Defaults.Exposed › Fikser › DKIM
Slik fikser du DKIM
DKIM er det usynlige, manipulasjonssikre seglet på hver e-post virksomheten din sender. Det lar den mottakende e-postleverandøren bekrefte at e-posten genuint kom fra deg og ankom uendret. Uten det er e-posten din lettere å forfalske, lettere å endre, og langt mer sannsynlig å havne i søppelpost eller avvises direkte.
Bunnlinjen for virksomheten din: Uten DKIM kan e-postene du sender manipuleres underveis, er lettere for kriminelle å etterligne, og er mer sannsynlig å bli filtrert til søppelpost eller avvist direkte — noe som stille koster deg avtaler, betalinger og tillit du aldri vet du tapte.
Hva dette kan koste deg
- En faktura du sendte på e-post blir fanget opp og bankdetaljene endret før den når kunden din. E-posten ser fortsatt ut til å komme fra deg, kunden betaler den kriminelle, og når det går opp, er det deg som får skylden.
- Dine genuine tilbud, kontrakter og fakturaer havner stadig i kundenes søppelpostmapper. Du antar at klienten ble stille eller valgte noen andre — men de så rett og slett aldri e-posten din.
- En større klients sikkerhets- eller innkjøpsteam kjører en rask sjekk på domenet ditt før de signerer, ser ingen DKIM, og enten skyver avtalen tilbake i uker til du fikser det, eller velger stille en leverandør som bestod.
- En kriminell sender overbevisende falske e-poster 'fra selskapet ditt' til kundene dine. Fordi ingenting beviser hvilke e-poster som virkelig er dine, er de falske like troverdige som de ekte — og ditt navn tar skaden.
- Store postboksleverandører og banker behandler i økende grad usignert e-post som mistenkelig. Over tid blir mer av din hverdaglige forretningse-post strupt, kastet i søppelpost eller bounced, og din oppsøking slutter stille å lande.
Hvorfor det er viktig. E-post ble aldri bygget for å bevise hvem som sendte det, og å forfalske avsenderen er trivielt enkelt. DKIM legger til en kryptografisk signatur som den mottakende leverandøren sjekker automatisk — og bekrefter at meldingen genuint er fra domenet ditt og ikke er blitt endret på veien. Det er en av de tre tingene enhver moderne e-postleverandør ser etter, det påvirker direkte om e-posten din er betrodd eller kastet, og fiksen er gratis.
Hva dette er, i enkle ord
Hver e-post virksomheten din sender, reiser gjennom flere hender før den når innboksen. I seg selv bærer en e-post ingen bevis på hvem som virkelig sendte den eller om noen endret den underveis — «fra»-linjen er bare tekst alle kan skrive.
DKIM fikser det. Det legger et usynlig, manipulasjonssikkert segl på hver melding virksomheten din sender. Når e-posten ankommer, sjekker den mottakende e-postleverandøren seglet mot en nøkkel du publiserer på domenet ditt. Hvis det stemmer, vet leverandøren to ting med sikkerhet: e-posten kom genuint fra domenet ditt, og ikke ett eneste tegn ble endret underveis. Hvis det ikke stemmer — fordi meldingen ble forfalsket eller endret — feiler seglet, og leverandøren behandler e-posten med mistanke.
Du administrerer ingenting av dette for hånd. Når det er slått på, skjer signering og sjekking automatisk på alle e-poster, for alltid. Hele poenget med DKIM er å gjøre din ekte e-post beviselig ekte — slik at den blir betrodd, og slik at falske skiller seg ut.
Hva dette kan koste deg
Dette er ikke abstrakt. Her er hva en manglende eller svak DKIM-segl ser ut som i praksis for en liten eller mellomstor virksomhet.
- Den endrede fakturaen. Du sender en faktura til en kunde på e-post. Et sted mellom serveren din og deres, fanger en angriper den opp og bytter bankdetaljene dine mot sine egne. E-posten ser fortsatt ut til å komme fra deg, kunden betaler — inn på kriminelens konto. Uten DKIM er det ingenting som varsler om at meldingen ble manipulert. Med det bryter den stille endringen seglet og bli oppdaget.
- Avtalene som døde i søppelpost. Dine tilbud, forslag og oppfølginger havner stadig i kundenes søppelpostmapper. Du hører aldri tilbake og antar at de ikke var interesserte. I virkeligheten er usignert e-post et sterkt søppelpostsignal — den genuine forretningse-posten din ble rett og slett ikke sett.
- Den tapte kontrakten. En større klients innkjøps- eller sikkerhetsteam sjekker domenet ditt før de signerer. De ser ingen DKIM og behandler det som et rødt flagg — enten de utsetter avtalen i uker mens du fikser det, eller stille velger en leverandør hvis e-postsikkerhet bestod kontrollen.
- Ditt navn brukt mot dine egne kunder. En svindler sender overbevisende e-poster «fra selskapet ditt» til kundebasen din. Fordi ingenting beviser hvilke meldinger som virkelig er dine, ser de falske like legitime ut som de ekte — og det er ditt rykte som tar støyten når folk blir lurt.
- Langsom kvelning av e-posten din. Banker, store postboksleverandører og bedriftsfiltre stoler i økende grad ikke på usignert e-post. Effekten kryper inn over tid: mer struping, mer søppelpost, mer bouncing — til hverdagslig oppsøking stille slutter å lande.
Hva det faktisk er
DKIM står for DomainKeys Identified Mail. Slik fungerer seglet, uten fagspråk:
- Du publiserer en offentlig nøkkel på domenet ditt (i DNS-innstillingene). Alle kan lese den — det er poenget.
- E-postleverandøren din holder den tilsvarende private nøkkelen og bruker den til å signere hver e-post du sender, og legger til en skjult topptekst.
- Når e-posten ankommer, henter mottakerens leverandør den offentlige nøkkelen din, sjekker signaturen mot meldingen, og bekrefter at den er genuin og uendret.
Noen termer du kan høre fra IT-personen din:
- Selektor — en etikett som peker til én spesifikk nøkkel, f.eks.
selector1._domainkey.dittdomene. Den lar deg kjøre og rotere flere nøkler ryddig. Leverandøren setter dette opp. - Nøkkelstyrke — DKIM-nøkler finnes i størrelser. Den moderne standarden er 2048-bit RSA; 4096-bit RSA eller Ed25519-nøkler er enda sterkere. Eldre 1024-bit nøkler fungerer fortsatt, men anses som svake etter dagens standarder (NIST SP 800-131A / RFC 8301).
Hva «bra» ser ut som: en gyldig DKIM-nøkkel er publisert ved en selektor for domenet ditt, den utgående e-posten din signeres med den, og nøkkelen er 2048-bit eller sterkere. Det er full bestått.
En merknad om hvordan dette scores. Denne kontrollen ser etter en genuin, velformet DKIM-nøkkel publisert ved selektorene e-postleverandører vanligvis bruker. En publisert gyldig nøkkel er det positive signalet — en tredjeparts skanner kan ikke spille av live signaturer dine, så tilstedeværelsen av en korrekt nøkkel er det som måles. Ingen nøkkel funnet feiler kontrollen (det er et høy-alvorlighetsgap). En gyldig nøkkel som er svak (1024-bit RSA) gir omtrent halvt score — den virker men bør oppgraderes. En sterk nøkkel (2048-bit RSA eller bedre, eller Ed25519) gir full score.
Slik fikser du det (gratis, ~15 minutter)
Dette er for den som administrerer e-posten eller domenet ditt — send dem denne seksjonen hvis det ikke er deg. Fiksen er gratis. Vi tar bare betalt for å overvåke at beskyttelsene dine forblir sunne over tid, ikke for å sette dem opp.
Den generelle formen er den samme overalt: slå på DKIM hos e-postleverandøren din, ta nøkkelen den genererer, publiser den i DNS-en din, og bekreft deretter at den er live. De eksakte stegene avhenger av hvem som driver e-posten din — her er de vanlige.
Google Workspace (Gmail)
- Admin Console → Apper → Google Workspace → Gmail → Autentiser e-post.
- Velg domenet ditt og klikk Generer ny post (velg 2048-bit nøkkellengde).
- Google gir deg en DNS-post. Legg den til hos DNS-verten din som en TXT-post, vert
google._domainkey.dittdomene, med verdien Google ga deg. - Vent på at den sprer seg (minutter til noen timer), og gå deretter tilbake til samme skjerm og klikk Start autentisering.
Microsoft 365 (Outlook / Exchange Online)
- Gå til Microsoft Defender-portalen → E-post og samarbeid → Policyer og regler → Trusselspolicyer → E-postautentiseringsinnstillinger → DKIM.
- Velg domenet ditt. Microsoft viser deg to CNAME-poster som skal publiseres (selector1 og selector2).
- Legg til begge CNAME-postene hos DNS-verten din nøyaktig som vist.
- Tilbake i DKIM-skjermen, slå DKIM-signering til Aktivert for domenet.
Zoho Mail
- Kontrollpanel → E-postautentisering → DKIM.
- Generer en nøkkel (bruk en selektor som
zoho), og legg deretter til den oppgitte TXT-posten vedzoho._domainkey.dittdomenei DNS-en din. - Verifiser i Zoho-panelet når posten er live.
Andre leverandører / din egen e-postserver Mønsteret er identisk: leverandøren (eller e-postprogramvaren din) genererer et nøkkelpar, signerer utgående e-post med den private nøkkelen, og gir deg en offentlig post å publisere. Det ser vanligvis slik ut:
Vert: selector1._domainkey.dittdomene
Type: TXT (eller CNAME, avhengig av leverandør)
Verdi: (den lange nøkkelstrengen leverandøren din gir deg)
Bekreft at det virker: send en test-e-post til deg selv til en Gmail-konto, åpne den, velg Vis original, og sjekk at DKIM: PASS vises. Sjekk deretter domenet ditt her på nytt for å bekrefte at nøkkelen kom gjennom som 2048-bit eller sterkere, ikke en svak 1024-bit.
Vanlige feil
- Anta at en stor leverandør har det på som standard. Mange domener på Google eller Microsoft trenger fortsatt å ha DKIM slått på og en post publisert. «Vi bruker Microsoft 365» er ikke det samme som «DKIM er aktivert.»
- Generere en svak 1024-bit nøkkel. Noen leverandører tilbyr fortsatt 1024-bit som standard. Velg 2048-bit når du har muligheten — en svak nøkkel gir bare halvt score og flagges av strengere mottakere.
- Publisere posten men aldri aktivere signering. Å legge til DNS-posten er bare halve jobben. Hvis du ikke slår på signering hos leverandøren (den siste bryteren), sendes e-posten fortsatt usignert.
- Taste feil eller kutte nøkkelen. DKIM-nøkler er lange. En kopilim som dropper et tegn eller deler verdien galt produserer et ødelagt segl som feiler på hver e-post. Lim inn verdien nøyaktig som gitt.
- Glemme de andre avsenderne dine. Hvis du sender e-post gjennom et nyhetsbrevverktøy, CRM, faktureringsapp eller e-handelsplattform, kan hver trenge sin egen DKIM-nøkkel og selektor. Signer e-post fra alle tjenestene som sender på dine vegne, ikke bare postboksen din.
En merknad om DKIM, SPF og DMARC
DKIM virker sjelden alene. Det er én av tre innstillinger som til sammen gjør e-posten din troverdig:
- SPF sier hvilke servere som er autorisert til å sende e-post for domenet ditt.
- DKIM (denne siden) er det manipulasjonssikre seglet som beviser at en melding genuint er din og uendret.
- DMARC er instruksjonen som forteller leverandører hva de skal gjøre med alt som feiler — og det er avhengig av DKIM og SPF for å ta den avgjørelsen.
Hvis du fikser DKIM, er det verdt å sjekke SPF og DMARC samtidig. Til sammen er det det som forhindrer at virksomheten din blir utga seg for å være, og som holder den ekte e-posten din der den skal lande.
Sett det opp hos din leverandør
Trinn for trinn for populære leverandører:
- Sett opp DKIM på GoDaddy
- Sett opp DKIM på Namecheap
- Sett opp DKIM på Cloudflare
- Sett opp DKIM på Google Workspace
- Sett opp DKIM på Microsoft 365
- Sett opp DKIM på Squarespace
- Sett opp DKIM på Wix
- Sett opp DKIM på AWS Route 53
- Sett opp DKIM på Hostinger
- Sett opp DKIM på Porkbun
- Sett opp DKIM på IONOS
- Sett opp DKIM på Bluehost
FAQ
Jeg er ikke teknisk anlagt — er dette noe jeg kan ordne selv?
Du trenger ikke forstå kryptografien. I de fleste tilfeller er det en innstilling du slår på inne i e-postleverandøren din (Google Workspace, Microsoft 365, Zoho osv.), som deretter gir deg én eller to poster å legge til på domenet ditt. Send 'Slik fikser du det'-seksjonen til den som administrerer e-posten eller domenet — det er en rask, gratis jobb, vanligvis rundt 15 minutter.
Vil det å slå på DKIM risikere å ødelegge e-posten min?
Å legge til DKIM riktig er trygt — det endrer ikke hvordan e-posten din sendes, det legger bare til en signatur mottakere kan verifisere. Det ene å gjøre riktig er å publisere nøkkelen leverandøren genererer nøyaktig som angitt, og bare aktivere signering etter at posten er live i DNS. Gjort i den rekkefølgen er det ingen forstyrrelser for deg eller kundene dine.
Vi bruker allerede en stor leverandør som Google eller Microsoft — er vi ikke dekket automatisk?
Ikke alltid. Store leverandører gjør DKIM enkelt, men for mange domener må det fortsatt slås på og en post legges til i DNS — det er ikke alltid på som standard. Det er akkurat derfor et domene på en stor leverandør fortsatt kan feile denne kontrollen. Det tar noen minutter å bekrefte og aktivere.
Hva er forskjellen mellom DKIM, SPF og DMARC? Trenger jeg alle tre?
Tenk på dem som et sett. SPF lister opp hvilke servere som er autorisert til å sende e-post for deg. DKIM er det manipulasjonssikre seglet som beviser at en melding genuint er din og uendret. DMARC er instruksjonen som forteller leverandører å blokkere alt som feiler disse kontrollene. De fungerer best sammen — DMARC er spesielt avhengig av DKIM for å gjøre jobben sin — så ja, du vil ha alle tre.
IT-personen min sier DKIM er 'på' — hvordan vet jeg at det faktisk virker og er sterkt nok?
To ting betyr noe: at en gyldig signatur publiseres ved en selektor for domenet ditt, og at nøkkelen bak den er sterk (2048-bit RSA eller bedre). En eldre 1024-bit nøkkel fungerer fortsatt, men anses som svak etter moderne standarder og behandles som et delvis bestått her. Å kjøre en sjekk på domenet ditt bekrefter begge på én gang.
Hva er en 'selektor' og hvorfor betyr den noe?
En selektor er bare en etikett som peker på én spesifikk DKIM-nøkkel i DNS-en din — den lar deg kjøre mer enn én nøkkel om gangen (for eksempel én for postboksen din og én for nyhetsbrevverktøyet ditt) og rotere nøkler trygt. Du administrerer det ikke for hånd; leverandøren din oppretter selektoren og forteller deg hvilken post du skal publisere.