Authentication · RFC 6376 · Atualizado May 2026

DKIM

DomainKeys Identified Mail

DKIM (DomainKeys Identified Mail) é um padrão criptográfico de autenticação de email (RFC 6376) no qual o remetente assina cada mensagem de saída com uma chave privada, e o receptor verifica a assinatura contra uma chave pública publicada no DNS.

§1

Definição

DKIM (DomainKeys Identified Mail) é um padrão de autenticação de email definido na RFC 6376. O sistema de email remetente assina cada mensagem de saída com uma chave criptográfica privada; um header chamado DKIM-Signature carrega a assinatura, o algoritmo e um ponteiro para a chave pública. O servidor receptor busca a chave pública no DNS e verifica que a assinatura confere com o corpo da mensagem e os headers listados — provando tanto que a mensagem partiu de um servidor que detém a chave privada quanto que as partes assinadas da mensagem não foram alteradas em trânsito.

§2

Selectors e rotação de chaves

A chave pública vive em {selector}._domainkey.{domain} como um registro TXT. Selectors são identificadores arbitrários — tipicamente s1, s2, mail ou nomes específicos de vendor como amazonses. Selectors permitem rotação de chaves: publique uma nova chave em um selector fresco, mude o signer para o novo selector, deixe a chave antiga no DNS até que mensagens assinadas em trânsito sejam drenadas, então delete o registro TXT antigo. Rotação é prática básica de higiene — a maioria dos ESPs rotaciona pelo menos anualmente e em qualquer suspeita de comprometimento.

§3

Como o AcelleMail usa DKIM

Para envio via vendor (Amazon SES, Mailgun, SendGrid, SparkPost — todos drivers integrados em app/SendingServers/Drivers/Vendors/), DKIM é assinado pelo vendor. O trabalho do operador é publicar os registros CNAME ou TXT fornecidos pelo vendor no seu domínio de envio. Para o driver SMTP genérico, a assinatura DKIM é feita pelo MTA upstream (milter opendkim do Postfix, signer integrado do Postal, etc.) — o AcelleMail não assina DKIM por conta própria.

O walkthrough completo de setup — como ficam os registros para os principais vendors e como verificar a assinatura — está no guia pillar de entregabilidade.

§4

DKIM vs SPF

SPF autentica o endereço IP; DKIM autentica a própria mensagem. Um email encaminhado que quebra SPF (porque agora vem dos IPs do encaminhador) tipicamente ainda passa em DKIM (a assinatura cobre o corpo, não o caminho). DMARC então alinha um ou ambos os sinais contra o header From: visível. As três camadas se compõem — entregabilidade moderna assume que você publica todas as três.

Fontes

Toda afirmação nesta página remete a uma destas.

Veja também

Termos relacionados do glossário

Continue percorrendo o cluster.

Authentication RFC 7208

SPF

Sender Policy Framework
Authentication RFC 7489

DMARC

Domain-based Message Authentication, Reporting and Conformance
Vendor

Amazon SES

Amazon Simple Email Service
Metric

Email deliverability

A taxa em que mensagens enviadas chegam à caixa de entrada do destinatário

← Voltar para todos os termos do glossário

Quer rodar isso em produção?

AcelleMail é uma plataforma de email auto-hospedada com licença única, com suporte de primeira classe para todos os termos deste glossário. Sem taxas recorrentes, sem preço por assinante, código-fonte completo.

Experimente a Demo ao Vivo

Rode seu email marketing no seu próprio servidor, nos seus próprios termos

Junte-se a milhares de empresas que assumiram o controle do seu email marketing com código-fonte completo, sem mensalidades e envios ilimitados. Licença de pagamento único de $80, atualizações vitalícias.

Get the AcelleMail newsletter

Monthly issue with new releases, deliverability tips, and self-hosting playbooks. No spam.