Jak znaleźć selektor DKIM i zarządzać kluczami DKIM

Czym zajmuje się uwierzytelnianie wiadomości e-mail? Blokuje ono fałszywe wiadomości, ale odgrywa również kluczową rolę w ochronie reputacji marki i zapewnianiu, że legalne wiadomości e-mail faktycznie docierają do skrzynki odbiorczej. Spośród podstawowych protokołów uwierzytelniania wyróżnia się DKIM, który dodaje podpis kryptograficzny do każdej wiadomości, potwierdzając, że nie została ona zmieniona podczas przesyłania.

W centrum DKIM znajduje się selektor DKIM. Chociaż często jest on pomijany, selektor określa, którego klucza publicznego powinny używać serwery odbiorcze do weryfikacji podpisu wiadomości e-mail, co sprawia, że jest on niezbędny do pomyślnego uwierzytelniania DKIM w różnych strumieniach poczty i u różnych dostawców.

W tym blogu omówimy wszystko, co należy wiedzieć o selektorach DKIM, oraz sposoby rozwiązywania typowych błędów, które mogą zakłócić proces uwierzytelniania i wpłynąć na dostarczalność wiadomości.

Co to jest Selektor DKIM?

Selektor DKIM to unikalny identyfikator używany w uwierzytelnianiu DKIM, który informuje serwery pocztowe odbiorców, który klucz publiczny należy pobrać z DNS w celu weryfikacji podpisu DKIM wiadomości e-mail. Pozwala to domenie na jednoczesne używanie wielu kluczy DKIM, co ułatwia rotację kluczy i zarządzanie nimi bez zakłócania dostarczania wiadomości e-mail.

Przykład:

Podpis DKIM: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Tutaj s= oznacza selektor. W tym przykładzie s=selektor1 nakazuje serwerowi wysłanie zapytania:
selektor1._domainkey.example.com

Jak działa uwierzytelnianie DKIM (krok po kroku)

Jak wyjaśniono powyżej, DKIM działa poprzez dodawanie podpisu kryptograficznego do każdej wychodzącej wiadomości e-mail wysyłanej z domeny obsługującej DKIM.

• Krok 1: Serwer wysyłający podpisuje wychodzącą wiadomość e-mail za pomocą prywatnego klucza kryptograficznego. Podpis ten jest dodawany do nagłówka wiadomości e-mail wraz z selektorem DKIM, który identyfikuje użyty klucz.
• Krok 2: Serwer poczty odbiorczej wyszukuje klucz publiczny. Odbywa się to poprzez wysłanie zapytania do serwera DNS przy użyciu selektora.
• Krok 3: Po znalezieniu klucza publicznego serwer odbiorczy używa go do weryfikacji podpisu w nagłówku wiadomości e-mail. Jeśli podpis jest zgodny, DKIM przechodzi pomyślnie, potwierdzając, że wiadomość nie została zmodyfikowana podczas przesyłania i została autoryzowana przez domenę wysyłającą.

Należy jednak pamiętać, że DKIM działa najlepiej w połączeniu z SPF i DMARC i nie może samodzielnie zapobiegać atakom spoofingu i phishingu.

Jak znaleźć swój selektor DKIM?

Metoda A: Sprawdź nagłówki wiadomości e-mail (ręcznie)

1) Wyślij wiadomość testową na swoje konto Gmail
2) Kliknij trzy kropki obok wiadomości e-mail w skrzynce odbiorczej Gmaila

3) Wybierz "pokaż oryginał"

4) Na stronie "Oryginalna wiadomość" przejdź na dół strony do sekcji podpisu DKIM i spróbuj zlokalizować tag "s=", wartość tego tagu jest twoim selektorem DKIM.

W powyższym przykładzie, s1 jest moim selektorem DKIM. To jest jedna z metod, których możesz użyć do zidentyfikowania i zlokalizowania swojego.

Metoda B: Użyj ustawień dostawcy poczty elektronicznej

Krok 1: Zaloguj się do konsoli administracyjnej dostawcy usług poczty elektronicznej.

Krok 2: Przejdź do sekcji uwierzytelniania poczty e-mail lub konfiguracji DNS.
Krok 3: Znajdź ustawienia DKIM dla swojej domeny.
Krok 4: Zidentyfikuj wartość selektora wymienioną w rekordzie DKIM TXT.

Metoda C: Korzystanie z narzędzi DKIM Lookup/Checker

Krok 1: Otwórz narzędzie PowerDMARC DKIM Checker.

Krok 2: Wprowadź nazwę domeny i pozostaw pole wyboru w pozycji „auto”.

Krok 3: Wpisz adres
Krok 4: Pozwól naszemu narzędziu automatycznie wykryć i wyświetlić Twój selektor DKIM

Metoda D: Korzystanie z narzędzi monitorujących DMARC

Narzędzia do raportowania DMARC, takie jak PowerDMARC, zapewniają wgląd w selektory DKIM aktywnie wykorzystywane przez źródła wysyłające.

Krok 1: Włącz agregowane raportowanie DMARC dla swojej domeny, rejestrując się w serwisie PowerDMARC.
Krok 2: Przejrzyj wyniki uwierzytelniania dla każdego źródła wysyłającego.
Krok 3: Zidentyfikuj wartości selektora DKIM zgłoszone dla każdego źródła i adresu IP.

Jak skonfigurować i opublikować selektor DKIM

Prawidłowa konfiguracja selektora DKIM ma kluczowe znaczenie dla uwierzytelniania wiadomości e-mail, reputacji nadawcy i długoterminowej dostarczalności. Nieprawidłowo skonfigurowany selektor może całkowicie uniemożliwić działanie DKIM, nawet jeśli sam klucz jest prawidłowy.

Wymagany format i składnia rekordu DNS

Rekord DKIM jest publikowany jako rekord TXT w DNS przy użyciu następującej struktury: selector._domainkey.twojadomena.com

Przykład: s1._domainkey.example.com

Wartość zazwyczaj obejmuje:

• v=DKIM1 (wersja protokołu)
• k=rsa (typ klucza)
• p= (klucz publiczny)

Przykładowa wartość: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Upewnij się, że dostawca DNS nie dodał żadnych dodatkowych spacji, cudzysłowów ani znaków końca linii.

Zalecenia dotyczące długości klucza (2048 bitów)

• Zdecydowanie zaleca się stosowanie kluczy DKIM o długości 2048 bitów.
• Klucze 1024-bitowe są przestarzałe i mogą nie przejść procesu uwierzytelniania u głównych dostawców poczty elektronicznej.
• Dłuższe klucze zwiększają siłę kryptograficzną bez wpływu na wydajność.

Większość nowoczesnych platform pocztowych domyślnie stosuje klucze 2048-bitowe. Zaleca się pozostawienie tej opcji włączonej, chyba że istnieją poważne powody techniczne, aby tego nie robić.

Publikowanie za pośrednictwem panelu dostawcy DNS

1. Zaloguj się do swojego dostawcy usług hostingowych DNS.
2. Dodaj nowy rekord TXT
3. Ustaw host/nazwę jako selektor DKIM
4. Wklej klucz publiczny DKIM w polu wartości.
5. Zapisz i poczekaj na propagację
6. Sprawdź swoją konfigurację DKIM za pomocą naszego narzędzia DKIM Checker.

Konwencje nazewnictwa selektorów DKIM i przykłady

Wybór odpowiedniej nazwy selektora poprawia przejrzystość, skalowalność i długoterminową konserwację.

Typowe wzorce selektorów

Często używane formaty to: s1, s2, selector1 oraz domyślne ustawienia dostawców, takie jak google, k1, smtp, mail. Chociaż działają one bez zarzutu, często brakuje im kontekstu i mogą być trudne do śledzenia.

Najlepsza praktyka: opisowe nazwy selektorów

Zamiast tego należy używać selektorów wskazujących usługę i okres czasu, takich jak: google2025, sendgrid_q1, marketing_2024. Są one znacznie łatwiejsze do zapamiętania i śledzenia, zapewniają dokładny kontekst, pozostawiając niewiele miejsca na domysły, a jednocześnie są bezpieczne.

Zarządzanie selektorem DKIM

Jednym z najczęściej pomijanych aspektów DKIM jest zarządzanie selektorami w czasie. Selektory powinny być traktowane jako zarządzane zasoby, a nie jednorazowe wpisy DNS, o których zapomina się po skonfigurowaniu.
Prowadzenie dokumentacji jest prostą, ale skuteczną praktyką. Podstawowy arkusz kalkulacyjny lub wewnętrzny dziennik mogą skutecznie śledzić selektory i harmonogramy rotacji. Zapobiega to nieporozumieniom, gdy klucze wymagają rotacji lub gdy usługa wysyłania zostaje wycofana.
Wystarczy prowadzić prosty system śledzenia (CSV, arkusz kalkulacyjny lub wewnętrzny dziennik) zawierający:

• Nazwa selektora
• Domena
• Usługa wysyłkowa
• Długość klucza
• Data utworzenia
• Harmonogram rotacji
• Właściciel/zespół

Cykl życia selektora DKIM

Każdy selektor DKIM powinien mieć jasno określony cykl życia. Rozpoczyna się on od planowania, podczas którego definiuje się konwencje nazewnictwa i harmonogramy rotacji.
Zdrowy cykl życia obejmuje:

1. Plan: zdefiniowanie strategii nazewnictwa i rotacji
2. Opublikuj: dodaj rekord DNS i sprawdź poprawność
3. Obróć: wprowadź nowy selektor i klucz
4. Wycofanie z eksploatacji: bezpieczne usuwanie nieużywanych selektorów

Najlepsze praktyki dotyczące selektorów DKIM

Aby utrzymać poprawne działanie selektora DKIM, warto stosować się do kilku sprawdzonych praktyk:

1. Spraw, aby Twoje selektory były unikalne i trudne do odgadnięcia.
2. Zmieniaj klucze DKIM tak często, jak to możliwe, aby uniknąć naruszenia bezpieczeństwa.
3. Aby ułatwić audyty, należy stosować spójne konwencje nazewnictwa dla wszystkich nadawców.
4. Aktywnie monitoruj swój DKIM, aby zapewnić identyfikację nieużywanych selektorów i ich terminowe wycofanie.

Jak narzędzie analityczne DKIM firmy PowerDMARC może pomóc

Hosted DKIM Analytics firmy PowerDMARC wypełnia tę lukę, zapewniając organizacjom stały wgląd w rzeczywiste działanie DKIM w różnych domenach, selektorach i źródłach wysyłania.

• Monitorowanie selektora i usługi wysyłania: PowerDMARC analizuje wydajność DKIM na poziomie selektora i usługi wysyłania.
• Elastyczne filtrowanie przedziałów czasowych: PowerDMARC umożliwia analizę wydajności DKIM w elastycznych przedziałach czasowych, takich jak ostatnie siedem dni, poprzedni miesiąc lub dowolnie wybrane okresy.
• Statystyki DKIM w skrócie: W celu szybkiej oceny PowerDMARC zapewnia ogólny przegląd DKIM, który zawiera podsumowanie wszystkich selektorów, aktywnych usług wysyłkowych oraz liczby wiadomości e-mail podpisanych DKIM w porównaniu z wiadomościami niepodpisanymi.
• Szczegółowe informacje na poziomie selektora: dla każdego selektora PowerDMARC wyświetla kluczowe dane, takie jak całkowita liczba wiadomości e-mail, wskaźniki pomyślnego przejścia DKIM oraz ostatni czas, w którym selektor został zaobserwowany podczas podpisywania wiadomości e-mail.
• Raporty eksportowalne do celów audytu i współpracy: PowerDMARC umożliwia eksportowanie danych Hosted DKIM Analytics w formacie CSV, dzięki czemu raportowanie jest proste i elastyczne.
• Przegląd stanu kluczy DKIM: Najważniejsze informacje dotyczące stanu kluczy obejmują widoczność długości kluczy, śledzenie rotacji kluczy oraz monitorowanie wykorzystania kluczy.

Typowe problemy związane z selektorem DKIM i ich rozwiązywanie

Problem 1: Nie znaleziono selektora w DNS

Najczęstsze przyczyny: Problem ten może być spowodowany błędami składniowymi, nieprawidłowym typem rekordu DNS, niekompletną propagacją lub nieprawidłowym użyciem domeny lub subdomeny.
Rozwiązywanie problemów: Jeśli niedawno skonfigurowałeś DKIM, poczekaj 24–48 godzin na propagację DNS. Jeśli problem nadal występuje, użyj narzędzia do sprawdzania DKIM, aby sprawdzić swój rekord i naprawić znalezione błędy.

Problem 2: Wielokrotne selektory powodujące zamieszanie

Najczęstsze przyczyny: Zbyt duża liczba aktywnych selektorów może utrudniać audyty, a nieużywane selektory mogą pozostawać w systemie przez nieokreślony czas. Nie jest to dobra praktyka. Ponadto słaba dokumentacja powoduje niejasność co do własności.
Rozwiązywanie problemów: Należy na bieżąco usuwać nieużywane selektory i aktualizować dokumentację, aby audyty i śledzenie były dokładne i łatwe.

Problem 3: Niezgodność selektora

Najczęstsze przyczyny: Nagłówek DKIM odwołuje się do selektora, który nie istnieje w DNS lub klucz został zmieniony, ale usługa wysyłająca nie została zaktualizowana.
Rozwiązywanie problemów: Zawsze sprawdzaj zgodność między podpisem DKIM (wartość s=) a opublikowanym rekordem DNS.

Słowa końcowe

Z tego bloga dowiedzieliśmy się, że selektor DKIM odgrywa kluczową rolę w uwierzytelnianiu DKIM i można go znaleźć za pomocą wielu metod – zarówno ręcznych, jak i automatycznych. Jeśli jednak potrzebujesz maksymalnej kontroli nad swoim DKIM, potrzebujesz czegoś więcej.

Łącząc analizę wydajności z kluczowymi informacjami dotyczącymi stanu zdrowia, PowerDMARC zmienia DKIM ze statycznej konfiguracji w stale monitorowaną kontrolę bezpieczeństwa. Zespoły zyskują widoczność niezbędną do utrzymania dostarczalności, egzekwowania najlepszych praktyk i pewnego zarządzania DKIM w złożonych ekosystemach poczty elektronicznej, bez konieczności polegania na ręcznych kontrolach lub domysłach. Skontaktuj się z nami, aby rozpocząć już dziś!

Najczęściej zadawane pytania

Co się stanie, jeśli selektor DKIM jest nieprawidłowy?
Jeśli selektor DKIM jest nieprawidłowy, Twoje wiadomości e-mail mogą nie przejść uwierzytelniania DKIM, co zwiększy filtrowanie spamu i spowoduje możliwe awarie DMARC.
Czy można mieć wiele selektorów DKIM?
Tak.Posiadanie wielu selektorów DKIM jest normalne i często wymagane w przypadku rotacji lub wielu nadawców.
Jak często należy rotować klucze DKIM?
Zaleca się rotację kluczy DKIM co 3–6 miesięcy. Jednak w przypadku incydentu związanego z bezpieczeństwemnależy natychmiast rotować klucze, aby zapobiec dalszym naruszeniom.
Jakie narzędzia mogą automatycznie znaleźć selektory DKIM?
Analizator nagłówków wiadomości e-mail i narzędzia do wyszukiwania DKIM firmy PowerDMARC mogą natychmiast wyodrębnić selektor DKIM użyty w wiadomości, bez konieczności ręcznego wprowadzania danych lub posiadania wiedzy technicznej.

• O
• Latest Posts

Yunes Tarada

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• Kompresja SPF: Ogranicz liczbę wyszukiwań DNS w ramach SPF i zoptymalizuj swój rekord SPF - 25 marca 2026 r.
• Certyfikat znaku zweryfikowanego a certyfikat znaku powszechnego: wybór odpowiedniego rozwiązania – 10 marca 2026 r.
• Poziom pewności spamu (SCL) -1 Bypass: co to oznacza i jak sobie z tym radzić – 4 marca 2026 r.