Configurar o DKIM para o Gmail impede que remetentes não autorizados falsifiquem seu domínio e melhora a entregabilidade de e-mails. Seja você usando o Google Workspace (anteriormente G Suite) ou Gmail com um domínio personalizado, a configuração adequada do DKIM garante que suas mensagens passem nas verificações de autenticação e cheguem às caixas de entrada dos destinatários.
Este guia aborda a configuração do DKIM para domínios do Google Workspace, erros comuns de configuração e o que acontece quando o DKIM falha apesar da implementação correta.
I. O Que o DKIM Faz (e O Que Ele Não Pode Prevenir)
O DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica aos e-mails enviados. O servidor receptor verifica a assinatura usando uma chave pública publicada nos registros DNS do seu domínio.
O que o DKIM valida:
- O corpo da mensagem não foi alterado durante o trânsito
- O domínio de assinatura autorizou a mensagem
- A assinatura DKIM corresponde ao domínio declarado
Onde o DKIM pode falhar:
- O encaminhamento quebra assinaturas: Quando um e-mail é encaminhado por meio de uma lista de discussão ou encaminhador automático, modificações de conteúdo (como adição de rodapés) invalidam a assinatura DKIM
- Problemas de alinhamento: A aprovação do DKIM não garante a aprovação do DMARC — o domínio
d=na assinatura DKIM deve estar alinhado com o domínio do cabeçalhoFrom: - Problemas de rotação de chaves: Se você gerar um novo par de chaves DKIM mas esquecer de atualizar o DNS, todas as mensagens enviadas falharão na validação DKIM
- Atrasos de propagação do DNS: Publicar uma nova chave pública DKIM pode levar de minutos a horas para se propagar, causando falhas temporárias de validação
O DKIM é autenticação, não autorização. Uma assinatura DKIM válida prova que a mensagem veio do domínio de assinatura, mas não prova que o remetente é legítimo ou desejado.
II. Pré-requisitos: Google Workspace vs Contas Pessoais do Gmail

Contas do Google Workspace (domínios comerciais usando infraestrutura do Gmail):
- Controle total do DKIM
- Você gera chaves e publica registros DNS
- Necessário para aplicação do DMARC em domínio personalizado
Contas pessoais do Gmail (@gmail.com):
- O Google assina mensagens automaticamente usando
d=gmail.com - Você não pode configurar o DKIM para endereços @gmail.com
- Se você enviar de um domínio personalizado por meio de contas pessoais do Gmail, essas mensagens não terão assinaturas DKIM para o seu domínio
Este guia se aplica apenas a domínios do Google Workspace. Se você estiver usando contas pessoais do Gmail com um endereço “Enviar e-mail como” personalizado, suas mensagens não terão autenticação de domínio adequada.
III. Etapa 1: Gerar Chaves DKIM no Console de Administração do Google Workspace
Faça login no Console de Administração do Google Workspace com privilégios de superadministrador.
- Navegue até Apps → Google Workspace → Gmail → Autenticar e-mail
- Selecione seu domínio no menu suspenso
- Clique em Gerar novo registro
- Escolha um comprimento de chave DKIM:
- 2048 bits (recomendado): Segurança criptográfica mais forte, suportada por todos os principais provedores de caixa de correio
- 1024 bits: Padrão mais antigo, use apenas se o comprimento do registro TXT do DNS for uma restrição
- Digite um seletor de prefixo DKIM (padrão:
googleresulta no seletorgoogle._domainkey) - Clique em Gerar
O Google exibirá duas informações:
- Host/Nome DNS: O subdomínio onde você publicará a chave pública (por exemplo,
google._domainkey.example.com) - Valor do Registro TXT: A string da chave pública começando com
v=DKIM1; k=rsa; p=...
Condição de falha: Se você gerar uma nova chave mas não atualizar o DNS, as mensagens enviadas falharão na validação DKIM imediatamente. O Google começa a assinar com a nova chave privada assim que você clicar em “Iniciar Autenticação”, mesmo que a chave pública ainda não esteja publicada.
IV. Etapa 2: Publicar a Chave Pública DKIM no DNS
Faça login no seu provedor de DNS (Cloudflare, GoDaddy, Route 53, Namecheap, etc.).
Adicione um registro TXT com estes valores:
| Campo | Valor |
|---|---|
| Tipo | TXT |
| Nome/Host | google._domainkey ou subdomínio completo google._domainkey.example.com (depende da interface do provedor DNS) |
| Valor | Cole a string completa da chave pública do Console de Administração do Google, incluindo v=DKIM1; k=rsa; p=... |
| TTL | 3600 (1 hora) ou padrão |
Regra de formatação crítica: Alguns provedores de DNS exigem que você remova aspas ao redor do valor TXT. Outros as adicionam automaticamente. Se sua interface DNS mostrar o valor envolvido em aspas como "v=DKIM1; k=rsa; p=...", isso é normal — mas não adicione aspas extras manualmente.
Tempo de propagação do DNS: As alterações podem levar de 5 minutos a 48 horas, dependendo do seu provedor e configurações de TTL. O Google recomenda aguardar 24-48 horas antes de habilitar a assinatura DKIM.
Onde a publicação do DNS do DKIM pode falhar:
- Erro de digitação no subdomínio: Publicar em
googl._domainkeyem vez degoogle._domainkeyfaz com que todas as mensagens falhem no DKIM - Chave truncada: Algumas interfaces DNS têm limites de caracteres. Se a chave pública for cortada, a validação DKIM falha
- Tipo de registro errado: Publicar como A, CNAME ou MX em vez de TXT torna a chave ilegível
V. Etapa 3: Verificar a Publicação no DNS
Antes de habilitar a assinatura DKIM, confirme se a chave pública está publicada corretamente.
Use uma ferramenta de consulta DNS:
nslookup -type=TXT google._domainkey.example.comOu verificadores online:
Resultado esperado: Você deve ver a string completa da chave pública começando com v=DKIM1; k=rsa; p=MII...
Se a consulta falhar:
- Verifique novamente o nome do subdomínio (
google._domainkey) - Verifique se você publicou um registro TXT, não outro tipo
- Aguarde mais tempo para a propagação do DNS
- Verifique se seu provedor DNS requer formatação especial para registros TXT longos
VI. Etapa 4: Habilitar a Assinatura DKIM no Google Workspace
Retorne ao Console de Administração do Google Workspace → Gmail → Autenticar e-mail.
- Localize o domínio e a configuração DKIM que você criou
- Clique em Iniciar autenticação
O que acontece agora:
- O Google começa a assinar todas as mensagens enviadas do seu domínio com a chave privada
- O valor
d=na assinatura DKIM corresponderá ao seu domínio (por exemplo,d=example.com) - Os servidores receptores consultarão
google._domainkey.example.compara obter a chave pública
Condição de falha: Se você clicar em “Iniciar autenticação” antes do DNS se propagar, todas as mensagens enviadas falharão na validação DKIM até que a chave pública fique disponível. Você verá erros de verificação de assinatura DKIM em mensagens de devolução ou relatórios DMARC.
Abordagem segura: Aguarde 24-48 horas após publicar o registro TXT do DNS antes de habilitar a assinatura DKIM. Isso garante que a chave pública seja propagada globalmente.
VII. Etapa 5: Testar a Assinatura DKIM
Envie um e-mail de teste da sua conta do Google Workspace para um endereço de e-mail pessoal (Gmail, Outlook, Yahoo, ProtonMail, etc.).
Verifique os cabeçalhos de autenticação:
No Gmail: Abra a mensagem, clique no menu de três pontos, selecione Mostrar original. Procure por:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=google;
h=from:to:subject:date;
bh=...;
b=...
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=google header.b=...No Outlook/Microsoft 365: Visualize a fonte da mensagem ou verifique o cabeçalho Authentication-Results para dkim=pass.
O que validar:
d=example.comcorresponde ao seu domínio de envios=googlecorresponde ao seu seletordkim=passem Authentication-Results
Se o DKIM falhar:
- dkim=temperror: A consulta DNS expirou (aguarde mais tempo para a propagação)
- dkim=permerror: Chave pública não encontrada ou malformada
- dkim=fail: A assinatura não corresponde (mensagem foi modificada ou chave errada no DNS)
- Nenhuma assinatura DKIM: A assinatura DKIM não está habilitada no Google Workspace ou você está enviando de uma conta pessoal do Gmail
VIII. Erros Comuns na Configuração do DKIM no Gmail

1. Habilitar a Assinatura Antes da Propagação do DNS
Problema: Todas as mensagens enviadas falham na validação DKIM por horas ou dias.
Solução: Aguarde 24-48 horas após publicar a chave pública antes de clicar em “Iniciar autenticação”.
2. Usar Contas Pessoais do Gmail com Domínios Personalizados
Problema: Contas pessoais do Gmail não suportam assinatura DKIM para domínios personalizados ao usar “Enviar e-mail como”.
Solução: Migre para o Google Workspace ou use um serviço SMTP de terceiros que suporte DKIM (SendGrid, Mailgun, Postmark).
3. Publicar Apenas Uma Chave DKIM para Múltiplos Remetentes
Problema: Se sua organização usa o Google Workspace para e-mail corporativo mas também envia de plataformas de marketing (Mailchimp, HubSpot), esses remetentes de terceiros precisam de suas próprias chaves DKIM com seletores diferentes.
Solução: Adicione registros TXT DKIM separados para cada remetente:
google._domainkey.example.com(Google Workspace)k1._domainkey.example.com(Mailchimp)hubspot._domainkey.example.com(HubSpot)
4. Esquecer de Atualizar o DNS Após a Rotação de Chaves
Problema: Quando você gera um novo par de chaves DKIM no Google Workspace (por motivos de segurança ou após um comprometimento de chave), as mensagens falham no DKIM até que a nova chave pública seja publicada.
Solução: Sempre publique a nova chave pública no DNS antes de gerar uma nova chave no Console de Administração do Google.
5. Presumir que DKIM Aprovado = DMARC Aprovado
Problema: As assinaturas DKIM podem passar na validação mas ainda falhar no DMARC se o alinhamento estiver ausente.
Requisito de alinhamento DMARC: O domínio d= na assinatura DKIM deve corresponder ao domínio do cabeçalho From: (ou ser um subdomínio dele, dependendo do modo de alinhamento).
Cenário de falha de exemplo:
- Mensagem enviada de
[email protected] - Assinatura DKIM tem
d=mailprovider.com - DKIM passa, mas DMARC falha porque
mailprovider.com≠example.com
Solução: Configure remetentes de terceiros para usar seu domínio no valor d=, ou implemente o alinhamento SPF como alternativa.
IX. DKIM, SPF e DMARC: Como Eles Trabalham Juntos

O DKIM sozinho melhora a entregabilidade, mas não impõe uma política contra falsificação. O DMARC une tudo.
Requisitos do DMARC:
- Pelo menos um mecanismo de autenticação (SPF ou DKIM) deve passar
- Pelo menos um mecanismo aprovado deve estar alinhado com o domínio do cabeçalho
From:
Exemplo: DKIM alinhado aprovado = DMARC aprovado
From: [email protected]- Assinatura DKIM:
d=example.com(alinhado) - Resultado DKIM:
pass - Resultado DMARC:
pass
Exemplo: DKIM não alinhado aprovado = DMARC falha
From: [email protected]- Assinatura DKIM:
d=thirdpartymail.com(não alinhado) - Resultado DKIM:
pass - Resultado DMARC:
fail(se o SPF também falhar)
Onde o DMARC pode falhar apesar do DKIM passar:
- SPF passa mas o remetente do envelope não se alinha com o cabeçalho
From: - DKIM passa mas o domínio da assinatura não se alinha com o cabeçalho
From: - Mensagem encaminhada por um sistema que modifica o conteúdo (quebra o DKIM)
Use o Skysnag Protect para monitorar o alinhamento DMARC em todos os remetentes e identificar onde a autenticação é bem-sucedida mas o DMARC falha:
X. Quando o DKIM Passa mas a Entregabilidade Ainda Sofre
Passar na validação DKIM não garante o posicionamento na caixa de entrada. Os provedores de caixa de correio avaliam vários sinais:
Autenticação + Reputação + Conteúdo
- Autenticação: DKIM, SPF, DMARC
- Reputação: Histórico de IP/domínio, taxas de reclamação, métricas de engajamento
- Conteúdo: Linhas de assunto, corpo do texto, links, anexos
Cenários de falha:
- DKIM passa, mas a reputação do domínio é ruim: As mensagens vão para spam apesar de assinaturas válidas
- DKIM passa, SPF passa, mas DMARC falha: Alguns receptores filtram mais agressivamente em falhas de DMARC
- DKIM passa, mas o conteúdo aciona filtros de spam: Frases como “aja agora”, links excessivos ou anexos suspeitos se sobrepõem à autenticação
O que os provedores de caixa de correio não garantem:
- Gmail, Microsoft, Yahoo e Apple não publicam regras exatas de filtragem
- A aprovação do DKIM não cria um status de “lista branca”
- A autenticação ajuda, mas não é o único fator
Para melhorar a entregabilidade após o DKIM ser configurado:
- Implemente a aplicação do DMARC (
p=quarantineoup=reject) - Monitore as taxas de reclamação e solicitações de cancelamento de inscrição
- Mantenha listas de e-mail limpas (remova endereços inválidos)
- Evite linhas de assunto semelhantes a spam e linguagem promocional excessiva
XI. Rotação de Chaves DKIM e Práticas Recomendadas de Segurança
Quando rotacionar chaves DKIM:
- A cada 12 meses (prática recomendada geral para chaves criptográficas)
- Imediatamente após suspeita de comprometimento de chave
- Ao integrar novos administradores (limitar exposição de chave)
Como rotacionar chaves DKIM sem quebrar a autenticação:
- Gere um novo par de chaves no Console de Administração do Google Workspace com um seletor diferente (por exemplo,
google2._domainkey) - Publique a nova chave pública no DNS junto com a chave antiga
- Aguarde 48 horas para a propagação do DNS
- Mude a assinatura para a nova chave no Console de Administração do Google
- Após confirmar que a nova chave funciona, exclua o antigo registro DNS
Modo de falha da rotação de chaves: Se você excluir a chave pública antiga antes de mudar a assinatura para a nova chave, as mensagens falharão na validação DKIM durante o período de transição.
Melhor abordagem: Mantenha ambas as chaves ativas durante a transição e, em seguida, descarte a chave antiga somente após confirmar que todas as mensagens usam a nova assinatura.
XII. Configuração do DKIM para Subdomínios
Se você enviar e-mail de subdomínios (por exemplo, marketing.example.com, support.example.com), cada subdomínio requer sua própria configuração DKIM.
Abordagem do Google Workspace:
- Adicione o subdomínio à sua conta do Google Workspace (se ainda não estiver adicionado)
- Gere chaves DKIM para o subdomínio no Console de Administração do Google
- Publique um registro TXT em
google._domainkey.marketing.example.com - Habilite a assinatura DKIM para o subdomínio
Condição de falha: Se você configurar o DKIM apenas para o domínio principal (example.com), as mensagens enviadas de marketing.example.com não terão assinaturas DKIM válidas, a menos que o subdomínio seja explicitamente configurado.
Alinhamento DMARC com subdomínios:
- Alinhamento estrito: DKIM
d=deve corresponder exatamente ao domínioFrom: - Alinhamento relaxado (padrão): DKIM
d=pode ser o domínio principal (por exemplo,d=example.comse alinha comFrom: [email protected])
O alinhamento relaxado geralmente é suficiente. Use alinhamento estrito apenas se precisar evitar falsificação de subdomínio em relatórios DMARC.
XIII. Monitoramento da Conformidade DKIM e DMARC
Após configurar o DKIM, monitore os resultados de autenticação por meio de relatórios agregados DMARC.
O que os relatórios DMARC mostram:
- Quais remetentes estão assinando mensagens com DKIM
- Quais assinaturas DKIM passam ou falham
- Se as assinaturas DKIM aprovadas estão alinhadas com o domínio
From: - Se o SPF também está passando (e alinhado)
Interpretando falhas DKIM nos relatórios DMARC:
dkim=fail: A assinatura não corresponde (mensagem modificada, chave errada ou problema de rotação de chave)dkim=temperror: Falha na pesquisa DNS (problema temporário)dkim=permerror: Chave pública não encontrada ou malformadadkim=none: Nenhuma assinatura DKIM presente
Por que o monitoramento é importante:
- Detecta remetentes não autorizados tentando falsificar seu domínio
- Identifica serviços de terceiros mal configurados (ESPs, CRMs, ferramentas de suporte)
- Destaca problemas de encaminhamento (listas de discussão quebrando assinaturas DKIM)
- Fornece evidências para programas de conformidade onde o monitoramento de autenticação de e-mail faz parte do conjunto mais amplo de controles de segurança da organização
- Ajuda a confirmar que o Google Workspace, remetentes terceirizados e subdomínios permanecem adequadamente autenticados ao longo do tempo
Saiba mais sobre o Skysnag Protect:
Lista de Verificação de Configuração DKIM Gmail
Use esta lista de verificação para confirmar que sua configuração DKIM do Google Workspace está completa e funcionando conforme esperado.
- Confirme que você está usando o Google Workspace, não uma conta Gmail pessoal com um endereço “Enviar e-mail como” personalizado.
- Faça login no Console de Administração do Google Workspace com privilégios de super administrador.
- Acesse as configurações de autenticação do Gmail e gere um registro DKIM para seu domínio.
- Use uma chave DKIM de 2048 bits quando suportado.
- Copie o seletor e a chave pública exatamente como fornecidos pelo Google.
- Publique a chave pública DKIM como um registro TXT DNS.
- Verifique se o registro TXT resolve corretamente antes de habilitar a assinatura DKIM.
- Inicie a autenticação DKIM no Google Workspace somente após o registro DNS estar visível.
- Envie e-mails de teste para Gmail, Outlook e outro provedor de caixa de correio.
- Verifique os cabeçalhos das mensagens e confirme dkim=pass.
- Confirme que o domínio DKIM d= está alinhado com o domínio From visível.
- Configure o DKIM separadamente para remetentes terceiros, como CRMs, ferramentas de marketing e plataformas de suporte.
- Monitore os relatórios agregados DMARC para confirmar o alinhamento DKIM em todos os remetentes.
- Evite presumir que DKIM pass significa DMARC pass.
- Revise os seletores DKIM e os procedimentos de rotação de chaves regularmente.
Principais Conclusões
O DKIM ajuda os servidores de e-mail receptores a verificar se as mensagens assinadas por seu domínio foram autorizadas e não foram modificadas em trânsito.
Para e-mail comercial baseado no Gmail, a configuração DKIM deve ser feita por meio do Google Workspace. Contas Gmail pessoais não fornecem o mesmo controle DKIM em nível de domínio para domínios personalizados.
O DKIM sozinho não impede a falsificação de domínio. Ele se torna mais forte quando combinado com SPF e DMARC, especialmente quando o alinhamento DMARC é monitorado e a aplicação é ativada.
As falhas mais comuns na configuração DKIM do Gmail são erros de formatação DNS, nomes de seletor incorretos, registros TXT truncados, habilitação da assinatura antes da propagação DNS e presumir que remetentes terceiros estão cobertos pelo DKIM do Google Workspace.
DKIM pass não garante a entrega na caixa de entrada. Os provedores de caixa de correio ainda avaliam reputação, taxas de reclamação, conteúdo, engajamento, contexto de encaminhamento e sinais internos de abuso.
O monitoramento DMARC é a melhor maneira de confirmar se as assinaturas DKIM estão passando e alinhadas em todos os remetentes legítimos.
Inicie o monitoramento DMARC com a Skysnag e obtenha seu registro DMARC gratuito: