Posso ter vários registros DKIM em meu domínio?

DKIM Multiple DKIM Records

Você pode ter vários registros DKIM em um único domínio? A resposta é sim, você pode ter quantos registros DKIM em seu domínio forem permitidos pelo seu provedor de DNS.

O que é DKIM?

DKIM significa DomainKeys Identified Mail. É um método de autenticação de e-mail projetado para detectar campos de cabeçalho e conteúdo forjados em e-mails. O DKIM permite que o servidor de e-mail de recebimento verifique se os cabeçalhos e o conteúdo do e-mail foram adulterados em trânsito.

O DKIM é baseado em criptografia assimétrica, que usa pares de chaves: chaves privadas que são conhecidas apenas pelo servidor de envio e chaves públicas que são publicadas no DNS e acessíveis ao servidor de recebimento.

Antes de sair do servidor de e-mail de saída, uma mensagem de e-mail é assinada com a chave privada armazenada no servidor; ao chegar ao servidor receptor, a mensagem de e-mail é verificada pelo servidor com a chave pública publicada no DNS.

O que é um registro DKIM?

Um registro DKIM é um registro TXT publicado no DNS. Ele consiste em uma lista de tags, uma das quais é a tag "p=", que contém a chave DKIM pública.

Aqui está um exemplo de registro DKIM:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

O registro DKIM acima consiste em uma lista de tags que definem os parâmetros do registro. A tag p no registro especifica a chave pública codificada em base64, que é usada pelo servidor receptor para validar a assinatura DKIM.

Um registro DKIM também pode ser um registro CNAME; nesse caso, ele mapeia o registro CNAME para um registro DKIM do tipo TXT.

Por exemplo, se você configurar o DKIM no SendGrid, ele criará um registro DKIM do tipo CNAME que se parece com:

s1.domainkey.uXXX.wlXXX.sendgrid.net

Este registro mapeia para um registro DKIM do tipo TXT:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Todos os registros DKIM no domínio example.com existem em xxx._domainkey.example.com, com xxx sendo o seletor DKIM, independentemente do tipo de registro.

O que é um seletor DKIM?

Um seletor DKIM é uma string usada para especificar o local da chave pública DKIM em um domínio. O objetivo principal dos seletores DKIM é permitir vários pares de chaves DKIM no nome de domínio da mesma organização.

Por exemplo, você pode escolher um seletor "may10" e criar uma chave pública DKIM nesse seletor no domínio example.com: may10._domainkey.example.com.

Você também pode escolher outro seletor "july29" e criar uma chave pública DKIM nesse seletor no domínio example.com: july29._domainkey.example.com.

Para saber mais sobre seletores DKIM, consulte: What is a DKIM selector.

Posso ter vários registros DKIM em um único domínio?

Conforme mencionado na seção anterior, vários registros DKIM em um único domínio são possíveis pela criação de vários seletores DKIM nesse domínio, com cada seletor apontando para um registro DKIM.

A possibilidade de ter vários registros DKIM em um único domínio é fundamental nos seguintes cenários:

  • uma organização usa vários serviços de entrega de e-mail para enviar e-mails em nome de um único domínio; nesse caso, vários seletores DKIM e pares de chaves privada/pública devem ser usados para separar esses serviços.

    Por exemplo, se você autorizar o SendGrid e o Mailgun a enviar e-mails em nome do seu domínio, você precisará ter pelo menos um registro DKIM para o SendGrid e um para o Mailgun. Desta forma, os servidores de assinatura/verificação dos dois serviços podem localizar corretamente seus respectivos pares de chaves.

  • se você estiver usando apenas um serviço de entrega de e-mail, ter vários seletores/pares de chaves é essencial para um mecanismo de segurança DKIM chamado "DKIM key rotation". Este é basicamente um processo em que os pares de chaves são atualizados periodicamente para reduzir o risco de comprometimento dos pares de chaves.

    Saiba mais sobre esse processo em What is a DKIM selector.

Ao contrário do SPF e do DMARC, ter vários registros DKIM em um único domínio não é apenas possível, mas muitas vezes necessário.

Postagens relacionadas:

Previous Post Next Post

 Protect Business Email & Improve Email Deliverability

Get a 14 day trial. No credit card required.

Create Account