Defaults.Exposed › Opravy › DKIM

Jak opravit DKIM

DKIM je neviditelná pečeť chránící každý e-mail, který vaše firma odešle. Umožňuje přijímajícímu poskytovateli pošty potvrdit, že e-mail skutečně přišel od vás a dorazil beze změn. Bez DKIM je vaši poštu snazší zfalšovat, snazší pozměnit a mnohem pravděpodobnější, že skončí ve spamu nebo bude rovnou odmítnuta.

Výsledek pro vaše podnikání: Bez DKIM mohou být e-maily, které odesíláte, pozměněny při přenosu, snáze napodobeny zločinci a s vyšší pravděpodobností přefiltrovány do spamu nebo rovnou odmítnuty — tiše vás to stojí obchody, platby a důvěru, o jejíž ztrátě nikdy nevíte.

Co vás to může stát

• Faktura, kterou jste zaslali e-mailem, je zachycena a bankovní údaje jsou změněny dříve, než dorazí k zákazníkovi. E-mail stále vypadá jako od vás, zákazník zaplatí zločinci a když se vše vysvětlí, obviní vás.
• Vaše skutečné nabídky, smlouvy a faktury stále přistávají ve složkách spamu zákazníků. Předpokládáte, že klient zmlkl nebo si vybral jiného — ale jednoduše váš e-mail neviděl.
• Bezpečnostní nebo nákupní tým většího klienta provede rychlou kontrolu vaší domény před podpisem, nevidí DKIM a buď posune obchod o týdny zpět, dokud to neopravíte, nebo tiše vybere dodavatele, jehož e-mailové zabezpečení prošlo kontrolou.
• Zločinec posílá přesvědčivé falešné e-maily 'od vaší společnosti' vašim vlastním zákazníkům. Protože nic nedokazuje, které e-maily jsou skutečně vaše, padělky vypadají stejně věrohodně jako skutečné — a vaše jméno dostane ránu, když jsou lidé poškozeni.
• Hlavní poskytovatelé schránek a banky stále více považují nepodepsanou poštu za podezřelou. Postupem času je více vašich každodenních obchodních e-mailů omezováno, odhazováno nebo odmítáno a vaše komunikace tiše přestává fungovat.

Proč na tom záleží. E-mail nebyl nikdy postaven tak, aby prokazoval, kdo jej odeslal, a falšování odesílatele je triviálně snadné. DKIM přidává kryptografický podpis, který přijímající poskytovatel automaticky kontroluje — potvrzuje, že zpráva skutečně pochází z vaší domény a nebyla cestou pozměněna. Je to jedna ze tří věcí, které každý moderní poskytovatel pošty hledá, přímo ovlivňuje, zda je váš e-mail důvěryhodný nebo odhozený, a oprava je zdarma.

Co to je, prostými slovy

Každý e-mail, který vaše firma odešle, projde několika rukama, než dorazí do doručené pošty. Sám o sobě e-mail nenese žádný důkaz o tom, kdo jej skutečně odeslal nebo zda jej někdo cestou změnil — řádek “od” je jen text, který může napsat kdokoliv.

DKIM toto napravuje. Na každou zprávu, kterou vaše firma odesílá, umístí neviditelnou pečeť zabraňující neoprávněné manipulaci. Když e-mail dorazí, přijímající poskytovatel pošty pečeť zkontroluje oproti klíči, který publikujete na své doméně. Pokud odpovídá, poskytovatel ví dvě věci s jistotou: e-mail skutečně přišel z vaší domény a v přenosu nebyl změněn ani jeden znak. Pokud neodpovídá — protože zpráva byla zfalšována nebo pozměněna — pečeť selže a poskytovatel zachází s poštou s podezřením.

Nic z toho neřídíte ručně. Jakmile je to zapnuto, podepisování a kontrola probíhají automaticky u každého e-mailu, navždy. Celým smyslem DKIM je dát vaší skutečné poště prokazatelně pravou identitu — aby jí byla důvěřována a padělek vynikl.

Co vás to může stát

Toto není abstraktní. Zde je to, jak chybějící nebo slabá DKIM pečeť vypadá v praxi pro malou nebo střední firmu.

• Pozměněná faktura. E-mailem pošlete zákazníkovi fakturu. Někde mezi vaším serverem a jejich serverem ji útočník zachytí a vymění vaše bankovní údaje za vlastní. E-mail stále vypadá jako od vás, zákazník zaplatí — na účet zločince. Bez DKIM není nic, co by naznačilo, že zpráva byla pozměněna. S DKIM tato tichá změna poruší pečeť a bude odhalena.
• Obchody, které zemřely ve spamu. Vaše nabídky, návrhy a follow-upy stále prokluzují do nevyžádané pošty zákazníků. Nikdy se neozývají a předpokládáte, že neměli zájem. Ve skutečnosti je nepodepsaná pošta silným signálem spamu — vaše legitimní obchodní e-maily prostě nebyly vidět.
• Ztracená smlouva. Nákupní nebo bezpečnostní tým většího klienta prověřuje vaši doménu, než podepíše. Vidí žádné DKIM a považuje to za červený příznak — buď zpozdí obchod o týdny, zatímco to opravujete, nebo tiše vybere dodavatele, jehož e-mailové zabezpečení prošlo kontrolou.
• Vaše jméno použité proti vašim zákazníkům. Podvodník rozešle přesvědčivé e-maily “od vaší společnosti” vašim zákazníkům. Protože nic nedokazuje, které zprávy jsou skutečně vaše, padělky vypadají stejně legitimně jako skutečné — a je to vaše pověst, která dostane ránu, když jsou lidé poškozeni.
• Pomalé udušení vaší pošty. Banky, velcí poskytovatelé schránek a firemní filtry stále více nedůvěřují nepodepsané poště. Efekt se postupně projevuje: více omezování, více odhazování, více bounces — dokud vaše každodenní komunikace tiše přestane fungovat.

Co to vlastně je

DKIM je zkratka pro DomainKeys Identified Mail. Zde je to, jak pečeť funguje, bez žargonu:

• Na své doméně publikujete veřejný klíč (v nastavení DNS). Kdokoliv jej může číst — to je pointa.
• Váš poskytovatel pošty drží odpovídající soukromý klíč a používá jej k podpisu každého e-mailu, který odesíláte, přidávaje skrytou hlavičku.
• Když e-mail dorazí, poskytovatel příjemce načte váš veřejný klíč, zkontroluje podpis oproti zprávě a potvrdí, že je skutečná a nezměněná.

Několik pojmů, které možná uslyšíte od svého IT pracovníka:

• Selektor — štítek ukazující na jeden konkrétní klíč, např. selector1._domainkey.yourdomain. Umožňuje spustit a rotovat více klíčů čistě. Nastavuje to váš poskytovatel.
• Síla klíče — klíče DKIM přicházejí v různých velikostech. Moderní základní hodnotou je 2048bitové RSA; klíče 4096bitové RSA nebo Ed25519 jsou ještě silnější. Starší 1024bitové klíče stále fungují, ale jsou podle dnešních standardů považovány za slabé (NIST SP 800-131A / RFC 8301).

Jak vypadá ‘dobré’ nastavení: platný DKIM klíč je publikován u selektoru pro vaši doménu, vaše odchozí pošta je s ním podepsána a klíč je 2048bitový nebo silnější. To je plný průchod.

Poznámka ke způsobu hodnocení. Tato kontrola hledá skutečný, správně formátovaný klíč DKIM publikovaný u selektorů, které poskytovatelé pošty běžně používají. Publikovaný platný klíč je pozitivní signál — skener třetí strany nemůže přehrát vaše živé podpisy, takže přítomnost správného klíče je to, co se měří. Nenalezen žádný klíč selže v kontrole (je to mezera vysoké závažnosti). Platný klíč, který je slabý (1024bitové RSA) získá přibližně polovinu bodů — funguje, ale měl by být upgradován. Silný klíč (2048bitové RSA nebo lepší, nebo Ed25519) získá plný počet bodů. Toto je jedna z e-mailových bezpečnostních kontrol, která se počítá do vašeho hodnocení, s významným podílem na něm.

Jak to opravit (zdarma, ~15 minut)

Tato část je pro toho, kdo spravuje váš e-mail nebo doménu — pokud to nejste vy, předejte jim tuto sekci. Oprava je zdarma. Účtujeme pouze monitoring, zda vaše ochrany zůstanou zdravé v čase, nikoli za jejich nastavení.

Obecný postup je všude stejný: zapněte DKIM u svého poskytovatele e-mailu, vezměte klíč, který vygeneruje, publikujte jej ve svém DNS a pak potvrďte, že je aktivní. Přesné kroky závisí na tom, kdo provozuje váš e-mail — zde jsou nejběžnější.

Google Workspace (Gmail)

1. Admin Console → Aplikace → Google Workspace → Gmail → Ověření e-mailu.
2. Vyberte svou doménu a klikněte na Generovat nový záznam (zvolte délku klíče 2048bitů).
3. Google vám poskytne DNS záznam. Přidejte jej u svého hostitele DNS jako TXT záznam, host google._domainkey.yourdomain, s hodnotou poskytnutou Googlem.
4. Počkejte na šíření (minuty až několik hodin), poté se vraťte na stejnou obrazovku a klikněte na Spustit ověření.

Microsoft 365 (Outlook / Exchange Online)

1. Přejděte na portál Microsoft Defender → E-mail a spolupráce → Politiky a pravidla → Politiky hrozeb → Nastavení ověřování e-mailu → DKIM.
2. Vyberte svou doménu. Microsoft zobrazí dva záznamy CNAME k publikaci (selector1 a selector2).
3. Přidejte oba záznamy CNAME u svého hostitele DNS přesně jak je zobrazeno.
4. Zpět na obrazovce DKIM přepněte podepisování DKIM na Povoleno pro doménu.

Zoho Mail

1. Ovládací panel → Ověření e-mailu → DKIM.
2. Vygenerujte klíč (použijte selektor jako zoho), poté přidejte poskytnutý TXT záznam na zoho._domainkey.yourdomain ve svém DNS.
3. Ověřte v panelu Zoho, jakmile je záznam aktivní.

Ostatní poskytovatelé / váš vlastní poštovní server Vzor je identický: poskytovatel (nebo váš poštovní software) vygeneruje pár klíčů, podepíše vaši odchozí poštu soukromým klíčem a dá vám veřejný záznam k publikaci. Obvykle to vypadá takto:

Host:  selector1._domainkey.yourdomain
Type:  TXT (nebo CNAME, podle poskytovatele)
Value: (dlouhý řetězec klíče, který vám váš poskytovatel dá)

Kde přidat DNS záznamy: v nastavení DNS vaší domény — obvykle u vašeho registrátora domény nebo hostitele DNS (např. Cloudflare, GoDaddy, panel hostingového ovládání). Pokud váš poskytovatel e-mailu dodá CNAME, ukazuje na záznam, který hostují, takže nikdy neuvidíte surový klíč — to je normální a v pořádku.

Potvrďte, že funguje: pošlete si testovací e-mail na účet Gmail, otevřete jej, zvolte Zobrazit originál a zkontrolujte, že se zobrazí DKIM: PASS. Poté znovu zkontrolujte svou doménu zde a potvrďte, že klíč prošel jako 2048bitový nebo silnější, nikoli slabý 1024bitový.

Běžné chyby

• Předpoklad, že velký poskytovatel má DKIM ve výchozím stavu zapnutý. Spousta domén na Google nebo Microsoft stále potřebuje DKIM zapnout a publikovat záznam. “Používáme Microsoft 365” není totéž jako “DKIM je povoleno.”
• Generování slabého 1024bitového klíče. Někteří poskytovatelé stále ve výchozím nastavení nabízejí 1024bitové klíče. Zvolte 2048bitový, pokud je k dispozici — slabý klíč získá jen polovinu bodů a je označen přísnějšími přijímajícími servery.
• Publikace záznamu bez zapnutí podepisování. Přidání DNS záznamu je jen polovina práce. Pokud nezapnete podepisování u poskytovatele (finální přepínač), vaše pošta stále odchází nepodepsaná.
• Překlep nebo zkrácení klíče. Klíče DKIM jsou dlouhé. Kopírování a vkládání, které vynechá znak nebo rozdělí hodnotu chybně, vytváří rozbitou pečeť, která selže u každého e-mailu. Vložte hodnotu přesně tak, jak je zadána.
• Zapomenutí ostatních odesílatelů. Pokud posíláte poštu prostřednictvím newsletter nástroje, CRM, fakturační aplikace nebo e-commerce platformy, každý z nich může potřebovat vlastní klíč DKIM a selektor. Podepište poštu ze všech služeb, které odesílají vaším jménem, nejen ze své schránky.

Poznámka k DKIM, SPF a DMARC

DKIM zřídka funguje samostatně. Je to jedno ze tří nastavení, která dohromady dělají váš e-mail důvěryhodným:

• SPF říká, které servery smějí odesílat poštu pro vaši doménu.
• DKIM (tato stránka) je pečeť zabraňující neoprávněné manipulaci, která dokazuje, že zpráva je skutečně vaše a nezměněná.
• DMARC je instrukce říkající poskytovatelům, co dělat s čímkoliv, co tyto kontroly selže — a závisí na DKIM a SPF při tomto rozhodnutí.

Pokud opravujete DKIM, stojí za to zkontrolovat SPF a DMARC zároveň. Společně jsou tím, co zabraňuje vydávání se za vaši firmu a co udržuje vaši skutečnou poštu tam, kde má přistávat.

Nastavte u svého poskytovatele

Krok za krokem pro oblíbené poskytovatele:

• Nastavit DKIM u GoDaddy
• Nastavit DKIM u Namecheap
• Nastavit DKIM u Cloudflare
• Nastavit DKIM u Google Workspace
• Nastavit DKIM u Microsoft 365
• Nastavit DKIM u Squarespace
• Nastavit DKIM u Wix
• Nastavit DKIM u AWS Route 53
• Nastavit DKIM u Hostinger
• Nastavit DKIM u Porkbun
• Nastavit DKIM u IONOS
• Nastavit DKIM u Bluehost

Časté dotazy