DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) é um padrão de autenticação de e-mail que permite ao servidor de envio anexar uma assinatura digital criptográfica às mensagens enviadas. O servidor receptor recupera a chave pública correspondente dos registros DNS do remetente e a utiliza para verificar a assinatura. Se a assinatura é válida, o destinatário sabe que o e-mail genuinamente veio do domínio declarado e não foi alterado em trânsito. O DKIM trabalha junto com [SPF](/glossary/spf) (Sender Policy Framework) e [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance) para formar um framework completo de autenticação de e-mail que protege tanto remetentes quanto destinatários.

O e-mail continua sendo um canal primário para compartilhar publicações digitais, enviar notificações de captura de leads e entregar mensagens transacionais. Sem DKIM, os e-mails são mais propensos a serem marcados como spam ou rejeitados completamente pelos servidores de e-mail receptores. Grandes provedores como Gmail, Outlook e Yahoo agora exigem DKIM para remetentes em massa, e mensagens sem assinaturas válidas enfrentam filtragem cada vez mais agressiva. A configuração adequada do DKIM melhora a entregabilidade, protege sua marca contra falsificação (onde atacantes enviam e-mails fingindo ser seu domínio) e constrói confiança com provedores de e-mail. Para editores que dependem do e-mail para distribuir flipbooks e coletar leads, o DKIM afeta diretamente se seu público realmente vê suas mensagens.

O FlipLink envia e-mails em seu nome para notificações de captura de leads, links de publicações compartilhadas e [modelos de e-mail](/features/email-templates). Esses e-mails são enviados através de infraestrutura com DKIM configurado, o que significa que cada mensagem enviada carrega uma assinatura criptográfica válida. Se você usa um [domínio personalizado](/features/custom-domains) para suas publicações e deseja enviar e-mails de compartilhamento desse domínio, você configura registros DNS DKIM para autorizar os servidores de e-mail do FlipLink a enviar em seu nome. Isso garante que os destinatários vejam seu domínio como remetente verificado, maximizando o posicionamento na caixa de entrada e mantendo a credibilidade da sua marca.

A configuração do DKIM envolve tanto a configuração DNS quanto a coordenação com o servidor de e-mail. Veja como o processo normalmente se parece: 1. **Gerar um par de chaves.** Seu serviço de e-mail ou plataforma (como o FlipLink) gera uma chave privada (mantida no servidor de envio) e uma chave pública (publicada no DNS). 2. **Adicionar o registro DNS TXT.** Crie um registro TXT em `seletor._domainkey.seudominio.com` contendo a chave pública. O seletor é um rótulo (como `fl1` ou `mail`) que identifica qual chave usar. 3. **Verificar a propagação do registro.** Mudanças DNS podem levar até 48 horas, embora a maioria se propague em uma hora. Use uma ferramenta de verificação DKIM para confirmar que o registro está visível. 4. **Enviar um e-mail de teste.** Envie um e-mail do domínio configurado e verifique os cabeçalhos procurando `dkim=pass` no cabeçalho Authentication-Results. 5. **Monitorar continuamente.** Configure relatórios [DMARC](/glossary/dmarc) para receber alertas se a validação DKIM começar a falhar, o que pode indicar configuração DNS incorreta ou remetentes não autorizados.

O DKIM protege contra duas ameaças específicas: **falsificação de e-mail** (alguém enviando e-mails que parecem vir do seu domínio) e **adulteração de mensagens** (alguém modificando o conteúdo do e-mail após sair do seu servidor). No entanto, o DKIM sozinho não é uma solução completa de segurança. **O que o DKIM protege:** - Verifica que o e-mail foi enviado por um servidor autorizado para aquele domínio - Confirma que os cabeçalhos e o corpo assinados não foram alterados em trânsito - Fornece uma base para a aplicação de políticas [DMARC](/glossary/dmarc) **O que o DKIM não protege:** - Não criptografa o conteúdo do e-mail (use TLS para isso) - Não verifica a identidade do remetente individual, apenas o domínio - Não impede que seu domínio receba spam — apenas ajuda seu e-mail de saída a ser confiável **A rotação de chaves** é uma prática importante mas frequentemente negligenciada. Se sua chave privada DKIM for comprometida, um atacante pode assinar e-mails como seu domínio. Faça rotação das chaves DKIM periodicamente (a cada 6–12 meses) e atualize o registro DNS com a nova chave pública antes de aposentar a antiga.

Uma assinatura DKIM é adicionada como um cabeçalho `DKIM-Signature` a cada e-mail enviado. Este cabeçalho contém vários campos: - **v** — Versão (sempre `1`) - **a** — Algoritmo de assinatura (tipicamente `rsa-sha256`) - **d** — O domínio assinante - **s** — O seletor usado para buscar a chave pública no DNS - **h** — Lista de cabeçalhos incluídos na assinatura (ex: `from:to:subject:date`) - **bh** — Hash do corpo do e-mail - **b** — A assinatura criptográfica real O servidor receptor extrai os valores `d` e `s`, consulta o DNS para `s._domainkey.d`, recupera a chave pública e verifica a assinatura contra os cabeçalhos assinados e o hash do corpo. Se tudo corresponder, a verificação DKIM é aprovada. O DKIM suporta comprimentos de chave de 1024 bits e 2048 bits. Embora chaves de 1024 bits ainda sejam comuns, chaves de 2048 bits são recomendadas para segurança mais forte. Alguns provedores DNS têm um limite de 255 caracteres para registros TXT, o que requer dividir chaves mais longas de 2048 bits em múltiplas strings dentro de um único registro TXT.