O problema: verificar DKIM sem conhecer o seletor
As ferramentas DKIM tradicionais pedem um domínio e um seletor. Mas a maioria dos usuários não conhece seu seletor DKIM. Resultado: não conseguem verificar sua configuração.
O DKIM Selector Finder resolve esse problema. Insira um domínio, e a ferramenta descobre automaticamente todos os seletores DKIM configurados.
Como funciona a descoberta?
1. Detecção dos provedores de email (modo Smart)
A ferramenta consulta os registros MX do seu domínio para identificar seus provedores de email:
*.google.com→ Google Workspace → seletorgoogle*.outlook.com→ Microsoft 365 → seletoresselector1,selector2*.mcsv.net→ Mailchimp → seletoresk1,k2,k3
2. Brute-force DNS inteligente
A ferramenta testa em paralelo os seletores conhecidos consultando:
<seletor>._domainkey.<seu-dominio>
Para cada seletor, uma consulta DNS TXT é enviada. Se um registro DKIM existir, ele é analisado.
3. Análise aprofundada
Cada seletor encontrado é analisado com o mesmo motor do nosso DKIM Checker:
- Tipo de chave: RSA ou Ed25519
- Comprimento da chave: 1024, 2048, 4096 bits
- Validade do registro
- Alertas de segurança (chave fraca, formato inválido)
- Detecção CNAME (delegação ao provedor)
Quando usar esta ferramenta?
| Situação | Esta ferramenta é ideal para você |
|---|---|
| Você não conhece seu seletor DKIM | Descoberta automática |
| Auditoria de segurança de um domínio de terceiros | Visão completa da configuração DKIM |
| Migração de provedor de email | Verificar quais seletores ainda estão ativos |
| Implantação de DMARC em modo reject | Garantir que todos os fluxos de email assinam com DKIM |
| Debugging de entregabilidade | Identificar seletores inválidos ou chaves fracas |
Seletores DKIM dos principais provedores
| Provedor | Seletores DKIM | Padrão MX |
|---|---|---|
| Google Workspace | google | *.google.com |
| Microsoft 365 | selector1, selector2 | *.outlook.com |
| SendGrid | s1, s2, smtpapi | *.sendgrid.net |
| Mailchimp | k1, k2, k3 | *.mcsv.net |
| Amazon SES | amazonses | *.amazonses.com |
| Postmark | pm | *.mtasv.net |
| HubSpot | hs1, hs2 | — |
| Brevo (Sendinblue) | mail, sendinblue | *.sendinblue.com |
| Zoho Mail | zoho, zmail | *.zoho.com |
| OVH | ovhmo* | *.ovh.net |
Esta tabela cobre os provedores mais comuns. A ferramenta testa mais de 100 seletores no total.
Limitações da descoberta por brute-force
O DNS não permite listar os subdomínios de uma zona (não há enumeração wildcard em *._domainkey). A descoberta se baseia em um catálogo de seletores conhecidos.
O que será encontrado:
- Seletores padrão dos mais de 35 provedores do catálogo
- Seletores genéricos (
default,dkim,mail,s1,selector1, etc.) - Seletores numéricos comuns (
dkim1,dkim2,k1,k2)
O que não será encontrado:
- Seletores personalizados ou aleatórios (ex:
campaign-2024-q3) - Seletores gerados dinamicamente (hash, UUID)
- Seletores em subdomínios (ex:
bounce.seudominio.com)
Para esses casos, consulte os cabeçalhos dos seus emails enviados: DKIM-Signature: s=seletor.
FAQ - Perguntas frequentes
P: O que é um seletor DKIM?
R: Um seletor DKIM é um identificador que permite localizar a chave pública DKIM no DNS. Ele é publicado no endereço seletor._domainkey.seudominio.com. Cada provedor de email utiliza seu próprio seletor, o que permite ter várias assinaturas DKIM ativas simultaneamente.
P: Como encontrar meus seletores DKIM sem enviar um email?
R: Esta ferramenta descobre seus seletores por brute-force DNS: ela testa de 50 a 120 seletores conhecidos diretamente na sua zona DNS. Nenhum email é enviado. O modo Smart detecta primeiro seus provedores via os MX para priorizar os seletores corretos.
P: Quais são os seletores DKIM padrão dos principais provedores?
R: Google Workspace utiliza google. Microsoft 365 utiliza selector1 e selector2. SendGrid utiliza s1 e s2. Mailchimp utiliza k1, k2 e k3. Postmark utiliza pm. Consulte a tabela de provedores acima para a lista completa.
P: É possível verificar DKIM sem conhecer o seletor?
R: Sim, é exatamente isso que esta ferramenta faz. Diferentemente dos DKIM checkers tradicionais, o Selector Finder testa automaticamente os seletores conhecidos por brute-force DNS.
P: O que significa "seletor DKIM não encontrado"?
R: Nenhum registro TXT existe para esse seletor no DNS. Causas possíveis: DKIM não configurado, seletor personalizado ausente do catálogo, registro removido, ou propagação DNS incompleta.
P: Qual é a diferença entre modo Smart e modo Full?
R: O modo Smart detecta seus provedores via os MX e testa ~50 seletores. O modo Full testa ~120 seletores sem filtragem. Use o Full se o Smart não encontrar todos os seus seletores.
P: A ferramenta consegue encontrar todos os seletores DKIM?
R: Não. Os seletores personalizados ou gerados dinamicamente não serão detectados. Para esses casos, consulte os cabeçalhos dos seus emails (DKIM-Signature: s=seletor).
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| DKIM Checker | Analisar um seletor DKIM específico em profundidade |
| Verificador de sintaxe DKIM | Validar a sintaxe de um registro DKIM antes da publicação |
| Gerador DKIM | Gerar pares de chaves DKIM (RSA/Ed25519) |
| Auditoria de entregabilidade | Verificar SPF, DKIM, DMARC e MX de um domínio |
| Inspetor DMARC | Testar sua política DMARC |
| Analisador de cabeçalhos de email | Extrair os seletores DKIM de um email recebido |
Recursos úteis
- RFC 6376 - DKIM Signatures (especificação oficial)
- RFC 8463 - Ed25519 para DKIM (assinaturas Ed25519)
- Google - Configurar DKIM (guia Google Workspace)
- Microsoft - DKIM no Exchange Online (guia Microsoft 365)