Ir para o conteudo principal

Novo

Teste a entregabilidade dos seus e-mails

Envie um e-mail de teste e obtenha um diagnóstico completo da sua autenticação SPF, DKIM e DMARC em segundos.

  • Teste de envio real
  • Diagnóstico instantâneo
  • Sem registo
Iniciar o teste

Gerador DKIM Gratuito

Crie um par de chaves DKIM (RSA ou Ed25519) em poucos cliques

Gerador DKIM gratuito com suporte RSA (2048/4096 bits) e Ed25519. Obtenha instantaneamente sua chave privada e o registro DNS TXT a ser publicado. A chave privada é gerada uma única vez e nunca é armazenada em nossos servidores.

O domínio para o qual gerar a chave DKIM

Identificador único para esta chave (ex: default, google, s1)

RSA e Ed25519

Suporte aos algoritmos RSA (1024/2048/4096 bits) e Ed25519. RSA 2048 bits é recomendado para máxima compatibilidade com todos os servidores de email.

Chave privada segura

A chave privada é gerada no servidor e transmitida uma única vez. Nunca é armazenada nem registrada em logs. Baixe-a imediatamente no formato PEM.

Validação DNS

Verificação automática do tamanho do registro. Alerta se o registro exceder 255 caracteres (limite DNS TXT) com RSA 4096 bits.

Cópia em um clique

Copie o registro DNS TXT diretamente ou baixe a chave privada em formato PEM. Pronto para configurar seu servidor de email.

Guias por provedor

Instruções de implantação para Google Workspace, Microsoft 365 e servidores de email personalizados (Postfix com OpenDKIM).

O que é DKIM?

DKIM (DomainKeys Identified Mail) é um mecanismo de autenticação de email definido na RFC 6376. Ele permite assinar criptograficamente os emails enviados para comprovar sua origem e integridade.

Por que configurar DKIM:

  • Autenticar seus emails — Comprove que o email realmente vem do seu domínio
  • Proteger contra falsificação — A assinatura detecta qualquer modificação do conteúdo
  • Melhorar a entregabilidade — Emails assinados com DKIM são melhor aceitos pelo Gmail, Outlook, Yahoo
  • Pré-requisito para DMARC — DKIM é um dos dois pilares da autenticação DMARC (junto com SPF)

Como funciona o DKIM?

DKIM utiliza criptografia assimétrica (chave pública/privada):

  1. Assinatura no envio: Seu servidor de email calcula um hash da mensagem e o assina com a chave privada
  2. Publicação DNS: A chave pública é publicada em um registro TXT em selector._domainkey.dominio.com
  3. Verificação na recepção: O servidor destinatário recupera a chave pública via DNS e verifica a assinatura
Envio:  Mensagem → Hash → Assinatura (chave privada) → Header DKIM-Signature
Recepção: Header → Chave pública (DNS) → Verificação da assinatura → Pass/Fail

Sintaxe de um registro DKIM

Um registro DKIM é um registro DNS TXT publicado em <selector>._domainkey.<domínio>:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Tags DKIM

TagDescriçãoObrigatórioValores
vVersãoRecomendadoDKIM1
kTipo de chaveNão (padrão: rsa)rsa, ed25519
pChave públicaSimBase64 DER
hAlgoritmos de hashNãosha256, sha1
tFlagsNãoy (teste), s (estrito)
sTipos de serviçoNãoemail, *
nNotasNãoTexto livre

Exemplos de registros

RSA 2048 bits (recomendado):

default._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ed25519:

default._domainkey.captaindns.com TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2Vw..."

RSA vs Ed25519: qual algoritmo escolher?

CritérioRSA 2048RSA 4096Ed25519
SegurançaBoaExcelenteExcelente
SuporteUniversalUniversalParcial (~80%)
Tamanho do registro~400 chars~800 chars~90 chars
DesempenhoBomLentoMuito rápido
RecomendaçãoProduçãoSensívelAvançado

Recomendações

  • RSA 2048 bits: Padrão atual, máxima compatibilidade. Escolha esta opção por padrão.
  • RSA 4096 bits: Para ambientes muito sensíveis. Atenção às limitações DNS.
  • Ed25519: Para configurações avançadas. Considere um seletor duplo (RSA + Ed25519).
  • RSA 1024 bits: Depreciado desde 2020. Evite.

Tamanho das chaves e limites DNS

O limite de 255 caracteres

Os registros DNS TXT são limitados a 255 caracteres por string. Veja o impacto por algoritmo:

AlgoritmoTamanho do registroCompatível DNS
Ed25519~90 chars✅ Sempre
RSA 1024~230 chars✅ Sempre
RSA 2048~400 chars⚠️ Divisão automática
RSA 4096~800 chars⚠️ Verificar provedor

Como os provedores gerenciam registros longos

A maioria dos provedores DNS (Cloudflare, AWS Route 53, Google Cloud DNS) divide automaticamente registros longos em várias strings. O protocolo DNS concatena na leitura.

Se seu provedor não suportar registros longos, prefira RSA 2048 bits ou Ed25519.

Casos de uso concretos

Novo domínio: primeira configuração DKIM

Contexto: Você está configurando um novo servidor de email (Postfix, etc.)

Solução:

  1. Gere uma chave RSA 2048 bits com o seletor default
  2. Baixe a chave privada e configure o OpenDKIM
  3. Publique o registro TXT na sua zona DNS
  4. Verifique com o DKIM Checker

Rotação de chave DKIM

Contexto: Sua chave DKIM tem mais de 12 meses ou foi comprometida

Solução:

  1. Gere uma nova chave com um novo seletor (ex: s2, 202602)
  2. Configure a nova chave em seu servidor de email
  3. Publique o novo registro DNS
  4. Aguarde 24-48h de propagação DNS
  5. Remova o registro antigo

Seletor duplo: RSA + Ed25519

Contexto: Você quer aproveitar o Ed25519 mantendo a compatibilidade RSA

Solução:

  1. Gere uma chave RSA 2048 com o seletor rsa
  2. Gere uma chave Ed25519 com o seletor ed
  3. Configure seu servidor para assinar com ambas as chaves
  4. Servidores modernos verificarão Ed25519, os antigos usarão RSA

Flags DKIM: modo teste e estrito

Flag t=y (modo teste)

Ativa o modo teste DKIM. Falhas de verificação são tratadas como neutras (nem pass nem fail).

Uso: Teste sua configuração sem arriscar rejeições. Remova a flag após validação.

Flag t=s (modo estrito)

Exige alinhamento estrito entre o domínio de assinatura DKIM e o domínio From. Por padrão, o alinhamento relaxado autoriza subdomínios.

Uso: Reforce a segurança em produção. Certifique-se de que todos os seus emails são assinados a partir do domínio exato.

❓ FAQ - Perguntas frequentes

P: Como gerar uma chave DKIM para meu domínio?

R: Use nosso gerador: digite seu domínio e um seletor, escolha RSA 2048 bits, clique em Gerar. Baixe a chave privada e publique o registro TXT no seu DNS.

P: Qual a diferença entre RSA e Ed25519?

R: RSA é suportado por todos os servidores. Ed25519 é mais moderno com chaves mais curtas, mas o suporte não é universal (~80%). Recomendação: RSA 2048 bits para produção.

P: Qual tamanho de chave RSA escolher?

R: RSA 2048 bits é o padrão. RSA 1024 está depreciado. RSA 4096 oferece mais segurança, mas gera registros muito longos.

P: O que é um seletor DKIM?

R: Um identificador que permite ter várias chaves DKIM. Exemplos: default, google, s1. O registro é publicado em selector._domainkey.dominio.com.

P: A chave privada é armazenada?

R: Não. Gerada uma única vez, transmitida e excluída. Baixe-a imediatamente.

P: Por que meu registro excede 255 caracteres?

R: RSA 4096 gera registros de mais de 800 caracteres. A maioria dos provedores divide automaticamente. Caso contrário, prefira RSA 2048 ou Ed25519.

P: Como configurar DKIM com Google Workspace?

R: O Google gera suas próprias chaves. Admin Console > Gmail > Authenticate email > Generate new record. Nossa ferramenta é para servidores personalizados.

Ferramentas complementares

FerramentaUtilidade
DKIM Record CheckVerifique se seu DKIM está publicado e válido
DKIM Syntax CheckValide a sintaxe de um registro DKIM
SPF GeneratorCrie seu registro SPF
DMARC GeneratorConfigure o DMARC para completar a autenticação
Mail TesterTeste a entregabilidade dos seus emails

Recursos úteis