Configurar o DKIM para o Gmail impede que remetentes não autorizados falsifiquem seu domínio e melhora a entregabilidade de e-mails. Seja você usando o Google Workspace (anteriormente G Suite) ou Gmail com um domínio personalizado, a configuração adequada do DKIM garante que suas mensagens passem nas verificações de autenticação e cheguem às caixas de entrada dos destinatários.

Este guia aborda a configuração do DKIM para domínios do Google Workspace, erros comuns de configuração e o que acontece quando o DKIM falha apesar da implementação correta.

I. O Que o DKIM Faz (e O Que Ele Não Pode Prevenir)

O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos e-mails enviados. O servidor receptor verifica a assinatura usando uma chave pública publicada nos registros DNS do seu domínio.

O que o DKIM valida:

  • O corpo da mensagem não foi alterado durante o trânsito
  • O domínio de assinatura autorizou a mensagem
  • A assinatura DKIM corresponde ao domínio declarado

Onde o DKIM pode falhar:

  • O encaminhamento quebra assinaturas: Quando um e-mail é encaminhado por meio de uma lista de discussão ou encaminhador automático, modificações de conteúdo (como adição de rodapés) invalidam a assinatura DKIM
  • Problemas de alinhamento: A aprovação do DKIM não garante a aprovação do DMARC — o domínio d= na assinatura DKIM deve estar alinhado com o domínio do cabeçalho From:
  • Problemas de rotação de chaves: Se você gerar um novo par de chaves DKIM mas esquecer de atualizar o DNS, todas as mensagens enviadas falharão na validação DKIM
  • Atrasos de propagação do DNS: Publicar uma nova chave pública DKIM pode levar de minutos a horas para se propagar, causando falhas temporárias de validação

O DKIM é autenticação, não autorização. Uma assinatura DKIM válida prova que a mensagem veio do domínio de assinatura, mas não prova que o remetente é legítimo ou desejado.

II. Pré-requisitos: Google Workspace vs Contas Pessoais do Gmail

Configuração do DKIM em cinco etapas: gerar as chaves, publicar os registros DNS, verificar a configuração, ativar a assinatura DKIM e realizar os testes.

Contas do Google Workspace (domínios comerciais usando infraestrutura do Gmail):

  • Controle total do DKIM
  • Você gera chaves e publica registros DNS
  • Necessário para aplicação do DMARC em domínio personalizado

Contas pessoais do Gmail (@gmail.com):

  • O Google assina mensagens automaticamente usando d=gmail.com
  • Você não pode configurar o DKIM para endereços @gmail.com
  • Se você enviar de um domínio personalizado por meio de contas pessoais do Gmail, essas mensagens não terão assinaturas DKIM para o seu domínio

Este guia se aplica apenas a domínios do Google Workspace. Se você estiver usando contas pessoais do Gmail com um endereço “Enviar e-mail como” personalizado, suas mensagens não terão autenticação de domínio adequada.

III. Etapa 1: Gerar Chaves DKIM no Console de Administração do Google Workspace

Faça login no Console de Administração do Google Workspace com privilégios de superadministrador.

  1. Navegue até Apps → Google Workspace → Gmail → Autenticar e-mail
  2. Selecione seu domínio no menu suspenso
  3. Clique em Gerar novo registro
  4. Escolha um comprimento de chave DKIM:
  • 2048 bits (recomendado): Segurança criptográfica mais forte, suportada por todos os principais provedores de caixa de correio
  • 1024 bits: Padrão mais antigo, use apenas se o comprimento do registro TXT do DNS for uma restrição
  1. Digite um seletor de prefixo DKIM (padrão: google resulta no seletor google._domainkey)
  2. Clique em Gerar

O Google exibirá duas informações:

  • Host/Nome DNS: O subdomínio onde você publicará a chave pública (por exemplo, google._domainkey.example.com)
  • Valor do Registro TXT: A string da chave pública começando com v=DKIM1; k=rsa; p=...

Condição de falha: Se você gerar uma nova chave mas não atualizar o DNS, as mensagens enviadas falharão na validação DKIM imediatamente. O Google começa a assinar com a nova chave privada assim que você clicar em “Iniciar Autenticação”, mesmo que a chave pública ainda não esteja publicada.

IV. Etapa 2: Publicar a Chave Pública DKIM no DNS

Faça login no seu provedor de DNS (Cloudflare, GoDaddy, Route 53, Namecheap, etc.).

Adicione um registro TXT com estes valores:

CampoValor
TipoTXT
Nome/Hostgoogle._domainkey ou subdomínio completo google._domainkey.example.com (depende da interface do provedor DNS)
ValorCole a string completa da chave pública do Console de Administração do Google, incluindo v=DKIM1; k=rsa; p=...
TTL3600 (1 hora) ou padrão

Regra de formatação crítica: Alguns provedores de DNS exigem que você remova aspas ao redor do valor TXT. Outros as adicionam automaticamente. Se sua interface DNS mostrar o valor envolvido em aspas como "v=DKIM1; k=rsa; p=...", isso é normal — mas não adicione aspas extras manualmente.

Tempo de propagação do DNS: As alterações podem levar de 5 minutos a 48 horas, dependendo do seu provedor e configurações de TTL. O Google recomenda aguardar 24-48 horas antes de habilitar a assinatura DKIM.

Onde a publicação do DNS do DKIM pode falhar:

  • Erro de digitação no subdomínio: Publicar em googl._domainkey em vez de google._domainkey faz com que todas as mensagens falhem no DKIM
  • Chave truncada: Algumas interfaces DNS têm limites de caracteres. Se a chave pública for cortada, a validação DKIM falha
  • Tipo de registro errado: Publicar como A, CNAME ou MX em vez de TXT torna a chave ilegível

V. Etapa 3: Verificar a Publicação no DNS

Antes de habilitar a assinatura DKIM, confirme se a chave pública está publicada corretamente.

Use uma ferramenta de consulta DNS:

nslookup -type=TXT google._domainkey.example.com

Ou verificadores online:

Resultado esperado: Você deve ver a string completa da chave pública começando com v=DKIM1; k=rsa; p=MII...

Se a consulta falhar:

  • Verifique novamente o nome do subdomínio (google._domainkey)
  • Verifique se você publicou um registro TXT, não outro tipo
  • Aguarde mais tempo para a propagação do DNS
  • Verifique se seu provedor DNS requer formatação especial para registros TXT longos

VI. Etapa 4: Habilitar a Assinatura DKIM no Google Workspace

Retorne ao Console de Administração do Google Workspace → Gmail → Autenticar e-mail.

  1. Localize o domínio e a configuração DKIM que você criou
  2. Clique em Iniciar autenticação

O que acontece agora:

  • O Google começa a assinar todas as mensagens enviadas do seu domínio com a chave privada
  • O valor d= na assinatura DKIM corresponderá ao seu domínio (por exemplo, d=example.com)
  • Os servidores receptores consultarão google._domainkey.example.com para obter a chave pública

Condição de falha: Se você clicar em “Iniciar autenticação” antes do DNS se propagar, todas as mensagens enviadas falharão na validação DKIM até que a chave pública fique disponível. Você verá erros de verificação de assinatura DKIM em mensagens de devolução ou relatórios DMARC.

Abordagem segura: Aguarde 24-48 horas após publicar o registro TXT do DNS antes de habilitar a assinatura DKIM. Isso garante que a chave pública seja propagada globalmente.

VII. Etapa 5: Testar a Assinatura DKIM

Envie um e-mail de teste da sua conta do Google Workspace para um endereço de e-mail pessoal (Gmail, Outlook, Yahoo, ProtonMail, etc.).

Verifique os cabeçalhos de autenticação:

No Gmail: Abra a mensagem, clique no menu de três pontos, selecione Mostrar original. Procure por:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=example.com; s=google;
        h=from:to:subject:date;
        bh=...;
        b=...
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=google header.b=...

No Outlook/Microsoft 365: Visualize a fonte da mensagem ou verifique o cabeçalho Authentication-Results para dkim=pass.

O que validar:

  • d=example.com corresponde ao seu domínio de envio
  • s=google corresponde ao seu seletor
  • dkim=pass em Authentication-Results

Se o DKIM falhar:

  • dkim=temperror: A consulta DNS expirou (aguarde mais tempo para a propagação)
  • dkim=permerror: Chave pública não encontrada ou malformada
  • dkim=fail: A assinatura não corresponde (mensagem foi modificada ou chave errada no DNS)
  • Nenhuma assinatura DKIM: A assinatura DKIM não está habilitada no Google Workspace ou você está enviando de uma conta pessoal do Gmail

VIII. Erros Comuns na Configuração do DKIM no Gmail

Checklist com seis erros comuns de configuração do DKIM que você deve evitar.

1. Habilitar a Assinatura Antes da Propagação do DNS

Problema: Todas as mensagens enviadas falham na validação DKIM por horas ou dias.
Solução: Aguarde 24-48 horas após publicar a chave pública antes de clicar em “Iniciar autenticação”.

2. Usar Contas Pessoais do Gmail com Domínios Personalizados

Problema: Contas pessoais do Gmail não suportam assinatura DKIM para domínios personalizados ao usar “Enviar e-mail como”.
Solução: Migre para o Google Workspace ou use um serviço SMTP de terceiros que suporte DKIM (SendGrid, Mailgun, Postmark).

3. Publicar Apenas Uma Chave DKIM para Múltiplos Remetentes

Problema: Se sua organização usa o Google Workspace para e-mail corporativo mas também envia de plataformas de marketing (Mailchimp, HubSpot), esses remetentes de terceiros precisam de suas próprias chaves DKIM com seletores diferentes.
Solução: Adicione registros TXT DKIM separados para cada remetente:

  • google._domainkey.example.com (Google Workspace)
  • k1._domainkey.example.com (Mailchimp)
  • hubspot._domainkey.example.com (HubSpot)

4. Esquecer de Atualizar o DNS Após a Rotação de Chaves

Problema: Quando você gera um novo par de chaves DKIM no Google Workspace (por motivos de segurança ou após um comprometimento de chave), as mensagens falham no DKIM até que a nova chave pública seja publicada.
Solução: Sempre publique a nova chave pública no DNS antes de gerar uma nova chave no Console de Administração do Google.

5. Presumir que DKIM Aprovado = DMARC Aprovado

Problema: As assinaturas DKIM podem passar na validação mas ainda falhar no DMARC se o alinhamento estiver ausente.
Requisito de alinhamento DMARC: O domínio d= na assinatura DKIM deve corresponder ao domínio do cabeçalho From: (ou ser um subdomínio dele, dependendo do modo de alinhamento).

Cenário de falha de exemplo:

  • Mensagem enviada de [email protected]
  • Assinatura DKIM tem d=mailprovider.com
  • DKIM passa, mas DMARC falha porque mailprovider.comexample.com

Solução: Configure remetentes de terceiros para usar seu domínio no valor d=, ou implemente o alinhamento SPF como alternativa.

IX. DKIM, SPF e DMARC: Como Eles Trabalham Juntos

Tabela comparativa: o Google Workspace oferece controle completo sobre o DKIM, enquanto o Gmail pessoal não oferece esse recurso.

O DKIM sozinho melhora a entregabilidade, mas não impõe uma política contra falsificação. O DMARC une tudo.

Requisitos do DMARC:

  • Pelo menos um mecanismo de autenticação (SPF ou DKIM) deve passar
  • Pelo menos um mecanismo aprovado deve estar alinhado com o domínio do cabeçalho From:

Exemplo: DKIM alinhado aprovado = DMARC aprovado

  • From: [email protected]
  • Assinatura DKIM: d=example.com (alinhado)
  • Resultado DKIM: pass
  • Resultado DMARC: pass

Exemplo: DKIM não alinhado aprovado = DMARC falha

  • From: [email protected]
  • Assinatura DKIM: d=thirdpartymail.com (não alinhado)
  • Resultado DKIM: pass
  • Resultado DMARC: fail (se o SPF também falhar)

Onde o DMARC pode falhar apesar do DKIM passar:

  • SPF passa mas o remetente do envelope não se alinha com o cabeçalho From:
  • DKIM passa mas o domínio da assinatura não se alinha com o cabeçalho From:
  • Mensagem encaminhada por um sistema que modifica o conteúdo (quebra o DKIM)

Use o Skysnag Protect para monitorar o alinhamento DMARC em todos os remetentes e identificar onde a autenticação é bem-sucedida mas o DMARC falha:

X. Quando o DKIM Passa mas a Entregabilidade Ainda Sofre

Passar na validação DKIM não garante o posicionamento na caixa de entrada. Os provedores de caixa de correio avaliam vários sinais:

Autenticação + Reputação + Conteúdo

  • Autenticação: DKIM, SPF, DMARC
  • Reputação: Histórico de IP/domínio, taxas de reclamação, métricas de engajamento
  • Conteúdo: Linhas de assunto, corpo do texto, links, anexos

Cenários de falha:

  • DKIM passa, mas a reputação do domínio é ruim: As mensagens vão para spam apesar de assinaturas válidas
  • DKIM passa, SPF passa, mas DMARC falha: Alguns receptores filtram mais agressivamente em falhas de DMARC
  • DKIM passa, mas o conteúdo aciona filtros de spam: Frases como “aja agora”, links excessivos ou anexos suspeitos se sobrepõem à autenticação

O que os provedores de caixa de correio não garantem:

  • Gmail, Microsoft, Yahoo e Apple não publicam regras exatas de filtragem
  • A aprovação do DKIM não cria um status de “lista branca”
  • A autenticação ajuda, mas não é o único fator

Para melhorar a entregabilidade após o DKIM ser configurado:

  1. Implemente a aplicação do DMARC (p=quarantine ou p=reject)
  2. Monitore as taxas de reclamação e solicitações de cancelamento de inscrição
  3. Mantenha listas de e-mail limpas (remova endereços inválidos)
  4. Evite linhas de assunto semelhantes a spam e linguagem promocional excessiva

XI. Rotação de Chaves DKIM e Práticas Recomendadas de Segurança

Quando rotacionar chaves DKIM:

  • A cada 12 meses (prática recomendada geral para chaves criptográficas)
  • Imediatamente após suspeita de comprometimento de chave
  • Ao integrar novos administradores (limitar exposição de chave)

Como rotacionar chaves DKIM sem quebrar a autenticação:

  1. Gere um novo par de chaves no Console de Administração do Google Workspace com um seletor diferente (por exemplo, google2._domainkey)
  2. Publique a nova chave pública no DNS junto com a chave antiga
  3. Aguarde 48 horas para a propagação do DNS
  4. Mude a assinatura para a nova chave no Console de Administração do Google
  5. Após confirmar que a nova chave funciona, exclua o antigo registro DNS

Modo de falha da rotação de chaves: Se você excluir a chave pública antiga antes de mudar a assinatura para a nova chave, as mensagens falharão na validação DKIM durante o período de transição.

Melhor abordagem: Mantenha ambas as chaves ativas durante a transição e, em seguida, descarte a chave antiga somente após confirmar que todas as mensagens usam a nova assinatura.

XII. Configuração do DKIM para Subdomínios

Se você enviar e-mail de subdomínios (por exemplo, marketing.example.com, support.example.com), cada subdomínio requer sua própria configuração DKIM.

Abordagem do Google Workspace:

  1. Adicione o subdomínio à sua conta do Google Workspace (se ainda não estiver adicionado)
  2. Gere chaves DKIM para o subdomínio no Console de Administração do Google
  3. Publique um registro TXT em google._domainkey.marketing.example.com
  4. Habilite a assinatura DKIM para o subdomínio

Condição de falha: Se você configurar o DKIM apenas para o domínio principal (example.com), as mensagens enviadas de marketing.example.com não terão assinaturas DKIM válidas, a menos que o subdomínio seja explicitamente configurado.

Alinhamento DMARC com subdomínios:

  • Alinhamento estrito: DKIM d= deve corresponder exatamente ao domínio From:
  • Alinhamento relaxado (padrão): DKIM d= pode ser o domínio principal (por exemplo, d=example.com se alinha com From: [email protected])

O alinhamento relaxado geralmente é suficiente. Use alinhamento estrito apenas se precisar evitar falsificação de subdomínio em relatórios DMARC.

XIII. Monitoramento da Conformidade DKIM e DMARC

Após configurar o DKIM, monitore os resultados de autenticação por meio de relatórios agregados DMARC.

O que os relatórios DMARC mostram:

  • Quais remetentes estão assinando mensagens com DKIM
  • Quais assinaturas DKIM passam ou falham
  • Se as assinaturas DKIM aprovadas estão alinhadas com o domínio From:
  • Se o SPF também está passando (e alinhado)

Interpretando falhas DKIM nos relatórios DMARC:

  • dkim=fail: A assinatura não corresponde (mensagem modificada, chave errada ou problema de rotação de chave)
  • dkim=temperror: Falha na pesquisa DNS (problema temporário)
  • dkim=permerror: Chave pública não encontrada ou malformada
  • dkim=none: Nenhuma assinatura DKIM presente

Por que o monitoramento é importante:

  • Detecta remetentes não autorizados tentando falsificar seu domínio
  • Identifica serviços de terceiros mal configurados (ESPs, CRMs, ferramentas de suporte)
  • Destaca problemas de encaminhamento (listas de discussão quebrando assinaturas DKIM)
  • Fornece evidências para programas de conformidade onde o monitoramento de autenticação de e-mail faz parte do conjunto mais amplo de controles de segurança da organização
  • Ajuda a confirmar que o Google Workspace, remetentes terceirizados e subdomínios permanecem adequadamente autenticados ao longo do tempo

Saiba mais sobre o Skysnag Protect:

Lista de Verificação de Configuração DKIM Gmail

Use esta lista de verificação para confirmar que sua configuração DKIM do Google Workspace está completa e funcionando conforme esperado.

  • Confirme que você está usando o Google Workspace, não uma conta Gmail pessoal com um endereço “Enviar e-mail como” personalizado.
  • Faça login no Console de Administração do Google Workspace com privilégios de super administrador.
  • Acesse as configurações de autenticação do Gmail e gere um registro DKIM para seu domínio.
  • Use uma chave DKIM de 2048 bits quando suportado.
  • Copie o seletor e a chave pública exatamente como fornecidos pelo Google.
  • Publique a chave pública DKIM como um registro TXT DNS.
  • Verifique se o registro TXT resolve corretamente antes de habilitar a assinatura DKIM.
  • Inicie a autenticação DKIM no Google Workspace somente após o registro DNS estar visível.
  • Envie e-mails de teste para Gmail, Outlook e outro provedor de caixa de correio.
  • Verifique os cabeçalhos das mensagens e confirme dkim=pass.
  • Confirme que o domínio DKIM d= está alinhado com o domínio From visível.
  • Configure o DKIM separadamente para remetentes terceiros, como CRMs, ferramentas de marketing e plataformas de suporte.
  • Monitore os relatórios agregados DMARC para confirmar o alinhamento DKIM em todos os remetentes.
  • Evite presumir que DKIM pass significa DMARC pass.
  • Revise os seletores DKIM e os procedimentos de rotação de chaves regularmente.

Principais Conclusões

O DKIM ajuda os servidores de e-mail receptores a verificar se as mensagens assinadas por seu domínio foram autorizadas e não foram modificadas em trânsito.

Para e-mail comercial baseado no Gmail, a configuração DKIM deve ser feita por meio do Google Workspace. Contas Gmail pessoais não fornecem o mesmo controle DKIM em nível de domínio para domínios personalizados.

O DKIM sozinho não impede a falsificação de domínio. Ele se torna mais forte quando combinado com SPF e DMARC, especialmente quando o alinhamento DMARC é monitorado e a aplicação é ativada.

As falhas mais comuns na configuração DKIM do Gmail são erros de formatação DNS, nomes de seletor incorretos, registros TXT truncados, habilitação da assinatura antes da propagação DNS e presumir que remetentes terceiros estão cobertos pelo DKIM do Google Workspace.

DKIM pass não garante a entrega na caixa de entrada. Os provedores de caixa de correio ainda avaliam reputação, taxas de reclamação, conteúdo, engajamento, contexto de encaminhamento e sinais internos de abuso.

O monitoramento DMARC é a melhor maneira de confirmar se as assinaturas DKIM estão passando e alinhadas em todos os remetentes legítimos.

Inicie o monitoramento DMARC com a Skysnag e obtenha seu registro DMARC gratuito: