Defaults.Exposed › Javítások › DKIM

Hogyan javítsd ki: DKIM

A DKIM a vállalkozásod által küldött minden e-mail láthatatlan, hamisításbiztos pecsétje. Lehetővé teszi, hogy a fogadó levelezőszolgáltató megerősítse: az e-mail valóban tőled érkezett, és változatlanul jutott el. Nélküle a leveleid könnyebben meghamisíthatók, könnyebben módosíthatók, és jóval nagyobb eséllyel kerülnek spambe vagy utasítják el őket.

Az üzleted szempontjából lényeg: DKIM nélkül az elküldött e-maileket átvitel közben módosíthatják, bűnözők könnyebben utánozhatják őket, és nagyobb valószínűséggel szűrik spamként vagy utasítják el – csendesen elveszített üzleteket, kifizetéseket és bizalmat okozva, amelyekről sosem szerzesz tudomást.

Mibe kerülhet ez neked

• Egy számla, amelyet e-mailben küldtél, elfogják, és a bankszámlaszámot kicserélik, mielőtt az ügyfélhez érne. Az e-mail még mindig tőled látszik jönni, az ügyfél fizet – de a bűnöző számlájára. Amikor ez kiderül, te kerülsz a vádlottak padjára.
• A valódi ajánlataid, szerződéseid és számláid az ügyfelek spamjébe kerülnek. Azt feltételezed, hogy az ügyfél nem volt érdeklődő, vagy mást választott – de ők egyszerűen sosem látták az e-mailedet.
• Egy nagyobb ügyfél biztonsági vagy beszerzési csapata gyorsan ellenőrzi a domained aláírás előtt, nem lát DKIM-et, és vagy hetekkel visszatolja az üzletet, amíg javítasz, vagy csendben egy olyan versenytársat választ, aki megfelelt.
• Egy bűnöző meggyőző erejű hamis e-maileket küld 'a céged nevében' az ügyfeleidnek. Mivel semmi sem bizonyítja, hogy melyik e-mail valóban tőled való, a hamisítványok éppen olyan hihetőnek tűnnek, mint az igaziak – és a neved szenvedi a kárt.
• A nagy postafiók-szolgáltatók és bankok egyre inkább gyanúsnak tekintik az alá nem írt leveleket. Idővel egyre több mindennapi üzleti e-mailedbe akad fenn, kerül szemetesbe vagy pattan vissza, és a kommunikációd lassan megáll.

Miért fontos. Az e-mailt soha nem tervezték arra, hogy bizonyítsa, ki küldte, és a feladó hamisítása rendkívül egyszerű. A DKIM kriptográfiai aláírást ad, amelyet a fogadó automatikusan ellenőriz – megerősítve, hogy az üzenet valóban a te domainedről érkezett és nem módosult az úton. Ez az egyik három dolog, amelyet minden modern levelezőszolgáltató keres, közvetlenül befolyásolja az e-mailjeid megbízhatóságát vagy spambe kerülését, a javítás pedig ingyenes.

Mi ez egyszerű szavakkal

Minden e-mail, amelyet a vállalkozásod küld, több kézben megfordul, mielőtt az inboxba ér. Önmagában egy e-mail nem tartalmaz bizonyítékot arról, hogy ki küldte valójában, vagy hogy valaki megváltoztatta-e az úton – a „from” sor csupán szöveg, amelyet bárki begépelhet.

A DKIM ezt orvosolja. Láthatatlan, hamisításbiztos pecsétet helyez el minden egyes üzeneten, amelyet a vállalkozásod küld. Amikor az e-mail megérkezik, a fogadó levelezőszolgáltató a domainen közzétett kulcsoddal ellenőrzi a pecsétet. Ha egyezik, a szolgáltató biztosan tudja két dolgot: az e-mail valóban a domainedről érkezett, és egyetlen karaktert sem változtattak meg az átvitel során. Ha nem egyezik – mert az üzenetet meghamisították vagy módosították –, a pecsét meghibásodik, és a szolgáltató gyanúsan kezeli a levelet.

Mindezt nem kézzel kezeled. Amint be van kapcsolva, az aláírás és az ellenőrzés automatikusan megtörténik minden egyes e-mailnél, mindörökké. A DKIM lényege, hogy a valódi leveledet bizonyíthatóan valódivá tegye – hogy megbízjanak benne, és a hamisítványok feltűnjenek.

Mibe kerülhet ez neked

Ez nem elvont. Így néz ki a hiányzó vagy gyenge DKIM-pecsét egy kis- vagy középvállalkozásnál a gyakorlatban.

• A módosított számla. E-mailben küldesz egy számlát az ügyfélnek. A szervered és az ő szerverük között egy támadó elfogja, és kicseréli a bankszámlaszámodat a sajátjával. Az e-mail még mindig tőled látszik jönni, az ügyfél fizet – a bűnöző számlájára. DKIM nélkül semmi nem jelzi, hogy az üzenetet manipulálták. Azzal ez a csendes módosítás feltöri a pecsétet és lebukik.
• Az elhalt üzletek a spamben. Az ajánlataid, javaslataid és utánkövetéseid az ügyfelek levélszemétjébe kerülnek. Sosem hallasz vissza, és feltételezed, hogy nem érdeklődtek. A valóságban az aláíratlan levél erős spam-jelzés – az egyszerű üzleti e-mailedre egyszerűen nem láttak rá.
• Az elveszett szerződés. Egy nagyobb ügyfél beszerzési vagy biztonsági csapata megvizsgálja a domained, mielőtt aláírna. Nem lát DKIM-et, és vörös zászlóként kezeli – hetekel tolva vissza az üzletet, amíg javítasz, vagy csendben egy olyan beszállítót választ, akinek az e-mail biztonsága megfelelt.
• A neved a saját ügyfeleid ellen fordítva. Egy csaló meggyőző erejű e-maileket küld ‘a cégedtől’ az ügyfélbázisodnak. Mivel semmi sem bizonyítja, hogy melyik üzenet valóban tőled való, a hamisítványok éppen olyan hitelesnek tűnnek, mint az igaziak – és a te hírneved kapja a pofont, amikor az emberek megkárosulnak.
• Az e-mailjeid lassú ellehetetlenítése. A bankok, nagy postafiók-szolgáltatók és vállalati szűrők egyre jobban bizalmatlanul kezelik az alá nem írt levelet. A hatás idővel szivárog be: több akadályba ütközés, több kukázás, több visszapattanás – amíg a mindennapi kommunikációd csendben nem jut célba.

Mi is ez pontosan

A DKIM a DomainKeys Identified Mail rövidítése. Így működik a pecsét, zsargon nélkül:

• Egy nyilvános kulcsot teszel közzé a domainen (a DNS-beállításaiban). Bárki elolvashatja – ez a lényege.
• A levelezőszolgáltatód a megfelelő titkos kulcsot tartja, és minden elküldött e-mailt aláír vele, egy rejtett fejlécet adva hozzá.
• Amikor az e-mail megérkezik, a fogadó szolgáltató lekéri a nyilvános kulcsodat, ellenőrzi az aláírást az üzenettel, és megerősíti, hogy hiteles és módosítatlan.

Néhány kifejezés, amelyet hallhatsz az IT-szakemberedtől:

• Szelektor – egy cimke, amely egy adott kulcsra mutat, pl. selector1._domainkey.yourdomain. Lehetővé teszi több kulcs futtatását és biztonságos cseréjét. A szolgáltatód állítja be.
• Kulcserősség – a DKIM-kulcsok különböző méretben kaphatók. A modern alap a 2048 bites RSA; a 4096 bites RSA vagy Ed25519 kulcsok még erősebbek. A régebbi 1024 bites kulcsok még működnek, de mai szabványok szerint gyengének minősülnek (NIST SP 800-131A / RFC 8301).

Mit jelent a „jó” beállítás: érvényes DKIM-kulcs van közzétéve egy szelektornál a domainedhez, a kimenő leveleid azzal vannak aláírva, és a kulcs 2048 bites vagy erősebb. Ez a teljes megfelelés.

Megjegyzés a pontozásról. Ez az ellenőrzés azt keresi, hogy érvényes, jól formált DKIM-kulcs legyen közzétéve a levelezőszolgáltatók által általánosan használt szelektorokon. Egy közzétett érvényes kulcs a pozitív jel – egy harmadik feles szkenner nem tudja visszajátszani az élő aláírásokat, tehát a helyes kulcs megléte mérődik. Nem található kulcs meghibásodtatja az ellenőrzést (magas súlyosságú hiány). Érvényes, de gyenge kulcs (1024 bites RSA) kb. fél pontszámot kap – működik, de frissíteni kellene. Erős kulcs (2048 bites RSA vagy jobb, vagy Ed25519) teljes pontszámot kap. Ez az egyik e-mail biztonsági ellenőrzés, amelynek súlya van a besorolásodban.

Hogyan javítsd ki (ingyenes, ~15 perc)

Ez a rész annak szól, aki az e-mailedet vagy a domained kezeli – ha ez nem te vagy, add át nekik ezt a részt. A javítás ingyenes. Mi csak figyelésért számítjuk fel díjat, hogy az e-mail biztonsági beállításaid idővel egészségesek maradjanak, a beállításért nem.

Az általános folyamat mindenhol ugyanaz: kapcsold be a DKIM-et a levelezőszolgáltatódban, vedd a generált kulcsot, tedd közzé a DNS-ben, majd erősítsd meg, hogy él. A pontos lépések attól függnek, ki futtatja az e-mailedet – íme a leggyakoribbak.

Google Workspace (Gmail)

1. Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
2. Válaszd ki a domained, és kattints a Generate new record gombra (válaszd a 2048 bites kulcshosszt).
3. A Google egy DNS-rekordot ad. Add hozzá a DNS-gazdádnál TXT rekordként, host google._domainkey.yourdomain, a Google által megadott értékkel.
4. Várd meg a terjedést (percektől néhány óráig), majd térj vissza ugyanarra a képernyőre, és kattints a Start authentication gombra.

Microsoft 365 (Outlook / Exchange Online)

1. Menj a Microsoft Defender portálra → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
2. Válaszd ki a domained. A Microsoft két CNAME-rekordot mutat, amelyeket közzé kell tenni (selector1 és selector2).
3. Add hozzá mindkét CNAME-rekordot a DNS-gazdádnál pontosan a megadott formában.
4. Vissza a DKIM képernyőn, kapcsold be a DKIM-aláírást Enabled értékre a domainnél.

Zoho Mail

1. Control Panel → Email Authentication → DKIM.
2. Generálj kulcsot (használj egy szelektort, pl. zoho), majd add hozzá a megadott TXT-rekordot a zoho._domainkey.yourdomain helyre a DNS-ben.
3. Erősítsd meg a Zoho panelban, amint a rekord él.

Más szolgáltatók / saját levelezőszerver A minta azonos: a szolgáltató (vagy a levelezőszoftvered) kulcspárt generál, a titkos kulccsal aláírja a kimenő leveleidet, és megad egy közzéteendő nyilvános rekordot. Általában így néz ki:

Host:  selector1._domainkey.yourdomain
Type:  TXT (vagy CNAME, a szolgáltatótól függően)
Value: (a szolgáltatód által megadott hosszú kulcskarakterlánc)

Hol kell hozzáadni a DNS-rekordokat: a domain DNS-beállításaiban – általában a domain-regisztrátornál vagy a DNS-gazdánál (pl. Cloudflare, GoDaddy, a hosting vezérlőpanelod). Ha a levelezőszolgáltatód CNAME-et ad meg, az általuk hosztolt rekordra mutat, tehát soha nem látod a nyers kulcsot – ez normális és rendben van.

Erősítsd meg, hogy működik: küldj magadnak egy tesztüzenetet egy Gmail-fiókba, nyisd meg, válaszd a Show original lehetőséget, és ellenőrizd, hogy DKIM: PASS jelenik meg. Majd ellenőrizd újra a domained itt, hogy a kulcs 2048 bitesnek vagy erősebbnek mutatkozzék, ne gyenge 1024 bitesnek.

Gyakori hibák

• Azt feltételezni, hogy egy nagy szolgáltató alapból bekapcsolja. Rengeteg Google- vagy Microsoft-domainnél még be kell kapcsolni a DKIM-et és közzé kell tenni egy rekordot. A „Microsoft 365-öt használunk” nem ugyanaz, mint a „DKIM engedélyezve van.”
• Gyenge 1024 bites kulcs generálása. Egyes szolgáltatók még mindig 1024 biteset alapértelmeznek vagy kínálnak. Válaszd a 2048 biteset, ha lehetőséged van rá – a gyenge kulcs csak fél pontszámot kap, és a szigorúbb fogadók is jelzik.
• A rekord közzététele, de az aláírás soha nem engedélyezése. A DNS-rekord hozzáadása csupán a feladat fele. Ha nem kapcsolod be az aláírást a szolgáltatónál (az utolsó kapcsoló), a leveleid még mindig aláíratlanul mennek ki.
• Elgépelés vagy a kulcs megcsonkítása. A DKIM-kulcsok hosszúak. Egy másolás-beillesztés, amelyből kimarad egy karakter vagy helytelenül tördelve kerül be az érték, minden e-mailnél meghibásodó pecsétet eredményez. Illeszd be az értéket pontosan a megadott formában.
• A többi feladó elfelejtése. Ha hírlevélküldő eszközön, CRM-en, számlázó alkalmazáson vagy e-kereskedelmi platformon keresztül küldesz e-mailt, mindegyiknek szüksége lehet saját DKIM-kulcsra és szelektorra. Írd alá a minden neveddel levelet küldő szolgáltatástól érkező leveleket, nem csak a postafiókodból érkezőket.

Megjegyzés a DKIM-ről, az SPF-ről és a DMARC-ról

A DKIM ritkán működik egyedül. Ez a három beállítás egyike, amelyek együtt teszik megbízhatóvá az e-maileidet:

• Az SPF megmondja, mely szerverek küldhetnek e-mailt a domainedről.
• A DKIM (ez az oldal) a hamisításbiztos pecsét, amely bizonyítja, hogy az üzenet valóban tőled való és változatlan.
• A DMARC az az utasítás, amely megmondja a szolgáltatóknak, mit tegyenek azokkal, amelyek meghibásodnak – és a DKIM-re és az SPF-re támaszkodik ennek eldöntéséhez.

Ha a DKIM-et javítod, érdemes egyszerre ellenőrizni az SPF-et és a DMARC-ot is. Együtt ezek állítják meg a vállalkozásod megszemélyesítését, és ezek tartják a valódi e-mailjeidet ott, ahol lenniük kell.

Állítsd be a tárhelyszolgáltatódnál

Lépésről lépésre a népszerű szolgáltatóknál:

• DKIM beállítása GoDaddy esetén
• DKIM beállítása Namecheap esetén
• DKIM beállítása Cloudflare esetén
• DKIM beállítása Google Workspace esetén
• DKIM beállítása Microsoft 365 esetén
• DKIM beállítása Squarespace esetén
• DKIM beállítása Wix esetén
• DKIM beállítása AWS Route 53 esetén
• DKIM beállítása Hostinger esetén
• DKIM beállítása Porkbun esetén
• DKIM beállítása IONOS esetén
• DKIM beállítása Bluehost esetén

GYIK