Defaults.Exposed › Remedieri › DKIM
Cum să remediezi DKIM
DKIM este sigiliul inviolabil invizibil pe fiecare email pe care îl trimite afacerea ta. Permite furnizorului de email receptor să confirme că email-ul a venit cu adevărat de la tine și a sosit nemodificat. Fără el, email-ul tău poate fi mai ușor falsificat, mai ușor modificat și mult mai probabil să ajungă în spam sau să fie respins.
Concluzia pentru afacerea ta: Fără DKIM, email-urile pe care le trimiți pot fi modificate în tranzit, sunt mai ușor de impersonificat de criminali și mai probabil să fie filtrate în spam sau respinse complet — pierzând în liniște tranzacții, plăți și încredere pe care nu știi niciodată că le-ai pierdut.
Ce te poate costa
- O factură pe care ai trimis-o prin email este interceptată și datele bancare sunt modificate înainte să ajungă la client. Email-ul pare în continuare că vine de la tine, clientul plătește criminalul, și când totul se dezvăluie, tu ești cel care ești învinuit.
- Ofertele, contractele și facturile tale autentice continuă să ajungă în folderele spam ale clienților. Presupui că clientul a tăcut sau a ales altcineva — dar pur și simplu nu a văzut email-ul tău.
- Echipa de securitate sau achiziții a unui client mai mare verifică rapid domeniul tău înainte de semnare, vede că nu există DKIM și fie amână tranzacția săptămâni până remediezi, fie alege în liniște un furnizor ale cărui securitate email a trecut verificarea.
- Un criminal trimite email-uri false convingătoare 'de la compania ta' clienților tăi. Deoarece nimic nu dovedește care email-uri sunt cu adevărat ale tale, falsurile sunt la fel de credibile ca cele reale — și reputația ta suportă daunele.
- Furnizorii principali de căsuțe poștale și băncile tratează din ce în ce mai mult email-urile nesemnate ca suspecte. În timp, mai mult email business de zi cu zi este redus, aruncat la gunoi sau respins, iar campaniile tale de comunicare încetează treptat să funcționeze.
De ce contează. Email-ul nu a fost construit niciodată să dovedească cine l-a trimis, iar falsificarea expeditorului este extrem de simplă. DKIM adaugă o semnătură criptografică pe care furnizorul receptor o verifică automat — confirmând că mesajul este cu adevărat de la domeniul tău și nu a fost modificat pe drum. Este unul din cele trei lucruri pe care orice furnizor de email modern le caută, afectează direct dacă email-ul tău este de încredere sau aruncat la gunoi, iar remedierea este gratuită.
Ce este, în cuvinte simple
Fiecare email pe care îl trimite afacerea ta trece prin mai multe mâini înainte să ajungă în inbox. Prin sine, un email nu poartă nicio dovadă a cine l-a trimis cu adevărat sau dacă cineva l-a modificat pe parcurs — linia “de la” este doar text pe care oricine îl poate scrie.
DKIM rezolvă asta. Pune un sigiliu invizibil și inviolabil pe fiecare mesaj pe care îl trimite afacerea ta. Când email-ul sosește, furnizorul de email receptor verifică sigiliul față de o cheie pe care o publici în domeniul tău. Dacă se potrivesc, furnizorul știe două lucruri cu certitudine: email-ul a venit cu adevărat din domeniul tău și niciun caracter nu a fost schimbat în tranzit. Dacă nu se potrivesc — deoarece mesajul a fost falsificat sau modificat — sigiliul eșuează, iar furnizorul tratează email-ul cu suspiciune.
Nu gestionezi nimic din acestea manual. Odată activat, semnarea și verificarea se produc automat pe fiecare email, pentru totdeauna. Scopul DKIM este să facă email-ul tău real în mod verificabil real — astfel că este de încredere, iar falsurile ies în evidență.
Ce te poate costa
Aceasta nu este abstractă. Iată cum arată o sigilare DKIM lipsă sau slabă în practică pentru o afacere mică sau mijlocie.
- Factura modificată. Trimiți prin email o factură unui client. Undeva între serverul tău și al lor, un atacator o interceptează și îți schimbă datele bancare cu ale proprii. Email-ul pare în continuare că vine de la tine, clientul plătește — în contul criminalului. Fără DKIM, nu există nimic care să semnaleze că mesajul a fost modificat. Cu el, această modificare silențioasă rupe sigiliul și este prinsă.
- Tranzacțiile care au murit în spam. Ofertele, propunerile și urmăririle tale continuă să alunece în folderele junk ale clienților. Nu primești niciun răspuns și presupui că nu erau interesați. În realitate, email-ul nesemnat este un puternic semnal de spam — email-ul tău de business autentic pur și simplu nu a fost văzut.
- Contractul pierdut. Echipa de achiziții sau securitate a unui client mai mare verifică domeniul tău înainte să semneze. Văd că nu există DKIM și îl tratează ca un semnal de alarmă — fie amânând tranzacția săptămâni în timp ce remediezi, fie alegând în liniște un furnizor a cărui securitate email a trecut verificarea.
- Numele tău folosit împotriva propriilor clienți. Un escroc trimite email-uri convingătoare ‘de la compania ta’ bazei tale de clienți. Deoarece nimic nu dovedește care mesaje sunt cu adevărat ale tale, falsurile par la fel de legitime ca cele reale — și reputația ta primește lovitura când oamenii sunt înșelați.
- Sugrumarea lentă a email-ului tău. Băncile, furnizorii principali de căsuțe poștale și filtrele corporative nu mai au încredere din ce în ce mai mult în email-urile nesemnate. Efectul intră treptat: mai multă limitare a ritmului, mai mult aruncat la gunoi, mai multe respingeri — până când campaniile tale de zi cu zi nu mai ajung la destinatari.
Ce este de fapt
DKIM înseamnă DomainKeys Identified Mail. Iată cum funcționează sigiliul, fără jargon:
- Publici o cheie publică pe domeniul tău (în setările DNS). Oricine o poate citi — acesta este scopul.
- Furnizorul tău de email deține cheia privată corespunzătoare și o folosește pentru a semna fiecare email pe care îl trimiți, adăugând un antet ascuns.
- Când email-ul sosește, furnizorul destinatarului preia cheia ta publică, verifică semnătura față de mesaj și confirmă că este autentic și nemodificat.
Câțiva termeni pe care îi poți auzi de la persoana IT:
- Selector — o etichetă care indică spre o cheie specifică, de exemplu
selector1._domainkey.domeniultau. Îți permite să rulezi și să rotești mai multe chei curat. Furnizorul tău configurează aceasta. - Puterea cheii — cheile DKIM vin în diferite dimensiuni. Standardul modern de bază este RSA de 2048 de biți; cheile RSA de 4096 de biți sau Ed25519 sunt și mai puternice. Cheile mai vechi de 1024 de biți funcționează în continuare dar sunt considerate slabe după standardele actuale (NIST SP 800-131A / RFC 8301).
Cum arată “bine”: o cheie DKIM validă este publicată la un selector pentru domeniul tău, email-ul tău de ieșire este semnat cu ea, iar cheia are 2048 de biți sau mai mult. Aceasta este trecerea completă.
O notă despre cum se notează aceasta. Această verificare caută o cheie DKIM autentică și bine formată publicată la selectorii pe care furnizorii de email îi folosesc frecvent. O cheie publicată validă este semnalul pozitiv — un scanner terț nu poate relua semnăturile tale live, deci prezența unei chei corecte este ceea ce se măsoară. Nicio cheie găsită eșuează verificarea (este un decalaj de înaltă severitate). O cheie validă dar slabă (RSA de 1024 de biți) câștigă aproximativ jumătate din puncte — funcționează dar ar trebui actualizată. O cheie puternică (RSA de 2048 de biți sau mai bine, sau Ed25519) câștigă punctaj maxim. Aceasta este una din verificările de securitate a email-ului care contribuie la nota ta, reprezentând o parte semnificativă din ea.
Cum se remediază (gratuit, ~15 minute)
Această parte este pentru cel care gestionează email-ul sau domeniul tău — dacă nu ești tu, trimite-le această secțiune. Remedierea este gratuită. Percepem taxe doar pentru monitorizarea că protecțiile tale rămân sănătoase în timp, nu pentru configurarea lor.
Forma generală este aceeași peste tot: activezi DKIM în furnizorul de email, iei cheia pe care o generează, o publici în DNS-ul tău, apoi confirmi că este activă. Pașii exacți depind de cine îți rulează email-ul — iată cei mai comuni.
Google Workspace (Gmail)
- Consolă Admin → Aplicații → Google Workspace → Gmail → Autentificare email.
- Selectează domeniul tău și fă clic pe Generează înregistrare nouă (alege lungimea cheii de 2048 de biți).
- Google îți dă o înregistrare DNS. Adaug-o la gazda DNS ca înregistrare TXT, gazdă
google._domainkey.domeniultau, cu valoarea furnizată de Google. - Așteaptă propagarea (minute până la câteva ore), apoi revino la același ecran și fă clic pe Pornire autentificare.
Microsoft 365 (Outlook / Exchange Online)
- Mergi la portalul Microsoft Defender → Email și colaborare → Politici și reguli → Politici de amenințare → Setări autentificare email → DKIM.
- Selectează domeniul tău. Microsoft îți arată două înregistrări CNAME de publicat (selector1 și selector2).
- Adaugă ambele înregistrări CNAME la gazda DNS exact cum este arătat.
- Înapoi în ecranul DKIM, comută semnarea DKIM pe Activat pentru domeniu.
Zoho Mail
- Panou de control → Autentificare email → DKIM.
- Generează o cheie (folosești un selector precum
zoho), apoi adaugă înregistrarea TXT furnizată lazoho._domainkey.domeniultauîn DNS-ul tău. - Verifică în panoul Zoho odată ce înregistrarea este activă.
Alți furnizori / propriul server de email Modelul este identic: furnizorul (sau software-ul tău de email) generează o pereche de chei, semnează email-ul tău de ieșire cu cheia privată și îți dă o înregistrare publică de publicat. De obicei arată astfel:
Gazdă: selector1._domainkey.domeniultau
Tip: TXT (sau CNAME, în funcție de furnizor)
Valoare: (șirul lung de cheie pe care furnizorul tău ți-l dă)
Unde se adaugă înregistrările DNS: în setările DNS ale domeniului tău — de obicei la registratorul domeniului sau gazda DNS (de exemplu Cloudflare, GoDaddy, panoul de control al găzduirii). Dacă furnizorul de email furnizează un CNAME, acesta indică spre o înregistrare pe care o găzduiesc ei, deci nu vezi niciodată cheia brută — este normal și în regulă.
Confirmă că funcționează: trimite-ți un email de test la un cont Gmail, deschide-l, alege Arată original și verifică că apare DKIM: PASS. Apoi reverifică domeniul tău aici pentru a confirma că cheia a venit ca 2048 de biți sau mai puternică, nu o cheie slabă de 1024 de biți.
Greșeli comune
- Presupunând că un furnizor mare o are activată implicit. Multe domenii pe Google sau Microsoft tot trebuie să aibă DKIM activat și o înregistrare publicată. “Folosim Microsoft 365” nu este același lucru cu “DKIM este activat.”
- Generarea unei chei slabe de 1024 de biți. Unii furnizori implicit sau oferă 1024 de biți. Alege 2048 de biți când ai opțiunea — o cheie slabă câștigă doar jumătate din puncte și este semnalată de receptorii mai stricți.
- Publicarea înregistrării dar nicio activare a semnării. Adăugarea înregistrării DNS este doar jumătate din muncă. Dacă nu activezi semnarea în furnizor (butonul final), email-ul tău tot pleacă nesemnat.
- Tastarea greșită sau truncherea cheii. Cheile DKIM sunt lungi. Un copy-paste care pierde un caracter sau împarte valoarea greșit produce un sigiliu defect care eșuează pe fiecare email. Lipește valoarea exact cum este dată.
- Uitarea celorlalți expeditori. Dacă trimiți email prin intermediul unui instrument de newsletter, CRM, aplicație de facturare sau platformă de comerț electronic, fiecare poate necesita propria sa cheie DKIM și selector. Semnează email-ul de la toți expeditorii care trimit în numele tău, nu doar de la căsuța poștală.
O notă despre DKIM, SPF și DMARC
DKIM rareori funcționează singur. Este una din trei setări care împreună fac email-ul tău de încredere:
- SPF spune care servere sunt autorizate să trimită email pentru domeniul tău.
- DKIM (această pagină) este sigiliul inviolabil care dovedește că un mesaj este cu adevărat al tău și nemodificat.
- DMARC este instrucțiunea care spune furnizorilor ce să facă cu orice eșuează — și se bazează pe DKIM și SPF pentru a lua acea decizie.
Dacă remediezi DKIM, merită să verifici SPF și DMARC în același timp. Împreună, acestea sunt ceea ce oprește impersonificarea afacerii tale și ceea ce menține email-ul tău real acolo unde ar trebui să ajungă.
Configurează-l la furnizorul tău
Pas cu pas pentru furnizorii populari:
- Configurează DKIM pe GoDaddy
- Configurează DKIM pe Namecheap
- Configurează DKIM pe Cloudflare
- Configurează DKIM pe Google Workspace
- Configurează DKIM pe Microsoft 365
- Configurează DKIM pe Squarespace
- Configurează DKIM pe Wix
- Configurează DKIM pe AWS Route 53
- Configurează DKIM pe Hostinger
- Configurează DKIM pe Porkbun
- Configurează DKIM pe IONOS
- Configurează DKIM pe Bluehost
Întrebări frecvente
Nu sunt tehnic — este ceva ce pot rezolva singur?
Nu trebuie să înțelegi criptografia. În majoritatea cazurilor este o setare pe care o activezi în furnizorul de email (Google Workspace, Microsoft 365, Zoho etc.), care îți dă apoi una sau două înregistrări de adăugat în domeniul tău. Trimite secțiunea 'Cum se remediază' celui care gestionează email-ul sau domeniul tău — este o sarcină rapidă și gratuită, de obicei în jur de 15 minute.
Va risca activarea DKIM să strice email-ul meu?
Adăugarea DKIM corect este sigură — nu schimbă modul în care este trimis email-ul tău, doar adaugă o semnătură pe care destinatarii o pot verifica. Singurul lucru de verificat este publicarea exactă a cheii generate de furnizor și activarea semnării doar după ce înregistrarea este activă în DNS. Făcut în această ordine, nu există întreruperi pentru tine sau clienții tăi.
Folosim deja un furnizor mare precum Google sau Microsoft — nu suntem acoperiti automat?
Nu întotdeauna. Furnizorii mari fac DKIM ușor, dar pentru multe domenii tot trebuie activat și adăugată o înregistrare în DNS-ul tău — nu este întotdeauna activat implicit. De aceea un domeniu pe un furnizor major poate tot eșua această verificare. Durează câteva minute să confirmi și să activezi.
Care este diferența dintre DKIM, SPF și DMARC? Am nevoie de toate trei?
Gândește-te la ele ca la un set. SPF listează care servere sunt autorizate să trimită email pentru domeniul tău. DKIM este sigiliul inviolabil care dovedește că un mesaj este cu adevărat al tău și nemodificat. DMARC este instrucțiunea care spune furnizorilor să blocheze orice eșuează aceste verificări. Funcționează cel mai bine împreună — DMARC în special se bazează pe DKIM pentru a-și face treaba — deci da, ai nevoie de toate trei.
Persoana IT spune că DKIM este 'activat' — cum știu că funcționează cu adevărat și este suficient de puternic?
Două lucruri contează: că o semnătură validă este publicată la un selector pentru domeniul tău și că cheia din spatele acesteia este puternică (RSA de 2048 de biți sau mai puternică). O cheie mai veche de 1024 de biți funcționează în continuare dar este considerată slabă după standardele moderne și este tratată ca o trecere parțială aici. Rularea din nou a unei verificări pe domeniul tău confirmă ambele simultan.
Ce este un 'selector' și de ce contează?
Un selector este doar o etichetă care indică spre o cheie DKIM specifică în DNS-ul tău — îți permite să rulezi mai mult de o cheie în același timp (de exemplu, una pentru căsuța poștală și una pentru instrumentul de newsletter) și să rotești cheile în siguranță. Nu o gestionezi manual; furnizorul tău creează selectorul și îți spune înregistrarea de publicat. Contează aici doar pentru că verificarea caută o cheie validă la selectorii pe care furnizorii de email îi folosesc frecvent.