Defaults.Exposed › Rettelser › DKIM
Sådan retter du DKIM
DKIM er det usynlige, manipulationssikre segl på enhver e-mail din virksomhed sender. Det lader den modtagende mailudbyder bekræfte, at e-mailen virkelig kom fra dig og ankom uændret. Uden det er din post nemmere at forfalske, nemmere at ændre og langt mere tilbøjelig til at lande i spam.
Det korte svar for din virksomhed: Uden DKIM kan de e-mails du sender manipuleres undervejs, er nemmere for kriminelle at efterligne, og er mere tilbøjelige til at blive filtreret til spam eller afvist direkte — det koster dig lydløst aftaler, betalinger og tillid, du aldrig ved du har mistet.
Hvad dette kan koste dig
- En faktura du e-mailede bliver opsnappet, og bankoplysningerne ændres inden den når din kunde. E-mailen ser stadig ud til at komme fra dig, kunden betaler til den kriminelle, og når det går op, er det dig, der får skylden.
- Dine ægte tilbud, kontrakter og fakturaer bliver ved med at lande i kundernes spammapper. Du antager, at klienten er gået stille eller valgte en anden — men de så simpelthen aldrig din e-mail.
- En større klients sikkerheds- eller indkøbsteam kører en hurtig kontrol af dit domæne inden underskrift, ser ingen DKIM, og enten skubber aftalen uger tilbage, mens du fikser det, eller vælger stille og roligt en konkurrent, der bestod.
- En kriminel sender overbevisende falske e-mails 'fra din virksomhed' til dine egne kunder. Fordi intet beviser hvilke e-mails der virkelig er dine, er de falske ligeså troværdige som de rigtige — og dit navn tager skaden.
- Store mailboks-udbydere og banker behandler i stigende grad usigneret post som mistænkelig. Over tid bliver mere af din hverdags-virksomhedspost throttlet, junkmarkeret eller bounced, og din udaddrettede kommunikation holder stille og roligt op med at virke.
Hvorfor det betyder noget. E-mail var aldrig bygget til at bevise hvem der sendte det, og at forfalske afsenderen er trivielt nemt. DKIM tilføjer en kryptografisk signatur, som den modtagende udbyder tjekker automatisk — det bekræfter, at beskeden virkelig er fra dit domæne og ikke er ændret undervejs. Det er en af de tre ting enhver moderne mailudbyder kigger efter, det påvirker direkte om din e-mail er betroet eller junkmarkeret, og fikset er gratis.
Hvad dette er på klart dansk
Enhver e-mail din virksomhed sender passerer gennem flere hænder, inden den når indbakken. I sig selv bærer en e-mail intet bevis for hvem der virkelig sendte den, eller om nogen ændrede den undervejs — “from”-linjen er bare tekst, hvem som helst kan skrive.
DKIM fikser det. Det sætter et usynligt, manipulationssikkert segl på hver besked din virksomhed sender. Når e-mailen ankommer, tjekker den modtagende mailudbyder seglet mod en nøgle du udgiver på dit domæne. Hvis det stemmer, ved udbyderen to ting med sikkerhed: e-mailen kom virkelig fra dit domæne, og ikke ét tegn blev ændret undervejs. Hvis det ikke stemmer — fordi beskeden var forfalsket eller ændret — fejler seglet, og udbyderen behandler posten med mistanke.
Du administrerer intet af dette i hånden. Når det er aktiveret, sker signering og tjek automatisk på enhver e-mail, for evigt. Hele pointen med DKIM er at gøre din ægte post bevisligt ægte — så den er betroet, og falsknerier skiller sig ud.
Hvad dette kan koste dig
Dette er ikke abstrakt. Her er, hvad et manglende eller svagt DKIM-segl ser ud som i praksis for en lille eller mellemstor virksomhed.
- Den ændrede faktura. Du e-mailer en kunde en faktura. Et sted mellem din server og deres, opsnapper en angriber den og bytter dine bankoplysninger med sine egne. E-mailen ser stadig ud til at komme fra dig, kunden betaler — til den kriminelles konto. Uden DKIM er der intet der flagger, at beskeden er manipuleret. Med det bryder den stille ændring seglet og opdages.
- Aftalerne der døde i spam. Dine tilbud, forslag og opfølgninger bliver ved med at glide ind i kundernes junkmappe. Du hører aldrig mere fra dem og antager, at de ikke var interesserede. I virkeligheden er usigneret post et stærkt spamsignal — din ægte virksomhedspost blev simpelthen ikke set.
- Den tabte kontrakt. En større klients indkøbs- eller sikkerhedsteam vetter dit domæne inden de vil skrive under. De ser ingen DKIM og behandler det som et rødt flag — enten forsinker aftalen i uger, mens du fikser det, eller vælger stille og roligt en leverandør, hvis e-mail-sikkerhed bestod tjekket.
- Dit navn brugt mod dine egne kunder. En svindler blaster overbevisende e-mails “fra din virksomhed” ud til din kundebase. Fordi intet beviser hvilke beskeder der virkelig er dine, ser de falske ligeså legitime ud som de ægte — og det er dit omdømme, der tager skaden, når folk er blevet snydt.
- Langsom kvælning af din e-mail. Banker, store mailboks-udbydere og virksomhedsfiltre mistror i stigende grad usigneret post. Effekten siver ind over tid: mere throttling, mere junkmarkering, flere bounces — til din hverdagsudrækning stille og roligt holder op med at lande.
Hvad det faktisk er
DKIM står for DomainKeys Identified Mail. Her er, hvordan seglet virker, uden jargon:
- Du udgiver en offentlig nøgle på dit domæne (i dine DNS-indstillinger). Alle kan læse den — det er meningen.
- Din mailudbyder holder den matchende private nøgle og bruger den til at signere enhver e-mail du sender, ved at tilføje et skjult header.
- Når e-mailen ankommer, henter modtagerens udbyder din offentlige nøgle, tjekker signaturen mod beskeden og bekræfter, at den er ægte og uændret.
Et par begreber du måske hører fra din IT-person:
- Selektor — en etiket der peger på én specifik nøgle, f.eks.
selector1._domainkey.ditdomæne. Det lader dig køre og rotere flere nøgler rent. Din udbyder opsætter dette. - Nøglestyrke — DKIM-nøgler kommer i størrelser. Den moderne baseline er 2048-bit RSA; 4096-bit RSA eller Ed25519-nøgler er endnu stærkere. Ældre 1024-bit-nøgler fungerer stadig, men anses for svage efter nutidens standarder (NIST SP 800-131A / RFC 8301).
Hvad “godt” ser ud som: en gyldig DKIM-nøgle udgives ved en selektor for dit domæne, din udgående post signeres med den, og nøglen er 2048-bit eller stærkere. Det er det fulde bestå.
En bemærkning om, hvordan dette scores. Dette tjek kigger efter en ægte, velformet DKIM-nøgle, der udgives ved de selektorer, mailudbydere normalt bruger. En udgivet gyldig nøgle er det positive signal — en tredjeparts-scanner kan ikke genafspille dine live signaturer, så tilstedeværelsen af en korrekt nøgle er det, der måles. Ingen nøgle fundet fejler tjekket (et høj-alvorligheds-hul). En gyldig nøgle der er svag (1024-bit RSA) giver omtrent halvt point — den virker, men bør opgraderes. En stærk nøgle (2048-bit RSA eller bedre, eller Ed25519) giver fulde point.
Sådan fikser du det (gratis, ~15 minutter)
Denne del er til den der administrerer din e-mail eller dit domæne — hvis det ikke er dig, send dem dette afsnit. Fikset er gratis. Vi opkræver kun betaling for at overvåge, at dine beskyttelser forbliver sunde over tid, ikke for at opsætte dem.
Den generelle form er den samme overalt: aktiver DKIM hos din e-mailudbyder, tag den nøgle den genererer, udgiv den i dit DNS, og bekræft derefter at den er aktiv. De præcise trin afhænger af hvem der kører din e-mail — her er de gængse.
Google Workspace (Gmail)
- Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
- Vælg dit domæne og klik Generate new record (vælg 2048-bit-nøglelængden).
- Google giver dig en DNS-record. Tilføj den hos din DNS-host som en TXT-record, host
google._domainkey.ditdomæne, med den værdi Google angav. - Vent på, at den spreder sig (minutter til et par timer), vend derefter tilbage til samme skærm og klik Start authentication.
Microsoft 365 (Outlook / Exchange Online)
- Gå til Microsoft Defender-portalen → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
- Vælg dit domæne. Microsoft viser dig to CNAME-records der skal udgives (selector1 og selector2).
- Tilføj begge CNAME-records hos din DNS-host præcis som angivet.
- Tilbage på DKIM-skærmen, slå DKIM-signering til Enabled for domænet.
Zoho Mail
- Control Panel → Email Authentication → DKIM.
- Generér en nøgle (brug en selektor som
zoho), tilføj derefter den leverede TXT-record vedzoho._domainkey.ditdomænei dit DNS. - Verificer i Zoho-panelet, når recorden er aktiv.
Andre udbydere / din egen mailserver Mønsteret er identisk: udbyderen (eller din mailsoftware) genererer et nøglepar, signerer din udgående post med den private nøgle, og giver dig en offentlig record at udgive. Den ser typisk sådan ud:
Host: selector1._domainkey.ditdomæne
Type: TXT (eller CNAME, afhænger af udbyder)
Value: (den lange nøglestreng din udbyder giver dig)
Bekræft at det virker: send dig selv en test-e-mail til en Gmail-konto, åbn den, vælg Show original, og tjek at DKIM: PASS vises. Tjek derefter dit domæne her for at bekræfte, at nøglen kom igennem som 2048-bit eller stærkere, ikke en svag 1024-bit.
Almindelige fejl
- At antage, at en stor udbyder har det slået til som standard. Masser af domæner hos Google eller Microsoft skal stadig have DKIM aktiveret og en record udgivet. “Vi bruger Microsoft 365” er ikke det samme som “DKIM er aktiveret.”
- At generere en svag 1024-bit nøgle. Nogle udbydere sætter stadig 1024-bit som standard. Vælg 2048-bit, når du har mulighed — en svag nøgle giver kun halvt point og flages af strengere modtagere.
- At udgive recorden men aldrig aktivere signering. At tilføje DNS-recorden er kun halvdelen af arbejdet. Hvis du ikke aktiverer signering i udbyderen (den endelige toggle), sendes din post stadig usigneret ud.
- At skrive forkert eller afkorte nøglen. DKIM-nøgler er lange. Et copy-paste der slipper et tegn eller deler værdien forkert, producerer et defekt segl der fejler på enhver e-mail. Indsæt værdien præcis som angivet.
- At glemme dine andre afsendere. Hvis du sender post via et nyhedsbrevværktøj, CRM, faktura-app eller e-handelsplatform, kan hver have brug for sin egen DKIM-nøgle og selektor. Signér post fra alle de tjenester der sender på dine vegne, ikke kun din mailboks.
En bemærkning om DKIM, SPF og DMARC
DKIM fungerer sjældent alene. Det er én af tre indstillinger, der tilsammen gør din e-mail pålidelig:
- SPF siger hvilke servere der har tilladelse til at sende post for dit domæne.
- DKIM (denne side) er det manipulationssikre segl, der beviser, at en besked virkelig er din og uændret.
- DMARC er instruktionen, der beder udbydere om at gøre noget med alt, der fejler — og den læner sig op ad DKIM og SPF for at træffe den beslutning.
Hvis du fikser DKIM, er det værd at tjekke SPF og DMARC på samme tid. Tilsammen er det det, der stopper din virksomhed fra at blive efterlignet og holder din ægte e-mail der, hvor den skal lande.
Konfigurer det hos din udbyder
Trin for trin hos populære udbydere:
- Konfigurer DKIM hos GoDaddy
- Konfigurer DKIM hos Namecheap
- Konfigurer DKIM hos Cloudflare
- Konfigurer DKIM hos Google Workspace
- Konfigurer DKIM hos Microsoft 365
- Konfigurer DKIM hos Squarespace
- Konfigurer DKIM hos Wix
- Konfigurer DKIM hos AWS Route 53
- Konfigurer DKIM hos Hostinger
- Konfigurer DKIM hos Porkbun
- Konfigurer DKIM hos IONOS
- Konfigurer DKIM hos Bluehost
FAQ
Jeg er ikke teknisk — er det noget jeg kan ordne selv?
Du behøver ikke forstå kryptografien. I de fleste tilfælde er det en indstilling du aktiverer inden i din e-mailudbyder (Google Workspace, Microsoft 365, Zoho osv.), som derefter giver dig én eller to records at tilføje til dit domæne. Send afsnittet 'Sådan fikser du det' til den der administrerer din e-mail eller dit domæne — det er et hurtigt, gratis arbejde, som regel omkring 15 minutter.
Risikerer det at aktivere DKIM at bryde min e-mail?
At tilføje DKIM korrekt er sikkert — det ændrer ikke, hvordan din post sendes, det tilføjer blot en signatur, modtagere kan verificere. Det vigtige er at udgive den nøgle, din udbyder genererer præcis som angivet, og kun at aktivere signering, efter at recorden er aktiv i DNS. Gjort i den rækkefølge er der ingen forstyrrelse for dig eller dine kunder.
Vi bruger allerede en stor udbyder som Google eller Microsoft — er vi ikke dækket automatisk?
Ikke altid. Store udbydere gør DKIM nemt, men for mange domæner skal det stadig aktiveres og en record tilføjes til dit DNS — det er ikke altid slået til som standard. Det er præcis derfor et domæne hos en stor udbyder stadig kan fejle dette tjek. Det tager få minutter at bekræfte og aktivere.
Hvad er forskellen på DKIM, SPF og DMARC? Har jeg brug for alle tre?
Tænk på dem som et sæt. SPF lister hvilke servere der har tilladelse til at sende post for dig. DKIM er det manipulationssikre segl, der beviser, at en besked virkelig er din og uændret. DMARC er instruktionen, der beder udbydere om at blokere alt, der fejler disse tjek. De fungerer bedst sammen — DMARC især læner sig op ad DKIM for at gøre sit arbejde — så ja, du ønsker alle tre.
Min IT-person siger, at DKIM er 'slået til' — hvordan ved jeg, at det faktisk virker og er stærkt nok?
To ting tæller: at en gyldig signatur udgives ved en selektor for dit domæne, og at nøglen bag den er stærk (2048-bit RSA eller bedre). En ældre 1024-bit nøgle fungerer stadig, men anses for svag efter moderne standarder og behandles som et delvist bestå her. At køre et tjek på dit domæne bekræfter begge på én gang.
Hvad er en 'selektor', og hvorfor er det vigtigt?
En selektor er blot en etiket, der peger på én specifik DKIM-nøgle i dit DNS — det lader dig køre mere end én nøgle ad gangen (for eksempel én for din mailboks og én for dit nyhedsbrevværktøj) og rotere nøgler sikkert. Du administrerer det ikke i hånden; din udbyder opretter selektoren og fortæller dig den record, der skal udgives. Det er kun relevant her, fordi tjekket kigger efter en gyldig nøgle ved de selektorer, mailudbydere normalt bruger.