Melhorar a segurança dos e-mails através do registo DKIM
1495 visualizações
10.02.2026 
Web / Zona DNS
Informações sobre a tradução
Esta tradução foi automaticamente gerada pelo nosso parceiro SYSTRAN. Em certos casos, poderão ocorrer formulações imprecisas, como por exemplo nomes de botões ou detalhes técnicos. Recomendamos que consulte a versão inglesa ou francesa do manual, caso tenha alguma dúvida. Se nos quiser ajudar a melhorar esta tradução, clique em "Contribuir" nesta página.
Objetivo
O registo DKIM (DomainKeys Identified Mail) permite assinar os e-mails para evitar a usurpação de identidade. Esta assinatura baseia-se no princípio da triagem combinada com uma criptografia assimétrica.
Saiba como usar o DKIM e como configurá-lo para o seu serviço de e-mail.
Requisitos
- Ter acesso à secção de gestão do domínio na Área de Cliente OVHcloud ou na Área de Cliente, caso esteja registado fora da OVHcloud.
- Ter acesso à Área de Cliente OVHcloud.
- Ter adquirido uma das ofertas de correio eletrónico abaixo:
- MX Plan OVHcloud (disponível através de uma oferta de alojamento Web Cloud, um alojamento gratuito 100M ou uma oferta MX Plan encomendada separadamente).
- Exchange ou Private Exchange.
- E-mail Pro.
- Zimbra.
- Uma oferta de e-mail fora da OVHcloud que dispõe do DKIM.
Se o domínio não usar os servidores DNS da OVHcloud, a alteração DKIM deverá ser efetuada através da interface do agente responsável pela configuração do domínio.
Se o domínio for gerido pela OVHcloud, verifique se este utiliza a nossa configuração OVHcloud na Área de Cliente a partir do separador Zona DNS, depois de selecionado o domínio.
Instruções
Índice
- Como funciona o DKIM?
- Configurar o DKIM automaticamente para uma oferta de correio eletrónico OVHcloud
- Configurar o DKIM através da API para uma oferta de correio eletrónico OVHcloud
- Configurar DKIM para uma oferta de e-mail fora da sua conta OVHcloud
- Testar o seu DKIM
- Casos práticos
Como funciona o DKIM?
Para compreender bem por que o DKIM permite proteger os seus trocas de correio eletrónico, é necessário compreender como funciona. O DKIM utiliza o "hashing" e a "criptografia assimétrica" para criar uma assinatura segura. A plataforma de correio eletrónico e a zona DNS do seu nome de domínio ajudarão a transmitir as informações do DKIM aos seus destinatários.
A picadura
O princípio de uma função de picadura é gerar uma assinatura (também designada "pegada") a partir de um dado de entrada. O seu interesse é criar à saída uma sequência de caracteres fixa, independentemente da quantidade de dados à entrada.
No diagrama seguinte, pode constatar que a saída (Output) será sempre composta por 32 caracteres, utilizando um algoritmo de picadagem MD5 (Message Digest 5), enquanto o texto de entrada (Input) pode variar em tamanho. A menor variação no caráter do dado de entrada altera completamente a trituração à saída, o que torna a assinatura à saída imprevisível e infalsificável. No exemplo abaixo, o valor de entrada (Input) passou para o algoritmo de trituração MD5 e apresenta à saída (Output) o seu valor de trituração.
A função de triagem é útil quando deseja verificar a integridade de uma mensagem. Com efeito, dois dados que podem ser de aparência muito próximas apresentam um valor de picadura completamente diferente com um comprimento de caracteres igual à saída, qualquer que seja o comprimento de entrada.
A encriptação assimétrica
A encriptação, como o seu nome indica, tem como objetivo encriptar os dados que lhe são dados. É "assimétrica" porque a chave de encriptação não é a mesma que a chave de decifrar, ao contrário de uma encriptação simétrica que vai usar a mesma chave para encriptar e decifrar.
Na encriptação assimétrica, utilizamos uma chave pública e uma chave privada. A chave pública é visível e utilizável por todos. A chave privada só é utilizada por titular e não é visível de todos.
Existem duas utilizações da encriptação assimétrica:
- O dado de entrada é encriptado com a chave pública e decifrado por quem possui a chave privada. Por exemplo, deseja que um terceiro lhe transmita dados de forma segura. Transmite a sua chave pública sem se preocupar que alguém a recupere, este terceiro encriptará os seus dados com a sua chave pública. Os números só poderão ser decifrados pelo titular da chave privada.
- O dado de entrada é encriptado pelo titular da chave privada e decifrado pela chave pública. Esta utilização aplica-se para autenticar uma troca de dados. Por exemplo, os seus destinatários pretendem assegurar-se de que é o autor da mensagem que lhes transmite. Nesse caso, irá encriptar a sua mensagem com a sua chave privada. Esta mensagem só poderá ser decifrada através da chave pública que transmitir a todos, o que garante aos seus destinatários a autenticidade da sua mensagem. De facto, uma mensagem decifrada pela chave pública só pode provir do titular da chave privada.
Como é que a picadura e a encriptação assimétrica são utilizadas para o DKIM?
A partir da plataforma de e-mail, o DKIM vai utilizar a trituração para criar uma assinatura a partir de certos elementos do cabeçalho do e-mail e do corpo do e-mail (conteúdo do e-mail).
A assinatura é depois encriptada com a chave privada utilizando a encriptação assimétrica.
Porque é que precisamos de configurar os servidores DNS?
Para que o destinatário possa verificar a assinatura DKIM do remetente, precisará dos parâmetros DKIM e, sobretudo, da chave pública para a decifrar. A zona DNS de um nome de domínio é pública, pelo que é acrescentado um registo DNS para transmitir a chave pública e os parâmetros DKIM ao destinatário.
O que é um seletor DKIM
Quando ativa o DKIM, este funciona com um par de chave pública / chave privada. É possível atribuir vários pares de chaves ao seu domínio, no quadro de uma rotação, por exemplo. Com efeito, quando muda de par de chaves, o antigo par deve permanecer ativo enquanto o conjunto dos e-mails que enviou com a antiga chave não encontrar falha na verificação do DKIM no servidor de receção.
Para que este princípio de rotação funcione, vamos utilizar o que chamamos os seletores DKIM. Um seletor DKIM inclui um par de chave privada/chave pública. É visível sob a forma de um canal de caráter na assinatura DKIM de um e-mail pelo argumento s=. Esta assinatura é visível no cabeçalho do e-mail.
Exemplo de uma parte de assinatura DKIM
DKIM-Signature: v=1; a=rsa-sha256; d=mydomain.ovh; s=ovhex123456-selector1; c=relaxed/relaxed; t=1681877341;
O valor do seletor é aqui s=ovhex123456-seletor1.
Exemplo de um e-mail enviado utilizando o DKIM
Quando envia um e-mail a partir de contact@mydomain.ovh, é adicionada uma assinatura encriptada com a ajuda de uma chave privada (private key) no cabeçalho do e-mail.
O destinatário recipient@otherdomain.ovh poderá decifrar esta assinatura com a chave pública (Public key) visível na zona DNS de mydomain.ovh. A assinatura é criada a partir do conteúdo do e-mail enviado. Isto significa que, se o e-mail for modificado durante o trânsito, a assinatura não corresponderá ao conteúdo, provocando assim o fracasso da verificação DKIM no servidor destinatário.
Configurar o DKIM automaticamente para uma oferta de correio eletrónico OVHcloud
A configuração automática do DKIM está disponível para todas as nossas ofertas de correio eletrónico:
- MX Plan incluída com um alojamento Web Cloud, um alojamento gratuito 100M ou adquirida separadamente.
- Exchange.
- E-mail Pro.
- Zimbra.
Quando configura o seu nome de domínio numa solução de correio eletrónico OVHcloud, a configuração automática do DKIM é proposta e realizada por defeito se não a desativar.
Se o DKIM não foi ativado quando adicionou um nome de domínio à sua plataforma de correio eletrónico, terá de iniciar o processo de configuração automática através do espaço cliente.
Clique no separador seguinte da sua oferta.
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Clique em
MX Plan. - Selecione o domínio em questão.
- Por fim, aceda ao separador
Informações gerais.
No quadro Informações gerais, pode verificar que a etiqueta DKIM é vermelha sob a menção Diagnóstico.
Para ativar o DKIM, basta clicar no botão DKIM vermelho e depois em Ativar a partir da janela de ativação que aparece.
No caso em que o seu nome de domínio não seja gerido no mesmo espaço cliente OVHcloud que a sua plataforma de correio eletrónico ou esteja registado fora da OVHcloud, obtém a janela abaixo:
Esta janela convida-o a introduzir dois valores CNAME na zona DNS do nome de domínio, o que permite ligar este nome de domínio aos seletores DKIM do seu serviço de correio eletrónico. É necessário introduzir estes valores e assegurar-se de que estão propagados antes de clicar em Ativar.
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Na rubrica
MICROSOFT, clique emExchange. - Selecione a plataforma em causa.
- Por fim, aceda ao separador
Domínios associados.
À direita do domínio em causa, pode verificar que a etiqueta DKIM é vermelho.
Para ativar o DKIM, basta clicar no botão DKIM vermelho e depois em Ativar a partir da janela de ativação que aparece.
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Clique em
Email Pro. - Selecione a plataforma em causa.
- Por fim, aceda ao separador
Domínios associados.
À direita do domínio em causa, pode verificar que a etiqueta DKIM é vermelho.
Para ativar o DKIM, basta clicar no botão DKIM vermelho e depois em Ativar a partir da janela de ativação que aparece.
- Inicie sessão no seu espaço cliente OVHcloud.
- Dirija-se à secção
Web Cloud. - Clique em
Zimbra Mail. - Finalmente, vá ao separador
Domínio. - À direita do domínio em questão, clique em
⁝, depois emDiagnósticos.
À direita da menção DKIM no separador correspondente, deverá observar um aviso indicando que o DKIM está com defeito. Clique no separador DKIM para aceder ao estado da configuração DKIM. Para corrigir o erro, terá de adicionar ou modificar duas entradas DNS do tipo CNAME na zona DNS do nome de domínio associado, de acordo com as informações visíveis a partir deste separador.
Dica para criar um registo CNAME
A partir do espaço cliente OVHcloud onde está alojado o nome de domínio do seu serviço de correio eletrónico, na secção Web Cloud, clique em Nomes de domínio na coluna à esquerda e selecione o nome de domínio em questão.
Selecione o separador Zona DNS e clique em Adicionar uma entrada na janela que aparece. Escolha CNAME e preencha de acordo com os valores que registou.
A ativação automática do DKIM dura entre 30 minutos e 24 horas no máximo. Para verificar que o seu DKIM está funcional, basta voltar à rubrica de gestão do domínio mencionada nos separadores acima e verificar que o botão DKIM está verde ou, para uma oferta Zimbra, que o separador DKIM não apresenta mais o ícone de aviso.
Se a etiqueta DKIM for vermelha após 24 horas, consulte a secção "Porque é que o DKIM não está funcional e aparece a vermelho na Área de Cliente?" deste guia.
Configurar o DKIM através da API para uma oferta de correio eletrónico OVHcloud
Para uma plataforma Exchange ou E-mail Pro, deve primeiro recuperar a referência da sua plataforma para configurar o seu DKIM.
Clique no separador abaixo correspondente à sua oferta.
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Na rubrica
MICROSOFT, clique emExchange. - Selecione a plataforma em causa.
Por predefinição, o nome da plataforma corresponde à sua referência ou esta será visível sob o nome que lhe atribuiu (ver imagem abaixo).
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Clique em
Email Pro. - Selecione a plataforma em causa.
Por predefinição, o nome da plataforma corresponde à sua referência ou esta será visível sob o nome que lhe atribuiu (ver imagem abaixo).
Certifique-se também de que o domínio que pretende utilizar para os seus e-mails está ativo na rubrica Domínios associados.
API - Configuração completa do DKIM
Para configurar o DKIM, dirija-se à página das API OVHcloud e inicie sessão:
- Clique em
Authenticationno canto superior esquerdo. - Clique depois em
Login with OVHcloud SSO. - Introduza os seus identificadores OVHcloud.
- Clique no botão
Authorizepara autorizar as chamadas às API a partir deste site.
Consulte o nosso guia "Primeiros passos com as API OVHcloud" se nunca utilizou as API.
Dirija-se à secção /email/domain/ (ofertas MX Plan e Zimbra), /email/exchange (oferta Exchange) ou /email/pro (oferta E-mail Pro) das API e preencha "dkim" no campo Filter para mostrar apenas as funções API relativas ao DKIM.
Clique no separador da sua oferta:
Para MX Plan e Zimbra
Siga os 5 passos clicando sucessivamente em cada um dos 5 separadores seguintes:
Para ativar o DKIM no seu domínio, utilize a seguinte chamada API:
domain: introduza o nome de domínio associado ao seu serviço E-mail no qual deseja ativar o DKIM.
Clique em EXECUTE para iniciar a ativação.
Exemplo de resultado:
Deverá obter o mesmo resultado que no exemplo acima com a menção "status": "todo" indicando que o DKIM vai ser instalado.
Depois de iniciar o processo de ativação do DKIM, siga o estado da instalação para se certificar de que a instalação termina ou para recuperar os registos DNS se a sua zona DNS for gerida fora da Área de Cliente OVHcloud.
.
Para isso, utilize a seguinte chamada API:
domain: introduza o nome de domínio associado ao seu serviço E-mail.
Clique emEXECUTEpara visualizar o resultado.
Exemplo de resultado:
No exemplo acima, a última linha de estado "status": "modifying" significa que a configuração está em curso. Aguarde cerca de 10 minutos e repita a chamada API.
- se o valor for
"status": "enabled", a sua configuração está terminada e funcional. - se o valor for
"status": "disabled", a sua configuração deve ser completada manualmente, passe à etapa seguinte.
Deve configurar manualmente a zona DNS do seu domínio nos seguintes casos:
- o seu serviço E-mail está associado a um domínio que é gerido numa outra conta de cliente OVHcloud;
- o seu serviço de E-mail está associado a um domínio que é gerido noutro agente de registo.
Para configurar a sua zona DNS, deve recuperar os valores do registo DNS dos dois seletores. Para isso, utilize o resultado da chamada API da etapa anterior:
domain: introduza o nome de domínio associado ao seu serviço E-mail.
Clique em EXECUTE para visualizar o resultado.
Exemplo de resultado:
Os valores "status": "toSet" e "status": "disabled" significam que os registos CNAME devem ser configurados. Guarde os 2 valores cname num ficheiro de texto e passe à etapa seguinte.
A partir de Área de Cliente OVHcloud, na qual está alojado o nome de domínio do seu serviço de e-mail, no separador Web Cloud, clique em Domínios na coluna da esquerda e selecione o domínio em causa.
Aceda ao separador Zona DNS e clique em Adicionar uma entrada na janela que irá aparecer. Escolha "CNAME" e complete de acordo com os valores que obteve.
Decompõe-se os valores do exemplo na etapa "3. Obter o registo DNS":
ovhmo3456789-seletor1._domainkey.mydomain.ovhcorresponde ao subdomínio do registo CNAME. Apenas se guardaovhmo3456789-selector1._domainkeyporque o.mydomain.ovhjá está pré-preenchido.ovhmo3456789-seletor1._domainkey.123403.aj.dkim.mail.ovh.net.corresponde ao destino do registo. Deve conservar-se o ponto no final para apontar o valor.
Depois de inserir os valores, clique em Seguinte e em Validar.
Repita este processo para o segundo seletor.
Se configurar a sua zona DNS numa interface de terceiros fora da OVHcloud, o registo CNAME deve ter a seguinte forma:
Lembre-se de que a alteração de uma zona DNS está sujeita a um tempo de propagação. É geralmente curto, mas pode durar até 24 horas.
Após a propagação da sua configuração DNS, utilize novamente a seguinte chamada API para ativar o DKIM:
domain: introduza o nome de domínio associado ao seu serviço de e-mail no qual deseja ativar o DKIM.
Clique em EXECUTE para iniciar a ativação.
Exemplo de resultado:
- Se verificar os valores
"status": "set"nos 2 seletores, isso significa que eles estão bem configurados. - Se verificar os valores
"status": "toSet"nos 2 seletores, isso significa que as suas alterações DNS não são visíveis. Retomar no separador "4. Configurar o registo DNS". - Se verificar os valores
"status": "toFix"nos 2 seletores, isso significa que os registos CNAME foram detetados na zona DNS do seu domínio, mas que os valores estão incorretos. Retomar no separador "4. Configurar o registo DNS".
Realizou agora todas as operações para ativar o DKIM. Para verificar se o servidor está ativo, verifique o estado retornando ao separador da etapa "2. Verificar o estado da operação DKIM" para verificar que o valor status: está em enabled. Se este for o caso, o seu DKIM está ativo.
Para Exchange
Siga os 5 passos abaixo ao clicar em cada separador.
Antes de criar um dos seletores para o seu nome de domínio, deve recuperar o nome que lhe é atribuído automaticamente pela plataforma Exchange.
Para isso, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual deseja ativar o DKIM.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".
Exemplo de resultado:
Agora vai criar um seletor, gerar o seu par de chaves e o registo DNS associado ao nome de domínio.
Para isso, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual deseja ativar o DKIM.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1"."selectorName": no separador EXAMPLE da secção REQUEST BODY, introduza o nome de um seletor de alimentação que registou no passo anterior (exemplo: "ovhex123456-seletor1").
Exemplo de introdução:
Clique em EXECUTE para lançar a criação do seletor.
Aconselhamos que efetue esta operação duas vezes para cada um dos seletores anteriormente listados. O segundo seletor permitirá que você faça uma mudança de par de chaves quando for necessário. Sugerimos que consulte o nosso caso de utilização "Como alterar o par de chaves DKIM" quando pretender migrar para o segundo seletor.
Exemplo de resultado:
Deve configurar manualmente a zona DNS do seu domínio nos seguintes casos:
- a sua plataforma Exchange está associada a um nome de domínio gerido noutra conta de cliente OVHcloud;
- a sua plataforma Exchange está associada a um nome de domínio gerido noutro agente de registo;
Para configurar a zona DNS, deve recuperar os valores do registo DNS para cada seletor se tiver criado dois. Para isso, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual deseja configurar o DKIM.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".selectorName: introduza o nome do seletor que criou na etapa anterior.
Exemplo de resultado:
Obtenha os valores customerRecord e targetRecord em um arquivo de texto. Vá para a próxima fase.
É possível que o status: quer em todo, isto não afeta a configuração da sua zona DNS.
Do espaço cliente OVHcloud onde o nome do domínio do seu Plataforma Exchange, na guia Web Cloud, clique em Nomes de domínio na coluna da esquerda e selecione o nome de domínio relevante.
Dirija-se ao separador Zona DNS e clique em Adicionar uma entrada na janela que se abrir. Escolha o CNAME e introduza-o em função dos valores que tiver registado.
Se considerarmos os valores do exemplo na etapa "3. Recuperar o registo DNS":
customerRecord: "ovhex123456-selector1._domainkey.mydomain.ovh"corresponde ao subdomínio do registro CNAME. Apenas mantemosovhex123456-selector1._domainkeyporque o.mydomain.ovhjá está pré-preenchido.targetRecord: "ovhex123456-selector1._domainkey.1500.ab.dkim.mail.ovh.net"corresponde ao destino do registo. Adicionamos um ponto no final para pontuar o valor. Este endereço éovhex123456-selector1._domainkey.1500.ab.dkim.mail.ovh.net.
Depois de inserir os valores, clique em Seguinte e Validar.
Repita este processo para o segundo seletor, se o tiver criado.
Se configurar a zona DNS numa interface de terceiros fora da OVHcloud, o seu registo CNAME deve ter a seguinte forma:
Lembre-se de que uma alteração numa zona DNS está sujeita a um atraso de propagação. É geralmente curto, mas pode demorar até 24 horas.
Na secção API - Os diferentes estados do DKIM deste manual, verifique se o valor status: está bem em ready antes de poder ativar o DKIM.
Para ativar o DKIM, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual deseja ativar o DKIM.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".selectorName: introduza o nome do seletor que criou.
Exemplo de resultado:
Já realizou todas as operações para ativar o DKIM. Para assegurar que o servidor está ativo, consulte a secção API - Os diferentes estados do DKIM deste guia para verificar que o valor status: está bem em inProduction. Se for o caso, o seu DKIM está ativo.
Se tiver criado dois seletores, o segundo seletor deverá estar em status: "ready".
Para o E-mail Pro
Siga os 5 passos abaixo ao clicar em cada separador.
Antes de criar um dos seletores para o seu nome de domínio, deve recuperar o nome que lhe é atribuído automaticamente pela plataforma E-mail Pro.
Para isso, utilize a seguinte chamada API:
service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".domainName: introduza o nome de domínio associado à sua plataforma E-mail Pro na qual deseja ativar o DKIM.
Exemplo de resultado:
Agora vai criar um seletor, gerar o seu par de chaves e o registo DNS associado ao nome de domínio.
Aconselhamos que efetue esta operação duas vezes para cada um dos seletores anteriormente listados. O segundo seletor permitirá que você faça uma mudança de par de chaves quando for necessário. Sugerimos que consulte o nosso caso de utilização "Como alterar o par de chaves DKIM".
Para isso, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma E-mail Pro na qual deseja ativar o DKIM.service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1"."selectorName": No separador EXAMPLE da secção REQUEST BODY, introduza o nome de um seletor de cores que anotou na etapa anterior. (por exemplo: "ovhemp123456-seletor1").
Exemplo de introdução:
Clique em EXECUTE para lançar a criação do seletor.
Aconselhamos que efetue esta operação duas vezes para cada um dos seletores anteriormente listados. O segundo seletor permitirá que você faça uma mudança de par de chaves quando for necessário. Sugerimos que consulte o nosso caso de utilização "Como alterar o par de chaves DKIM" quando pretender migrar para o segundo seletor.
Exemplo de resultado:
Deve configurar manualmente a zona DNS do seu domínio nos seguintes casos:
- a sua plataforma E-mail Pro está associada a um domínio gerido noutra conta de cliente OVHcloud;
- a sua plataforma E-mail Pro está associada a um domínio gerido noutro agente de registo;
Para configurar a zona DNS, deve recuperar os valores do registo DNS para cada seletor se tiver criado dois. Para isso, utilize a seguinte chamada API:
service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".domainName: introduza o domínio associado à sua plataforma E-mail Proe na qual deseja configurar o DKIM.selectorName: introduza o nome do seletor que criou na etapa anterior.
Exemplo de resultado:
Obtenha os valores customerRecord e targetRecord em um arquivo de texto. Vá para a próxima fase.
É possível que o status: quer em todo, isto não afeta a configuração da sua zona DNS.
A partir da área cliente OVHcloud onde o nome do domínio do seu Plataforma E-mail Pro, na guia Web Cloud, clique em Nomes de domínio na coluna da esquerda e selecione o nome de domínio relevante.
Dirija-se ao separador Zona DNS e clique em Adicionar uma entrada na janela que se abrir. Escolha o CNAME e introduza-o em função dos valores que tiver registado.
Se considerarmos os valores do exemplo na etapa "3. Recuperar o registo DNS":
customerRecord: "ovhemp123456-selector1._domainkey.mydomain.ovh"corresponde ao subdomínio do registro CNAME. Apenas mantemosovhemp123456-selector1._domainkeyporque o.mydomain.ovhjá está pré-preenchido.targetRecord: "ovhemp123456-selector1._domainkey.1500.ab.dkim.mail.ovh.net"corresponde ao destino do registo. Adicionamos um ponto no final para pontuar o valor. Este endereço éovhemp123456-selector1._domainkey.1500.ab.dkim.mail.ovh.net.
Depois de inserir os valores, clique em Seguinte e Validar.
Repita este processo para o segundo seletor, se o tiver criado.
Se configurar a zona DNS numa interface de terceiros fora da OVHcloud, o seu registo CNAME deve ter a seguinte forma:
Lembre-se de que uma alteração numa zona DNS está sujeita a um atraso de propagação. É geralmente curto, mas pode demorar até 24 horas.
Na secção API - Os diferentes estados do DKIM deste manual, verifique se o valor status: está bem em ready antes de poder ativar o DKIM.
Para ativar o DKIM, utilize a seguinte chamada API:
service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".domainName: introduza o nome de domínio associado à sua plataforma E-mail Pro na qual deseja ativar o DKIM.selectorName: introduza o nome do seletor que criou.
Exemplo de resultado:
Já realizou todas as operações necessárias para ativar o DKIM. Para se assegurar que está bem ativado, consulte a secção "API - Os diferentes estados do DKIM" deste guia para verificar que o valor status: está bem em inProduction. Se for o caso, o seu DKIM está agora ativo.
Se criou dois seletores, o segundo seletor deverá estar em status: "ready".
API - Os diferentes estados do DKIM
Selecione a oferta de e-mail em questão nos separadores seguintes:
Quando efetuar as operações no DKIM da sua plataforma Email, utilize a chamada API abaixo para verificar o estado atual do DKIM.
domain: introduza o nome de domínio associado ao seu serviço E-mail no qual o DKIM deve estar presente.
De seguida, verifique o valor status: geral no resultado:
disabled: o DKIM está desativado, ainda não foi configurado ou foi desativado pela API.modifying: a configuração do DKIM está em curso, é necessário aguardar até ao fim do processo.toConfigure: a configuração do DKIM está aguardando os parâmetros DNS do domínio. Os registos DNS devem ser preenchidos manualmente na zona do domínio. Para isso, clique em etapa 4 de "a configuração completa do DKIM" para MX Plan e Zimbra.enabled: o DKIM está configurado e funcional.error: O processo de instalação encontrou um erro. Sugerimos que abra um ticket junto do suporte especificando o domínio em causa.
Ao nível dos seletores também tem 3 estados possíveis:
set: o seletor está bem configurado e ativo.toSet: o seletor não está configurado na zona DNS do domínio. Pressione etapa 4 "configuração completa do DKIM" para MX Plan e Zimbra.toFix: o seletor foi corretamente configurado na zona DNS do domínio, mas os valores estão incorretos. Pressione etapa 4 "configuração completa do DKIM" para MX Plan e Zimbra.
Aquando das suas operações no DKIM da sua plataforma Exchange, utilize a chamada API abaixo para verificar o estado atual do DKIM.
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual o DKIM deve estar presente.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".selectorName: introduza o nome do seletor que criou.
Verifique o valor status: no resultado:
todo: a tarefa foi iniciada, vai começar.WaitingRecord: os registos DNS estão a aguardar configuração ou a ser validados na zona DNS do domínio. É efetuada uma verificação automática regular para verificar se o registo DNS está presente e corretamente introduzido.ready: os registos DNS estão presentes na zona. O DKIM pode agora ser ativado.inProduction: o DKIM está bem configurado e ativado, pelo que está plenamente operacional.disabling: o DKIM está em curso de desativação.deleting: o DKIM está a ser eliminado.
Se encontrar o seguinte erro ao lançar a chamada API, isso significa que o seletor não existe ou foi eliminado. É preciso criá-lo.
Aquando das suas operações no DKIM da sua plataforma E-mail Pro, utilize a chamada API abaixo para verificar o estado atual do DKIM.
service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".domainName: introduza o domínio associado à sua plataforma E-mail Pro na qual o DKIM deve estar presente.selectorName: introduza o nome do selecionador que criou.
Verifique o valor status: no resultado:
todo: a tarefa foi iniciada, vai começar.WaitingRecord: os registos DNS estão a aguardar configuração ou a ser validados na zona DNS do domínio. É efetuada uma verificação automática regular para verificar se o registo DNS está presente e corretamente introduzido.ready: os registos DNS estão presentes na zona. O DKIM pode agora ser ativado.inProduction: o DKIM está bem configurado e ativado, pelo que está plenamente operacional.disabling: o DKIM está em curso de desativação.deleting: o DKIM está a ser eliminado.
Se encontrar o seguinte erro ao lançar a chamada API, isso significa que o seletor não existe ou foi eliminado. É preciso criá-lo.
API - Ativar ou alterar um seletor DKIM
O seletor DKIM deve estar no estado ready antes de poder ser ativado.
Selecione a oferta de e-mail em questão nos separadores seguintes:
Para ativar o DKIM, utilize a seguinte chamada API:
domain: introduza o nome de domínio associado ao seu serviço E-mail no qual o DKIM deve estar presente.
Exemplo de resultado:
Para ativar o DKIM num seletor, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange na qual deseja ativar o DKIM.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".selectorName: introduza o nome de um selecionador existente.
Para ativar o DKIM num seletor, utilize a seguinte chamada API:
domainName: introduza o domínio associado à sua plataforma E-mail Pro na qual o DKIM deve estar presente.selectorName: introduza o nome do selecionador que criou.service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".
Aquando de uma rotação de seletor DKIM, pode diretamente ativar o segundo seletor que criou para o migrar, conservando o primeiro seletor que ficará ativo enquanto todos os e-mails emitidos com este último forem bem analisados pelo destinatário.
API - Desativar e eliminar o DKIM
Para as ofertas Exchange e E-mail Pro
O seletor DKIM deve estar no estado in Production ou ready antes de poder ser desativado.
Selecione a oferta de e-mail em questão nos separadores seguintes:
Se deseja desativar o DKIM sem eliminar os seletores e o seu par de chaves, utilize a seguinte chamada API:
domain: introduza o nome de domínio associado ao seu serviço E-mail no qual o DKIM deve estar presente.
Exemplo de resultado:
Se deseja desativar o DKIM sem eliminar o seletor e o seu par de chaves, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".selectorName: introduza o nome do seletor que deseja desativar.
Se deseja eliminar o seletor DKIM e o seu par de chaves, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange.exchangeService: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou "private-zz11111-1".organizationName: introduza o nome da sua plataforma Exchange na forma "hosted-zz111111-1" ou ">>private-zz11111-1".selectorName: introduza o nome do seletor que deseja eliminar.
Se deseja desativar o DKIM sem eliminar o seletor e o seu par de chaves, utilize a seguinte chamada API:
domainName: introduza o domínio associado à sua plataforma E-mail Pro.selectorName: introduza o nome do seletor que deseja desativar.service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".
Se deseja eliminar o seletor DKIM e o seu par de chaves, utilize a seguinte chamada API:
domainName: introduza o domínio associado à sua plataforma E-mail Pro.selectorName: introduza o nome do seletor que deseja eliminar.service: introduza o nome da sua plataforma E-mail Pro sob a forma "emailpro-zz111111-1".
Configurar o DKIM para uma oferta de e-mail fora da sua conta OVHcloud
Se pretender configurar a zona DNS para adicionar um registo DKIM à sua oferta, siga as instruções abaixo.
Na Área de Cliente OVHcloud, clique no separador Web Cloud e, a seguir, em Nomes de domínio, na coluna da esquerda, e selecione o domínio em questão.
Clique no separador Zona DNS e em Adicionar uma entrada. Existem 3 formas de adicionar um registo para configurar o DKIM na sua zona DNS:
- um registo DKIM: configuração que permite visualizar o conjunto dos parâmetros de um registo DKIM.
- um registo TXT: registo a utilizar quando o conjunto dos parâmetros DKIM lhe tiver sido fornecido.
- um registo CNAME: registo utilizado para uma oferta de e-mail OVHcloud ou um servidor de e-mail Microsoft.
Registo DKIM
Este registo é designado DKIM na interface, mas na verdade é um registo TXT de saída. O registo DKIM tem por objetivo facilitar a leitura dos diferentes elementos de configuração do DKIM, apresentando-os sob a forma de casas independentes.
- Subdomínio: introduza o nome do seletor DKIM e adicione
._domainkeyem sufixo, o seu nome de domínio será adicionado automaticamente no final do processo.
exemplo:
-
Versão (v=): serve para indicar a versão do DKIM. Recomenda-se a sua utilização e o seu valor predefinido é
DKIM1.
Se especificado, esta etiqueta deve ser colocada em primeiro lugar no registo e deve ser igual a "DKIM1" (sem as aspas). Os registos que comecem com uma tag "v=" com outro valor devem ser ignorados. -
Granularidade (g=): permite especificar a parte "local-part" de um endereço de e-mail, ou seja, a parte situada antes de "@".
Permite especificar o endereço de e-mail ou os endereços de e-mail que estão autorizados a assinar uma mensagem eletrónica com a chave DKIM do seletor.
O valor predefinido de "g=" é "*", o que significa que todos os endereços de e-mail estão autorizados a utilizar a chave de assinatura DKIM.
Ao indicar um valor específico para "g=", pode limitar-se a utilização da chave a uma parte local de um endereço de e-mail específico ou a um intervalo de endereços de e-mail específicos, utilizando caracteres genéricos (por exemplo: "*-group"). -
Algoritmo (hash) (h=): permite especificar os algoritmos de triagem utilizados para assinar os cabeçalhos de e-mail. Esta baliza permite definir uma lista de algoritmos de picadura que serão utilizados para gerar uma assinatura DKIM para uma determinada mensagem.
-
Tipo de chave (k=): especificar o algoritmo de assinatura utilizado para assinar as mensagens eletrónicas saídas. Permite aos destinatários saber como a mensagem foi assinada e qual o método utilizado para verificar a sua autenticidade.
Os valores possíveis para a tag "k=" incluem "rsa" para o algoritmo de assinatura RSA e "ed25519" para o algoritmo de assinatura Ed25519. A escolha do algoritmo depende da política de segurança do remetente e da tomada a cargo pelo destinatário. -
Notas (n=): serve para incluir notas de interesse para os administradores que gerem o sistema de chaves DKIM.
Estas notas podem ser úteis por razões de documentação ou para ajudar os administradores a compreender ou a gerir o funcionamento da DKIM. As notas incluídas em n= não são interpretadas pelos programas nem afetam o funcionamento do DKIM. -
Chave pública (base64) (p=): utilizada para introduzir os dados de chave pública DKIM, que são codificados na base64.
Esta etiqueta é obrigatória na assinatura DKIM e permite aos destinatários da assinatura recuperar a chave pública necessária para verificar a autenticidade da mensagem assinada. -
Revogar a chave pública: se uma chave pública DKIM tiver sido revogada (por exemplo, em caso de comprometimento da chave privada), deve ser utilizado um valor vazio para a etiqueta "p=", indicando que esta chave pública deixou de ser válida. Os destinatários devem, então, enviar um erro para qualquer assinatura DKIM que faça referência a uma chave revogada.
-
Tipo de serviço (s=)c: A localização "s=" (Service Type) é opcional e não está presente por predefinição. Permite especificar o(s) tipo(s) de serviços aos quais se aplica este registo DKIM.
Os tipos de serviços são definidos utilizando uma lista de palavras-chave separadas por dois pontos ":".
O destinatário deve ignorar este registo se o tipo de serviço adequado não estiver registado.
A baliza "s=" destina-se a restringir a utilização das chaves para outros fins, no caso de a utilização do DKIM ser definida para outros serviços no futuro.
Os tipos de serviços atualmente definidos são "*" (todos os tipos de serviços), "e-mail" (correio eletrónico). -
Modo de teste (t=y): permite aos titulares do domínio testar a implementação do DKIM sem correr o risco de ver as mensagens rejeitadas ou marcadas como SPAM se a verificação de assinatura DKIM falhar.
Quando se utiliza a flag "t=y", o destinatário não deve tratar de forma diferente as mensagens assinadas em modo de teste e as mensagens não assinadas. No entanto, o destinatário pode seguir o resultado do método de teste para ajudar os signatários. -
Subdomínios (t=s): permite restringir a utilização da assinatura DKIM apenas ao nome de domínio (por exemplo: @mydomain.ovh) ou permitir o envio a partir do nome de domínio e dos seus subdomínios (por exemplo: @mydomain.ovh, @test.mydomain.ovh, @other.mydomain.ovh, etc.).
Registo TXT
Trata-se do tipo de registo nativo utilizado para configurar o DKIM na zona DNS do seu domínio. É necessário dominar bem a sintaxe para completá-la.
Este tipo de configuração DKIM é aconselhado quando as informações a introduzir lhe foram comunicadas pelo fornecedor do serviço de e-mail.
Para compreender a composição do registo DKIM, consulte a secção anterior deste manual intitulada "Registo DKIM".
Exemplo de um registo DKIM
- subdomínio:
- alvo:
Registo CNAME
O registo CNAME é um alias. Isto significa que o valor-alvo remete para um URL que fornecerá ele próprio o registo DKIM ao servidor que interrogará o registo CNAME. Este tipo de registo CNAME para configurar o DKIM é frequente no quadro da utilização de um servidor de e-mail Microsoft.
Tem exatamente o tipo de registo utilizado para ativar o DKIM num nome de domínio declarado para uma oferta Exchange OVHcloud. Este procedimento permite ao seu fornecedor de soluções de e-mail gerir por si a segurança e a atualização do DKIM. Este processo permite ao seu fornecedor de soluções de e-mail gerir a segurança e a atualização do DKIM para si.
Testar o seu DKIM
Aconselhamos que envie um e-mail a partir de uma conta da sua plataforma Exchange para um endereço de e-mail que verifique a assinatura DKIM aquando da receção.
Pode consultar o cabeçalho do e-mail recebido:
ARC-Authentication-Results: i=1; mx.example.com;
dkim=pass header.i=@mydomain.ovh header.s=ovhex123456-selector1 header.b=KUdGjiMs;
spf=pass (example.com: domain of test-dkim@mydomain.ovh designates 54.36.141.6 as permitted sender) smtp.mailfrom=test-dkim@mydomain.ovh
Return-Path: <test-dkim@mydomain.ovh>
Para obter o cabeçalho de um e-mail, consulte o nosso manual "Obter o cabeçalho de um e-mail".
Casos de utilização
Como e porquê alterar o par de chaves DKIM?
Esta questão só é aplicável às ofertas Exchange e E-mail Pro.
Quando ativar pela primeira vez o DKIM no seu serviço de e-mail, é possível criar 2 seletores, cada um contendo um par de chaves. O segundo seletor serve de sucessor ao que está em curso de utilização.
Para evitar tentativas de desencriptação da chave DKIM, é aconselhável alterar regularmente o par de chaves. Para isso, certifique-se de que configurou corretamente os seus 2 seletores, verificando que o primeiro está em status inProductione o segundo em status ready. Você pode verificar este status consultando a secção "API - Os diferentes estados do DKIM".
Clique no separador seguinte da sua oferta.
Para migrar para o segundo seletor, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma Exchange.exchangeService: introduza o nome da sua plataforma Exchange que se apresenta sob a forma "hosted-zz111111-1" ou "private-zz111111-1".organizationName: introduza o nome da sua plataforma Exchange que se apresenta sob a forma "hosted-zz111111-1" ou "private-zz111111-1".seletorName: introduza o nome do seletor no qual pretende migrar.
Para migrar para o segundo seletor, utilize a seguinte chamada API:
domainName: introduza o nome de domínio associado à sua plataforma E-mail Pro na qual o DKIM deve estar presente.service: introduza o nome da sua plataforma E-mail Pro que se apresenta sob a forma "emailpro-zz111111-1".seletorName: introduza o nome do seletor no qual pretende migrar.
Depois de passar para o novo seletor, mantenha o antigo durante 7 dias antes de o eliminar e de criar um novo.
Porque é que o DKIM não está funcional e aparece a vermelho na Área de Cliente?
Esta questão só é aplicável às ofertas Exchange e E-mail Pro.
Poderá verificar que os seus e-mails não estão assinados pelo DKIM, apesar da sua ativação ou da sua parametrização. Em primeiro lugar, aceda à Área de Cliente para verificar o estado do DKIM.
Clique no separador abaixo correspondente à sua oferta para verificar o estado do DKIM na sua plataforma de e-mail.
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Na rubrica
MICROSOFT, clique emExchange. - Selecione a plataforma em causa.
- Por fim, aceda ao separador
Domínios associados.
Na rubrica Domínios associados, verifique a cor do ícone DKIM à direita do domínio em questão (ver a imagem abaixo).
- Aceda à Área de Cliente OVHcloud.
- Aceda à secção
Web Cloud. - Clique em
Email Pro. - Selecione a plataforma em causa.
- Por fim, aceda ao separador
Domínios associados.
Na rubrica Domínios associados, verifique a cor do ícone DKIM à direita do domínio em causa (ver imagem abaixo).
Eis os 4 estados que têm por resultado o ícone DKIM a vermelho na sua Área de Cliente. Clique no separador correspondente ao seu código de erro:
"Only one dkim seletor has been initialized"
Apenas um seletor DKIM está presente na sua configuração. Para nos permitir mudar para uma nova chave, quando necessário, é necessário configurar os 2 seletores fornecidos pelo serviço.
Para corrigir este erro:
- Verifique o estado dos seletores DKIM para identificar o que deve ser configurado. Para isso, consulte a secção "API - Os diferentes estados do DKIM" deste guia.
- Depois de identificar o seletor a configurar, siga as etapas da secção "API - Configuração completa do DKIM" neste guia, de acordo com a sua oferta (Exchange ou E-mail Pro), aplicando-a apenas ao seletor em questão. Aguarde até 24 horas após a configuração do seletor.
"One DKIM configuration task is in error"
Ocorreu um erro aquando da configuração do DKIM. Se a sua configuração ainda estiver nesse estado, após 24 horas, convidamo-lo a abrir um ticket junto do suporte.
"CNAME record is wrong"
O valor do registo CNAME necessário para a configuração do DKIM não foi introduzido corretamente. Deve configurar corretamente a zona DNS do nome de domínio associado.
Para configurar a zona DNS, recupere os valores do registo CNAME que se apresenta:
Usando o exemplo da captura acima, o domínio é "mydomain.ovh" e é necessário configurar o seletor "2". Aqui, é preciso adicionar um registo CNAME que tem por subdomínio o valor ovhex1234567-selector2.domainkey.mydomain.ovh e como alvo ovhex1234567-selector2.domainkey.7890.dkim.mail.ovh.net.
Depois de configurar a sua zona DNS, aguarde o tempo da propagação DNS (24h no máximo)
"One CNAME record is missing"
Falta o valor do registo CNAME necessário para a configuração do DKIM. Deve configurar a zona DNS do nome de domínio associado.
Para configurar a zona DNS, recupere os valores do registo CNAME que se apresenta:
Usando o exemplo da captura acima, o domínio é "mydomain.ovh" e é necessário configurar o seletor "2". Aqui, é preciso adicionar um registo CNAME que tem por subdomínio o valor ovhex1234567-seletor2.domainkey.mydomain.ovh e como alvo ovhex1234567-selector2.domainkey.890123.dkim.mail.ovh.net.
Depois de configurar a sua zona DNS, aguarde o tempo da propagação DNS (24h no máximo)
A partir da interface API OVHcloud, como compreender o estado do DKIM que não funciona?
Se utilizar as API da OVHcloud para configurar o seu DKIM e este não estiver funcional, consulte a secção "API - Os diferentes estados do DKIM" deste guia para identificar o estado dos seus seletores.
Abaixo irá encontrar os estados que podem bloquear o funcionamento do seu DKIM e a solução adequada a cada situação.
WaitingRecord: os registos DNS estão a aguardar uma configuração ou em curso de validação na zona DNS do domínio. É efetuada uma verificação automática regular para verificar se o registo DNS está presente e corretamente indicado. Consoante a sua oferta, siga a etapa 5 na secção "API - Configuração completa do DKIM" para configurar corretamente a zona DNS do domínio em questão.ready: os registos DNS estão presentes na zona. O DKIM pode agora ser ativado. Basta que ative o seletor recorrendo à secção "API - Ativar ou alterar um seletor DKIM".deleting: o DKIM está em curso de eliminação. Após a eliminação, deverá seguir a secção "API - Configuração completa do DKIM".disabling: o DKIM está em curso de desativação. Após esta operação, poderá ativar o seletor recorrendo à secção "API - Ativar ou alterar um seletor DKIM".todo: a tarefa foi inicializada e deverá iniciar-se. Acima das 24 horas, se o seletor ainda estiver nesse estado, convidamo-lo a abrir um ticket junto do suporte especificando o número do seletor em causa.
disabled: O DKIM está desativado, ainda não foi configurado ou foi desativado pela API.modifying: A configuração do DKIM está em curso, é necessário aguardar até ao fim do processo.toConfigure: A configuração do DKIM está aguardando os parâmetros DNS do domínio. Os registos DNS devem ser preenchidos manualmente na zona do domínio. Para isso, clique na etapa "API - Configuração completa do DKIM" deste guia.error: O processo de instalação encontrou um erro. Sugerimos que abra um ticket junto do suporte especificando o domínio em causa.
Ao nível dos seletores também possui 2 estados relativos a um erro:
toSet: o seletor não está configurado na zona DNS do domínio. Pressione etapa 4 "configuração completa do DKIM" para MX Plan e Zimbra.toFix: o seletor foi corretamente configurado na zona DNS do domínio, mas os valores estão incorretos. Pressione etapa 4 "configuração completa do DKIM" para MX Plan e Zimbra.
Saiba mais
Fale com nossa comunidade de utilizadores.
Melhorar a segurança dos e-mails através do registo SPF
3538