DomainKeys/DKIM — Assinatura digital para autenticidade de e-mails
DomainKeys Identified Mail (DKIM) é um protocolo de autenticação de e-mail que permite que um domínio assine digitalmente suas mensagens. Isso significa que, ao enviar um e-mail, o servidor do remetente anexa uma assinatura criptografada no cabeçalho da mensagem, usando uma chave privada. O servidor do destinatário, por sua vez, verifica essa assinatura consultando a chave pública disponível no DNS do domínio remetente.
Essa verificação permite confirmar dois pontos fundamentais:
- Que a mensagem realmente foi enviada por um servidor autorizado pelo domínio.
- Que o conteúdo do e-mail (incluindo o cabeçalho) não foi alterado durante a transmissão.
🔍 Exemplo prático: imagine que você receba um e-mail de “[email protected]”. Se o domínio
bancodigital.comestiver com DKIM corretamente configurado, o servidor que recebe essa mensagem pode validar que:
- o e-mail foi enviado a partir de um servidor legítimo do domínio;
- o conteúdo não foi adulterado no caminho.
Esse tipo de validação vai além do SPF, que apenas verifica se o IP remetente está autorizado a enviar mensagens por aquele domínio, mas não garante a integridade do conteúdo nem a autenticidade do cabeçalho.
DMARC — Política de ação com base em SPF e DKIM
DMARC (Domain-based Message Authentication, Reporting, and Conformance) é um protocolo que atua em cima do SPF e do DKIM, permitindo que o administrador de um domínio defina como os servidores de e-mail destinatários devem lidar com mensagens que falham na verificação de autenticidade.
Com DMARC, o domínio pode:
- Informar se deseja que mensagens suspeitas sejam rejeitadas, quarentenadas (marcadas como SPAM) ou aceitas com ressalvas;
- Receber relatórios periódicos dos provedores que implementam DMARC, com estatísticas sobre os envios feitos em nome do domínio.
🔐 Exemplo: o domínio
empresa.com.brpode definir uma política DMARC que diga:
“Se uma mensagem falhar no SPF e no DKIM, recuse o e-mail.”
Assim, qualquer tentativa de falsificar e-mails com remetente @empresa.com.br será automaticamente bloqueada por quem respeita as regras do DMARC.
Isso representa um avanço significativo no combate a fraudes por e-mail (como phishing, onde golpistas se passam por empresas legítimas).
Por que isso é importante?
Nos dias de hoje, ataques baseados em e-mail são um dos principais vetores de golpes e invasões. Por isso, grandes provedores como Google (Gmail), Microsoft (Outlook/Hotmail), Yahoo e Apple Mail já utilizam SPF, DKIM e DMARC como critérios fundamentais para decidir se um e-mail deve ser aceito, marcado como suspeito ou rejeitado.
Domínios que não possuem essas proteções correm o risco de:
- Ter seus e-mails legítimos marcados como SPAM ou nem sequer entregues;
- Serem usados indevidamente por spammers para falsificar remetentes;
- Perderem credibilidade e confiança com clientes e parceiros.
E como a Specialist trabalha com essas tecnologias?
A Specialist implementa e mantém suporte completo a SPF, SRS, DKIM e DMARC há muitos anos, em todos os seus servidores de envio e recebimento de e-mails. Essa estrutura robusta garante:
- Alta reputação dos domínios hospedados conosco;
- Proteção contra falsificação de remetente;
- Compatibilidade com as melhores práticas exigidas por provedores globais;
- Validações automáticas para cada mensagem enviada e recebida.
Além disso:
- Toda mensagem que passa por nossos servidores é verificada quanto à integridade da assinatura DKIM (se existente);
- Quando a verificação falha, a mensagem não é rejeitada automaticamente, mas é marcada como “Possível SPAM”, devido à alta taxa de erro na configuração de DKIM em servidores externos;
- Encorajamos nossos clientes a configurarem corretamente as entradas DNS para SPF, DKIM e DMARC, e fornecemos suporte para isso, quando necessário.
🔧 Para usuários técnicos: todos os testes de DKIM e DMARC são registrados no cabeçalho da mensagem, sendo possível inspecionar os resultados diretamente no cliente de e-mail ou webmail, facilitando diagnósticos e ajustes finos.