Defaults.Exposed › Korjaukset › DKIM

Kuinka korjata DKIM

DKIM on näkymätön väärinkäytöltä suojaava sinetti jokaisessa yrityksesi lähettämässä sähköpostissa. Sen avulla vastaanottava sähköpostipalvelin voi varmistaa, että viesti tuli aidosti sinulta eikä sitä ole muutettu matkalla. Ilman DKIM:iä postiasi on helpompi väärentää, muuttaa matkalla ja se päätyy paljon todennäköisemmin roskapostiin.

Lyhyesti liiketoiminnallesi: Ilman DKIM:iä lähettämiäsi sähköposteja voidaan muuttaa matkalla, rikollisten on helpompi esiintyä sinuna, ja viestisi päätyvät todennäköisemmin roskapostiin tai hylätään kokonaan – menettäen hiljaa kauppoja, maksuja ja luottamusta, joiden menetyksestä et koskaan saa tietää.

Mitä tämä voi maksaa sinulle

Lähettämäsi lasku kaapataan matkalla ja pankkitiedot vaihdetaan ennen kuin se saavuttaa asiakkaan. Sähköposti näyttää edelleen tulevan sinulta, asiakas maksaa rikolliselle, ja kun totuus paljastuu, sinua syytetään.
Aidot tarjouksesi, sopimuksesi ja laskusi päätyvät jatkuvasti asiakkaiden roskapostiin. Luulet heidän hiljenneen tai valinneen jonkun muun – he eivät yksinkertaisesti koskaan nähneet sähköpostiasi.
Suuremman asiakkaan tietoturva- tai hankintatiimi tarkistaa verkkotunnuksesi ennen sopimuksen allekirjoittamista, ei löydä DKIM:iä ja joko viivyttää kauppaa viikoilla korjausta odotellessa tai valitsee hiljalleen kilpailijan, jolla sähköpostin tietoturva on kunnossa.
Rikollinen lähettää vakuuttavia väärennetyjä sähköposteja 'yritykseltäsi' omille asiakkaillesi. Koska mikään ei todista, mitkä viestit ovat aidosti sinulta, väärennökset ovat yhtä uskottavia kuin aidat – ja maineesi kärsii.
Suuret sähköpostilaatikkopalveluntarjoajat ja pankit suhtautuvat yhä epäluuloisemmin allekirjoittamattomaan postiin. Ajan myötä yhä enemmän tavallisesta liikeviestinnästäsi jää toimittamatta, joutuu roskapostiin tai pomppaa takaisin.

Miksi tällä on merkitystä. Sähköpostia ei koskaan rakennettu todistamaan, kuka sen lähetti, ja lähettäjän väärentäminen on triviaalia. DKIM lisää kryptografisen allekirjoituksen, jonka vastaanottava palvelin tarkistaa automaattisesti – vahvistaen, että viesti on aidosti verkkotunnukseltasi eikä sitä ole muutettu matkalla. Se on yksi kolmesta asiasta, joita jokainen nykyaikainen sähköpostipalveluntarjoaja etsii, se vaikuttaa suoraan siihen, luotetaanko postiisi vai roskapostitetaanko se, ja korjaus on ilmainen.

Mitä tämä on selkokielellä

Jokainen yrityksesi lähettämä sähköposti kulkee useiden käsien kautta ennen kuin se saapuu postilaatikkoon. Sähköposti ei itsessään todista, kuka sen lähetti tai muuttiko joku sitä matkalla – “lähettäjä”-rivi on vain tekstiä, jonka kuka tahansa voi kirjoittaa.

DKIM korjaa tämän. Se lisää näkymättömän, väärinkäytöltä suojaavan sinetin jokaiseen lähettämääsi viestiin. Kun sähköposti saapuu, vastaanottavan sähköpostipalveluntarjoajan hakee verkkotunnukseltasi julkaisemasi avaimen, tarkistaa allekirjoituksen viestiä vasten ja varmistaa, että se on aito ja muuttumaton. Jos se täsmää, palveluntarjoaja tietää varmasti kaksi asiaa: sähköposti tuli aidosti verkkotunnukseltasi eikä yhtä merkkiä muutettu matkalla. Jos se ei täsmää – koska viesti oli väärennös tai sitä muutettiin – sinetti pettää ja palveluntarjoaja suhtautuu postiin epäillen.

Et hallinnoi mitään tätä käsin. Kun se on kytketty päälle, allekirjoittaminen ja tarkistaminen tapahtuvat automaattisesti jokaisessa sähköpostissa ikuisesti. DKIM:n koko tarkoitus on tehdä aidosta postistasi todistettavasti aitoa – niin että siihen luotetaan, ja niin että väärennökset erottuvat.

Mitä tämä voi maksaa yrityksellesi

Tämä ei ole abstraktia. Tässä on, miltä puuttuva tai heikko DKIM-sinetti näyttää käytännössä pienelle tai keskisuurelle yritykselle.

Muutettu lasku. Lähetät asiakkaalle laskun. Jossain palvelimesi ja heidän palvelimensa välillä hyökkääjä kaappaa sen ja vaihtaa pankkitietosi omiin. Sähköposti näyttää edelleen tulevan sinulta, asiakas maksaa – rikollisen tilille. Ilman DKIM:iä ei ole mitään, joka paljastaisi viestin muuttamisen. Sen avulla tuo hiljainen muutos rikkoo sinetin ja havaitaan.
Roskapostiin hukkuneet kaupat. Tarjouksesi, ehdotuksesi ja seurantaviestisi liukenevat asiakkaiden roskapostiin. Et koskaan kuule takaisin ja oletat, etteivät he olleet kiinnostuneita. Tosiasiassa allekirjoittamaton posti on vahva roskapostisignaali – aitoa liikepostiasi ei yksinkertaisesti nähty.
Menetetty sopimus. Suuremman asiakkaan hankinta- tai tietoturvatiimi tarkistaa verkkotunnuksesi ennen sopimuksen allekirjoittamista. He eivät löydä DKIM:iä ja pitävät sitä punaisena lippuna – joko viivyttäen kauppaa viikoilla korjausta odotellessa tai valitsemalla hiljalleen toimittajan, jonka sähköpostin tietoturva läpäisi tarkistuksen.
Nimesi käytettyä omia asiakkaitasi vastaan. Huijari lähettää vakuuttavia väärennetyjä sähköposteja “yritykseltäsi” asiakaskunnallesi. Koska mikään ei todista, mitkä viestit ovat aidosti sinulta, väärennökset näyttävät yhtä legitiimeiltä kuin aidat – ja kun ihmiset joutuvat huijatuksi, maineesi kärsii vahingon.”
Sähköpostisi hitaasti kuihtuva toimivuus. Pankit, suuret sähköpostilaatikkopalveluntarjoajat ja yritysten suodattimet suhtautuvat yhä epäluuloisemmin allekirjoittamattomaan postiin. Vaikutus hiipii ajan myötä: enemmän hidastamista, enemmän roskapostittamista, enemmän takaisinlähetyksiä – kunnes tavallinen viestintäsi ei enää päädy perille.

Mitä DKIM oikeasti on

DKIM tulee sanoista DomainKeys Identified Mail. Tässä on, miten sinetti toimii ilman ammattijargonia:

Julkaiset julkisen avaimen verkkotunnuksellasi (DNS-asetuksissasi). Kuka tahansa voi lukea sen – siinä on koko pointti.
Sähköpostipalveluntarjoajasi pitää hallussaan vastaavaa yksityistä avainta ja käyttää sitä allekirjoittaakseen jokaisen lähettämäsi sähköpostin lisäämällä piilotetun otsikon.
Kun sähköposti saapuu, vastaanottajan palveluntarjoaja hakee julkisen avaimesi, tarkistaa allekirjoituksen viestiä vasten ja vahvistaa sen olevan aito ja muuttumaton.

Muutamia termejä, joita IT-henkilösi saattaa mainita:

Selector – merkintä, joka osoittaa yhteen tiettyyn avaimeen, esim. selector1._domainkey.verkkotunnuksesi. Sen avulla voidaan käyttää ja vaihtaa useita avaimia siististi. Palveluntarjoajasi asettaa tämän.
Avaimen vahvuus – DKIM-avaimet ovat erikokoisia. Nykyaikainen peruslähtötaso on 2048-bittinen RSA; 4096-bittinen RSA tai Ed25519-avaimet ovat vielä vahvempia. Vanhat 1024-bittiset avaimet toimivat edelleen, mutta niitä pidetään heikkoina nykyisten standardien mukaan (NIST SP 800-131A / RFC 8301).

Hyvä asetus näyttää tältä: kelvollinen DKIM-avain on julkaistu verkkotunnuksesi selectorissa, lähtevä postisi allekirjoitetaan sillä, ja avain on 2048-bittinen tai vahvempi. Se on täydellinen läpäisy.

Huomio pisteytyksen toiminnasta. Tämä tarkistus etsii aitoa, hyvin muodostettua DKIM-avainta julkaistuna sähköpostipalveluntarjoajien yleisesti käyttämissä selektoreissa. Julkaistu kelvollinen avain on positiivinen signaali – ulkopuolinen skanneri ei voi toistaa live-allekirjoituksiasi, joten oikean avaimen olemassaolo on mitattava asia. Avainta ei löydy epäonnistaa tarkistuksessa (korkean vakavuuden puute). Kelvollinen mutta heikko (1024-bittinen RSA) avain saa noin puolet pisteitä – se toimii, mutta se tulisi päivittää. Vahva avain (2048-bittinen RSA tai parempi, tai Ed25519) saa täydet pisteet.

Korjausohje (ilmainen, n. 15 minuuttia)

Tämä osa on sähköpostisi tai verkkotunnuksesi hallinnoijaa varten – jos se et ole sinä, anna heille tämä osio. Korjaus on ilmainen. Veloitamme vain suojaustesi terveyden seurannasta ajan myötä, ei niiden asettamisesta.

Yleinen muoto on kaikkialla sama: kytke DKIM päälle sähköpostipalveluntarjoajallasi, ota se tuottama avain, julkaise se DNS:ssäsi ja vahvista sitten, että se on aktivoitunut. Tarkat vaiheet riippuvat siitä, kuka hoitaa sähköpostisi – tässä on yleisimmät tapaukset.

Google Workspace (Gmail)

Hallintakonsoli → Sovellukset → Google Workspace → Gmail → Sähköpostin todennus.
Valitse verkkotunnuksesi ja napsauta Luo uusi tietue (valitse 2048-bittinen avainpituus).
Google antaa sinulle DNS-tietueen. Lisää se DNS-palveluntarjoajallasi TXT-tietueena, isäntä google._domainkey.verkkotunnuksesi, arvolla Googlen antamalla arvolla.
Odota sen aktivoitumista (minuutteja tai muutama tunti), palaa sitten samaan näyttöön ja napsauta Aloita todennus.

Microsoft 365 (Outlook / Exchange Online)

Siirry Microsoft Defender -portaaliin → Sähköposti ja yhteistyö → Käytännöt ja säännöt → Uhkakäytännöt → Sähköpostin todennusasetukset → DKIM.
Valitse verkkotunnuksesi. Microsoft näyttää sinulle kaksi CNAME-tietuetta julkaistavaksi (selector1 ja selector2).
Lisää molemmat CNAME-tietueet DNS-palveluntarjoajallasi täsmälleen näkyvässä muodossa.
Palaa DKIM-näyttöön ja kytke DKIM-allekirjoittaminen käyttöön kyseiselle verkkotunnukselle.

Zoho Mail

Ohjauspaneeli → Sähköpostin todennus → DKIM.
Luo avain (käytä selektoria kuten zoho), lisää sitten annettu TXT-tietue osoitteessa zoho._domainkey.verkkotunnuksesi DNS:ssäsi.
Vahvista Zoho-paneelissa, kun tietue on aktivoitunut.

Muut palveluntarjoajat / oma sähköpostipalvelin Kaava on sama: palveluntarjoaja (tai sähköpostiohjelmistosi) luo avainparin, allekirjoittaa lähtevän postisi yksityisellä avaimella ja antaa sinulle julkisen tietueen julkaistavaksi. Se näyttää tyypillisesti tältä:

Isäntä:  selector1._domainkey.verkkotunnuksesi
Tyyppi:  TXT (tai CNAME, palveluntarjoajasta riippuen)
Arvo: (palveluntarjoajan antama pitkä avainmerkkijono)

DNS-tietueiden lisääminen: verkkotunnuksesi DNS-asetuksissa – yleensä verkkotunnusrekisteröijälläsi tai DNS-palveluntarjoajallasi (esim. Cloudflare, GoDaddy, hostingpaneeli). Jos sähköpostipalveluntarjoajasi antaa CNAME:n, se osoittaa heidän isännöimäänsä tietueeseen, joten et koskaan näe raakaa avainta – tämä on normaalia ja toimii hyvin.

Vahvista, että se toimii: lähetä itsellesi testisähköposti Gmail-tilille, avaa se, valitse Näytä alkuperäinen ja tarkista, että DKIM: PASS näkyy. Tarkista sitten verkkotunnuksesi uudelleen täällä vahvistaaksesi, että avain näkyy 2048-bittisenä tai vahvempana, eikä heikkona 1024-bittisenä.

Yleisimmät virheet

Olettaminen, että suuri palveluntarjoaja on asettanut sen oletuksena. Monet verkkotunnukset Googlella tai Microsoftilla tarvitsevat edelleen DKIM:n kytkemisen päälle ja tietueen julkaisemisen. “Käytämme Microsoft 365:tä” ei tarkoita samaa kuin “DKIM on käytössä.”
Heikon 1024-bittisen avaimen luominen. Jotkut palveluntarjoajat tarjoavat edelleen oletusarvoisesti 1024-bittistä avainta. Valitse 2048-bittinen, kun saat valinnanmahdollisuuden – heikko avain saa vain puolipisteet ja ankarimmat vastaanottajat merkitsevät sen.
Tietueen julkaiseminen mutta allekirjoittamisen jättäminen käyttöönottamatta. DNS-tietueen lisääminen on vain puolet tehtävästä. Jos et kytke allekirjoittamista päälle palveluntarjoajassa (viimeinen vaihtoehto), postisi lähtee silti allekirjoittamattomana.
Avaimen kirjoitusvirhe tai katkaisu. DKIM-avaimet ovat pitkiä. Kopioi-liimaa, joka pudottaa merkin tai jakaa arvon väärin, tuottaa rikkinäisen sinetin, joka epäonnistuu jokaisessa sähköpostissa. Liitä arvo täsmälleen sellaisena kuin se annetaan.
Muiden lähettäjien unohtaminen. Jos lähetät postia uutiskirjetyökalun, CRM:n, laskutusohjelman tai verkkokauppa-alustan kautta, kullakin saattaa tarvita oma DKIM-avain ja selector. Allekirjoita posti kaikista palveluista, jotka lähettävät puolestasi, ei vain sähköpostilaatikostasi.

Huomio DKIM:stä, SPF:stä ja DMARC:ista

DKIM toimii harvoin yksin. Se on yksi kolmesta asetuksesta, jotka yhdessä tekevät sähköpostistasi luotettavan:

SPF kertoo, mitkä palvelimet saavat lähettää postia verkkotunnukseltasi.
DKIM (tämä sivu) on väärinkäytöltä suojaava sinetti, joka todistaa, että viesti on aidosti sinulta ja muuttumaton.
DMARC on ohje, joka kertoo palveluntarjoajille, mitä tehdä epäonnistuneen tarkistuksen jälkeen – ja se nojaa DKIM:iin ja SPF:ään tehdäkseen päätöksen.

Jos korjaat DKIM:iä, kannattaa tarkistaa samalla SPF ja DMARC. Yhdessä ne estävät yrityksesi esiintymisen ja pitävät aidon postisi siellä, missä sen pitäisi olla.

Asenna palveluntarjoajallasi

Vaiheittainen ohje suosituille palveluntarjoajille:

UKK

En ole tekninen – voiko tämän hoitaa itse?

Kryptografiaa ei tarvitse ymmärtää. Useimmissa tapauksissa kyseessä on asetus, joka kytketään päälle sähköpostipalveluntarjoajalta (Google Workspace, Microsoft 365, Zoho jne.), joka sitten antaa sinulle yhden tai kaksi DNS-tietuetta lisättäväksi. Anna 'Korjausohje' verkkotunnuksesi tai sähköpostisi hallinnoijalle – se on nopea, ilmainen tehtävä, yleensä noin 15 minuuttia.

Voiko DKIM:n käyttöönotto rikkoa sähköpostini?

DKIM:n oikea lisääminen on turvallista – se ei muuta postisi lähetystapaa, vain lisää allekirjoituksen, jonka vastaanottajat voivat tarkistaa. Yksi asia, joka on saatava oikein: julkaise palveluntarjoajasi tuottama avain täsmälleen sellaisena kuin se annetaan, ja ota allekirjoittaminen käyttöön vasta sen jälkeen, kun tietue on aktivoitunut DNS:ssä. Tässä järjestyksessä tehtynä ei tule häiriöitä sinulle eikä asiakkaillesi.

Käytämme jo suurta palveluntarjoajaa kuten Google tai Microsoft – eikö meille ole automaattisesti suojattu?

Ei aina. Suuret palveluntarjoajat tekevät DKIM:n helpoksi, mutta monille verkkotunnuksille se on silti kytkettävä päälle ja DNS:ään on lisättävä tietue – se ei ole automaattisesti päällä. Siksi suurella palveluntarjoajalla oleva verkkotunnus voi silti epäonnistua tässä tarkistuksessa. Vahvistaminen ja käyttöönotto kestää muutaman minuutin.

Mitä eroa on DKIM:llä, SPF:llä ja DMARC:illa? Tarvitsenko kaikki kolme?

Ajattele niitä kokonaisuutena. SPF luettelee, mitkä palvelimet saavat lähettää postia verkkotunnukseltasi. DKIM on väärinkäytöltä suojaava sinetti, joka todistaa, että viesti on aidosti sinulta eikä sitä ole muutettu. DMARC on ohje, joka kertoo palveluntarjoajille, mitä tehdä tarkistuksissa epäonnistuneille viesteille. Ne toimivat parhaiten yhdessä – DMARC erityisesti nojaa DKIM:iin tehdäkseen tehtävänsä – joten kyllä, tarvitset kaikki kolme.

IT-henkilömme sanoo, että DKIM on 'päällä' – kuinka tiedän sen todella toimivan ja olevan riittävän vahva?

Kaksi asiaa on tärkeää: että kelvollinen allekirjoitus on julkaistu verkkotunnuksesi selector-osoitteessa, ja että avain on riittävän vahva (2048-bittinen RSA tai vahvempi). Vanhempi 1024-bittinen avain toimii edelleen, mutta se katsotaan heikoksi nykyisten standardien mukaan ja saa tässä tarkistuksessa vain osittaiset pisteet. Verkkotunnuksesi uudelleentarkistus vahvistaa molemmat kerralla.

Mikä on 'selector' ja miksi sillä on merkitystä?

Selector on vain merkintä, joka osoittaa yhteen tiettyyn DKIM-avaimeen DNS:ssäsi – sen avulla voit käyttää useampaa kuin yhtä avainta samanaikaisesti (esimerkiksi yksi sähköpostilaatikolle ja yksi uutiskirjetyökalulle) ja vaihtaa avaimia turvallisesti. Et hallinnoi sitä käsin; palveluntarjoajasi luo selectorin ja kertoo sinulle julkaistavan tietueen. Tällä sivulla sillä on merkitystä, koska tarkistus etsii kelvollista avainta selektoreista, joita sähköpostipalveluntarjoajat yleisesti käyttävät.