Ferramentas de Diagnóstico de Rede
Encontre e valide sua chave pública DKIM
DNS e Registros
Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNSEntregabilidade de E-mail
Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTPRede e Web
Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertasDomínio
Consulta WHOIS Dados de registro de domínios, IPs e ASNsO DKIM adiciona uma assinatura criptográfica ao seu e-mail de saída; os destinatários a verificam contra uma chave pública que você publica no DNS em selector._domainkey.seu-dominio. Como o DNS não oferece nenhuma forma de listar seletores, o IPeek testa os seletores usados por Google, Microsoft, Amazon SES e outros grandes provedores.
Quando você envia um e-mail, seu provedor assina cabeçalhos selecionados e o corpo com uma chave privada, adicionando um cabeçalho DKIM-Signature à mensagem. O destinatário lê as tags d= (domínio) e s= (seletor) desse cabeçalho, busca a chave pública correspondente em selector._domainkey.d e verifica a assinatura. Se ela valida, o conteúdo não foi alterado em trânsito e veio genuinamente de um detentor de chave daquele domínio. A chave privada permanece no servidor de envio; apenas a chave pública fica no DNS.
Um seletor permite que um domínio publique várias chaves DKIM — útil para rotação ou para diferentes serviços de envio. A chave pública é um registro TXT em selector._domainkey.seu-dominio, como google._domainkey.example.com, contendo v=DKIM1; k=rsa; p=<chave pública em base64>. Como o DNS não oferece um diretório de seletores, você não consegue simplesmente perguntar quais um domínio usa. Por isso o IPeek testa os seletores comuns usados por Google (google), Microsoft, Amazon SES e outros grandes provedores para localizar suas chaves publicadas.
O DKIM é a camada de autenticação de conteúdo das três. Enquanto o SPF autoriza hosts de envio por IP, o DKIM prova criptograficamente que os cabeçalhos e o corpo de uma mensagem não foram adulterados e a vincula a um domínio de assinatura. O DMARC então verifica se o domínio de assinatura do DKIM se alinha com o endereço From visível. O DKIM tem uma vantagem importante sobre o SPF: como a assinatura viaja com a mensagem, ela sobrevive ao encaminhamento, que costuma quebrar o SPF. Para uma boa entregabilidade, publique o DKIM e alinhe-o sob o DMARC.
Um seletor é um rótulo que aponta para uma chave pública DKIM específica no DNS, permitindo que um único domínio publique várias chaves para rotação ou diferentes serviços de envio. Ele aparece como a tag s= no cabeçalho DKIM-Signature e faz parte do local DNS selector._domainkey.seu-dominio. Por exemplo, o Google Workspace costuma usar o seletor google.
Os registros DKIM ficam em selector._domainkey.seu-dominio, e o DNS não oferece nenhuma forma de listar quais seletores um domínio usa — então você precisa conhecer o seletor para consultá-lo. Provedores diferentes usam seletores diferentes. O IPeek resolve isso testando os seletores comuns usados por Google, Microsoft, Amazon SES e outros grandes provedores para localizar suas chaves publicadas automaticamente.
Uma chave pública DKIM é publicada como um registro TXT no DNS em selector._domainkey.seu-dominio — por exemplo, google._domainkey.example.com. O registro contém tags como v=DKIM1; k=rsa; p= seguidas pela chave pública codificada em base64. A chave privada correspondente permanece no seu servidor de e-mail de envio e nunca é publicada. Os destinatários buscam a chave pública para verificar cada assinatura.
Sim, na maioria dos casos. Como a assinatura DKIM viaja dentro dos cabeçalhos da mensagem, ela permanece válida após o encaminhamento, desde que os cabeçalhos assinados e o corpo não sejam modificados. Essa é uma grande vantagem sobre o SPF, que normalmente quebra no encaminhamento porque o IP de envio muda. É também por isso que o DMARC ainda pode passar via DKIM quando o SPF falha em e-mails encaminhados.
O SPF autoriza quais hosts podem enviar e-mail em nome do seu domínio verificando o IP de envio, enquanto o DKIM assina criptograficamente cada mensagem para que os destinatários possam verificar que seu conteúdo não foi alterado e que veio do seu domínio. O SPF valida o caminho; o DKIM valida a mensagem. Eles são complementares, e o DMARC vincula os dois ao seu endereço From visível.