Configurar o DKIM para impedir o spoofing

Reforçar a segurança do e-mail e proteger seu domínio

Use o padrão DKIM (DomainKeys Identified Mail) para ajudar a impedir o spoofing de e-mails enviados do seu domínio.

O spoofing ocorre quando o conteúdo do e-mail é alterado para que a mensagem pareça ser de uma pessoa ou de um lugar diferente. Como o spoofing é um uso não autorizado comum do e-mail, alguns servidores de e-mail exigem o DKIM para evitar esse problema.

O DKIM adiciona uma assinatura criptografada ao cabeçalho de todas as mensagens enviadas. Os servidores de e-mail que recebem mensagens assinadas usam o DKIM para descriptografar os cabeçalhos e confirmar que elas não foram alteradas após o envio.

Mais segurança para o e-mail

Além do DKIM, recomendamos a configuração destes métodos de segurança:

Se você não configurar o DKIM, o Gmail usará o DKIM padrão

A assinatura DKIM reforça a segurança do e-mail e ajuda a impedir o spoofing. Recomendamos que você use sua própria chave DKIM em todas as mensagens enviadas.

Se você não gerar uma chave de domínio DKIM, o Gmail assinará todas as mensagens enviadas com esta chave de domínio DKIM padrão: d=*.gappssmtp.com.

Os e-mails enviados de servidores fora de mail.google.com não serão assinados com a chave DKIM padrão.

Etapas para configurar o DKIM

  1. Gere a chave de domínio do seu domínio. (https://www.socketlabs.com/domainkey-dkim-generation-wizard/)
  2. Adicione a chave pública aos registros DNS do seu domínio. Os servidores de e-mail podem usar essa chave para verificar as assinaturas DKIM das suas mensagens.
  3. Ative a assinatura DKIM para começar a adicionar uma assinatura DKIM a todas as mensagens enviadas.
Como o DKIM funciona?

O DKIM usa um par de chaves, uma privada e outra pública, para verificar as mensagens.

Uma chave de domínio privada adiciona um cabeçalho criptografado a todas as mensagens enviadas do seu domínio do Gmail.

Uma chave pública correspondente é adicionada ao registro do Sistema de Nome de Domínio (DNS) do seu domínio do Gmail. Os servidores de e-mail que recebem mensagens do seu domínio usam a chave pública para descriptografar a assinatura da mensagem e verificar a origem da mensagem assinada.

Quando você ativa a autenticação de e-mail no Gmail, o DKIM começa a assinar os cabeçalhos das mensagens enviadas.

E se meu domínio já tiver uma chave DKIM?

Se você já usa o DKIM no seu domínio (com outro sistema de e-mail), é necessário gerar uma nova chave de domínio exclusiva para usar com o Gmail.

As chaves de domínio incluem uma string de texto chamada prefixo do seletor que você pode alterar quando gerar a chave. O prefixo do seletor padrão para a chave de domínio do Google Workspace é google. Quando você gera a chave, pode alterar esse prefixo de google  para o nome que preferir e usar o novo seletor junto com a configuração da chave DKIM do domínio.

Como configuro o DKIM para um servidor que modifica o conteúdo dos e-mails enviados?

Se você usar um gateway de e-mail de saída que altera as mensagens enviadas, a assinatura DKIM será invalidada. Um exemplo são os servidores de e-mail que adicionam um rodapé a todas as mensagens enviadas. Para evitar esse problema, escolha uma destas opções:

  • Configure o gateway para ele não modificar as mensagens enviadas.
  • Primeiro configure o gateway para alterar a mensagem e depois adicione a assinatura DKIM.
E se os e-mails do meu domínio forem rejeitados porque não passaram no DKIM?

Se as mensagens do seu domínio forem rejeitadas, entre em contato com o administrador do servidor de e-mail que as rejeitou. Os servidores de e-mail não devem rejeitar mensagens devido a assinaturas DKIM ausentes ou não verificáveis (RFC 4871).