Defaults.Exposed › Configuração › DKIM

Como configurar o DKIM no AWS Route 53

Publique a chave DKIM do seu fornecedor de email na sua zona alojada do Route 53 para que os seus emails levem uma assinatura à prova de adulteração.

Por que isto importa para o seu negócio

O DKIM (DomainKeys Identified Mail, ou correio identificado por chaves de domínio) acrescenta uma assinatura digital invisível a cada email que envia. O fornecedor de email do destinatário usa uma chave pública que publicou no seu DNS para confirmar duas coisas: que a mensagem veio mesmo do seu domínio e que ninguém a alterou pelo caminho.

Em termos simples: o DKIM é um selo de autenticidade no seu email. Dificulta que alguém se faça passar por si e aumenta a probabilidade de o seu email genuíno chegar à caixa de entrada em vez do spam. Tal como os outros, é gratuito e configura-se uma única vez.

Importante: o DKIM tem duas metades

O DKIM é o único registo em que importa mesmo saber quem faz o quê:

• O seu fornecedor de email gera a chave. O Google Workspace, o Microsoft 365, o Amazon SES ou seja quem for que faz o seu envio gera a chave DKIM por si, dentro da consola de administração deles. Não pode inventar este valor — tem de obter o nome de anfitrião e o valor exatos junto deles. O Route 53 não gera chaves DKIM; é o seu anfitrião de DNS, não o seu fornecedor de caixas de correio.
• O Route 53 publica-a. Depois acrescenta essa chave ao DNS do seu domínio no Route 53 (assumindo que é o Route 53 que gere o seu DNS — veja abaixo).

Ou seja: gera-se na plataforma de email, publica-se no anfitrião de DNS.

Primeiro, confirme que é o Route 53 que gere o seu DNS

Um registo DKIM só funciona se for o Route 53 a responder ao DNS do seu domínio. Na consola do Route 53, abra Hosted zones, selecione o seu domínio e anote os quatro valores NS (servidores de nomes). Esses têm de corresponder aos servidores de nomes definidos no seu registador. Se registou o domínio através do Route 53, normalmente já correspondem; se está registado noutro sítio — ou se tem mais do que uma zona alojada para o domínio — verifique com cuidado. Se os servidores de nomes ativos apontarem para outro fornecedor, acrescente o registo DKIM lá; no Route 53 não terá efeito.

Obtenha a chave junto do seu fornecedor de email

Na área de administração do seu fornecedor de email, procure a definição de DKIM ou de autenticação de email e gere/ative uma chave. O que recebe depende do fornecedor, e isso muda a forma como o introduz no Route 53:

• O Google Workspace dá-lhe um registo TXT: um nome de seletor como google._domainkey e um valor longo começado por v=DKIM1; k=rsa; p= seguido de uma cadeia muito comprida.
• O Microsoft 365 dá-lhe dois registos CNAME, com seletores como selector1._domainkey e selector2._domainkey, cada um a apontar para um anfitrião da Microsoft.
• O Amazon SES dá-lhe três registos CNAME (a funcionalidade «Easy DKIM»). Se o seu domínio estiver no Route 53, o SES pode muitas vezes propor acrescentá-los por si automaticamente — mas também os pode acrescentar à mão.

Copie os nomes de anfitrião e os valores exatamente.

Passo a passo no Route 53

1. Inicie sessão na consola da AWS e abra o Route 53.
2. No menu à esquerda, escolha Hosted zones e clique no nome do seu domínio.
3. Clique em Create record.
4. Se aparecer um assistente com opções de encaminhamento, mude para o formulário simples (procure Quick create record).
5. Em Record name, introduza apenas a parte do seletor — por exemplo google._domainkey ou selector1._domainkey. Não acrescente o nome do seu domínio no fim; o Route 53 junta a zona por si automaticamente (mostra o seu domínio ao lado do campo).
6. Defina Record type como TXT ou CNAME para corresponder exatamente ao que o fornecedor lhe deu (Google = TXT; Microsoft 365 e Amazon SES = CNAME).
7. Em Value:
   • Para uma chave TXT, cole o valor longo envolvido em aspas retas: "v=DKIM1; k=rsa; p=...".
   • Para um CNAME, cole o anfitrião de destino que o fornecedor lhe deu, sem aspas (por exemplo selector1-seudominio._domainkey.seudominio.onmicrosoft.com).
8. Deixe o TTL no valor predefinido.
9. Clique em Create records. Repita para cada registo (o Microsoft 365 precisa de dois; o Amazon SES precisa de três).

Erros comuns no Route 53

• As chaves TXT precisam de aspas retas; os CNAME não. Isto baralha as pessoas constantemente. Um valor DKIM TXT entra como "v=DKIM1; ... p=..." com as aspas. Um valor CNAME é apenas o anfitrião de destino simples, sem aspas. Trocar isto quebra o registo.
• Não ponha o domínio completo em Record name. Se as instruções do seu fornecedor mostrarem selector1._domainkey.seudominio.com, introduza apenas selector1._domainkey no Route 53 — o resto é acrescentado por si. Repetir o domínio cria um anfitrião inválido como selector1._domainkey.seudominio.com.seudominio.com.
• Cole a chave inteira — é longa. As chaves públicas DKIM TXT têm centenas de carateres. Certifique-se de que nada ficou cortado e de que não entraram espaços ou quebras de linha indevidas durante o copiar e colar.
• Acrescente todos os registos que o fornecedor pediu. O Microsoft 365 não valida com apenas um dos seus dois CNAME; o Amazon SES precisa dos três. Um conjunto parcial deixa o DKIM a falhar em silêncio.
• TXT ou CNAME — siga o seu fornecedor. Não converta um CNAME num TXT nem vice-versa. Use o tipo que eles especificarem.
• Zona alojada certa, conta certa. Com várias zonas ou contas AWS é fácil editar a errada. Certifique-se de que os quatro valores NS da zona correspondem aos seus servidores de nomes ativos.
• Dê-lhe tempo. As alterações de DNS podem levar de minutos a algumas horas a propagar antes de o DKIM começar a validar.

Confirme que resultou

Depois de guardar e dar algum tempo de propagação, execute a verificação gratuita neste site. Vai confirmar-lhe, em linguagem simples, se o seu registo DKIM está publicado e legível.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.