Defaults.Exposed › Naprawy › DKIM

Jak naprawić DKIM

DKIM to niewidzialna, nienaruszalna pieczęć na każdym e-mailu, który wysyła Twoja firma. Pozwala dostawcy poczty odbierającej potwierdzić, że wiadomość naprawdę pochodzi od Ciebie i dotarła niezmieniona. Bez niego Twoja poczta jest łatwiejsza do podrobienia, łatwiejsza do zmiany i znacznie częściej ląduje w spamie.

W skrócie dla Twojej firmy: Bez DKIM wiadomości, które wysyłasz, mogą zostać zmienione w drodze, są łatwiejsze do podrobienia przez przestępców i częściej trafiają do spamu lub są wprost odrzucane — po cichu kosztując Cię transakcje, płatności i zaufanie, o których utracie nawet nie wiesz.

Ile może Cię to kosztować

• Faktura, którą wysłałeś e-mailem, zostaje przechwycona i zmienia się w niej numer konta, zanim dotrze do klienta. E-mail nadal wygląda, jakby pochodził od Ciebie, klient płaci przestępcy, a gdy sprawa się wydaje, to Ty zostajesz obwiniony.
• Twoje prawdziwe oferty, umowy i faktury wciąż lądują w folderach spamu klientów. Zakładasz, że klient ucichł albo wybrał kogoś innego — a on po prostu nigdy nie zobaczył Twojego e-maila.
• Dział bezpieczeństwa lub zakupów większego klienta przeprowadza szybką kontrolę Twojej domeny przed podpisaniem, nie widzi DKIM i albo cofa transakcję o tygodnie, aż to naprawisz, albo po cichu wybiera konkurenta, który przeszedł.
• Przestępca wysyła przekonujące fałszywe e-maile «od Twojej firmy» do Twoich własnych klientów. Ponieważ nic nie dowodzi, które wiadomości są naprawdę Twoje, fałszywki są równie wiarygodne jak prawdziwe — a Twoja nazwa ponosi szkodę.
• Duzi dostawcy skrzynek i banki coraz częściej traktują niepodpisaną pocztę jako podejrzaną. Z czasem coraz więcej Twojej codziennej poczty firmowej jest spowalniane, wyrzucane do kosza lub odbijane, a Twoja komunikacja powoli przestaje działać.

Dlaczego to ma znaczenie. Poczta nigdy nie była zbudowana, by udowodnić, kto ją wysłał, a sfałszowanie nadawcy jest banalnie proste. DKIM dodaje kryptograficzny podpis, który dostawca odbierający sprawdza automatycznie — potwierdzając, że wiadomość naprawdę pochodzi z Twojej domeny i nie została zmieniona po drodze. To jedna z trzech rzeczy, których szuka każdy współczesny dostawca poczty, wprost wpływa na to, czy Twoja poczta jest zaufana czy wyrzucana, a naprawa jest darmowa.

Czym to jest, prostymi słowami

Każdy e-mail wysyłany przez Twoją firmę przechodzi przez kilka rąk, zanim dotrze do skrzynki odbiorczej. Sam w sobie e-mail nie niesie dowodu na to, kto naprawdę go wysłał ani czy ktoś go po drodze zmienił — linia „od” to tylko tekst, który każdy może wpisać.

DKIM to naprawia. Nakłada na każdą wiadomość Twojej firmy niewidzialną, nienaruszalną pieczęć. Gdy e-mail dociera, dostawca poczty odbierającej sprawdza pieczęć względem klucza, który publikujesz w swojej domenie. Jeśli się zgadza, dostawca wie na pewno dwie rzeczy: e-mail naprawdę pochodzi z Twojej domeny i ani jeden znak nie został zmieniony w drodze. Jeśli się nie zgadza — bo wiadomość została podrobiona lub zmieniona — pieczęć nie przechodzi, a dostawca traktuje pocztę z podejrzliwością.

Niczym z tego nie zarządzasz ręcznie. Po włączeniu podpisywanie i sprawdzanie odbywają się automatycznie na każdym e-mailu, na zawsze. Cały sens DKIM to sprawić, by Twoja prawdziwa poczta była dowodliwie prawdziwa — żeby zyskała zaufanie i żeby fałszywki się wyróżniały.

Ile może Cię to kosztować

To nie abstrakcja. Oto jak brakująca lub słaba pieczęć DKIM wygląda w praktyce dla małej lub średniej firmy.

• Zmieniona faktura. Wysyłasz klientowi fakturę e-mailem. Gdzieś między Twoim serwerem a jego, atakujący ją przechwytuje i podmienia Twój numer konta na własny. E-mail nadal wygląda, jakby pochodził od Ciebie, klient płaci — na konto przestępcy. Bez DKIM nic nie sygnalizuje, że wiadomość zmieniono. Z nim ta cicha zmiana łamie pieczęć i zostaje wykryta.
• Transakcje, które zginęły w spamie. Twoje oferty, propozycje i wiadomości uzupełniające wciąż wpadają do folderów spamu klientów. Nigdy nie dostajesz odpowiedzi i zakładasz, że nie byli zainteresowani. W rzeczywistości niepodpisana poczta to silny sygnał spamu — Twojej prawdziwej poczty firmowej po prostu nie zobaczyli.
• Utracony kontrakt. Dział zakupów lub bezpieczeństwa większego klienta sprawdza Twoją domenę przed podpisaniem. Nie widzi DKIM i traktuje to jako czerwoną flagę — albo opóźniając transakcję o tygodnie, aż naprawisz, albo po cichu wybierając dostawcę, którego bezpieczeństwo poczty przeszło kontrolę.
• Twoja nazwa użyta przeciwko Twoim własnym klientom. Oszust rozsyła przekonujące e-maile «od Twojej firmy» do Twojej bazy klientów. Ponieważ nic nie dowodzi, które wiadomości są naprawdę Twoje, fałszywki wyglądają równie prawowicie jak prawdziwe — a to Twoja reputacja obrywa, gdy ludzie się sparzą.
• Powolne duszenie Twojej poczty. Banki, duzi dostawcy skrzynek i filtry korporacyjne coraz mniej ufają niepodpisanej poczcie. Efekt narasta z czasem: więcej spowalniania, więcej wyrzucania do kosza, więcej odbić — aż Twoja codzienna komunikacja po cichu przestaje docierać.

Czym to właściwie jest

DKIM to skrót od DomainKeys Identified Mail. Oto jak działa pieczęć, bez żargonu:

• Publikujesz klucz publiczny w swojej domenie (w ustawieniach DNS). Każdy może go odczytać — o to chodzi.
• Twój dostawca poczty trzyma pasujący klucz prywatny i używa go do podpisania każdego wysyłanego e-maila, dodając ukryty nagłówek.
• Gdy e-mail dociera, dostawca odbiorcy pobiera Twój klucz publiczny, sprawdza podpis względem wiadomości i potwierdza, że jest prawdziwa i niezmieniona.

Kilka pojęć, które możesz usłyszeć od swojego informatyka:

• Selektor — etykieta wskazująca na jeden konkretny klucz, np. selector1._domainkey.twojadomena. Pozwala czysto uruchamiać i rotować wiele kluczy. Twój dostawca to konfiguruje.
• Siła klucza — klucze DKIM mają różne rozmiary. Współczesna podstawa to 2048-bit RSA; klucze 4096-bit RSA lub Ed25519 są jeszcze silniejsze. Starsze klucze 1024-bit nadal działają, ale wedle dzisiejszych standardów uchodzą za słabe (NIST SP 800-131A / RFC 8301).

Jak wygląda „dobrze”: poprawny klucz DKIM jest opublikowany przy selektorze dla Twojej domeny, Twoja poczta wychodząca jest nim podpisywana, a klucz jest 2048-bit lub silniejszy. To pełne zaliczenie.

Słowo o tym, jak to się ocenia. Ta kontrola szuka prawdziwego, poprawnie zbudowanego klucza DKIM opublikowanego przy selektorach, których powszechnie używają dostawcy poczty. Opublikowany poprawny klucz to pozytywny sygnał — zewnętrzny skaner nie może odtworzyć Twoich żywych podpisów, więc mierzona jest obecność poprawnego klucza. Brak klucza nie przechodzi kontroli (to luka wysokiej wagi). Poprawny, ale słaby klucz (1024-bit RSA) zdobywa mniej więcej połowę punktów — działa, ale powinien zostać podniesiony. Silny klucz (2048-bit RSA lub lepszy, albo Ed25519) zdobywa pełną punktację. To jedna z kontroli bezpieczeństwa poczty, które liczą się do Twojej oceny, warta jej znaczącej części.

Jak to naprawić (za darmo, ~15 minut)

Ta część jest dla osoby zarządzającej Twoją pocztą lub domeną — jeśli to nie Ty, przekaż jej tę sekcję. Naprawa jest darmowa. Pobieramy opłatę jedynie za monitorowanie, że Twoje zabezpieczenia pozostają zdrowe w czasie, a nie za ich skonfigurowanie.

Ogólny kształt jest wszędzie taki sam: włącz DKIM u swojego dostawcy poczty, weź klucz, który wygeneruje, opublikuj go w swoim DNS, a potem potwierdź, że jest aktywny. Dokładne kroki zależą od tego, kto prowadzi Twoją pocztę — oto te najpopularniejsze.

Google Workspace (Gmail)

1. Panel administracyjny → Aplikacje → Google Workspace → Gmail → Uwierzytelnianie poczty.
2. Wybierz swoją domenę i kliknij Wygeneruj nowy rekord (wybierz długość klucza 2048-bit).
3. Google daje Ci wpis DNS. Dodaj go u dostawcy DNS jako wpis TXT, host google._domainkey.twojadomena, z wartością podaną przez Google.
4. Poczekaj na propagację (od minut do kilku godzin), wróć na ten sam ekran i kliknij Rozpocznij uwierzytelnianie.

Microsoft 365 (Outlook / Exchange Online)

1. Wejdź do portalu Microsoft Defender → Poczta i współpraca → Zasady i reguły → Zasady zagrożeń → Ustawienia uwierzytelniania poczty → DKIM.
2. Wybierz swoją domenę. Microsoft pokaże Ci dwa wpisy CNAME do opublikowania (selector1 i selector2).
3. Dodaj oba wpisy CNAME u dostawcy DNS dokładnie tak, jak pokazano.
4. Z powrotem na ekranie DKIM przełącz podpisywanie DKIM na Włączone dla domeny.

Zoho Mail

1. Panel sterowania → Uwierzytelnianie poczty → DKIM.
2. Wygeneruj klucz (użyj selektora jak zoho), a potem dodaj podany wpis TXT przy zoho._domainkey.twojadomena w swoim DNS.
3. Zweryfikuj w panelu Zoho, gdy wpis będzie aktywny.

Inni dostawcy / własny serwer poczty Wzorzec jest identyczny: dostawca (lub Twoje oprogramowanie pocztowe) generuje parę kluczy, podpisuje wychodzącą pocztę kluczem prywatnym i daje Ci wpis publiczny do opublikowania. Zwykle wygląda tak:

Host:  selector1._domainkey.twojadomena
Typ:   TXT (lub CNAME, zależnie od dostawcy)
Wartość: (długi ciąg klucza, który podaje Twój dostawca)

Gdzie dodaje się wpisy DNS: w ustawieniach DNS Twojej domeny — zwykle u rejestratora domeny lub dostawcy DNS (np. Cloudflare, GoDaddy, panel hostingowy). Jeśli dostawca poczty dostarcza CNAME, wskazuje on na wpis hostowany u niego, więc nigdy nie widzisz surowego klucza — to normalne i w porządku.

Potwierdź, że działa: wyślij sobie testowy e-mail na konto Gmail, otwórz go, wybierz Pokaż oryginał i sprawdź, czy pojawia się DKIM: PASS. Następnie sprawdź ponownie swoją domenę tutaj, by potwierdzić, że klucz przeszedł jako 2048-bit lub silniejszy, a nie słaby 1024-bit.

Częste błędy

• Zakładanie, że duży dostawca ma to włączone domyślnie. Mnóstwo domen u Google czy Microsoftu wciąż wymaga włączenia DKIM i opublikowania wpisu. „Korzystamy z Microsoft 365” to nie to samo co „DKIM jest włączony”.
• Wygenerowanie słabego klucza 1024-bit. Niektórzy dostawcy wciąż domyślnie oferują 1024-bit. Wybierz 2048-bit, gdy masz taką opcję — słaby klucz zdobywa tylko połowę punktów i jest oznaczany przez surowszych odbiorców.
• Opublikowanie wpisu, ale nigdy włączenie podpisywania. Dodanie wpisu DNS to tylko połowa zadania. Jeśli nie włączysz podpisywania u dostawcy (ostatni przełącznik), Twoja poczta nadal wychodzi niepodpisana.
• Błędne wpisanie lub obcięcie klucza. Klucze DKIM są długie. Kopiuj-wklej, które gubi znak albo źle dzieli wartość, daje zepsutą pieczęć, która nie przechodzi na każdym e-mailu. Wklej wartość dokładnie tak, jak ją podano.
• Zapomnienie o innych nadawcach. Jeśli wysyłasz pocztę przez narzędzie do newslettera, CRM, aplikację do fakturowania czy platformę e-commerce, każde z nich może wymagać własnego klucza DKIM i selektora. Podpisuj pocztę ze wszystkich usług wysyłających w Twoim imieniu, nie tylko ze skrzynki.

Słowo o DKIM, SPF i DMARC

DKIM rzadko działa samodzielnie. To jedno z trzech ustawień, które razem czynią Twoją pocztę godną zaufania:

• SPF mówi, które serwery mogą wysyłać pocztę w imieniu Twojej domeny.
• DKIM (ta strona) to nienaruszalna pieczęć dowodząca, że wiadomość naprawdę jest Twoja i niezmieniona.
• DMARC to instrukcja mówiąca dostawcom, co zrobić z czymkolwiek, co kontroli nie przejdzie — i opiera się na DKIM oraz SPF, by podjąć tę decyzję.

Jeśli naprawiasz DKIM, warto sprawdzić SPF i DMARC w tym samym czasie. Razem są tym, co powstrzymuje podszywanie się pod Twoją firmę i co utrzymuje Twoją prawdziwą pocztę tam, gdzie powinna lądować.

Skonfiguruj to u swojego dostawcy

Krok po kroku dla popularnych dostawców:

• Skonfiguruj DKIM u dostawcy GoDaddy
• Skonfiguruj DKIM u dostawcy Namecheap
• Skonfiguruj DKIM u dostawcy Cloudflare
• Skonfiguruj DKIM u dostawcy Google Workspace
• Skonfiguruj DKIM u dostawcy Microsoft 365
• Skonfiguruj DKIM u dostawcy Squarespace
• Skonfiguruj DKIM u dostawcy Wix
• Skonfiguruj DKIM u dostawcy AWS Route 53
• Skonfiguruj DKIM u dostawcy Hostinger
• Skonfiguruj DKIM u dostawcy Porkbun
• Skonfiguruj DKIM u dostawcy IONOS
• Skonfiguruj DKIM u dostawcy Bluehost

Najczęstsze pytania