Defaults.Exposed › Konfiguracja › DKIM

Jak skonfigurować DKIM w Google Workspace

Wygeneruj klucz DKIM w konsoli administracyjnej Google i opublikuj go w swoim DNS, aby Twoje wiadomości niosły pieczęć, której nie da się podrobić.

Dlaczego to ważne dla Twojej firmy

DKIM (DomainKeys Identified Mail — uwierzytelnianie poczty przez klucze domeny) dokłada do każdego wysyłanego e-maila niewidzialny podpis cyfrowy. Serwer odbiorcy używa klucza publicznego, który opublikowałeś w swoim DNS, aby potwierdzić dwie rzeczy: że wiadomość naprawdę pochodzi z Twojej domeny i że nikt jej po drodze nie zmienił.

Mówiąc wprost: DKIM to pieczęć autentyczności na Twojej poczcie. Utrudnia podszywanie się pod Ciebie i zwiększa szansę, że prawdziwa wiadomość trafi do skrzynki odbiorczej, a nie do spamu. Jest darmowy i konfiguruje się go raz.

Ważne: DKIM ma dwie połowy

DKIM to jedyny rekord, przy którym naprawdę liczy się, kto robi co:

• Klucz generuje Google — w konsoli administracyjnej Google. Logujesz się do admin.google.com i zlecasz Google utworzenie klucza DKIM dla Twojej domeny. Nie da się wymyślić tej wartości; Google generuje ją dla Ciebie.
• Twój dostawca DNS go publikuje. Następnie dodajesz ten klucz do DNS swojej domeny — u tej firmy, która obsługuje Twoje serwery nazw (rejestrator, hosting, Cloudflare itp.). Zwykle nie jest to Google.

Czyli: wygeneruj w Google Workspace, opublikuj u dostawcy DNS. Potrzebne są obie połowy, a na końcu jest jeszcze dodatkowy krok, w którym wracasz do Google i włączasz DKIM.

Krok 1 — Wygeneruj klucz w konsoli administracyjnej Google

1. Zaloguj się do konsoli administracyjnej Google pod adresem admin.google.com kontem administratora.
2. Przejdź do Aplikacje → Google Workspace → Gmail, a następnie otwórz Uwierzytelnianie poczty e-mail (to sekcja DKIM).
3. Wybierz swoją domenę z listy.
4. Jeśli pojawi się pytanie, wybierz długość klucza (domyślna, zwykle 2048-bitowa, jest w porządku) i kliknij Wygeneruj nowy rekord.
5. Google pokaże teraz dwa fragmenty tekstu:
   • Nazwę hosta DNS / selektor, którym dla Google jest zazwyczaj google._domainkey.
   • Długą wartość rekordu TXT zaczynającą się od v=DKIM1; k=rsa; p=, po której następuje bardzo długi ciąg znaków (klucz publiczny).
6. Zostaw tę stronę otwartą — skopiujesz te dane do swojego DNS, a potem wrócisz tu, by włączyć DKIM.

Krok 2 — Opublikuj klucz u dostawcy DNS

Najpierw upewnij się, że działasz w firmie, która faktycznie obsługuje Twój DNS. Rekord DKIM zadziała tylko wtedy, gdy dodasz go tam, gdzie wskazują serwery nazw Twojej domeny. Jeśli nie masz pewności, sprawdź sekcję Nameservers na koncie rejestratora albo zapytaj osoby, która zarządza Twoją stroną.

1. Zaloguj się do swojego dostawcy DNS i otwórz ustawienia DNS dla domeny (szukaj DNS / Records / Advanced DNS).
2. Dodaj nowy rekord i wybierz TXT.
3. W polu Name / Host wpisz wyłącznie część selektora — dla Google jest to zwykle google._domainkey. Nie dopisuj nazwy domeny na końcu; dostawca DNS dołączy ją automatycznie.
4. W polu Value wklej dokładnie długą wartość klucza, którą dało Ci Google.
5. Pozostaw TTL na wartości domyślnej.
6. Zapisz.

Krok 3 — Włącz DKIM, wracając do Google

Sama publikacja rekordu to za mało — musisz polecić Google, by zaczęło podpisywać.

1. Wróć na stronę Uwierzytelnianie poczty e-mail w konsoli administracyjnej Google.
2. Kliknij Rozpocznij uwierzytelnianie.
3. Google sprawdza, czy rekord jest widoczny w Twoim DNS. Jeśli jeszcze go nie znajdzie, daj DNS chwilę na propagację (od kilku minut do kilku godzin) i spróbuj ponownie.

Pułapki, w które ludzie wpadają

• Dwa miejsca, w kolejności. Wygeneruj w Google, opublikuj w DNS, a potem wróć i kliknij Rozpocznij uwierzytelnianie. Pominięcie ostatniego kroku oznacza, że klucz jest opublikowany, ale Google nigdy nie podpisuje Twojej poczty.
• Nie wpisuj pełnej domeny w polu Host. Jeśli instrukcja pokazuje google._domainkey.twojadomena.pl, u dostawcy DNS wpisujesz tylko google._domainkey — reszta zostanie dodana za Ciebie. Ponowne podanie domeny tworzy błędny host w rodzaju google._domainkey.twojadomena.pl.twojadomena.pl.
• Wklej cały klucz — jest długi. Klucze publiczne DKIM mają setki znaków. Niektórzy dostawcy DNS mają limit znaków w pojedynczym polu i dzielą długie wartości TXT na kilka ciągów w cudzysłowach — to normalne i Google sobie z tym radzi, ale upewnij się, że nic nie zostało ucięte i nie wkradły się przypadkowe spacje ani znaki nowej linii.
• Uważaj na cudzysłowy. Wklej czystą wartość; większość dostawców DNS sama dodaje cudzysłowy. Ręczne dodanie znaków " na wierzchu może uszkodzić rekord.
• Dopasuj selektor co do znaku. Host w Twoim DNS musi dokładnie odpowiadać temu, czego oczekuje Google (google._domainkey), znak po znaku — to po nim odbiorca odnajduje właściwy klucz.
• Daj temu czas. Zmiany w DNS mogą się rozchodzić od kilku minut do kilku godzin, zanim Google zdoła je potwierdzić i DKIM zacznie być weryfikowany.

Sprawdź, czy zadziałało

Po opublikowaniu rekordu, włączeniu uwierzytelniania i odczekaniu chwili na propagację uruchom darmowe sprawdzenie na Defaults.Exposed. Prostym językiem potwierdzi, czy Twój rekord DKIM jest opublikowany i czytelny. Twoje dane są przetwarzane w UE.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.