Czym jest DKIM (DomainKeys Identified Mail)?

przez

Ostatnia aktualizacja:
11 czas czytania: 11 minut
Czym jest DKIM (DomainKeys Identified Mail)?

Kluczowe wnioski

  1. DKIM (DomainKeys Identified Mail) dołącza podpis kryptograficzny do każdej wysyłanej wiadomości e-mail, dzięki czemu serwery odbiorcze mogą potwierdzić, że wiadomość rzeczywiście pochodzi z Twojej domeny i nie została zmieniona podczas przesyłania.
  2. DKIM działa w oparciu o parę kluczy: klucz prywatny, który podpisuje wiadomości e-mail na serwerze, oraz klucz publiczny opublikowany w systemie DNS jako rekord DKIM.
  3. DKIM jest to statyczny klucz publiczny w systemie DNS; podpis DKIM to to nagłówek dodawany do każdej wiadomości e-mail; są to dwie różne rzeczy.
  4. W przeciwieństwie do SPF, podpisy DKIM pozostają nienaruszone podczas przekazywania wiadomości e-mail, co sprawia, że DKIM jest bardziej niezawodnym rozwiązaniem spośród tych dwóch w kontekście zgodności z DMARC.
  5. Od sezonu 2024–2025 firmy Google, Yahoo i Microsoft wymagają stosowania protokołu DKIM w przypadku domen wysyłających ponad 5 000 wiadomości e-mail dziennie.
  6. Sam DKIM nie zapobiega fałszowaniu adresu nadawcy ani nie egzekwuje zasad; właśnie to zapewnia dodatkowo protokół DMARC.

DKIM (DomainKeys Identified Mail) to protokół uwierzytelniania wiadomości e-mail, który pozwala serwerom odbiorczym zweryfikować, czy wiadomość została faktycznie wysłana przez domenę, z której rzekomo pochodzi, oraz czy jej treść nie została zmieniona podczas przesyłania. Działa on poprzez dołączanie podpisu kryptograficznego do każdej wysyłanej wiadomości e-mail, który serwer odbiorczy porównuje z kluczem publicznym opublikowanym w systemie DNS danej domeny. 

W niniejszym przewodniku omówiono, jak wygląda rekord DKIM, jak krok po kroku przebiega proces podpisywania i weryfikacji, jak odczytywać rzeczywisty nagłówek DKIM-Signature oraz jak rozwiązywać najczęściej występujące problemy.

Czym jest rekord DKIM?

Rekord DKIM to zestaw instrukcji opublikowanych jako rekord TXT w systemie DNS Twojej domeny. Zawiera on klucz publiczny odpowiadający kluczowi prywatnemu, którego serwer pocztowy używa do podpisywania wychodzących wiadomości e-mail. Gdy serwer odbiorczy chce zweryfikować podpis, wyszukuje ten rekord, pobiera klucz publiczny i wykorzystuje go do potwierdzenia, że wiadomość nie została zmieniona i rzeczywiście pochodzi z Twojej domeny.

Standard DKIM powstał w 2004 roku w wyniku połączenia technologii DomainKeys firmy Yahoo oraz Identified Internet Mail firmy Cisco i od tego czasu stał się jednym z najczęściej stosowanych standardów uwierzytelniania wiadomości e-mail.

Format rekordu DKIM i konwencja nazewnictwa

Rekord DKIM nie jest publikowany w domenie głównej. Znajduje się on w określonej subdomenie utworzonej z selektora oraz stałej etykiety _domainkey. Konwencja nazewnictwa jest następująca:

[selector]._domainkey.[domain]

Zatem rekord typu „selector” w usłudze Google dla domeny yourdomain.com zostałby opublikowany pod adresem:

google._domainkey.yourdomain.com

Wartość tego rekordu TXT wygląda następująco:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...

Każdy tag pełni określoną funkcję:

# Tag Znaczenie
1. v Wersja: zawsze DKIM1
2. k Typ klucza, prawie zawsze RSA
3. p Sam klucz publiczny (długi ciąg znaków w formacie Base64)

Możesz wygenerować prawidłowy rekord za pomocą naszego generatora DKIM i sprawdzić, czy został poprawnie opublikowany, korzystając z naszego narzędzia do sprawdzania DKIM .

Czym jest selektor DKIM?

Selektor DKIM to unikalny identyfikator, który informuje serwer odbiorczy, która para kluczy została użyta do podpisania danej wiadomości. Jest to ciąg alfanumeryczny zdefiniowany w tagu „s=” nagłówka DKIM-Signature i pozwala domenie zarządzać wieloma kluczami jednocześnie (na przykład jeden selektor dla platformy pocztowej, a inny dla serwisu marketingowego). Każdy dostawca, za pośrednictwem którego wysyłasz wiadomości, powinien używać własnego, rozróżnialnego selektora.

Na przykład w usłudze Google Workspace domyślnym selektorem jest „google”, więc pełne wyszukiwanie DNS dla wiadomości podpisanej przez Google wyglądałoby następująco: google._domainkey.twojadomena.com. Jeśli nazwa twojego rekordu brzmiałaby s1._domainkey.twojadomena.com, to s1 jest twoim selektorem.

Dowiedz się więcej o selektorach i o tym, jak je znaleźć, w naszym szczegółowym przewodniku dotyczącym selektorów DKIM

Rekord DKIM a podpis DKIM: jaka jest różnica?

Te dwa terminy są często mylone, dlatego warto to jasno wyjaśnić. Rekord DKIM to statyczny wpis TXT w systemie DNS, zawierający klucz publiczny; publikuje się go jednorazowo i pozostaje on tam na stałe. Podpis DKIM to nagłówek „DKIM-Signature” dodawany do każdej pojedynczej wiadomości e-mail w momencie jej wysyłania, generowany przy użyciu klucza prywatnego. Jedno z nich to stały wpis w systemie DNS, drugie jest tworzone od nowa dla każdej wiadomości. To właśnie ten rekord służy do weryfikacji podpisu. Poniżej omówimy nagłówek podpisu pole po polu.

Więcej informacji na ten temat znajdziesz w naszym kompletnym przewodniku po podpisów DKIM

Jak działa DKIM?

ilustracja dkim

Uwierzytelnianie DKIM przebiega w czterech etapach, od wygenerowania kluczy aż po ostateczną decyzję o pozytywnym lub negatywnym wyniku po stronie odbiorcy.

Krok 1: Generowanie pary kluczy

Twój dostawca poczty elektronicznej lub Ty sam generujecie parę kluczy kryptograficznych: klucz prywatny , który pozostaje tajny na serwerze wysyłającym, oraz klucz publiczny , który jest publikowany w systemie DNS jako opisany powyżej rekord DKIM. Oba klucze są matematycznie powiązane, więc wszystko, co zostało podpisane kluczem prywatnym, można zweryfikować wyłącznie za pomocą pasującego do niego klucza publicznego.

Krok 2: Podpisywanie wysyłanej wiadomości e-mail

Podczas wysyłania wiadomości serwer wysyłający (agent transferu poczty – MTA) wykorzystuje klucz prywatny do obliczenia skrótu określonych części wiadomości e-mail (nagłówków wymienionych w tagu „h=” podpisu oraz treści wiadomości) i dołącza wynik jako nagłówek „DKIM-Signature” do wysyłanej wiadomości.

Krok 3: Wyszukiwanie DNS przez serwer odbierający

Serwer odbierający odczytuje nagłówek DKIM-Signature, wyodrębnia selektor (s=) oraz domenę podpisującą (d=), a następnie wysyła zapytanie do serwera DNS o klucz publiczny pod adresem [selektor]._domainkey.[domena] — zgodnie z konwencją nazewniczą opisaną powyżej w sekcji „Rekord DKIM”. W tym momencie następuje połączenie podpisu poszczególnych wiadomości ze statycznym rekordem DNS.

Krok 4: Weryfikacja

Korzystając z pobranego klucza publicznego, serwer odbiorczy weryfikuje podpis i samodzielnie oblicza skrót na podstawie faktycznie otrzymanej wiadomości. Następnie porównuje te dwa wyniki. Jeśli się zgadzają, weryfikacja DKIM przebiega pomyślnie: wiadomość jest nienaruszona i autoryzowana przez domenę, która ją podpisała. Jeśli się nie zgadzają, weryfikacja DKIM kończy się niepowodzeniem, a wiadomość może zostać oznaczona, umieszczona w kwarantannie lub odrzucona, w zależności od zasad DMARC obowiązujących w danej domenie. 

W dowolnym momencie możesz sprawdzić swoją konfigurację za pomocą naszego bezpłatnego narzędzia do sprawdzania DKIM, do którego link znajduje się powyżej.

Zawartość nagłówka podpisu DKIM 

Oto jak wygląda rzeczywisty nagłówek „DKIM-Signature” w otrzymanej wiadomości e-mail:

DKIM-Signature: v=1; a=rsa-sha256; d=yourdomain.com; s=google;
c=relaxed/relaxed; h=from:to:subject:date:message-id;
bh=abc123...; b=xyz789...

Każde pole zawiera część informacji potrzebnych odbiorcy do zweryfikowania wiadomości:

# Pole Znaczenie
1. v Wersja standardu DKIM (zawsze 1)
2. a Algorytm podpisywania, zazwyczaj rsa-sha256
3. d Domena podpisująca musi być zgodna z domeną nadawcy w celu zapewnienia zgodności z protokołem DMARC
4. s Selektor służący do tworzenia zapytania DNS w celu uzyskania klucza publicznego
5. c Tryb kanonikalizacji
6. h Które nagłówki zostały uwzględnione w podpisie
7. bh Suma kontrolna treści wiadomości
8. b Sam podpis

Dwa pola, które odgrywają kluczową rolę, to bh (skrót treści wiadomości) oraz b (podpis kryptograficzny). Pole d= ma największe znaczenie dla DMARC: jeśli nie pokrywa się ono z widoczną domeną „From”, DKIM może zakończyć się powodzeniem, a DMARC i tak może zakończyć się niepowodzeniem.

Co oznacza termin „kanonizacja”? (luźna vs. ścisła)

Tag „c=” określa, na ile podpis jest tolerancyjny wobec drobnych zmian formatowania, które mogą wystąpić podczas przesyłania. 

Tryb swobodny (powszechnie stosowany i zalecany) toleruje niewielkie różnice w odstępach i wielkości liter w nagłówkach, które są niemal nieuniknione podczas przesyłania wiadomości przez serwery. 

Tryb ścisły (zwany również trybem prostym) wymaga zgodności bajt po bajcie i powoduje błąd przy najmniejszej nawet zmianie. Ma to znaczenie, ponieważ listy mailingowe i serwery przekazujące często wprowadzają drobne modyfikacje (dodany stopka, przeredagowany wiersz), które uniemożliwiłyby kanonizację w trybie ścisłym, ale są dopuszczalne w trybie łagodnym. Wartość ma postać c=relaxed/relaxed, gdzie pierwsza część dotyczy nagłówków, a druga — treści.

Dlaczego DKIM ma znaczenie?

Sprawdza integralność wiadomości e-mail (zapobiega manipulacjom)

Podpis ma charakter plomby zabezpieczającej. Jeśli wiadomość zostanie przechwycona i zmieniona podczas przesyłania, ponownie obliczona wartość skrótu przez odbiorcę nie będzie zgodna z podpisaną wartością skrótu, weryfikacja zakończy się niepowodzeniem, a wiadomość e-mail zostanie odrzucona lub oznaczona jako podejrzana. To właśnie jest podstawowa rola protokołu DKIM: zagwarantowanie, że treść, która dotarła do odbiorcy, jest tą samą treścią, która została wysłana.

Chroni reputację nadawcy i zapewnia skuteczność dostarczania wiadomości

Prawidłowo podpisane wiadomości e-mail budują zaufanie dostawców usług pocztowych. Zweryfikowana i konsekwentnie uwierzytelniana domena nadawcza pozwala zbudować lepszą reputację wśród dostawców usług internetowych, co oznacza, że Twoje legalne wiadomości mają większe szanse trafić do skrzynki odbiorczej zamiast do folderu ze spamem – jest to bezpośrednia korzyść zarówno dla wiadomości marketingowych, jak i transakcyjnych.

Wytrzymuje przekazywanie wiadomości e-mail (w przeciwieństwie do SPF)

To właśnie ta różnica stanowi najważniejsze praktyczne rozróżnienie między tymi dwoma protokołami, a łatwo ją przeoczyć. Ponieważ podpis DKIM jest przesyłany wraz z wiadomością, pozostaje ona ważna nawet po przekazaniu wiadomości. Natomiast SPF porównuje adres IP serwera wysyłającego z rekordem SPF oryginalnej domeny, więc gdy wiadomość jest przekazywana, adres IP serwera przekazującego nie znajduje się na tej liście i weryfikacja SPF kończy się niepowodzeniem. Dlatego właśnie DKIM jest bardziej niezawodnym z tych dwóch protokołów, jeśli chodzi o utrzymanie zgodności z DMARC w przypadku przekazywanych i pośrednich przepływów poczty.

Wymagane przez Google, Yahoo i Microsoft w przypadku nadawców wysyłających masowe wiadomości

DKIM przestał być opcjonalny dla nadawców wysyłających duże ilości wiadomości. Zgodnie z wymogami Google i Yahoo , które weszły w życie w lutym 2024 r., oraz zgodnie z analogicznymi zasadami firmy Microsoft, które zaczną obowiązywać od maja 2025 r., każda domena wysyłająca około 5 000 lub więcej wiadomości dziennie do tych dostawców musi uwierzytelnić się za pomocą DKIM (obok SPF i DMARC), w przeciwnym razie istnieje ryzyko, że wiadomości e-mail zostaną odrzucone lub przefiltrowane do folderu spam. Nawet poniżej tego progu DKIM jest obecnie podstawowym wymogiem zapewniającym dobrą dostarczalność.

DKIM, SPF i DMARC: jak te rozwiązania współdziałają

DKIM jest jednym z trzech standardów uwierzytelniania wiadomości e-mail, które zostały zaprojektowane do stosowania łącznie, a nie osobno. Oto, jak rozdzielają one zadania:

# Protokół Co weryfikuje Czego nie obejmuje Słabość samodzielnego działania
1. SPF Czy adres IP serwera wysyłającego jest autoryzowany dla tej domeny Treść wiadomości oraz to, czy widoczny adres nadawcy zgadza się z domeną ścieżki zwrotnej. Przerwy w przekazywaniu; brak integralności treści
2. DKIM Że treść wiadomości jest nienaruszona i podpisana przez domenę Czy domena nadawcy wiadomości pokrywa się z widoczną wartością pola „Od” Brak odpowiedniej polityki; samo to nie zapobiega fałszowaniu adresu nadawcy
3. DMARC Czy SPF lub DKIM są poprawne i zgodne z domeną „From” Zależy od zgodności domen SPF/DKIM Wymagane jest wdrożenie SPF i/lub DKIM

Mówiąc prościej: SPF sprawdza serwer wysyłający, DKIM sprawdza integralność wiadomości, a DMARC powiązuje oba te elementy z domeną, którą odbiorcy faktycznie widzą w polu „Od”, a następnie dodaje politykę określającą, jak odbiorcy mają postąpić w przypadku niepowodzenia weryfikacji. DKIM i SPF zajmują się uwierzytelnianiem; DMARC zapewnia spójność i egzekwowanie zasad. Potrzebujesz wszystkich trzech.

Typowe błędy związane z DKIM i sposoby ich usuwania

Żadna z najpopularniejszych stron poświęconych zagadnieniu „czym jest DKIM” nie wyjaśnia, co tak naprawdę idzie nie tak. Oto cztery najczęstsze problemy, z którymi się spotkasz, oraz sposoby ich rozwiązania. 

Nie znaleziono podpisu DKIM

Co to oznacza: Ten błąd oznacza, że serwer odbiorczy nie znalazł podpisu DKIM. Zazwyczaj oznacza to, że protokół DKIM nie został skonfigurowany dla usługi wysyłającej, z której korzystałeś, lub że rekord DNS nigdy nie został opublikowany. 

Jak to naprawić: włącz podpis DKIM w każdej usłudze, która wysyła wiadomości e-mail z Twojej domeny, i sprawdź, czy rekord istnieje w DNS.

Weryfikacja podpisu DKIM nie powiodła się

Co to oznacza: Podpis był obecny, ale nie został zweryfikowany, co oznacza, że treść lub podpisane nagłówki zostały zmodyfikowane po podpisaniu. Najczęstszą przyczyną jest dodanie stopki przez listę mailingową lub serwer przekazujący, przepisanie tematu lub usunięcie nagłówków. 

Jak to naprawić: Złagodzone zasady kanonizacji ograniczają ten problem, a protokół ARC (Authenticated Received Chain) został stworzony właśnie po to, aby zachować wyniki uwierzytelniania podczas kolejnych etapów przekazywania wiadomości. Jednak protokół ARC wkrótce zostanie wycofany, a DKIM2, po wdrożeniu, znacznie ograniczy problemy związane z przekazywaniem wiadomości. 

Nie znaleziono klucza publicznego w systemie DNS

Co to oznacza: Odbiorca sprawdził klucz publiczny, ale nie znalazł go. Zazwyczaj wynika to z niezgodności selektora lub domeny między nagłówkiem DKIM-Signature a rzeczywistą nazwą rekordu DNS, opóźnienia w propagacji DNS po niedawnej zmianie lub zwykłej literówki w nazwie rekordu, najczęściej brakującego znaku podkreślenia w nazwie _domainkey.

Jak to naprawić: Sprawdź swoją domenę za pomocą narzędzia do sprawdzania DKIM, aby przejrzeć wszystkie błędy i naprawić je jeden po drugim. 

Klucz zbyt krótki / Słaby klucz

Co to oznacza: Wiele starszych platform pocztowych i paneli hostingowych nadal domyślnie generuje klucze 1024-bitowe. Standard RFC 8301 traktuje 1024 bity jako absolutne minimum, ale zaleca co najmniej 2048 bitów do podpisywania, a NIST klasyfikuje 1024-bitowy RSA jako przeznaczony wyłącznie do użytku historycznego. Główni odbiorcy, tacy jak Google, nadal akceptują 1024 bity jako minimum, ale zalecają 2048 bitów, więc klucz 1024-bitowy nie jest dziś całkowitą porażką; po prostu nie spełnia on aktualnego standardu, a jego margines bezpieczeństwa stale się zmniejsza.

Jak to naprawić: należy używać klucza RSA o długości 2048 bitów z algorytmem rsa-sha256 jako domyślnym. Podczas aktualizacji należy zwrócić uwagę na dwie rzeczy: klucz publiczny o długości 2048 bitów jest zbyt długi, aby zmieścić się w jednym 255-bajtowym ciągu znaków DNS TXT, dlatego należy go podzielić na kilka ciągów znaków w cudzysłowie w tym samym rekordzie, a także należy wymieniać klucze co 6 do 12 miesięcy. 

Najlepsze praktyki DKIM

  • Należy stosować klucze 2048-bitowe, a nie 1024-bitowe: Dłuższe klucze zapewniają większe bezpieczeństwo i są coraz częściej wymagane przez głównych dostawców.
  • Należy zmieniać klucze co najmniej raz w roku: Opublikuj nowy klucz w DNS przed dezaktywacją starego, aby podczas zmiany nie wystąpiła przerwa w weryfikacji.
  • Podpisuj wszystkie źródła wychodzących wiadomości e-mail: Każda usługa zewnętrzna (CRM, platforma do marketingu e-mailowego, centrum pomocy) wymaga skonfigurowania własnego podpisu DKIM pod własnym selektorem.
  • Monitoruj wskaźniki pozytywnych i negatywnych wyników: Przeglądaj zbiorcze raporty DMARC, aby wykryć uszkodzony selektor lub niepodpisanego nadawcę, zanim wpłynie to negatywnie na dostarczalność wiadomości.

Ograniczenia DKIM

DKIM jest niezbędny, ale sam w sobie nie stanowi kompletnego rozwiązania. Poniżej przedstawiono kilka istotnych ograniczeń:

Sam w sobie DKIM nie zapobiega fałszowaniu adresu nadawcy

DKIM uwierzytelnia domenę podaną w tagu „d=” podpisu i potwierdza, że treść wiadomości nie została zmieniona, ale nie sprawdza, czy wartość „d=” zgadza się z adresem nadawcy widocznym dla odbiorcy. Ta kontrola zgodności należy do zadania protokołu DMARC. A jeśli osoba atakująca uzyska dostęp do legalnego konta lub serwera, może wysłać prawidłowo podpisany e-mail.

DKIM wymaga prawidłowej publikacji w systemie DNS

Nieprawidłowo skonfigurowany wpis, opóźnienie w propagacji lub błędny selektor spowodują, że weryfikacja DKIM zakończy się niepowodzeniem nawet w przypadku prawidłowych wiadomości e-mail.

DKIM sam w sobie nie egzekwuje żadnych zasad

DKIM generuje jedynie wynik pozytywny lub negatywny i nie wskazuje odbiorcom, jak postąpić w przypadku niepowodzenia. Dopiero połączenie go z DMARC — który wykorzystuje wyniki DKIM (i/lub SPF) do zastosowania zasad kwarantanny lub odrzucenia — sprawia, że uwierzytelnianie staje się rzeczywistą ochroną.

Zarządzanie kluczami zwiększa złożoność operacyjną

Zarządzanie kluczami w wielu usługach wysyłkowych, ich bezpieczna rotacja oraz zapewnienie spójności działań wszystkich zewnętrznych nadawców wymagają stałej uwagi i regularnego monitorowania. Ręczne wykonywanie tych czynności dla wielu domen jest nie tylko czasochłonne, ale także wymaga znacznych zasobów.

Włącz DKIM za pomocą PowerDMARC

PowerDMARC umożliwia właścicielom domen skonfigurowanie DKIM obok SPF i DMARC, zapewniając praktyczne funkcje monitorowania i raportowania, dzięki czemu można śledzić wyniki uwierzytelniania i wykrywać błędy w momencie ich wystąpienia bez konieczności ręcznej interwencji. 

Platforma obsługuje wiele domen i duże ilości wiadomości e-mail oraz łączy hostowanym DKIM z innymi protokołami uwierzytelniającymi, zapewniając kompleksową ochronę przed oszustwami e-mailowymi. Konfigurację DKIM i DMARC można przeprowadzić w ciągu kilku minut, zamiast męczyć się z ręczną konfiguracją DNS.

Dzięki usłudze Hosted DKIM firmy PowerDMARC zyskujesz:

  • Jednorazowa konfiguracja CNAME, potem już żadne zmiany w DNS: Wystarczy jednorazowo podłączyć domenę, a następnie zarządzać wszystkimi zmianami selektorów i kluczy z poziomu jednego panelu w chmurze, zamiast wprowadzać zmiany w DNS przy każdej aktualizacji.
  • Rotacja kluczy bez dostępu do DNS: Zaplanuj i zastosuj rotację kluczy natychmiast z poziomu pulpitu nawigacyjnego, bez opóźnień w propagacji i ręcznej edycji rekordów, dzięki czemu nie ma przestojów ani miejsca na błędy składniowe.
  • Pełna elastyczność w zakresie długości klucza: Wybierz klucze o długości 1024, 2048 lub 4096 bitów i zwiększ ich siłę bez zakłócania procesu uwierzytelniania.
  • Specjalny pulpit analityczny DKIM: Śledź w czasie rzeczywistym liczbę wiadomości e-mail, wskaźniki pomyślnego przejścia weryfikacji DKIM oraz wydajność poszczególnych selektorów, aby szybko uzyskać wgląd w sytuację i rozwiązywać problemy.
  • Zarządzanie wielodomenowe i dostosowane do potrzeb dostawców usług zarządzanych (MSP): Zarządzaj DKIM w setkach domen i subdomen z jednego miejsca, korzystając z widoku wielodostępnego stworzonego z myślą o przedsiębiorstwach i dostawcach usług.
  • Kompletny zestaw rozwiązań do uwierzytelniania w ramach jednej platformy: DKIM współdziała z DMARC, SPF, MTA-STS i BIMI oraz integruje się z dostawcami takimi jak Google Workspace i Microsoft 365.

Zarejestruj się, aby skorzystać z bezpłatnej wersji próbnej-

Najczęściej zadawane pytania

1. Co oznacza skrót DKIM?

Skrót DKIM oznacza DomainKeys Identified Mail. Jest to protokół uwierzytelniania wiadomości e-mail, który wykorzystuje podpis kryptograficzny do sprawdzenia, czy wiadomość pochodzi z podanej domeny i czy nie została zmieniona podczas przesyłania.

2. Czym jest DKIM w uproszczeniu?

DKIM można traktować jako plombę zabezpieczającą wiadomość e-mail przed manipulacją. Serwer nadawcy podpisuje każdą wiadomość kluczem prywatnym, a serwer odbiorcy weryfikuje tę plombę, porównując ją z kluczem publicznym zapisanym w Twoim systemie DNS. Jeśli plomba jest nienaruszona, wiadomość e-mail jest autentyczna i nie została zmodyfikowana.

3. Jak skonfigurować DKIM dla mojej domeny?

Aby skonfigurować DKIM, należy wygenerować parę kluczy (za pośrednictwem dostawcy poczty elektronicznej lub naszego generatora DKIM), skonfigurować serwer wysyłający tak, aby podpisywał wychodzące wiadomości e-mail kluczem prywatnym, a także opublikować klucz publiczny jako rekord TXT pod adresem selector._domainkey.yourdomain.com. Pełną instrukcję przewodnik po konfiguracji DKIM , w którym znajdziesz instrukcje krok po kroku.

4. Czy sam DKIM wystarczy?

Nie. DKIM weryfikuje integralność wiadomości, ale nie sprawdza widocznego adresu nadawcy ani nie egzekwuje żadnych zasad. Aby zapewnić pełną ochronę przed sfałszowaniem, należy połączyć go z protokołami SPF i DMARC.

5. Jaka jest różnica między DKIM a SPF?

Protokół SPF określa, które serwery mogą wysyłać wiadomości e-mail w imieniu danej domeny (weryfikacja ścieżki), natomiast protokół DKIM sprawdza, czy treść wiadomości nie została zmieniona i czy została podpisana przez domenę (weryfikacja integralności i pochodzenia). Podpisy DKIM często zachowują ważność po przekazaniu wiadomości, podczas gdy protokół SPF zazwyczaj przestaje działać w przypadku przekazania wiadomości e-mail.

6. Jak sprawdzić, czy DKIM jest poprawnie skonfigurowany?

Aby sprawdzić, czy rekord DKIM został poprawnie skonfigurowany, skorzystaj z bezpłatnego narzędzia do sprawdzania DKIM firmy PowerDMARC. Wystarczy wpisać nazwę domeny i selektor, a narzędzie to sprawdzi w systemie DNS, czy rekord został opublikowany, ma poprawny format i jest dostępny.

7. Co się stanie, jeśli weryfikacja DKIM zakończy się niepowodzeniem?

Błąd DKIM oznacza, że wiadomość została sfałszowana lub nie została prawidłowo podpisana. Odbiorcy mogą oznaczyć ją jako spam, a jeśli obowiązuje polityka DMARC, a wiadomość nie spełnia również wymogów SPF, może ona zostać umieszczona w kwarantannie lub od razu odrzucona.

8. Jak często należy wymieniać klucze DKIM?

Klucze DKIM należy wymieniać co najmniej raz w roku. Zawsze należy opublikować nowy klucz w systemie DNS przed dezaktywacją starego, aby nie powstała luka, w której nie będzie można zweryfikować wiadomości e-mail.

9. Czy DKIM może zapobiegać phishingowi?

Sam DKIM nie jest w stanie zapobiec phishingowi. DKIM utrudnia fałszowanie wiadomości e-mail i zapobiega manipulowaniu treścią, ale nie blokuje podszywania się pod widoczny adres nadawcy; to potrafi jedynie zgodność z DMARC. DKIM stanowi jedną z niezbędnych warstw systemu ochrony przed phishingiem, ale nie jest kompletnym rozwiązaniem.

10. Czy DKIM ma wpływ na dostarczalność wiadomości e-mail?

DKIM ma pozytywny wpływ na dostarczalność wiadomości e-mail. Prawidłowo podpisana wiadomość e-mail buduje reputację nadawcy w oczach dostawców usług internetowych (ISP), zwiększając szanse na trafienie do skrzynki odbiorczej. Ponieważ Google, Yahoo i Microsoft wymagają obecnie stosowania DKIM od nadawców masowych, brak tego podpisu może spowodować, że Twoja wiadomość trafi do folderu spam lub zostanie odrzucona.