Conta gratuita

Mantenha suas consultas sob controle

Crie uma conta em menos de 30 segundos para guardar 6 meses de histórico, partilhar consultas salvas e ativar alertas por email ou webhook sempre que houver um diff.

  • Histórico pesquisável por 6 meses
  • Alertas de diff por email e webhook
  • Monitorização de picos de latência
Criar conta

Inspetor de registos DKIM

Como tirar o máximo partido do inspetor DKIM

Reúna o seletor e o domínio From antes de iniciar a análise. A ferramenta converte-os em selector._domainkey.<domínio> e permite escolher o resolvedor ou endpoint DNS-over-HTTPS.

Prepare os campos

Indique o seletor exatamente como publicado — maiúsculas e minúsculas contam — e o domínio remetente sem o sufixo _domainkey. O inspetor compõe {selector}._domainkey.{domain} antes de emitir a consulta.

Rode seletor com confiança

Teste cada seletor durante uma rotação de chaves ou investigação de entregabilidade. Alterne entre os resolvedores disponíveis (públicos, personalizados ou DoH) para verificar que o TXT está propagado em todo o lado antes de atualizar o seu MTA.

Interprete diagnósticos DKIM

Erros sinalizam TXT ausente, sintaxe inválida ou incompatibilidade entre chave pública e política. Avisos destacam parâmetros mais fracos ou modo de teste. Use detalhes do resolvedor, latência e DoH para distinguir configuração de propagação.

Por que utilizar este inspetor DKIM?

Confirme antes do envio se a sua chave pública DKIM está publicada corretamente.
A ferramenta resolve selector._domainkey.<domínio>, segue qualquer CNAME, lê o TXT devolvido e destaca erros de sintaxe, chaves demasiado curtas ou revogadas e etiquetas inconsistentes. Assim poupa tempo e evita tentativas falhadas em produção.

DKIM em resumo

DKIM assina a mensagem com uma chave privada. O destinatário valida a assinatura com a chave pública publicada no DNS. Esta chave reside num registo TXT em selector._domainkey.<domínio>. Etiquetas importantes:

v=DKIM1 versão
k= tipo de chave rsa ou ed25519
p= chave pública em Base64
t= flags de teste y ou restrição s
n= nota opcional
g= granularidade histórica raramente usada
s= serviços opcional

Instruções

  1. Indique o domínio e o seletor a verificar.
  2. Clique em Inspecionar registo.
  3. Leia o resumo e depois os detalhes. Erros bloqueiam a verificação no lado do destinatário. Avisos sinalizam risco ou prática a melhorar.
  4. Corrija e execute outra verificação.

O que o inspetor verifica

Resolução DNS

  • Existência de selector._domainkey.<domínio> como TXT.
  • Cadeia CNAME seguida até ao TXT final.
  • TTL legível e tamanho total da resposta.

Sintaxe TXT

  • Presença de v=DKIM1.
  • k= consistente (rsa ou ed25519).
  • p= não vazio e válido em Base64. p= vazio = chave revogada.
  • Etiquetas desconhecidas ou duplicadas relatadas.
  • Strings fragmentadas aceites e remontadas quando a zona divide em segmentos de 255 caracteres.

Chave pública

  • Para RSA, comprimento mínimo 1024 rejeitado. Recomendado 2048. Aceitável 3072. 4096 possível mas atenção ao tamanho DNS.
  • Para ed25519, formato compacto esperado.
  • Deteção de caracteres proibidos, espaços perdidos e aspas incorretas.
  • Impressão digital calculada para facilitar inventário.

Auxílios de diagnóstico

  • Presença de um registo DMARC e lembrete do alinhamento esperado.
  • Notas sobre a idade da chave quando TTL e histórico o sugerem.
  • Conselhos de rotação quando são visíveis múltiplos seletores ativos.

Erros comuns

  • Seletor mal escrito: a chave não pode ser encontrada.
  • p= vazio: chave revogada por engano.
  • Chave RSA 1024: provável rejeição por plataformas principais.
  • Caracteres não Base64: copiar/colar inválido, aspas tipográficas.
  • Chave demasiado longa ou TXT mal segmentado excedendo 255 caracteres por fragmento.
  • CNAME para um nome que não publica TXT final.

Melhores práticas

  • Publicar pelo menos dois seletores e rodar regularmente.
  • Preferir RSA 2048 ou ed25519 consoante o seu ecossistema.
  • Manter o TXT limpo — v, k, p — e evitar etiquetas exóticas desnecessárias.
  • Testar leitura DNS após cada implantação, depois enviar mensagem de teste e ler o cabeçalho Authentication-Results.
  • Documentar seletor, data, tamanho da chave, serviço emissor e responsável.

Resolução rápida de problemas

  • A assinatura falha mas a chave está publicada? Verifique o seletor usado pelo remetente. O nome do seletor no cabeçalho DKIM-Signature deve corresponder ao TXT.
  • A assinatura passa mas DMARC falha? Revise o alinhamento entre From e domínio DKIM.
  • Alguns destinatários ignoram a chave? Confirme que existe apenas um TXT útil no nome final.