Defaults.Exposed › Διορθώσεις › DKIM

Πώς να διορθώσετε DKIM

Το DKIM είναι η αόρατη, αδύνατο-να-παραβιαστεί σφραγίδα σε κάθε email που στέλνει η επιχείρησή σας. Επιτρέπει στον πάροχο αλληλογραφίας λήψης να επιβεβαιώσει ότι το email προήλθε πραγματικά από εσάς και έφτασε αναλλοίωτο. Χωρίς αυτό, το email σας είναι πιο εύκολο να πλαστογραφηθεί, πιο εύκολο να αλλοιωθεί, και πολύ πιο πιθανό να καταλήξει σε spam ή να απορριφθεί εντελώς.

Ουσία για την επιχείρησή σας: Χωρίς DKIM, τα email που στέλνετε μπορούν να παραβιαστούν κατά τη μεταφορά, είναι πιο εύκολο για εγκληματίες να τα υποδυθούν, και είναι πιο πιθανό να φιλτραριστούν σε spam ή να απορριφθούν εντελώς — κοστίζοντας σιωπηλά συμφωνίες, πληρωμές και εμπιστοσύνη που ποτέ δεν ξέρετε ότι χάσατε.

Τι μπορεί να σας κοστίσει αυτό

Ένα τιμολόγιο που στείλατε μέσω email παρεμποδίζεται και τα τραπεζικά στοιχεία αλλάζονται πριν φτάσει στον πελάτη σας. Το email εξακολουθεί να φαίνεται ότι προέρχεται από εσάς, ο πελάτης πληρώνει τον εγκληματία, και όταν εξελίσσεται η κατάσταση εσείς είστε αυτός που κατηγορείται.
Οι γνήσιες προσφορές, συμβόλαια και τιμολόγιά σας συνεχίζουν να καταλήγουν στα spam των πελατών. Υποθέτετε ότι ο πελάτης ησύχασε ή επέλεξε κάποιον άλλο — αλλά απλώς δεν είδε ποτέ το email σας.
Η ομάδα ασφαλείας ή προμηθειών ενός μεγαλύτερου πελάτη εκτελεί έναν γρήγορο έλεγχο του domain σας πριν υπογράψει, βλέπει χωρίς DKIM, και είτε ωθεί τη συμφωνία πίσω εβδομάδες μέχρι να το διορθώσετε είτε αθόρυβα επιλέγει ανταγωνιστή που πέρασε.
Ένας εγκληματίας στέλνει πειστικά ψεύτικα email «από την εταιρεία σας» στους δικούς σας πελάτες. Επειδή τίποτα δεν αποδεικνύει ποια email είναι πραγματικά δικά σας, τα ψεύτικα είναι εξίσου αληθοφανή με τα αληθινά — και το όνομά σας παθαίνει τη ζημιά όταν οι άνθρωποι πέσουν θύματα.
Οι μεγάλοι πάροχοι γραμματοκιβωτίων και τράπεζες αντιμετωπίζουν όλο και περισσότερο τα μη υπογεγραμμένα email ως ύποπτα. Με τον καιρό, περισσότερα από τα καθημερινά επαγγελματικά email σας παρεμποδίζονται, απορρίπτονται ή αναπηδούν, και η επικοινωνία σας σταδιακά σταματά να φτάνει.

Γιατί έχει σημασία. Το email δεν σχεδιάστηκε ποτέ για να αποδεικνύει ποιος το έστειλε, και η πλαστογράφηση του αποστολέα είναι εξαιρετικά εύκολη. Το DKIM προσθέτει κρυπτογραφική υπογραφή που ελέγχει αυτόματα ο πάροχος λήψης — επιβεβαιώνοντας ότι το μήνυμα προέρχεται γνησίως από το domain σας και δεν έχει αλλοιωθεί στη διαδρομή. Είναι ένα από τα τρία πράγματα που αναζητά κάθε σύγχρονος πάροχος αλληλογραφίας, επηρεάζει άμεσα αν το email σας εμπιστεύεται ή απορρίπτεται, και η διόρθωση είναι δωρεάν.

Τι είναι αυτό, σε απλά λόγια

Κάθε email που στέλνει η επιχείρησή σας ταξιδεύει μέσα από αρκετά χέρια πριν φτάσει στα εισερχόμενα. Από μόνο του, ένα email δεν φέρει καμία απόδειξη για το ποιος το έστειλε πραγματικά ή αν κάποιος το άλλαξε στη διαδρομή — η γραμμή «από» είναι απλώς κείμενο που μπορεί να πληκτρολογήσει οποιοσδήποτε.

Το DKIM το διορθώνει. Βάζει μια αόρατη, αδύνατο-να-παραβιαστεί σφραγίδα σε κάθε μήνυμα που στέλνει η επιχείρησή σας. Όταν φτάνει το email, ο πάροχος αλληλογραφίας λήψης ελέγχει τη σφραγίδα σε σχέση με έναν κλειδί που δημοσιεύετε στο domain σας. Αν ταιριάζει, ο πάροχος γνωρίζει δύο πράγματα με βεβαιότητα: το email προήλθε γνησίως από το domain σας, και ούτε ένας χαρακτήρας δεν άλλαξε κατά τη μεταφορά. Αν δεν ταιριάζει — επειδή το μήνυμα πλαστογραφήθηκε ή αλλοιώθηκε — η σφραγίδα αποτυγχάνει, και ο πάροχος αντιμετωπίζει το email με καχυποψία.

Δεν διαχειρίζεστε τίποτα από αυτό χειροκίνητα. Μόλις ενεργοποιηθεί, η υπογραφή και ο έλεγχος γίνονται αυτόματα σε κάθε email, για πάντα. Ο σκοπός του DKIM είναι να κάνει το πραγματικό σας email αποδεδειγμένα πραγματικό — ώστε να εμπιστεύεται, και τα ψεύτικα να ξεχωρίζουν.

Τι μπορεί να σας κοστίσει

Αυτό δεν είναι αφηρημένο. Ιδού πώς μοιάζει μια ελλείπουσα ή αδύναμη σφραγίδα DKIM στην πράξη για μικρές ή μεσαίες επιχειρήσεις.

Το τροποποιημένο τιμολόγιο. Στέλνετε email σε έναν πελάτη με τιμολόγιο. Κάπου μεταξύ του διακομιστή σας και του δικού τους, ένας εισβολέας το παρεμποδίζει και αντικαθιστά τα τραπεζικά σας στοιχεία με τα δικά του. Το email εξακολουθεί να φαίνεται ότι προέρχεται από εσάς, ο πελάτης πληρώνει — στον λογαριασμό του εγκληματία. Χωρίς DKIM, δεν υπάρχει τίποτα που να σηματοδοτεί ότι το μήνυμα παραβιάστηκε.
Οι συμφωνίες που πέθαναν στα spam. Οι προσφορές, προτάσεις και follow-up σας συνεχίζουν να γλιστρούν στα junk των πελατών. Δεν λαμβάνετε ποτέ απάντηση και υποθέτετε ότι δεν ενδιαφέρονταν. Στην πραγματικότητα, τα μη υπογεγραμμένα email είναι ισχυρό σήμα spam — το γνήσιο επαγγελματικό email σας απλώς δεν είδε ποτέ.
Η χαμένη σύμβαση. Η ομάδα προμηθειών ή ασφαλείας ενός μεγαλύτερου πελάτη ελέγχει το domain σας πριν υπογράψει. Βλέπουν χωρίς DKIM και το αντιμετωπίζουν ως κόκκινη σημαία — είτε καθυστερούν τη συμφωνία για εβδομάδες ενώ το διορθώνετε, είτε αθόρυβα επιλέγουν προμηθευτή του οποίου η ασφάλεια email πέρασε.
Το όνομά σας χρησιμοποιείται κατά των δικών σας πελατών. Ένας απατεώνας εκπέμπει πειστικά email «από την εταιρεία σας» στη βάση πελατών σας. Επειδή τίποτα δεν αποδεικνύει ποια μηνύματα είναι πραγματικά δικά σας, τα ψεύτικα φαίνονται εξίσου νόμιμα με τα αληθινά — και η φήμη σας πλήττεται όταν οι άνθρωποι πέσουν θύματα.
Αργόσυρτη στραγγαλισμός του email σας. Τράπεζες, μεγάλοι πάροχοι γραμματοκιβωτίων και εταιρικά φίλτρα δυσπιστούν όλο και περισσότερο στα μη υπογεγραμμένα email. Το αποτέλεσμα εισχωρεί με τον καιρό: περισσότερος περιορισμός, περισσότερη απόρριψη, περισσότερα bounce — μέχρις ότου η καθημερινή επικοινωνία σας σταματά αθόρυβα να φτάνει.

Τι είναι στην πραγματικότητα

Το DKIM σημαίνει DomainKeys Identified Mail. Ιδού πώς λειτουργεί η σφραγίδα, χωρίς τεχνική ορολογία:

Δημοσιεύετε έναν δημόσιο κλειδί στο domain σας (στις ρυθμίσεις DNS). Οποιοσδήποτε μπορεί να τον διαβάσει — αυτός είναι ο σκοπός.
Ο πάροχος αλληλογραφίας σας κρατά τον αντίστοιχο ιδιωτικό κλειδί και τον χρησιμοποιεί για να υπογράψει κάθε email που στέλνετε, προσθέτοντας μια κρυφή κεφαλίδα.
Όταν φτάνει το email, ο πάροχος του παραλήπτη ανακτά τον δημόσιο κλειδί σας, ελέγχει την υπογραφή σε σχέση με το μήνυμα, και επιβεβαιώνει ότι είναι γνήσιο και αναλλοίωτο.

Μερικοί όροι που μπορεί να ακούσετε από το άτομο ΙΤ σας:

Selector — μια ετικέτα που δείχνει σε έναν συγκεκριμένο κλειδί, π.χ. selector1._domainkey.yourdomain. Σας επιτρέπει να εκτελείτε και να εναλλάσσετε πολλαπλούς κλειδιά με τάξη. Ο πάροχός σας το ρυθμίζει αυτό.
Ισχύς κλειδιού — οι κλειδιοί DKIM έρχονται σε μεγέθη. Η σύγχρονη βάση είναι 2048-bit RSA· οι κλειδιοί 4096-bit RSA ή Ed25519 είναι ακόμα ισχυρότεροι. Παλαιότεροι κλειδιοί 1024-bit εξακολουθούν να λειτουργούν αλλά θεωρούνται αδύναμοι με σημερινά πρότυπα.

Πώς μοιάζει το «καλό»: ένας έγκυρος κλειδί DKIM δημοσιευμένος σε selector για το domain σας, το εξερχόμενο email σας υπογράφεται με αυτόν, και ο κλειδί είναι 2048-bit ή ισχυρότερος. Αυτό είναι η πλήρης βαθμολογία.

Μια σημείωση για τη βαθμολόγηση. Αυτός ο έλεγχος αναζητά γνήσιο, καλά σχηματισμένο κλειδί DKIM δημοσιευμένο στα selectors που χρησιμοποιούν συνήθως οι πάροχοι αλληλογραφίας. Δεν βρέθηκε κλειδί αποτυγχάνει τον έλεγχο (είναι ένα κενό υψηλής σοβαρότητας). Έγκυρος κλειδής που είναι αδύναμος (1024-bit RSA) κερδίζει περίπου μισή βαθμολογία — λειτουργεί αλλά πρέπει να αναβαθμιστεί. Ισχυρός κλειδής (2048-bit RSA ή καλύτερος, ή Ed25519) κερδίζει πλήρη βαθμολογία.

Πώς να το διορθώσετε (δωρεάν, ~15 λεπτά)

Αυτό το μέρος αφορά αυτόν που διαχειρίζεται το email ή το domain σας — αν δεν είστε εσείς, δώστε τους αυτή την ενότητα. Η διόρθωση είναι δωρεάν. Χρεώνουμε μόνο για την παρακολούθηση ότι οι προστασίες σας παραμένουν υγιείς με την πάροδο του χρόνου, όχι για τη ρύθμισή τους.

Το γενικό σχήμα είναι ίδιο παντού: ενεργοποιείτε DKIM στον πάροχο email σας, παίρνετε τον κλειδί που δημιουργεί, τον δημοσιεύετε στο DNS σας, και μετά επιβεβαιώνετε ότι είναι ζωντανός. Τα ακριβή βήματα εξαρτώνται από το ποιος εκτελεί το email σας — εδώ είναι τα κοινά.

Google Workspace (Gmail)

Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
Επιλέξτε το domain σας και κάντε κλικ Generate new record (επιλέξτε μήκος κλειδιού 2048-bit).
Η Google σας δίνει εγγραφή DNS. Προσθέστε την στον DNS host σας ως εγγραφή TXT, host google._domainkey.yourdomain, με την τιμή που παρείχε η Google.
Περιμένετε να διαδοθεί (λεπτά έως μερικές ώρες), μετά επιστρέψτε στην ίδια οθόνη και κάντε κλικ Start authentication.

Microsoft 365 (Outlook / Exchange Online)

Πηγαίνετε στο portal Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
Επιλέξτε το domain σας. Η Microsoft σας δείχνει δύο εγγραφές CNAME για δημοσίευση (selector1 και selector2).
Προσθέστε και τις δύο εγγραφές CNAME στον DNS host σας ακριβώς όπως φαίνονται.
Πίσω στην οθόνη DKIM, εναλλάξτε την υπογραφή DKIM σε Enabled για το domain.

Zoho Mail

Control Panel → Email Authentication → DKIM.
Δημιουργήστε κλειδί (χρησιμοποιήστε selector όπως zoho), μετά προσθέστε την παρεχόμενη εγγραφή TXT στο zoho._domainkey.yourdomain στο DNS σας.
Επαληθεύστε στον πίνακα Zoho μόλις η εγγραφή είναι ζωντανή.

Άλλοι πάροχοι / δικός σας διακομιστής αλληλογραφίας Το μοτίβο είναι ίδιο: ο πάροχος (ή το λογισμικό αλληλογραφίας) δημιουργεί ζεύγος κλειδιών, υπογράφει το εξερχόμενο email με τον ιδιωτικό κλειδί, και σας δίνει δημόσια εγγραφή για δημοσίευση. Συνήθως μοιάζει με:

Host:  selector1._domainkey.yourdomain
Type:  TXT (or CNAME, depending on provider)
Value: (the long key string your provider gives you)

Πού προστίθενται οι εγγραφές DNS: στις ρυθμίσεις DNS του domain σας — συνήθως στον εγγιστήρα domain ή τον DNS host σας (π.χ. Cloudflare, GoDaddy, τον πίνακα ελέγχου φιλοξενίας σας).

Επιβεβαιώστε ότι λειτουργεί: στείλτε στον εαυτό σας δοκιμαστικό email σε λογαριασμό Gmail, ανοίξτε το, επιλέξτε Show original, και ελέγξτε ότι εμφανίζεται DKIM: PASS.

Συνηθισμένα λάθη

Υπόθεση ότι ένας μεγάλος πάροχος το έχει ενεργοποιημένο από προεπιλογή. Πολλά domains σε Google ή Microsoft χρειάζονται ακόμα ενεργοποίηση DKIM και δημοσίευση εγγραφής. Η «χρήση Microsoft 365» δεν σημαίνει «το DKIM είναι ενεργοποιημένο.»
Δημιουργία αδύναμου κλειδιού 1024-bit. Ορισμένοι πάροχοι εξακολουθούν να προεπιλέγουν ή να προσφέρουν 1024-bit. Επιλέξτε 2048-bit όταν σας δίνεται η επιλογή — ένας αδύναμος κλειδής κερδίζει μισή βαθμολογία μόνο.
Δημοσίευση εγγραφής αλλά χωρίς ενεργοποίηση υπογραφής. Η προσθήκη της εγγραφής DNS είναι μόνο μισή δουλειά. Αν δεν ενεργοποιήσετε την υπογραφή στον πάροχο (η τελευταία εναλλαγή), το email σας εξακολουθεί να αποστέλλεται χωρίς υπογραφή.
Παρατυπία ή περικοπή του κλειδιού. Οι κλειδιοί DKIM είναι μακροί. Ένα copy-paste που χάνει έναν χαρακτήρα παράγει σπασμένη σφραγίδα που αποτυγχάνει σε κάθε email.
Λησμόνηση άλλων αποστολέων. Αν στέλνετε email μέσω εργαλείου newsletter, CRM, εφαρμογής τιμολόγησης ή πλατφόρμας e-commerce, κάθε ένα μπορεί να χρειάζεται τον δικό του κλειδί DKIM και selector.

Μια σημείωση για DKIM, SPF και DMARC

Το DKIM σπάνια λειτουργεί μόνο του. Είναι ένα από τρία στοιχεία που μαζί κάνουν το email σας αξιόπιστο:

Το SPF λέει ποιοι διακομιστές επιτρέπεται να στέλνουν email για το domain σας.
Το DKIM (αυτή η σελίδα) είναι η αδύνατο-να-παραβιαστεί σφραγίδα που αποδεικνύει ότι ένα μήνυμα είναι γνησίως δικό σας και αναλλοίωτο.
Το DMARC είναι η οδηγία που λέει στους παρόχους τι να κάνουν με οτιδήποτε αποτυγχάνει — και βασίζεται στο DKIM και SPF για να κάνει αυτή την επιλογή.

Αν διορθώνετε το DKIM, αξίζει να ελέγξετε ταυτόχρονα SPF και DMARC. Μαζί είναι αυτά που εμποδίζουν την υποδύεση της επιχείρησής σας και διατηρούν το πραγματικό σας email εκεί που πρέπει.

Ρυθμίστε το στον πάροχό σας

Βήμα προς βήμα για δημοφιλείς παρόχους:

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — μπορώ να το διευθετήσω μόνος μου;

Δεν χρειάζεται να κατανοείτε την κρυπτογραφία. Στις περισσότερες περιπτώσεις είναι μια ρύθμιση που ενεργοποιείτε μέσα στον πάροχο email σας (Google Workspace, Microsoft 365, Zoho κ.λπ.), ο οποίος στη συνέχεια σας δίνει μία ή δύο εγγραφές για να προσθέσετε στο domain σας. Δώστε την ενότητα 'Πώς να το διορθώσετε' σε αυτόν που διαχειρίζεται το email ή το domain σας — είναι γρήγορη, δωρεάν δουλειά, συνήθως γύρω στα 15 λεπτά.

Η ενεργοποίηση DKIM θα ρισκάρει να σπάσει το email μου;

Η σωστή προσθήκη DKIM είναι ασφαλής — δεν αλλάζει τον τρόπο αποστολής του email σας, απλώς προσθέτει υπογραφή που μπορούν να επαληθεύσουν οι παραλήπτες. Το μόνο σημείο που πρέπει να κάνετε σωστά είναι να δημοσιεύσετε ακριβώς τον κλειδί που δημιουργεί ο πάροχός σας, και να ενεργοποιήσετε την υπογραφή μόνο αφού η εγγραφή είναι ζωντανή στο DNS. Γίνεται σε αυτή τη σειρά, χωρίς διαταραχή για εσάς ή τους πελάτες σας.

Χρησιμοποιούμε ήδη μεγάλο πάροχο όπως Google ή Microsoft — δεν καλυπτόμαστε αυτόματα;

Όχι πάντα. Οι μεγάλοι πάροχοι κάνουν το DKIM εύκολο, αλλά για πολλά domains πρέπει ακόμα να ενεργοποιηθεί και να προστεθεί εγγραφή στο DNS — δεν είναι πάντα ενεργό από προεπιλογή. Αυτός ακριβώς είναι ο λόγος που ένα domain σε μεγάλο πάροχο μπορεί να αποτύχει αυτόν τον έλεγχο. Χρειάζεται λίγα λεπτά για επιβεβαίωση και ενεργοποίηση.

Ποια είναι η διαφορά μεταξύ DKIM, SPF και DMARC; Χρειάζομαι και τα τρία;

Σκεφτείτε τα ως σύνολο. Το SPF απαριθμεί ποιοι διακομιστές επιτρέπεται να στέλνουν email για το domain σας. Το DKIM είναι η αδύνατο-να-παραβιαστεί σφραγίδα που αποδεικνύει ότι ένα μήνυμα είναι γνησίως δικό σας και αναλλοίωτο. Το DMARC είναι η οδηγία που λέει στους παρόχους τι να κάνουν με οτιδήποτε αποτυγχάνει σε αυτούς τους ελέγχους. Λειτουργούν καλύτερα μαζί — το DMARC συγκεκριμένα βασίζεται στο DKIM για να κάνει τη δουλειά του — οπότε ναι, θέλετε και τα τρία.

Το άτομο ΙΤ μου λέει ότι το DKIM είναι 'ενεργό' — πώς ξέρω ότι λειτουργεί πραγματικά και είναι αρκετά ισχυρό;

Δύο πράγματα έχουν σημασία: ότι δημοσιεύεται έγκυρη υπογραφή σε selector για το domain σας, και ότι ο κλειδί πίσω από αυτήν είναι ισχυρός (2048-bit RSA ή καλύτερος). Ένας παλαιότερος κλειδί 1024-bit εξακολουθεί να λειτουργεί αλλά θεωρείται αδύναμος με σύγχρονα πρότυπα και αντιμετωπίζεται ως μερική βαθμολογία εδώ. Η εκ νέου εκτέλεση ελέγχου στο domain σας επιβεβαιώνει και τα δύο ταυτόχρονα.

Τι είναι ένα 'selector' και γιατί έχει σημασία;

Ένα selector είναι απλώς μια ετικέτα που δείχνει σε έναν συγκεκριμένο κλειδί DKIM στο DNS — σας επιτρέπει να εκτελείτε περισσότερους από έναν κλειδί ταυτόχρονα και να τους εναλλάσσετε με ασφάλεια. Δεν το διαχειρίζεστε χειροκίνητα· ο πάροχός σας δημιουργεί τον selector και σας λέει την εγγραφή που πρέπει να δημοσιεύσετε.