Defaults.Exposed › Konfiguracja › DKIM

Jak skonfigurować DKIM w Cloudflare

Opublikuj klucz DKIM swojego dostawcy poczty w DNS w Cloudflare, aby Twoje wiadomości niosły pieczęć, której nie da się podrobić.

Dlaczego to ważne dla Twojej firmy

DKIM (DomainKeys Identified Mail — uwierzytelnianie poczty przez klucze domeny) dokłada do każdego wysyłanego e-maila niewidzialny podpis cyfrowy. Serwer odbiorcy używa klucza publicznego, który opublikowałeś w swoim DNS, aby potwierdzić dwie rzeczy: że wiadomość naprawdę pochodzi z Twojej domeny i że nikt jej po drodze nie zmienił.

Mówiąc wprost: DKIM to pieczęć autentyczności na Twojej poczcie. Utrudnia podszywanie się pod Ciebie i zwiększa szansę, że prawdziwa wiadomość trafi do skrzynki odbiorczej, a nie do spamu. Tak jak pozostałe zabezpieczenia, jest darmowy i konfiguruje się go raz.

Ważne: DKIM ma dwie połowy

DKIM to jedyny rekord, przy którym naprawdę liczy się, kto robi co:

• Klucz generuje Twój dostawca poczty. Google Workspace, Microsoft 365 albo ktokolwiek prowadzi Twoje skrzynki tworzy klucz DKIM dla Ciebie, wewnątrz swojej konsoli administracyjnej. Nie da się go wymyślić — musisz pobrać od nich dokładną nazwę hosta i wartość. Cloudflare nie generuje kluczy DKIM; jest Twoim dostawcą DNS, a nie dostawcą skrzynek pocztowych.
• Cloudflare go publikuje. Następnie dodajesz ten klucz do DNS swojej domeny w Cloudflare (o ile to Cloudflare obsługuje Twój DNS — patrz niżej).

Czyli: wygeneruj w platformie pocztowej, opublikuj u dostawcy DNS.

Najpierw upewnij się, że to Cloudflare obsługuje Twój DNS

Rekord DKIM zadziała tylko wtedy, gdy to Cloudflare odpowiada na zapytania DNS o Twoją domenę. DNS w Cloudflare działa dopiero wtedy, gdy serwery nazw Twojej domeny (ustawione u rejestratora) wskazują na serwery nazw Cloudflare widoczne w panelu. Otwórz swoją domenę w Cloudflare i sprawdź stronę Overview — potwierdzi ona, czy Cloudflare jest aktywny. Jeśli Twoje serwery nazw wskazują na innego dostawcę, dodaj rekord DKIM tam; w Cloudflare nie zacznie działać.

Pobierz klucz od dostawcy poczty

W panelu administracyjnym dostawcy poczty znajdź ustawienie DKIM lub uwierzytelniania poczty i wygeneruj/włącz klucz. Otrzymasz dwa fragmenty tekstu:

• Nazwę hosta/selektor, coś w rodzaju google._domainkey lub selector1._domainkey.
• Długą wartość zaczynającą się od v=DKIM1;, po której następuje k=rsa; p= i bardzo długi ciąg znaków (klucz publiczny).

Skopiuj oba dokładnie.

Krok po kroku w Cloudflare

1. Zaloguj się do Cloudflare i wybierz swoją domenę.
2. W menu po lewej przejdź do ustawień DNS (szukaj DNS / Records).
3. Kliknij Add record.
4. Ustaw Type na TXT dla większości kluczy DKIM. Wybierz CNAME tylko wtedy, gdy dostawca wyraźnie tak polecił — niektórzy dostawcy, w tym Microsoft 365, używają rekordów CNAME wskazujących z powrotem na ich serwery.
5. W polu Name wpisz wyłącznie część selektora — na przykład google._domainkey lub selector1._domainkey. Nie dopisuj nazwy domeny na końcu; Cloudflare dołączy ją automatycznie.
6. W polu Content wklej długą wartość klucza dokładnie tak, jak dał ją dostawca. (Dla CNAME wklej zamiast tego podany przez nich host docelowy).
7. Pozostaw TTL na Auto.
8. Kliknij Save.

Pułapki Cloudflare, w które ludzie wpadają

• Nie wpisuj pełnej domeny w polu Name. Jeśli instrukcja dostawcy pokazuje selector1._domainkey.twojadomena.pl, w Cloudflare wpisujesz tylko selector1._domainkey — reszta zostanie dodana za Ciebie. Ponowne podanie domeny tworzy błędny host ..twojadomena.pl.twojadomena.pl.
• Wklej cały klucz — jest długi. Klucze publiczne DKIM mają setki znaków. Upewnij się, że nic nie zostało ucięte i że podczas kopiowania nie wkradły się przypadkowe spacje ani znaki nowej linii. Cloudflare w tle podzieli długą wartość TXT na segmenty — to normalne i w porządku.
• Nie dodawaj własnych cudzysłowów. Wklej czystą wartość; Cloudflare sam zadba o cudzysłowy. Ręcznie dodane znaki " mogą uszkodzić rekord.
• TXT czy CNAME — stosuj się do dostawcy. Jeśli mówi CNAME, wybierz CNAME i wklej jako zawartość podany przez niego host docelowy; nie zamieniaj go na TXT.
• Jeśli dodajesz CNAME, ustaw go na DNS only (szara chmurka). Rekordy uwierzytelniające nie mogą być proxowane — upewnij się, że status proxy pokazuje szarą chmurkę, a nie pomarańczową, tak aby rekord rozwiązywał się do wartości Twojego dostawcy poczty, a nie do proxy Cloudflare.
• Dopasuj selektor co do znaku. Selektor w polu Name musi dokładnie odpowiadać temu, czego oczekuje dostawca, znak po znaku — to po nim odbiorca odnajduje właściwy klucz.
• Daj temu czas. Zmiany w DNS mogą się rozchodzić od kilku minut do kilku godzin, zanim DKIM zacznie być weryfikowany.

Sprawdź, czy zadziałało

Po zapisaniu i odczekaniu chwili na propagację uruchom darmowe sprawdzenie na tej stronie. Prostym językiem potwierdzi, czy Twój rekord DKIM jest opublikowany i czytelny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.