DKIM: Porque Apenas 31% dos Domínios da UE Assinam os Seus E-mails

Parte 6 da série "Segurança Web na UE: 10 Passos Para uma Melhor Classificação"

O Problema

O SPF verifica se o servidor de e-mail está autorizado. Mas o SPF não verifica se o conteúdo do e-mail foi alterado em trânsito. Um servidor de retransmissão comprometido pode alterar o texto, trocar ligações, manipular anexos — e o SPF continua a dizer "pass".

O DKIM resolve isto: o seu servidor de e-mail assina cada mensagem enviada com uma chave privada. O destinatário verifica a assinatura usando a chave pública publicada no seu DNS. Se o e-mail foi alterado, a assinatura não corresponde — o destinatário sabe: adulteração.

Adoção de DKIM na UE: 31,1%. Dois em cada três domínios não assinam os seus e-mails.

Porque o DKIM É Crítico para o DMARC

O DMARC verifica: O SPF OU o DKIM passou — e o domínio está alinhado? Na prática, o SPF falha frequentemente para e-mails reencaminhados (o reencaminhamento quebra o SPF). O DKIM sobrevive ao reencaminhamento porque a assinatura está associada ao cabeçalho da mensagem, não ao servidor de envio.

Sem DKIM, a sua política DMARC falha em todos os e-mails reencaminhados. Listas de distribuição, regras de reencaminhamento do Outlook, reencaminhamento automático — todos geram falhas de SPF. Apenas o DKIM salva a capacidade de entrega.

Como Configurar o DKIM

Google Workspace

1. Consola de administração > Apps > Google Workspace > Gmail > Autenticar e-mail
2. "Gerar nova chave DKIM" > Comprimento de chave 2048 bit
3. Adicione o registo TXT apresentado ao seu DNS (sob google._domainkey.o-seu-dominio.pt)
4. De volta à consola de administração: "Iniciar autenticação"

Microsoft 365

1. Microsoft 365 Defender > Políticas > Autenticação de e-mail > DKIM
2. Selecione o domínio > "Criar chave DKIM"
3. Adicione dois registos CNAME ao seu DNS (a Microsoft apresenta-os)
4. Ative o DKIM

Brevo / Mailchimp / Ferramentas de Newsletter

A maioria das ferramentas de newsletter requer a configuração DKIM durante a verificação do domínio:

1. Na ferramenta: Adicionar domínio > O registo DKIM é apresentado
2. Adicione o registo TXT ao seu DNS
3. Na ferramenta: Verificar domínio

Configuração Manual (Postfix / Servidor de E-mail Próprio)

# Instalar OpenDKIM
apt install opendkim opendkim-tools

# Gerar par de chaves
opendkim-genkey -t -s mail -d o-seu-dominio.pt

# Adicionar chave pública ao DNS
cat mail.txt  # -> registo TXT sob mail._domainkey.o-seu-dominio.pt

Comprimento da Chave

• 1024 bit: Mínimo, ainda aceite, mas criptograficamente marginal
• 2048 bit: Padrão, recomendado
• 4096 bit: Segurança máxima, mas alguns fornecedores de DNS têm problemas com o comprimento do registo TXT (>255 caracteres requerem divisão)

Do benchmark: apenas 31% possuem DKIM — e desses, aproximadamente 60% ainda utilizam chaves de 1024 bit. Recomendamos a atualização para 2048 bit.

Erros Comuns

1. Esquecer o DKIM para remetentes de terceiros. Cada serviço que envia e-mails em seu nome precisa do seu próprio seletor DKIM: Google Workspace, ferramenta de newsletter, sistema de ticketing, CRM. Cada um recebe o seu próprio registo seletor._domainkey.

2. Nunca rodar as chaves. As chaves DKIM devem ser rodadas a cada 6-12 meses. A maioria dos fornecedores fá-lo automaticamente — mas verifique.

3. DKIM sem DMARC. O DKIM sozinho apenas verifica a assinatura. Sem DMARC, não indica ao destinatário o que fazer com e-mails não assinados.

Verifique a Segurança do Seu E-mail

O SiteGuardian verifica SPF, DKIM (incluindo comprimento da chave e deteção de seletores), DMARC e STARTTLS:

https://siteguardian.io/scan

Na próxima semana na Parte 7: X-Content-Type-Options e Referrer-Policy — dois cabeçalhos, cinco minutos, proteção mensuravelmente melhor.