DKIM a SPF
SPF sprawdza, czy serwer wysyłający jest uprawniony do wysyłki z domeny. DKIM podpisuje wiadomość kryptograficznie. Te mechanizmy się uzupełniają.
Narzędzie
DKIM: podpis poczty domeny
Praktyczny opis DKIM: selector, rekord TXT z kluczem publicznym, podpis wiadomości i współpraca z DMARC.
DKIM, czyli DomainKeys Identified Mail, pozwala podpisać wiadomość e-mail kluczem domeny. Serwer odbiorcy pobiera klucz publiczny z DNS i sprawdza, czy wiadomość nie została zmieniona po wysłaniu oraz czy została podpisana przez uprawniony system pocztowy.
Tester poczty
Sprawdź MX, SPF i DMARC domeny.
Co to jest MX?
Sprawdź serwery odbierające pocztę domeny.
Tester DMARC
Zobacz, czy polityka domeny uwzględnia DKIM.
Co to jest SPF?
Porównaj listę dozwolonych nadawców z podpisem DKIM.
Co to jest DMARC?
Połącz DKIM z polityką domeny.
Rekord TXT
Zobacz, gdzie publikuje się klucze DKIM.
Serwery poczty
Wróć do huba poczty firmowej.
Co to jest DKIM?
DKIM dodaje do wiadomości nagłówek z podpisem kryptograficznym. Podpis jest tworzony kluczem prywatnym po stronie systemu wysyłającego, a odbiorca weryfikuje go kluczem publicznym opublikowanym w DNS domeny. Dzięki temu DKIM pomaga wykryć podmianę treści i potwierdzić, że wiadomość została podpisana przez infrastrukturę powiązaną z domeną.
Selector DKIM i rekord DNS
Selector to etykieta identyfikująca konkretny klucz DKIM, na przykład default, selector1 albo mail2026. Rekord publicznego klucza publikuje się zwykle jako TXT pod nazwą selector._domainkey.domena.
Przykład rekordu DKIM
selector1._domainkey.twojadomena.pl TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."Najważniejsze elementy DKIM
| Element | Znaczenie |
|---|---|
| selector | Nazwa klucza DKIM używana do znalezienia rekordu DNS. |
| _domainkey | Stały fragment nazwy rekordu DKIM w DNS. |
| v=DKIM1 | Wersja rekordu DKIM publikowanego jako TXT. |
| k=rsa | Typ klucza. W wielu wdrożeniach nadal spotykany jest RSA. |
| p= | Klucz publiczny używany przez odbiorców do weryfikacji podpisu. |
| d= | Domena podpisująca wiadomość w nagłówku DKIM-Signature. |
| s= | Selector wskazany w nagłówku DKIM-Signature. |
DKIM a DMARC
DMARC może uznać wiadomość za poprawną, jeśli przejdzie SPF albo DKIM i domena uwierzytelnienia jest zgodna z domeną widoczną dla odbiorcy.
Rotacja kluczy
Selectory pozwalają publikować nowe klucze bez natychmiastowego kasowania starych. To ułatwia bezpieczną rotację DKIM.
Wiele systemów wysyłki
Każdy system wysyłający pocztę w imieniu domeny powinien podpisywać wiadomości DKIM albo przynajmniej być uwzględniony w SPF i polityce DMARC.
Najczęstsze błędy DKIM
- Brak rekordu TXT dla selectora wskazanego w nagłówku DKIM-Signature.
- Błędna nazwa rekordu, na przykład bez fragmentu _domainkey.
- Za krótki albo stary klucz, który warto wymienić na silniejszy.
- Podpisywanie tylko części legalnych systemów wysyłki poczty.
- Brak zgodności domeny DKIM z domeną używaną przez DMARC.
FAQ: DKIM
Czy DKIM zastępuje SPF?
Nie. DKIM podpisuje wiadomość kluczem domeny, a SPF wskazuje dozwolone serwery wysyłki. Najlepiej stosować oba mechanizmy razem z DMARC.
Gdzie dodać rekord DKIM?
Rekord DKIM dodaje się w DNS jako TXT pod nazwą selector._domainkey.domena, na przykład selector1._domainkey.twojadomena.pl.
Co to jest selector DKIM?
Selector to nazwa klucza DKIM. Pozwala odbiorcy znaleźć właściwy rekord DNS i umożliwia rotację kluczy bez natychmiastowego usuwania poprzedniego klucza.
Czy DKIM pomaga w dostarczalności poczty?
Tak. Poprawny DKIM zwiększa zaufanie do wiadomości, wspiera DMARC i pomaga ograniczać problemy z podszywaniem się pod domenę.