outros fornecedores / o seu próprio servidor de correio O padrão é idêntico: o fornecedor (ou o seu software de correio) gera um par de chaves, assina o seu correio de saída com a chave privada e dá-lhe um registo público para publicar. Costuma ter este aspeto:

Host:  selector1._domainkey.seudominio
Tipo:  TXT (ou CNAME, dependendo do fornecedor)
Valor: (a longa string de chave que o seu fornecedor lhe dá)

Onde se adicionam os registos de DNS: nas definições de DNS do seu domínio — normalmente no seu registrar de domínios ou fornecedor de DNS (ex.: Cloudflare, GoDaddy, o painel de controlo do seu alojamento). Se o seu fornecedor de e-mail fornecer um CNAME, ele aponta para um registo que eles alojam, por isso nunca vê a chave em bruto — é normal e está tudo bem.

Confirme que funciona: envie a si próprio um e-mail de teste para uma conta Gmail, abra-o, escolha Mostrar original e verifique que aparece DKIM: PASS. Depois volte a verificar o seu domínio aqui para confirmar que a chave veio como 2048 bits ou mais forte, e não uma fraca de 1024 bits.

Erros comuns

• Assumir que um grande fornecedor o tem ligado por omissão. Imensos domínios no Google ou na Microsoft ainda precisam que o DKIM seja ligado e um registo publicado. «Usamos o Microsoft 365» não é o mesmo que «o DKIM está ativado».
• Gerar uma chave fraca de 1024 bits. Alguns fornecedores ainda têm por omissão ou oferecem 1024 bits. Escolha 2048 bits quando lhe for dada a opção — uma chave fraca só merece metade da pontuação e é sinalizada por recetores mais rigorosos.
• Publicar o registo mas nunca ativar a assinatura. Adicionar o registo de DNS é só metade do trabalho. Se não ligar a assinatura no fornecedor (o interruptor final), o seu correio continua a sair não assinado.
• Escrever mal ou cortar a chave. As chaves DKIM são longas. Uma cópia que deixa cair um carácter ou divide o valor mal produz um selo avariado que falha em cada e-mail. Cole o valor exatamente como dado.
• Esquecer os seus outros remetentes. Se envia correio através de uma ferramenta de newsletter, CRM, aplicação de faturação ou plataforma de comércio eletrónico, cada uma pode precisar da sua própria chave e seletor DKIM. Assine o correio de todos os serviços que enviam em seu nome, não só a sua caixa de correio.

Uma nota sobre DKIM, SPF e DMARC

O DKIM raramente funciona sozinho. É uma de três definições que, em conjunto, tornam o seu e-mail confiável:

• O SPF diz que servidores podem enviar correio pelo seu domínio.
• O DKIM (esta página) é o selo à prova de adulteração que prova que uma mensagem é genuinamente sua e inalterada.
• O DMARC é a instrução que diz aos fornecedores o que fazer com tudo o que falha — e apoia-se no DKIM e no SPF para tomar essa decisão.

Se está a corrigir o DKIM, vale a pena verificar o SPF e o DMARC ao mesmo tempo. Em conjunto, são o que impede a sua empresa de ser imitada e o que mantém o seu e-mail real a chegar onde deve.

Configure no seu fornecedor

Passo a passo para os fornecedores mais populares:

• Configurar DKIM em GoDaddy
• Configurar DKIM em Namecheap
• Configurar DKIM em Cloudflare
• Configurar DKIM em Google Workspace
• Configurar DKIM em Microsoft 365
• Configurar DKIM em Squarespace
• Configurar DKIM em Wix
• Configurar DKIM em AWS Route 53
• Configurar DKIM em Hostinger
• Configurar DKIM em Porkbun
• Configurar DKIM em IONOS
• Configurar DKIM em Bluehost

Perguntas frequentes