Ir para o conteúdo principal
CaptainDNS
NOVO·Monitoramento de segurança e entregabilidade de e-mail. Receba um alerta assim que uma mudança de nota ou de registro DNS colocar seu domínio em risco.Saiba mais

DKIM Selector Finder

Descubra os seletores DKIM ativos de um domínio, sem precisar conhecê-los

Você não conhece seus seletores DKIM? Basta inserir seu domínio. Esta ferramenta sonda o DNS em busca dos nomes de seletor DKIM conhecidos, sem precisar informar nenhum. A descoberta nunca é exaustiva: nenhum seletor encontrado não prova a ausência de DKIM.

Descoberta automática

Sonda um amplo catálogo de nomes de seletor DKIM conhecidos diretamente no DNS. Detecta os seletores do Google, Microsoft, SendGrid, Mailchimp e de dezenas de outros provedores, sem enviar nada por email.

Heurísticas MX

A ferramenta detecta os provedores de email via os registros MX e testa em prioridade seus seletores. Resultados mais rápidos e mais relevantes do que uma varredura às cegas.

Análise completa

Cada seletor encontrado é analisado em profundidade: tipo de chave (RSA/Ed25519), comprimento, validade, alertas de segurança e compatibilidade DMARC.

Identificação dos provedores

Identifica automaticamente qual provedor de email está associado a cada seletor DKIM encontrado: Google Workspace, Microsoft 365, SendGrid, etc.

Recomendações acionáveis

Receba recomendações precisas: chaves RSA a serem atualizadas para 2048 bits, seletores inválidos a corrigir, provedores MX sem assinatura DKIM.

O problema: verificar DKIM sem conhecer o seletor

As ferramentas DKIM tradicionais pedem um domínio e um seletor. Mas a maioria dos usuários não conhece seu seletor DKIM. Resultado: não conseguem verificar sua configuração.

O DKIM Selector Finder resolve esse problema. Insira um domínio, e a ferramenta sonda o DNS para fazer aparecer os seletores DKIM ativos entre os nomes conhecidos, sem que você precise digitar nenhum.

Como funciona a descoberta?

1. Detecção dos provedores via os MX

A ferramenta consulta os registros MX do seu domínio para identificar seus provedores de email, depois testa em prioridade seus seletores conhecidos:

  • *.google.com → Google Workspace → seletor google
  • *.outlook.com → Microsoft 365 → seletores selector1, selector2
  • *.mcsv.net → Mailchimp → seletores k1, k2, k3

2. Sondagem do catálogo de nomes conhecidos

A ferramenta testa em paralelo os nomes de seletor conhecidos consultando:

seletor._domainkey.seu-dominio

Para cada nome, uma consulta DNS TXT é enviada. Se um registro DKIM responder, ele é analisado. A varredura sonda sempre o catálogo completo de nomes conhecidos (genéricos e específicos de provedor, perto de uma centena no total): a detecção dos provedores via os MX apenas reordena a prioridade interna, não muda o número de nomes sondados. A varredura não garante encontrar um seletor personalizado, pois a descoberta nunca é exaustiva (veja mais abaixo).

3. Análise de cada seletor encontrado

Cada seletor encontrado é analisado com o mesmo motor do nosso DKIM Checker:

  • Tipo de chave: RSA ou Ed25519
  • Comprimento da chave em bits, decodificado a partir da chave pública
  • Validade do registro
  • Alertas de segurança (chave fraca, chave revogada, modo de teste, formato inválido)
  • Detecção CNAME (delegação ao provedor)

Por que «nenhum seletor encontrado» não prova nada

Esse é o ponto mais importante a entender. O DNS não autoriza a enumeração dos seletores de uma zona: não existe wildcard em *._domainkey, nem registro central dos seletores (RFC 6376). O valor de um seletor é escolhido livremente pelo operador do domínio signatário, portanto imprevisível.

Na prática, esta ferramenta só pode testar uma lista de nomes conhecidos. Um resultado vazio significa apenas que nenhum desses nomes responde, nunca que o domínio não tem DKIM. Um seletor personalizado (campanha-2024-q3), um token aleatório (Amazon SES) ou um identificador gerado dinamicamente (hash, UUID) escapam por construção ao catálogo.

Quando o catálogo não encontra nada, o método confiável consiste em ler o seletor diretamente em um email recebido (veja a seção dedicada mais abaixo). É a única forma de obter o seletor real sem adivinhá-lo.

Quando usar esta ferramenta?

SituaçãoEsta ferramenta é ideal para você
Você não conhece seu seletor DKIMDescoberta automática
Auditoria de segurança de um domínio de terceirosVisão completa da configuração DKIM
Migração de provedor de emailVerificar quais seletores ainda estão ativos
Implantação de DMARC em modo rejectGarantir que todos os fluxos de email assinam com DKIM
Debugging de entregabilidadeIdentificar seletores inválidos ou chaves fracas

Seletores DKIM dos principais provedores

Esses valores são comuns ou observados, não garantias: um provedor pode mudar de convenção, permitir um seletor personalizado, ou publicar sua chave via um token CNAME aleatório. Nenhuma entrada abaixo é «o» seletor oficial garantido de um provedor.

ProvedorSeletores comunsObservação
Google WorkspacegooglePadrão documentado; prefixo personalizável
Microsoft 365selector1, selector2Par de rotação; publicados em CNAME
SendGrids1, s2Padrão Automated Security (CNAME)
Mailchimpk1, k2, k3-
Mandrill (Mailchimp Transactional)mte1, mte2mandrill em legado
Amazon SEStokens aleatórios (CNAME)O Easy DKIM publica 3 tokens para *.dkim.amazonses.com, sem seletor fixo
Postmarksufixo pmSeletor datado, ex. 20260128pm
Brevo (ex-Sendinblue)brevo1, brevo2mail em legado (antiga era Sendinblue)
Mailgunpdk1, pdk2, smtppdk1/pdk2 = padrão moderno (CNAME)
HubSpoths1, hs2-
Klaviyokm1, km2Variantes por domínio
Zoho Mailzoho, zmail-
ProtonMailprotonmail, protonmail2, protonmail3-
Apple iCloud (domínio próprio)sig1Publicado em CNAME para *.at.icloudmailadmin.com

Esta tabela cobre os provedores mais comuns. A ferramenta sonda, no total, cerca de uma centena de nomes de seletor, sem garantia de exaustividade.

Por que selector1 e selector2 (a rotação das chaves)

Muitos domínios expõem dois seletores (selector1/selector2 na Microsoft, s1/s2 no SendGrid, brevo1/brevo2 na Brevo). Isso não é uma duplicata: é o mecanismo de rotação das chaves.

Em um dado momento, um seletor carrega a chave ativa (a que assina os emails enviados); o outro carrega uma chave de reserva, já publicada no DNS. Para girar a chave sem interrupção, o operador alterna a assinatura para a chave de reserva, já propagada, depois substitui a antiga. Nenhum email fica sem assinatura válida durante a transição.

O M3AAWG recomenda uma rotação anual ou semestral (frequência observada, não uma regra universal nem «obrigatória»); uma chave curta ou antiga justifica uma rotação mais frequente. Se a descoberta trouxer apenas um seletor, a rotação sem corte é impossível: prever um segundo seletor é uma boa prática de higiene.

Encontrar o seletor real a partir de um email recebido

Este é o método mais confiável, sem nenhum falso negativo: o seletor está inscrito no cabeçalho DKIM-Signature que o servidor remetente adiciona a cada mensagem assinada. Abra um email recebido do domínio e procure a tag s=:

DKIM-Signature: v=1; a=rsa-sha256; d=exemplo.com; s=selector1; ...

Aqui, o seletor é selector1 e o domínio signatário (d=) é exemplo.com: a chave fica então em selector1._domainkey.exemplo.com.

Onde exibir o cabeçalho bruto conforme o webmail:

  • Gmail: abra a mensagem, menu (três pontos) no canto superior direito, depois Mostrar original. Procure a linha DKIM-Signature e leia s=.
  • Outlook / Microsoft 365: abra a mensagem, Arquivo → Propriedades (cliente desktop) ou menu Exibir → Exibir origem da mensagem (web). Localize DKIM-Signature.
  • Apple Mail: menu Visualizar → Email → Todos os cabeçalhos.

Com o seletor em mãos, cole-o no DKIM Checker para inspecionar a chave em profundidade.

Método manual: dig / nslookup

Se você conhece (ou suspeita de) um seletor, pode consultar o DNS diretamente, sem esta ferramenta:

dig TXT seletor._domainkey.exemplo.com +short

No Windows, o equivalente é:

nslookup -type=TXT seletor._domainkey.exemplo.com

Uma resposta contendo v=DKIM1; ...; p=... confirma que o seletor existe e expõe a chave pública. Uma ausência de resposta significa apenas que esse nome específico não resolve, não que o domínio é desprovido de DKIM.

O DNS não permite listar os subdomínios de uma zona (não há enumeração wildcard em *._domainkey). A descoberta se baseia em um catálogo de seletores conhecidos.

O que será encontrado:

  • Seletores comuns dos provedores do catálogo
  • Seletores genéricos (default, dkim, mail, s1, selector1, etc.)
  • Seletores numéricos comuns (dkim1, dkim2, k1, k2)

O que não será encontrado:

  • Seletores personalizados ou aleatórios (ex. campanha-2024-q3)
  • Seletores gerados dinamicamente (hash, UUID, tokens Amazon SES)
  • Seletores publicados em um subdomínio de envio ou de bounce (ex. bounce.seudominio.com, mail.seudominio.com). Para esses, relance a descoberta no subdomínio em questão, ou leia o d= e o s= no cabeçalho de um email enviado por esse fluxo.

Para esses casos, o caminho seguro continua sendo o cabeçalho DKIM-Signature de um email recebido (veja acima).

Armadilhas por trás de um registro «não encontrado»

Um seletor conhecido pode existir sem responder corretamente. Antes de concluir pela ausência de DKIM, verifique estas causas frequentes:

  • CNAME ainda não propagado: muitos provedores (Microsoft 365, SendGrid, Brevo, Amazon SES) publicam a chave via um CNAME que aponta para sua infraestrutura. Enquanto a delegação não estiver propagada, ou se ela foi removida, a resolução falha.
  • Chave revogada: um registro presente mas com um valor p= vazio significa que a chave foi revogada (RFC 6376). O seletor existe, mas a chave está morta. Isso é normal durante uma rotação, suspeito se persistir.
  • Registro dividido ou truncado: uma chave de 2048 bits ultrapassa o limite de 255 octetos de uma cadeia TXT e deve ser dividida em vários segmentos concatenados. Uma divisão incorreta torna a chave inválida.
  • Seletor em outro domínio: a tag d= da assinatura pode apontar para um subdomínio ou um domínio de envio distinto. A chave não está então sob seu apex.

Entender a força da chave de um seletor

Encontrar o seletor é apenas metade do trabalho: ainda é preciso que a chave seja sólida. Para cada seletor descoberto, a ferramenta decodifica a chave pública e deduz o tipo e o comprimento.

ChaveVereditoPara lembrar
RSA 1024 bitsFraca, a girarAceita hoje mas em fim de vida; planeje a migração para 2048
RSA 2048 bitsRecomendadaO padrão prático em produção
RSA 4096 bitsForteRobusta; verifique o registro multissegmentos
Ed25519 (256 bits)Forte, interoperabilidade limitadaVeja a nota abaixo

As chaves RSA muito curtas são outra história: 512 bits se fatora em algumas horas e 768 bits foi quebrado publicamente já em 2009 (Red Sift). Aí falamos de chaves quebradas, que nunca devem ser confundidas com a de 1024 bits, simplesmente fraca e a girar.

O Ed25519 produz uma chave fixa de 256 bits, criptograficamente forte, mas sua interoperabilidade é limitada: segundo os testes da Red Sift, Gmail, Microsoft 365 e Yahoo não validam (ou rejeitam) as assinaturas Ed25519. Na prática, publique Ed25519 em paralelo a uma chave RSA 2048, nunca sozinho.

A ferramenta sinaliza também dois estados a vigiar: uma chave revogada (p= vazio) deixada no DNS, e um seletor em modo de teste (t=y) muitas vezes esquecido após a entrada em produção, que faz a mensagem ser tratada como não assinada.

Qual ferramenta para quê?

A descoberta de seletores é a primeira etapa quando você não conhece o termo «seletor» nem o valor a digitar. Ela lhe dá a lista dos seletores ativos. Para ir além:

  1. Você não conhece nenhum seletor → comece aqui, pela descoberta. A ferramenta monta o inventário dos seletores e provedores ativos.
  2. Você tem um seletor preciso a inspecionar → passe para o DKIM Checker para analisar sua chave, sua validade e sua configuração em detalhe.
  3. Você tem um email à mão → o Analisador de cabeçalhos de email extrai diretamente o s= e o d= da assinatura, sem adivinhar.
  4. Você prepara uma nova chave → o Gerador DKIM cria um par RSA ou Ed25519 pronto para publicar.

FAQ - Perguntas frequentes

P: O que é um seletor DKIM?

R: Um seletor DKIM é um identificador que permite localizar a chave pública DKIM no DNS. Ele é publicado no endereço seletor._domainkey.seudominio.com. Cada provedor de email utiliza seu próprio seletor, o que permite ter várias assinaturas DKIM ativas simultaneamente.

P: Como encontrar meus seletores DKIM sem enviar um email?

R: Esta ferramenta sonda o DNS: ela testa um catálogo de nomes de seletor conhecidos diretamente na sua zona, sem enviar nenhum email. Ela detecta primeiro seus provedores via os MX para priorizar os seletores corretos. Se nada aparecer, o caminho mais confiável continua sendo ler a tag s= no cabeçalho DKIM-Signature de um email que você recebeu desse domínio.

P: Quais são os seletores DKIM padrão dos principais provedores?

R: Google Workspace utiliza google. Microsoft 365 utiliza selector1 e selector2. SendGrid utiliza s1 e s2. Mailchimp utiliza k1, k2 e k3. Brevo utiliza brevo1 e brevo2. O Amazon SES Easy DKIM publica tokens aleatórios em CNAME (sem seletor fixo). São valores comuns, não garantias. Consulte a tabela de provedores acima.

P: É possível verificar DKIM sem conhecer o seletor?

R: Sim, é exatamente isso que esta ferramenta faz. Diferentemente dos DKIM checkers clássicos que exigem um seletor, ela testa automaticamente os nomes conhecidos no DNS, sabendo que um seletor personalizado pode escapar dessa lista.

P: O que significa «seletor DKIM não encontrado»?

R: Nenhum registro TXT responde para os nomes testados. Isso não prova a ausência de DKIM: o DNS não permite enumerar os seletores de uma zona (RFC 6376), a ferramenta testa apenas uma lista de nomes conhecidos. Causas possíveis: seletor personalizado ausente do catálogo, CNAME ainda não propagado, chave revogada (p= vazio), ou DKIM realmente não configurado. Para tirar a dúvida, leia o cabeçalho DKIM-Signature de um email recebido.

P: A ferramenta consegue encontrar todos os seletores DKIM?

R: Não, e nenhuma ferramenta consegue. Os seletores personalizados ou gerados dinamicamente (hash, UUID, tokens aleatórios) não serão detectados. Nesses casos, leia o cabeçalho DKIM-Signature de um email recebido (tag s=) ou consulte diretamente o seletor com dig TXT seletor._domainkey.seudominio.com.

Ferramentas complementares

FerramentaUtilidade
DKIM CheckerAnalisar um seletor DKIM específico em profundidade
Verificador de sintaxe DKIMValidar a sintaxe de um registro DKIM antes da publicação
Gerador DKIMGerar pares de chaves DKIM (RSA/Ed25519)
Auditoria de entregabilidadeVerificar SPF, DKIM, DMARC e MX de um domínio
Inspetor DMARCTestar sua política DMARC
Analisador de cabeçalhos de emailExtrair os seletores DKIM de um email recebido

Recursos úteis