Ir para o conteudo principal

Novo

Teste a entregabilidade dos seus e-mails

Envie um e-mail de teste e obtenha um diagnóstico completo da sua autenticação SPF, DKIM e DMARC em segundos.

  • Teste de envio real
  • Diagnóstico instantâneo
  • Sem registo
Iniciar o teste

DKIM Checker

DKIM check e lookup com consulta DNS em tempo real - corrija as suas falhas DKIM

Porque é que o seu DKIM está a falhar? Introduza domínio e seletor para um DKIM check completo com lookup DNS, validação da chave e deteção de erros.

Lookup DNS em tempo real

Consulta o DNS exatamente como os servidores de receção o fazem. Sem simulação, sem cache local - o estado real do seu registo.

Rotação de chaves segura

Verifique se o novo seletor está ativo e funcional antes de desativar o antigo. Evite interrupções de serviço.

Diagnóstico detalhado

Identifique com precisão por que os seus emails falham: chave truncada, seletor incorreto, registo em falta ou conflito DNS.

Compatibilidade DMARC

Verifique se a sua assinatura DKIM é compatível com o alinhamento DMARC necessário para proteger o seu domínio contra spoofing.

Ações recomendadas

Cada problema detetado inclui instruções precisas para o corrigir. Siga o guia passo a passo.

Verifique a sua configuração DKIM em segundos

DKIM (DomainKeys Identified Mail) é um dos pilares da autenticação de email. Corretamente configurado, permite aos servidores de receção verificar que os seus emails provêm realmente de um sistema autorizado e não foram alterados em trânsito.

Mal configurado, DKIM torna-se um assassino silencioso da entregabilidade.

O inspetor DKIM da CaptainDNS verifica o seu registo DNS exatamente como os servidores de receção o veem. Sem suposições. Sem atalhos. O estado DNS real do seu domínio.

Como funciona o DKIM?

DKIM responde a uma pergunta simples para o servidor de receção:

«Posso confiar criptograficamente nesta mensagem?»

O processo em 3 passos:

  1. Assinatura: O seu servidor de envio assina cada email com uma chave privada
  2. Publicação: O seu domínio publica a chave pública correspondente num registo DNS TXT
  3. Verificação: O servidor de receção obtém a chave pública e verifica a assinatura

Se o registo DNS estiver em falta, malformado, truncado ou publicado sob o seletor errado, a verificação falha - mesmo que o seu ESP indique que está tudo correto.

Como usar o inspetor em 3 passos

Passo 1: Identificar domínio e seletor

  • Domínio: O seu domínio de envio (ex: captaindns.com)
  • Seletor: O identificador da chave DKIM (ex: google, selector1, s1)

Como encontrar o seletor?

  • Nos cabeçalhos de um email enviado, procure DKIM-Signature: s=seletor
  • Na documentação do seu ESP (Google Workspace, Microsoft 365, etc.)

Passo 2: Executar a inspeção

Introduza o domínio e o seletor acima. A ferramenta executa uma consulta DNS a:

seletor._domainkey.captaindns.com

Passo 3: Analisar os resultados

O inspetor apresenta:

  • O registo em bruto tal como publicado no DNS
  • As tags descodificadas (versão, tipo de chave, chave pública)
  • Os erros detetados com explicações e recomendações
  • Compatibilidade DMARC (alinhamento do domínio)

O que o inspetor DKIM verifica

A ferramenta vai além de uma simples consulta DNS. Verifica se a sua configuração DKIM é operacional, não apenas presente.

VerificaçãoDescrição
ExistênciaO registo TXT existe para o seletor especificado
Formato TXTO registo é um TXT válido (não um CNAME órfão)
SintaxeAs tags obrigatórias (v, k, p) estão presentes e corretas
Chave públicaA chave está completa, legível e corretamente codificada em base64
Comprimento da chaveMínimo recomendado: RSA 2048 bits
PropagaçãoO registo é visível a partir dos servidores DNS públicos

Quando DKIM parece correto mas falha mesmo assim

É um dos casos mais frequentes em produção.

Problema 1: Seletor errado

Sintoma: O inspetor não encontra o registo

Diagnóstico: Está a consultar google._domainkey.captaindns.com mas o registo está em selector1._domainkey.captaindns.com

Solução: Verifique o seletor exato nos cabeçalhos dos seus emails (DKIM-Signature: s=...)

Problema 2: Chave truncada

Sintoma: Erro public_key_parse_error ou assinatura inválida

Diagnóstico: A chave pública foi cortada durante o copiar-colar na interface DNS

Solução: Republique a chave completa. Uma chave RSA de 2048 bits tem aproximadamente 400 caracteres.

Problema 3: Múltiplos registos em conflito

Sintoma: Erro lookup_multiple_dkim

Diagnóstico: Existem vários registos TXT para o mesmo seletor

Solução: Elimine os registos obsoletos, mantenha apenas o correto.

Problema 4: CNAME vs TXT

Sintoma: Erro lookup_cname_alias

Diagnóstico: O registo é um CNAME que aponta para o seu ESP, mas o destino não existe ou não resolve

Solução: Verifique se o destino do CNAME está correto e ativo no seu fornecedor.

Problema 5: Propagação DNS incompleta

Sintoma: O inspetor vê o registo, mas alguns destinatários não

Diagnóstico: O TTL ainda não expirou em todos os servidores DNS

Solução: Aguarde a propagação completa (até 48h dependendo do TTL anterior).

DKIM sozinho não é suficiente

DKIM é essencial, mas não funciona isolado.

ProtocoloFunçãoRelação com DKIM
SPFDefine quem pode enviarIndependente mas complementar
DKIMProtege a integridade da mensagem-
DMARCDefine o que fazer se a autenticação falharRequer SPF ou DKIM alinhado

Um registo DKIM válido não alinhado com DMARC pode mesmo assim resultar em emails em quarentena ou rejeitados. O alinhamento DMARC verifica se o domínio da assinatura DKIM (d=) corresponde ao domínio From: do email.

Diferença entre verificação de sintaxe e inspeção DNS

AspetoVerificador de sintaxeInspetor (esta ferramenta)
EntradaValor DKIM copiadoDomínio + seletor
MétodoAnálise localConsulta DNS real
QuandoAntes da publicaçãoDepois da publicação
DetetaErros de formatoPropagação, resolução, conflitos

Fluxo de trabalho recomendado:

  1. Sintaxe: Use o verificador de sintaxe DKIM antes da publicação
  2. Publicação: Adicione o registo TXT à sua zona DNS
  3. Inspeção: Use este inspetor para confirmar a propagação

FAQ - Perguntas frequentes

P: O que é um seletor DKIM?

R: O seletor é um identificador que permite a um domínio publicar múltiplas chaves DKIM simultaneamente. Faz parte do nome DNS: seletor._domainkey.captaindns.com. Cada ESP ou sistema de envio pode usar o seu próprio seletor, permitindo rotações de chaves e configurações multi-fornecedor.

P: O meu ESP diz que DKIM é válido, mas o inspetor encontra um erro. Porquê?

R: Os ESP validam a sua configuração interna, não necessariamente o que está publicamente visível no DNS. O inspetor verifica o que os servidores de receção realmente veem - é a única coisa que importa para a entregabilidade.

P: É seguro testar os meus registos?

R: Sim. A ferramenta realiza apenas consultas DNS de leitura. Não são enviados emails. Não são feitas modificações à sua configuração.

P: DKIM é válido, mas os meus emails vão para spam. Porquê?

R: A validade DKIM é necessária mas não suficiente. A chegada à caixa de entrada depende também de: SPF, alinhamento DMARC, reputação de IP/domínio, comportamento de envio e conteúdo da mensagem.

P: Com que frequência devo verificar a minha configuração DKIM?

R: Verifique após cada alteração DNS, migração de ESP ou rotação de chaves. Verificações periódicas em produção são recomendadas, especialmente com múltiplos fornecedores de envio.

P: Como sei se DKIM está alinhado com DMARC?

R: O alinhamento DKIM verifica se o domínio d= da assinatura DKIM corresponde ao domínio From: do email. O inspetor indica se a sua configuração é compatível com o alinhamento DMARC.

Ferramentas complementares

FerramentaUtilidade
Verificador de sintaxe DKIMValidar um valor DKIM antes da publicação DNS
Inspetor SPFVerificar o seu registo SPF
Inspetor DMARCTestar a sua política DMARC
Analisador de cabeçalhos emailDiagnosticar falhas de autenticação em emails recebidos
Propagação DNSVerificar a propagação mundial dos seus registos

Recursos úteis