Reforçar a segurança do e-mail e proteger seu domínio

Use o padrão DKIM (DomainKeys Identified Mail) para ajudar a impedir o spoofing de e-mails enviados do seu domínio.

O spoofing ocorre quando o conteúdo do e-mail é alterado para que a mensagem pareça ser de uma pessoa ou de um lugar diferente. Como o spoofing é um uso não autorizado comum do e-mail, alguns servidores de e-mail exigem o DKIM para evitar esse problema.

O DKIM adiciona uma assinatura criptografada ao cabeçalho de todas as mensagens enviadas. Os servidores de e-mail que recebem mensagens assinadas usam o DKIM para descriptografar os cabeçalhos e confirmar que elas não foram alteradas após o envio. 

Mais segurança para o e-mail.

Além do DKIM, recomendamos a configuração destes métodos de segurança:

• Sender Policy Framework (SPF): especifica quais domínios podem enviar mensagens para sua organização.

• DMARC (Domain-based Message Authentication, Reporting, and Conformance): especifica como seu domínio lida com e-mails suspeitos.

•  

Se você não configurar o DKIM, o Gmail usará o DKIM padrão

A assinatura DKIM reforça a segurança do e-mail e ajuda a impedir o spoofing. Recomendamos que você use sua própria chave DKIM em todas as mensagens enviadas.

Se você não gerar uma chave de domínio DKIM, o Gmail assinará todas as mensagens enviadas com esta chave de domínio DKIM padrão: d=*.gappssmtp.com.

Os e-mails enviados de servidores fora de mail.google.com não serão assinados com a chave DKIM padrão.

Etapas para configurar o DKIM

1. Gere a chave de domínio do seu domínio.

2. Adicione a chave pública aos registros DNS do seu domínio. Os servidores de e-mail podem usar essa chave para verificar as assinaturas DKIM das suas mensagens.

3. Ative a assinatura DKIM para começar a adicionar uma assinatura DKIM a todas as mensagens enviadas.

Autenticar e-mail com o DKIM

1. Gerar uma chave DKIM para seu domínio

Configurar o DKIM para impedir o spoofing

Pular a etapa 2 se o domínio tiver sido criado por um parceiro de hospedagem de domínio do G Suite

Se um parceiro de hospedagem de domínio do G Suite tiver criado seu domínio, você não precisará adicionar uma chave DKIM ao registro DNS no host de domínio. O Gmail gera a chave de domínio e a adiciona aos registros DNS do seu domínio. Acesse 3. Ativar a assinatura DKIM.

Importante: após criar sua conta do G Suite e ativar o Gmail, aguarde de 24 a 72 horas antes de gerar uma chave DKIM.

Gerar a chave de domínio para e-mails enviados

Para realizar essa tarefa, você precisa estar conectado como um superadministrador.

1. No Google Admin Console (em admin.google.com)…

2. Acesse Aplicativos > Google Workspace > Gmail.

3. Clique em Autenticar e-mails.

4. Seu domínio principal é selecionado por padrão. Clique no domínio principal e selecione outro domínio em que você usará o DKIM.

5. Clique em Gerar novo registro para ver estas opções:

   • Selecione o número de bits da chave DKIM: se o host de domínio for compatível com chaves de 2.048 bits, recomendamos essa opção para garantir mais segurança. Se você já usou uma chave de 1.024 bits, não haverá impacto ao alternar para uma de 2.048 bits.
     Se o host de domínio não for compatível com chaves de 2.048 bits, altere o tamanho da chave para 1.024 bits.

   • Seletor de prefixo: as chaves de domínio incluem uma string de texto chamada seletor de prefixo que você pode modificar ao gerar a chave. O seletor de prefixo padrão da chave de domínio do Gmail é google. Só altere o prefixo se seu domínio já usar uma chave DKIM com o seletor de prefixo google.

6. Clique em Gerar.
   Use o texto em Valor do registro TXT para atualizar o registro DNS no seu host de domínio. Os servidores de e-mail remotos recuperam essa chave pública do registro DNS e a utilizam para validar mensagens do seu domínio. 
   Importante: se você configurou o G Suite ou o Gmail recentemente, talvez veja este erro: "Não foi possível processar sua solicitação no momento. Tente novamente mais tarde. (Erro 1.000)."
   Depois de ativar o Gmail, aguarde de 24 a 72 horas para gerar uma chave DKIM.

DKIM para vários domínios

Se você estiver configurando o DKIM para mais de um domínio, repita as etapas de 4 a 6. Isso gera uma chave DKIM para cada domínio.

 2. Adicionar uma chave de domínio DKIM aos registros DNS do domínio

Ignore esta etapa se seu domínio tiver sido criado por um parceiro de hospedagem de domínio do G Suite

Se seu domínio tiver sido criado por um parceiro de hospedagem de domínio do G Suite, pule esta etapa. O Gmail gera a chave de domínio para você e a adiciona aos registros DNS do seu domínio. Leia o artigo Ativar a assinatura DKIM para saber mais.

Para ativar o DKIM, atualize o registro TXT do Sistema de Nome de Domínio (DNS) do domínio com a chave de domínio DKIM que você gerou no Admin Console. Atualize o registro TXT no host de domínio, não no Admin Console.

Saiba mais sobre o uso dos registros TXT do DNS.

Para estas etapas, use a chave de domínio DKIM que você gerou no Admin Console.

Importante: se você tiver mais de um domínio, conclua estas etapas para cada um deles. Use uma chave DKIM exclusiva para cada domínio.

1. Faça login no console de gerenciamento do seu provedor de domínio.

2. Localize a página onde você atualiza os registros DNS.
   Subdomínios: se seu host de domínio não permitir a atualização de registros DNS de subdomínios, adicione o registro ao domínio pai. Saiba mais sobre como atualizar os registros DNS de um subdomínio.

3. Adicionar um registro TXT:
   Observação: se o provedor de domínio limitar o tamanho dos registros TXT, acesse Chaves de domínio e limites de registro TXT.

   • No primeiro campo, digite o texto exibido no Admin Console em Nome de host do DNS (nome do registro TXT).

   • No segundo campo, digite a string de texto exibida no Admin Console em Valor do registro TXT.

4. Salve as alterações.

Chaves de domínio e limites de registro TXT

Os registros TXT do DNS podem ter até 255 caracteres em uma única string. Nos registros TXT com mais de 255 caracteres, o DNS agrupa várias strings de texto em um único registro.

Uma chave de domínio de 2.048 bits é mais longa que o limite de 255 caracteres. Por isso, ela requer um registro TXT criado a partir de strings de texto agrupadas.

Entre em contato com seu host de domínio para saber se os registros TXT com mais de 255 caracteres são permitidos:

• Se eles forem permitidos: descubra as etapas necessárias para atualizar seus registros DNS com a chave de domínio. As etapas são diferentes dependendo do serviço de hospedagem de domínio.  

• Se não forem permitidos: use chaves de domínio de 1.024 bits para que o DKIM permaneça dentro do limite de 255 caracteres.

3. Ativar a assinatura DKIM

Depois de gerar sua chave de domínio e adicioná-la ao registro do domínio, ative a assinatura DKIM. 

Importante: pode levar até 48 horas para que as atualizações do registro DNS entrem em vigor. Se você ativar a assinatura DKIM antes da atualização dos registros, a chave de domínio DKIM não será encontrada. Quando isso acontecer, o Gmail exibirá uma mensagem de aviso. 

1. No Google Admin Console (em admin.google.com)…

2. Acesse Aplicativos > Google Workspace > Gmail.

3. Clique em Autenticar e-mails.

4. Selecione o domínio onde você quer usar a assinatura de e-mail. A página mostra o status da assinatura de e-mail do domínio selecionado.

5. Clique em Iniciar autenticação.
   Quando a configuração do DKIM é concluída, a mensagem "Autenticando e-mails" aparece.

6. Para confirmar que a assinatura DKIM está ativa, envie um e-mail para alguém que use o Gmail ou o G Suite. Não é possível enviar uma mensagem de teste para seu e-mail.

7. Abra a mensagem na Caixa de entrada do destinatário.

8. Ao lado de Responder, clique em Mais > e Mostrar original.
   O cabeçalho da mensagem é exibido.

9. No cabeçalho da mensagem, a linha que começa com DKIM-Signature confirma que a assinatura DKIM está ativada. Veja este exemplo, onde d é o domínio de envio e s é o domínio de assinatura:
   DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mydomain.com; s=google;