Quando você envia e-mails do Outlook ou de um locatário do Microsoft 365, os destinatários podem ver falhas de DKIM nos cabeçalhos. Isso geralmente acontece porque o valor do seletor DKIM no e-mail não corresponde à chave pública publicada no DNS do seu domínio. A incompatibilidade faz com que os servidores de e-mail de destino marquem suas mensagens como suspeitas ou as entreguem na caixa de spam. Este artigo explica por que ocorre a incompatibilidade do seletor DKIM em e-mails de saída enviados pelo Outlook e Microsoft 365 e fornece as etapas exatas para corrigir os cabeçalhos para que suas mensagens passem na autenticação.
Principais Conclusões: Corrigindo Incompatibilidade de Seletor DKIM no Outlook e Microsoft 365
- Portal do Microsoft 365 Defender > Email e Colaboração > Políticas e Regras > Políticas de Ameaças > DKIM: Localize o nome exato do seletor usado pelo Microsoft 365 para seu domínio.
- Provedor de hospedagem DNS > Registro TXT para selector2._domainkey.seudominio.com: Certifique-se de que o registro CNAME aponte para selector2-seudominio-com._domainkey.seudominio.onmicrosoft.com com o valor correto.
- Cliente desktop do Outlook > Arquivo > Configurações de Conta > Configurações de Conta > Alterar > Mais Configurações > Servidor de Saída: Verifique se a autenticação SMTP corresponde à caixa de correio usada para assinatura DKIM.
Por que Ocorre uma Incompatibilidade de Seletor DKIM em E-mails de Saída
O DKIM usa uma string de seletor no cabeçalho do e-mail para informar ao servidor de destino qual chave pública recuperar do DNS. O Microsoft 365 usa dois seletores padrão: selector1 e selector2. Quando você ativa o DKIM para um domínio personalizado, o Microsoft 365 gera registros CNAME que devem ser adicionados à sua zona de DNS. A incompatibilidade acontece quando o seletor no cabeçalho do e-mail de saída não corresponde ao registro DNS publicado. Isso pode ocorrer se:
Seletor Não Adicionado ao DNS
Se você ativou o DKIM no portal do Microsoft 365 Defender, mas nunca adicionou os registros CNAME ao seu provedor de DNS, o seletor no cabeçalho não terá uma chave pública correspondente. Os servidores de destino veem uma assinatura DKIM quebrada e reprovam na verificação.
Seletor Errado no Registro DNS
Alguns administradores copiam o destino CNAME errado ou usam um serviço DKIM de terceiros que substitui o seletor padrão. Se o nome do seletor no registro DNS não corresponder a selector1-seudominio-com._domainkey.seudominio.onmicrosoft.com ou selector2-seudominio-com._domainkey.seudominio.onmicrosoft.com, ocorre a incompatibilidade.
Relé SMTP Sem Assinatura DKIM
Quando você envia e-mails por meio de um relé SMTP que não usa o Microsoft 365 para assinar o cabeçalho DKIM, o seletor pode estar vazio ou apontar para uma chave inexistente. Clientes desktop do Outlook configurados com autenticação SMTP podem ignorar completamente o pipeline de assinatura DKIM do Microsoft 365.
Etapas para Corrigir a Incompatibilidade do Seletor DKIM no Microsoft 365 e Outlook
Siga estas etapas em ordem. Você precisa de acesso ao portal do Microsoft 365 Defender e ao seu provedor de hospedagem DNS.
- Abra o portal do Microsoft 365 Defender
Acesse https://security.microsoft.com e faça login com uma conta de Administrador Global ou Administrador de Segurança. Na navegação à esquerda, expanda Email e Colaboração e selecione Políticas e Regras. Em seguida, clique em Políticas de Ameaças e escolha DKIM na lista. - Localize seu domínio e anote o seletor
Na página DKIM, encontre seu domínio personalizado na coluna Domínio. Clique no nome do domínio para abrir seus detalhes. Em Assinatura DKIM, você verá dois seletores: selector1 e selector2. Anote o nome exato do seletor que mostra Assinatura habilitada. - Copie os valores CNAME corretos
No mesmo painel de detalhes do domínio, procure a seção Registros CNAME. Copie os dois registros CNAME exatamente como exibidos. Por exemplo:selector1-seudominio-com._domainkey.seudominio.onmicrosoft.comselector2-seudominio-com._domainkey.seudominio.onmicrosoft.com - Adicione os registros CNAME ao seu provedor de DNS
Faça login no seu provedor de hospedagem DNS (GoDaddy, Cloudflare, Namecheap, etc.). Navegue até os registros DNS do seu domínio. Adicione dois novos registros CNAME com estes valores:
– Nome do host:selector1._domainkeyeselector2._domainkey
– Destino: os valores CNAME completos copiados na etapa 3
– TTL: 3600 segundos ou o padrão
Salve os registros. A propagação do DNS pode levar até 30 minutos. - Verifique se os registros DKIM estão publicados
Use uma ferramenta de consulta DNS comonslookupou um verificador DKIM online. Execute este comando no prompt de comando:nslookup -type=TXT selector2._domainkey.seudominio.com
A resposta deve mostrar um destino apontando paraselector2-seudominio-com._domainkey.seudominio.onmicrosoft.com. Se retornar qualquer outra coisa, a incompatibilidade persiste. - Ative a assinatura DKIM no portal do Defender
De volta às configurações DKIM do seu domínio, alterne Assinar mensagens para este domínio com assinaturas DKIM para Ativado para ambos os seletores. Clique em Publicar ou Salvar. O Microsoft 365 agora assina os e-mails de saída com o seletor correto. - Teste o e-mail de saída do Outlook
Envie um e-mail de teste do seu cliente desktop Outlook ou do Outlook na web para um endereço Gmail ou Yahoo. Abra a mensagem recebida e visualize os cabeçalhos completos. Procure pelo cabeçalho DKIM-Signature. O valor s= deve corresponder ao seletor que você ativou. Exemplo:s=selector2.
Se o Outlook Ainda Tiver Problemas de DKIM Após a Correção Principal
Relé SMTP do Outlook Envia E-mails Sem Assinatura DKIM
Se você usa o Outlook com um servidor SMTP que não é o Microsoft 365, a assinatura DKIM pode estar ausente. Para corrigir isso, configure o Outlook para enviar através do SMTP do Microsoft 365: smtp.office365.com na porta 587 com TLS. No Outlook, vá em Arquivo > Configurações de Conta > Configurações de Conta, selecione sua conta, clique em Alterar e depois em Mais Configurações. Na guia Servidor de Saída, marque Meu servidor de saída (SMTP) requer autenticação e selecione Usar as mesmas configurações do meu servidor de e-mail de entrada. Na guia Avançado, defina a porta do servidor de saída como 587 e escolha TLS.
Seletor DKIM Mostra um Valor de Terceiros
Se você usou anteriormente um gateway de segurança de e-mail de terceiros, o seletor DKIM pode estar definido para um valor como s=spf ou s=google. Remova os registros CNAME antigos para selector1._domainkey e selector2._domainkey do seu DNS. Adicione os registros CNAME do Microsoft 365 conforme descrito na seção passo a passo. Em seguida, desative e reative a assinatura DKIM no portal do Defender.
Assinatura DKIM Mostra Múltiplos Seletores
Alguns sistemas de e-mail adicionam uma segunda assinatura DKIM de um serviço de terceiros. Isso causa incompatibilidade se o segundo seletor não estiver publicado. Verifique os cabeçalhos do seu e-mail em busca de várias linhas DKIM-Signature. Remova qualquer configuração DKIM de terceiros no seu DNS e desative a assinatura DKIM no serviço externo. Mantenha apenas as assinaturas do Microsoft 365.
Tipos de Seletor DKIM no Microsoft 365: Padrão vs Personalizado
| Item | Seletor Padrão (selector1 ou selector2) | Seletor Personalizado (terceiros) |
|---|---|---|
| Descrição | Gerado automaticamente pelo Microsoft 365 para seu domínio | Criado manualmente por um administrador ou serviço de terceiros |
| Onde configurar | Configurações DKIM do portal do Microsoft 365 Defender | Provedor de DNS e gateway de e-mail de terceiros |
| Formato CNAME | selector1-seudominio-com._domainkey.seudominio.onmicrosoft.com | Varia conforme o provedor, ex.: s1._domainkey.seudominio.com |
| Controle de assinatura DKIM | Gerenciado pelo Microsoft 365 | Gerenciado pelo serviço de terceiros |
| Risco de incompatibilidade | Baixo se os registros DNS estiverem corretos | Alto se os registros DNS estiverem desatualizados ou ausentes |
Uma incompatibilidade de seletor DKIM impede que seus e-mails de saída passem nas verificações de autenticação. Ao garantir que os registros CNAME no seu DNS correspondam aos seletores ativados no portal do Microsoft 365 Defender, você restaura a assinatura DKIM correta. Após corrigir os cabeçalhos, verifique a assinatura DKIM em um e-mail de teste usando o parâmetro s=. Para monitoramento contínuo, ative os relatórios DKIM no portal do Defender em Email e Colaboração > Políticas e Regras > Políticas de Ameaças > DKIM > Domínio > Relatórios DKIM para receber relatórios diários sobre falhas de assinatura.