Defaults.Exposed › Ispravci › DKIM
Kako popraviti DKIM
DKIM je nevidljivi zaštitni pečat na svakoj e-poruci koju vaše poduzeće šalje. Primajućem pružatelju pošte omogućuje potvrdu da je e-poruka zaista došla od vas i stigla nepromijenjenja. Bez njega, vaša pošta je lakše laživa, lakše se mijenja u prijenosu i mnogo je vjerojatnije da će završiti u spamu ili biti odbijena.
Zaključak za vaše poslovanje: Bez DKIM-a, e-poruke koje šaljete mogu biti mijenjane u prijenosu, lakše ih je kriminalcima lažno predstaviti, a vjerojatnije je da će biti filtrirane u spam ili izravno odbijene — tiho vas koštajući poslova, uplata i povjerenja koje nikad ne saznate da ste izgubili.
Što vas ovo može koštati
- Faktura koju ste e-poštom poslali bude presretnuta i bankovni podaci promijenjeni prije nego stigne vašem klijentu. E-poruka i dalje izgleda kao da dolazi od vas, klijent plati kriminalcu, a kad se to razotkrije, vi ste ti koji snose krivnju.
- Vaše stvarne ponude, ugovori i fakture stalno završavaju u spam mapama klijenata. Pretpostavljate da klijent nije zainteresiran ili je izabrao drugoga — ali oni jednostavno nikad nisu vidjeli vašu e-poruku.
- Sigurnosni ili nabavni tim većeg klijenta brzo provjeri vašu domenu prije potpisivanja, vidi da nema DKIM-a i ili odgodi posao za tjednima dok ga ne popravite, ili tiho odabere konkurenta koji je prošao provjeru.
- Kriminalac šalje uvjerljive lažne e-poruke 'od vaše tvrtke' vašim vlastitim klijentima. Budući da ništa ne dokazuje koje su poruke zaista vaše, lažne su jednako uvjerljive kao prave — a vaše ime trpi štetu kad se ljudi prevare.
- Veliki pružatelji poštanskih sandučića i banke sve više tretiraju nepotpisanu poštu kao sumnjičavu. S vremenom sve više vaše svakodnevne poslovne e-pošte biva ograničeno, odbačeno u smeće ili odbijeno, a vaše poruke polako prestaju stizati.
Zašto je to važno. E-pošta nikad nije bila dizajnirana da dokaže tko ju je poslao, a krivotvorenje pošiljatelja trivijalno je jednostavno. DKIM dodaje kriptografski potpis koji primajući pružatelj automatski provjerava — potvrđujući da je poruka zaista s vaše domene i nije bila mijenjana na putu. To je jedna od tri stvari na koje svaki moderni pružatelj pošte gleda, izravno utječe na to je li vaša e-pošta povjerljiva ili bacana u smeće, a popravak je besplatan.
Što je ovo, jednostavnim riječima
Svaka e-poruka koju vaše poduzeće šalje prolazi kroz nekoliko ruku prije nego stigne u sandučić. Sama po sebi, e-poruka ne nosi nikakav dokaz tko ju je zaista poslao ili je li je netko promijenio na putu — redak ‘od’ samo je tekst koji bilo tko može upisati.
DKIM to ispravlja. Stavlja nevidljivi, zaštitni pečat na svaku poruku koju vaše poduzeće šalje. Kad e-poruka stigne, primajući pružatelj pošte provjeri pečat u odnosu na ključ koji objavljujete na vašoj domeni. Ako se podudaraju, pružatelj sa sigurnošću zna dvije stvari: e-poruka je zaista došla s vaše domene i nije bio promijenjen niti jedan znak u prijenosu. Ako se ne podudaraju — jer je poruka bila lažna ili izmijenjena — pečat ne prođe provjeru, a pružatelj postupa s poštom sa sumnjom.
Vi tim ništa ne upravljate ručno. Jednom kad se uključi, potpisivanje i provjera događaju se automatski na svakoj e-poruci, zauvijek. Cijeli smisao DKIM-a je učiniti vašu pravu poštu dokazivo pravom — da joj se vjeruje, i da se krivotvorine ističu.
Što vas ovo može koštati
Ovo nije apstraktno. Evo kako nedostajući ili slabi DKIM pečat izgleda u praksi za malo ili srednje poduzeće.
- Izmijenjena faktura. E-poštom pošaljete klijentu fakturu. Negdje između vašeg servera i njihovog, napadač je presretne i zamijeni vaše bankovne podatke za vlastite. E-poruka i dalje izgleda kao da dolazi od vas, klijent plati — na kriminalni račun. Bez DKIM-a, nema ničega što bi signaliziralo da je poruka bila izmijenjena. S njim, ta tiha izmjena razbija pečat i bude uhvaćena.
- Poslovi koji su umrli u spamu. Vaše ponude, prijedlozi i dopisi stalno skliznu u korisnikov smeće. Ne dobivate odgovor i pretpostavljate da nisu bili zainteresirani. U stvarnosti, nepotpisana pošta jak je signal spama — vaša stvarna poslovna e-pošta jednostavno nije bila viđena.
- Izgubljeni ugovor. Nabavni ili sigurnosni tim većeg klijenta provjeri vašu domenu prije potpisa. Vide da nema DKIM-a i tretiraju ga kao crvenu zastavu — ili odgađajući posao za tjednima dok ga popravite, ili tiho birajući dobavljača čija je sigurnost e-pošte prošla provjeru.
- Vaše ime korišteno protiv vaših vlastitih klijenata. Prevarant šalje uvjerljive e-poruke “od vaše tvrtke” vašoj bazi klijenata. Budući da ništa ne dokazuje koje su poruke zaista vaše, lažne izgledaju jednako legitimno kao prave — a vaša reputacija trpi udarac kad se ljudi prevare.
- Polako gušenje vaše e-pošte. Banke, veliki pružatelji poštanskih sandučića i korporativni filteri sve više ne vjeruju nepotpisanoj pošti. Učinak polako puze: više ograničavanja, više bacanja u smeće, više odbijanja — dok vaše svakodnevne poruke tiho prestaju stizati.
Što je to zapravo
DKIM je skraćenica za DomainKeys Identified Mail. Evo kako pečat funkcionira, bez žargona:
- Objavljujete javni ključ na vašoj domeni (u DNS postavkama). Svako ga može pročitati — to je i poanta.
- Vaš pružatelj pošte drži odgovarajući privatni ključ i koristi ga za potpisivanje svake e-poruke koju šaljete, dodajući skriveno zaglavlje.
- Kad e-poruka stigne, pružatelj primatelja dohvati vaš javni ključ, provjeri potpis u odnosu na poruku i potvrdi da je autentična i nepromijenjena.
Nekoliko pojmova koje možete čuti od vaše IT osobe:
- Selector — oznaka koja upućuje na jedan specifični ključ, npr.
selector1._domainkey.vasadomena. Omogućuje pokretanje i rotiranje više ključeva čisto. Vaš pružatelj to postavi. - Jačina ključa — DKIM ključevi dolaze u različitim veličinama. Moderna osnova je RSA 2048-bitni; RSA 4096-bitni ili Ed25519 ključevi su još jači. Stariji 1024-bitni ključevi još funkcioniraju, ali prema današnjim standardima smatraju se slabima (NIST SP 800-131A / RFC 8301).
Kako izgleda ‘dobro’: valjani DKIM ključ objavljen u selectoru za vašu domenu, vaša odlazna pošta se njime potpisuje, a ključ je 2048-bitni ili jači. To je potpuni prolaz.
Napomena o bodovanju. Ova provjera traži pravi, dobro oblikovani DKIM ključ objavljen u selectorima koje pružatelji pošte uobičajeno koriste. Objavljeni valjani ključ pozitivni je signal — skener treće strane ne može ponavljati vaše žive potpise, pa se prisutnost ispravnog ključa mjeri. Ključ nije pronađen provjeru čini neispravnom (radi se o visokim ozbiljnosti jazu). Valjani ključ koji je slab (RSA 1024-bitni) donosi otprilike polovicu bodova — radi, ali treba nadograditi. Jak ključ (RSA 2048-bitni ili jači, ili Ed25519) donosi pune bodove. Ovo je jedna od provjera sigurnosti e-pošte koja se ubraja u vašu ocjenu, vrijedi znatan udio nje.
Kako to popraviti (besplatno, ~15 minuta)
Ovaj dio je za onoga tko upravlja vašom e-poštom ili domenom — ako to niste vi, proslijedite mu ovaj odjeljak. Popravak je besplatan. Mi naplaćujemo samo praćenje da vaše zaštite ostanu zdrave, ne postavljanje.
Opći oblik je isti svugdje: uključite DKIM u svom pružatelju e-pošte, uzmite ključ koji generira, objavite ga u DNS-u, zatim potvrdite da je živ. Točni koraci ovise o tome tko vodi vašu e-poštu — evo uobičajenih.
Google Workspace (Gmail)
- Admin konzola → Apps → Google Workspace → Gmail → Autentifikacija e-pošte.
- Odaberite svoju domenu i kliknite Generiraj novi zapis (odaberite duljinu ključa 2048-bitni).
- Google vam daje DNS zapis. Dodajte ga u vašem DNS hostu kao TXT zapis, host
google._domainkey.vasadomena, s vrijednošću koju je Google dao. - Pričekajte da se propagira (minuta do nekoliko sati), zatim se vratite na isti zaslon i kliknite Pokreni autentifikaciju.
Microsoft 365 (Outlook / Exchange Online)
- Idite na Microsoft Defender portal → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
- Odaberite svoju domenu. Microsoft vam prikaže dva CNAME zapisa za objavu (selector1 i selector2).
- Dodajte oba CNAME zapisa u vašem DNS hostu točno kako je prikazano.
- Natrag na DKIM zaslonu, uključite DKIM potpisivanje za domenu.
Zoho Mail
- Upravljačka ploča → Email Authentication → DKIM.
- Generirajte ključ (koristite selector poput
zoho), zatim dodajte dostavljeni TXT zapis nazoho._domainkey.vasadomenau vašem DNS-u. - Provjerite u Zoho ploči kad je zapis živ.
Drugi pružatelji / vaš vlastiti mail server Obrazac je isti: pružatelj (ili vaš mail softver) generira par ključeva, potpisuje vašu odlaznu poštu privatnim ključem i daje vam javni zapis za objavljivanje. Obično izgleda ovako:
Host: selector1._domainkey.vasadomena
Type: TXT (ili CNAME, ovisno o pružatelju)
Value: (dugi niz ključa koji vam pružatelj daje)
Gdje se dodaju DNS zapisi: u DNS postavkama vaše domene — obično kod vašeg registrara domene ili DNS hosta (npr. Cloudflare, GoDaddy, upravljačka ploča hostinga). Ako vaš pružatelj e-pošte daje CNAME, upućuje na zapis koji oni hostaju, pa nikad ne vidite sirovi ključ — to je normalno i u redu.
Potvrdite da radi: pošaljite sebi testnu e-poruku na Gmail račun, otvorite je, odaberite Prikaži original i provjerite pojavljuje li se DKIM: PASS. Zatim ovdje ponovo provjerite svoju domenu da potvrdite je li ključ pristigao kao 2048-bitni ili jači, a ne slabi 1024-bitni.
Česte greške
- Pretpostavljanje da ga veliki pružatelj ima uključenim po zadanom. Mnoge domene na Googleu ili Microsoftu još trebaju uključiti DKIM i objaviti zapis. “Koristimo Microsoft 365” nije isto što i “DKIM je omogućen.”
- Generiranje slabog 1024-bitnog ključa. Neki pružatelji još nude 1024-bitni kao zadani. Odaberite 2048-bitni kad imate mogućnost — slabi ključ donosi samo polovicu bodova i označen je strožim primateljima.
- Objavljivanje zapisa, ali nikad uključivanje potpisivanja. Dodavanje DNS zapisa je samo pola posla. Ako ne uključite potpisivanje kod pružatelja (zadnji prekidač), vaša pošta i dalje ide nepotpisana.
- Tipfehler ili skraćivanje ključa. DKIM ključevi su dugi. Kopiranje-lijepljenje koje ispusti znak ili krivo razdvoji vrijednost proizvodi neispravan pečat koji ne prođe provjeru na svakoj e-poruci. Zalijepite vrijednost točno kako je dana.
- Zaboravljanje ostalih pošiljatelja. Ako šaljete poštu putem alata za newsletter, CRM-a, aplikacije za fakturiranje ili e-commerce platforme, svaki može trebati vlastiti DKIM ključ i selector. Potpišite poštu od svih servisa koji šalju u vaše ime, ne samo od poštanskog sandučića.
Napomena o DKIM-u, SPF-u i DMARC-u
DKIM rijetko radi sam. Jedna je od tri postavke koje zajedno čine vašu e-poštu pouzdanom:
- SPF kaže koji serveri smiju slati poštu za vašu domenu.
- DKIM (ova stranica) je zaštitni pečat koji dokazuje da je poruka zaista vaša i nepromijenjena.
- DMARC je uputa koja govori pružateljima što učiniti s onim što ne prođe provjere — i oslanja se na DKIM i SPF za donošenje te odluke.
Ako popravljate DKIM, vrijedi istovremeno provjeriti SPF i DMARC. Zajedno sprječavaju lažno predstavljanje vašeg poduzeća i brinu da vaša stvarna e-pošta stigne gdje treba.
Postavite kod svog pružatelja hostinga
Korak po korak za popularne pružatelje:
- Postavite DKIM na GoDaddy
- Postavite DKIM na Namecheap
- Postavite DKIM na Cloudflare
- Postavite DKIM na Google Workspace
- Postavite DKIM na Microsoft 365
- Postavite DKIM na Squarespace
- Postavite DKIM na Wix
- Postavite DKIM na AWS Route 53
- Postavite DKIM na Hostinger
- Postavite DKIM na Porkbun
- Postavite DKIM na IONOS
- Postavite DKIM na Bluehost
Česta pitanja
Nisam tehničar — je li ovo nešto što mogu sam riješiti?
Ne trebate razumjeti kriptografiju. U većini slučajeva radi se o postavci koju uključite unutar vašeg pružatelja e-pošte (Google Workspace, Microsoft 365, Zoho, itd.), koji vam zatim da jedan ili dva zapisa za dodavanje na vašu domenu. Proslijedite odjeljak 'Kako to popraviti' onome tko upravlja vašom e-poštom ili domenom — to je brz, besplatan posao, obično oko 15 minuta.
Hoće li uključivanje DKIM-a ugroziti moju e-poštu?
Ispravno dodavanje DKIM-a je sigurno — ne mijenja način slanja vaše pošte, samo dodaje potpis koji primatelji mogu provjeriti. Jedina stvar koju treba ispravno napraviti je objaviti ključ koji vaš pružatelj generira točno onako kako je dan, i uključiti potpisivanje tek nakon što je zapis živ u DNS-u. Rađeno tim redoslijedom, nema prekida za vas ni vaše klijente.
Već koristimo velikog pružatelja poput Googlea ili Microsofta — nismo li automatski pokriveni?
Ne uvijek. Veliki pružatelji olakšavaju DKIM, ali za mnoge domene ga još treba uključiti i dodati zapis u DNS — nije uvijek uključen po zadanom. Upravo zato domena na velikom pružatelju može i dalje ne proći ovu provjeru. Treba samo nekoliko minuta za potvrdu i omogućavanje.
Koja je razlika između DKIM-a, SPF-a i DMARC-a? Trebam li sva tri?
Zamislite ih kao skup. SPF navodi koji serveri smiju slati poštu za vašu domenu. DKIM je zaštitni pečat koji dokazuje da je poruka zaista vaša i nepromijenjena. DMARC je uputa koja govori pružateljima što učiniti s onim što ne prođe provjere. Zajedno rade bolje — DMARC posebno se oslanja na DKIM za donošenje odluke — pa da, trebate sva tri.
Moja IT osoba kaže da je DKIM 'uključen' — kako znati da zaista radi i da je dovoljno jak?
Važne su dvije stvari: da je valjani potpis objavljen u selectoru za vašu domenu, i da je ključ iza njega jak (RSA 2048-bitni ili jači). Stariji 1024-bitni ključ još funkcionira, ali prema modernim standardima smatra se slabim i ovdje se tretira kao djelomično prolaz. Ponovna provjera vaše domene potvrđuje oboje odjednom.
Što je 'selector' i zašto je važan?
Selector je samo oznaka koja upućuje na jedan specifični DKIM ključ u vašem DNS-u — omogućuje istovremeno pokretanje više od jednog ključa (primjerice, jednog za poštanski sandučić i jednog za alat za newsletter) i sigurnu rotaciju ključeva. Ne upravljate tim ručno; vaš pružatelj stvara selector i govori vam koji zapis objaviti. Ovdje je važno samo zato što provjera traži valjani ključ u selectorima koje pružatelji pošte uobičajeno koriste.