Defaults.Exposed › Opravy › DKIM

Ako opraviť DKIM

DKIM je neviditeľná ochranná pečať na každom e-maile, ktorý vaša firma odosiela. Umožňuje poskytovateľovi prijímacej pošty potvrdiť, že e-mail skutočne pochádza od vás a dorazil nezmenený. Bez nej je vaša pošta ľahšie sfalšovateľná, ľahšie pozmeniteľná a s oveľa väčšou pravdepodobnosťou skončí v spame alebo bude priamo odmietnutá.

Podstata pre vaše podnikanie: Bez DKIM môžu byť e-maily, ktoré odosielate, počas prenosu pozmenené, ľahšie sa dajú vydávať za vás a s väčšou pravdepodobnosťou budú prefiltrované do spamu alebo úplne odmietnuté — čo vás ticho stojí obchody, platby a dôveru, o ktorej ani neviete, že ste ju stratili.

Čo vás to môže stáť

Faktúra, ktorú ste poslali e-mailom, je zachytená a bankové údaje sú zmenené pred doručením zákazníkovi. E-mail stále vyzerá, akoby pochádza od vás, zákazník zaplatí zločincovi, a keď sa to rozviaže, ste to vy, komu sa vyčíta.
Vaše skutočné ponuky, zmluvy a faktúry stále pristávajú v priečinkoch so spamom zákazníkov. Predpokladáte, že klient odišiel alebo si vybral niekoho iného — ale jednoducho nikdy nevideli váš e-mail.
Tím bezpečnosti alebo nákupu väčšieho klienta pred podpisom rýchlo skontroluje vašu doménu, nenájde DKIM, a buď odloží obchod o týždne, kým to neopravíte, alebo ticho vyberie dodávateľa, ktorého e-mailová bezpečnosť prešla kontrolou.
Zločinec posiela presvedčivé falošné e-maily 'od vašej spoločnosti' vašim vlastným zákazníkom. Keďže nič nedokazuje, ktoré e-maily sú skutočne vaše, falošné sú rovnako dôveryhodné ako skutočné — a vaše meno nesie škodu.
Veľkí poskytovatelia poštových schránok a banky čoraz viac zaobchádzajú s nepodpísanou poštou ako s podozrivou. Čoraz viac vašej bežnej obchodnej e-mailovej korešpondencie je obmedzovanej, zahadzovanej alebo odmietanej.

Prečo na tom záleží. E-mail nebol nikdy navrhnutý na dokazovanie, kto ho odoslal, a falšovanie odosielateľa je triviálne ľahké. DKIM pridáva kryptografický podpis, ktorý poskytovateľ prijímajúcej pošty automaticky kontroluje — potvrdzuje, že správa skutočne pochádza z vašej domény a nebola po ceste pozmenená. Je to jedna z troch vecí, ktoré každý moderný poskytovateľ pošty hľadá, priamo ovplyvňuje, či je váš e-mail dôveryhodný alebo zahadzovaný, a oprava je zadarmo.

Čo to je, v jednoduchých slovách

Každý e-mail, ktorý vaša firma odosiela, prechádza niekoľkými rukami, než dorazí do schránky. Sám osebe e-mail nenesie žiadny dôkaz o tom, kto ho naozaj odoslal alebo či ho niekto po ceste zmenil — riadok “od” je len text, ktorý ktokoľvek môže napísať.

DKIM to opravuje. Na každú správu, ktorú vaša firma odosiela, vloží neviditeľnú, ochrannú pečať. Keď e-mail príde, poskytovateľ prijímacej pošty skontroluje pečať voči kľúču, ktorý zverejníte na vašej doméne. Ak sa zhoduje, poskytovateľ vie dve veci s istotou: e-mail skutočne pochádza z vašej domény a pri prenose nebol zmenený ani jeden znak. Ak sa nezhoduje — pretože správa bola sfalšovaná alebo pozmenená — pečať zlyhá a poskytovateľ zaobchádza s poštou podozrivo.

Nič z toho nespravujete ručne. Po zapnutí sa podpisovanie a kontrola dejú automaticky pri každom e-maile, navždy.

Čo vás to môže stáť

Toto nie je abstraktné. Tu je to, ako vypadá chýbajúca alebo slabá pečať DKIM v praxi pre malú alebo strednú firmu.

Pozmenená faktúra. Zákazníkovi pošlete faktúru e-mailom. Niekde medzi vaším serverom a ich serverom útočník zachytí e-mail a vymení vaše bankové údaje za svoje vlastné. E-mail sa naďalej javí ako od vás, zákazník zaplatí — na účet zločinca. Bez DKIM nie je nič, čo by upozornilo na to, že správa bola pozmenená.
Obchody, ktoré zahynuli v spame. Vaše ponuky, návrhy a následné e-maily stále skĺzavajú do priečinkov nevyžiadanej pošty zákazníkov. Nikdy sa nedozveste a predpokladáte, že nemali záujem. V skutočnosti nepodpísaná pošta je silným signálom spamu.
Stratená zmluva. Tím nákupu alebo bezpečnosti väčšieho klienta pred podpisom preverí vašu doménu. Nenájde žiadny DKIM a zaobchádza s tým ako s červenou vlajkou — buď oneskorí obchod o týždne, kým to opravíte, alebo ticho vyberie dodávateľa, ktorého e-mailová bezpečnosť prešla kontrolou.
Vaše meno použité proti vašim vlastným zákazníkom. Podvodník posiela presvedčivé falošné e-maily “od vašej spoločnosti” vašej zákazníckej základni. Keďže nič nedokazuje, ktoré správy sú skutočne vaše, falošné vyzerajú rovnako legitímne ako skutočné — a vaša povesť dostane ranu, keď ľudia utrpia škodu.
Pomalé dusenie vašej e-mailovej komunikácie. Banky, veľkí poskytovatelia poštových schránok a firemné filtre čoraz viac nedôverujú nepodpísanej pošte. Efekt sa prejavuje postupom času: viac obmedzení, viac zahadzovania, viac odmietaní.

Čo to v skutočnosti je

DKIM je skratka pre DomainKeys Identified Mail. Tu je to, ako pečať funguje, bez žargónu:

Na vašej doméne zverejníte verejný kľúč (v nastaveniach DNS). Ktokoľvek ho môže čítať — to je zámer.
Váš poskytovateľ pošty drží zodpovedajúci súkromný kľúč a používa ho na podpisovanie každého e-mailu, ktorý odošlete, pridávaním skrytej hlavičky.
Keď e-mail príde, poskytovateľ príjemcu načíta váš verejný kľúč, skontroluje podpis voči správe a potvrdí, že je skutočný a nezmenený.

Niekoľko výrazov, ktoré môžete počuť od svojho IT pracovníka:

Selektor — označenie ukazujúce na jeden konkrétny kľúč, napr. selector1._domainkey.vasadomena. Umožňuje vám spúšťať a rotovať viacero kľúčov čisto. Nastavuje to váš poskytovateľ.
Sila kľúča — DKIM kľúče existujú v rôznych veľkostiach. Moderný základ je 2048-bitový RSA; kľúče 4096-bitový RSA alebo Ed25519 sú ešte silnejšie. Starší 1024-bitový kľúče stále fungujú, ale podľa dnešných štandardov sa považujú za slabé.

Ako vyzerá ‘dobré’ nastavenie: platný DKIM kľúč je zverejnený pri selektore pre vašu doménu, vaša odchádzajúca pošta je ním podpísaná a kľúč je 2048-bitový alebo silnejší. To je úplný úspech.

Poznámka k hodnoteniu. Táto kontrola hľadá platný, dobre formátovaný DKIM kľúč zverejnený pri selektoroch, ktoré poskytovatelia pošty bežne používajú. Nenájdený žiadny kľúč zlyhá v kontrole (je to závažná medzera). Platný kľúč, ktorý je slabý (1024-bitový RSA) získa zhruba polovicu bodov — funguje, ale mal by byť upgradovaný. Silný kľúč (2048-bitový RSA alebo silnejší, alebo Ed25519) získa plný počet bodov.

Ako to opraviť (zadarmo, ~15 minút)

Táto časť je pre toho, kto spravuje váš e-mail alebo doménu — ak to nie ste vy, odovzdajte mu túto sekciu. Oprava je zadarmo.

Všeobecný postup je rovnaký všade: zapnite DKIM u svojho poskytovateľa e-mailu, vezmite kľúč, ktorý vygeneruje, zverejnite ho vo svojom DNS, potom potvrďte, že je aktívny.

Google Workspace (Gmail)

Admin Console → Aplikácie → Google Workspace → Gmail → Overenie e-mailov.
Vyberte svoju doménu a kliknite na Generovať nový záznam (vyberte dĺžku kľúča 2048-bitový).
Google vám dá DNS záznam. Pridajte ho u svojho DNS poskytovateľa ako TXT záznam, hostiteľ google._domainkey.vasadomena, s hodnotou od Google.
Počkajte na šírenie (minúty až niekoľko hodín), potom sa vráťte na rovnakú obrazovku a kliknite na Spustiť overenie.

Microsoft 365 (Outlook / Exchange Online)

Prejdite na portál Microsoft Defender → E-mail a spolupráca → Zásady a pravidlá → Zásady hrozieb → Nastavenia overovania e-mailov → DKIM.
Vyberte svoju doménu. Microsoft zobrazí dva CNAME záznamy na zverejnenie (selector1 a selector2).
Pridajte oba CNAME záznamy u svojho DNS poskytovateľa presne tak, ako sú zobrazené.
Späť na obrazovke DKIM prepnite podpisovanie DKIM na Povolené pre doménu.

Zoho Mail

Ovládací panel → Overovanie e-mailov → DKIM.
Vygenerujte kľúč (použite selektor ako zoho), potom pridajte poskytnutý TXT záznam na zoho._domainkey.vasadomena vo vašom DNS.
Overte na paneli Zoho po tom, čo je záznam aktívny.

Iní poskytovatelia / váš vlastný mailserver Vzor je rovnaký: poskytovateľ (alebo váš mailový softvér) vygeneruje pár kľúčov, podpisuje odchádzajúcu poštu súkromným kľúčom a dá vám verejný záznam na zverejnenie. Zvyčajne vyzerá takto:

Hostiteľ:  selector1._domainkey.vasadomena
Typ:       TXT (alebo CNAME, závisí od poskytovateľa)
Hodnota:   (dlhý reťazec kľúča od vášho poskytovateľa)

Potvrdenie, že to funguje: pošlite si testovací e-mail na účet Gmail, otvorte ho, vyberte Zobraziť originál a skontrolujte, či sa zobrazí DKIM: PASS. Potom znovu skontrolujte svoju doménu, aby ste potvrdili, že kľúč je 2048-bitový alebo silnejší, nie slabý 1024-bitový.

Bežné chyby

Predpokladanie, že veľký poskytovateľ ho má predvolene zapnutý. Množstvo domén na Google alebo Microsoft stále potrebuje zapnúť DKIM a zverejniť záznam. “Používame Microsoft 365” nie je to isté ako “DKIM je povolený.”
Generovanie slabého 1024-bitového kľúča. Niektorí poskytovatelia stále predvolene ponúkajú 1024-bitový. Pri príležitosti vyberte 2048-bitový — slabý kľúč získa len polovicu bodov.
Zverejnenie záznamu, ale nezapnutie podpisovania. Pridanie DNS záznamu je len polovica práce. Ak nezapnete podpisovanie u poskytovateľa, vaša pošta stále odchádza nepodpísaná.
Preklep alebo skrátenie kľúča. DKIM kľúče sú dlhé. Kopírovanie, ktoré vypustí znak alebo rozdelí hodnotu nesprávne, vytvorí nefunkčnú pečať. Vložte hodnotu presne tak, ako je zadaná.
Zabudnutie na ostatných odosielateľov. Ak odosielate poštu prostredníctvom nástroja na newslettery, CRM, fakturačnej aplikácie alebo e-commerce platformy, každý môže potrebovať vlastný DKIM kľúč a selektor.

Poznámka k DKIM, SPF a DMARC

DKIM zriedkavo funguje sám. Je to jedno z troch nastavení, ktoré spolu robia váš e-mail dôveryhodným:

SPF hovorí, ktoré servery môžu odosielať poštu pre vašu doménu.
DKIM (táto stránka) je ochranná pečať dokazujúca, že správa je skutočne vaša a nezmenená.
DMARC je inštrukcia hovorí poskytovateľom, čo robiť s čímkoľvek, čo zlyhá — a opiera sa o DKIM a SPF pri tomto rozhodnutí.

Ak opravujete DKIM, oplatí sa zároveň skontrolovať SPF a DMARC. Spolu zabraňujú vydávaniu sa za vašu firmu a zachovávajú doručovanie vašich skutočných e-mailov.

Nastavte to u svojho hostiteľa

Krok za krokom pre populárnych poskytovateľov:

FAQ

Nie som technicky zdatný — je to niečo, čo môžem sám vyriešiť?

Nemusíte rozumieť kryptografii. Vo väčšine prípadov je to nastavenie, ktoré zapnete vo svojom e-mailovom poskytovateľovi (Google Workspace, Microsoft 365, Zoho atď.), ktorý vám potom dá jeden alebo dva záznamy na pridanie k vašej doméne. Odovzdajte sekciu 'Ako to opraviť' tomu, kto spravuje váš e-mail alebo doménu — je to rýchla, bezplatná práca, zvyčajne okolo 15 minút.

Rizikuje zapnutie DKIM zlomenie môjho e-mailu?

Správne pridanie DKIM je bezpečné — nemení spôsob odosielania pošty, len pridáva podpis, ktorý môžu príjemcovia overiť. Jednou vecou, ktorú treba správne urobiť, je zverejniť kľúč generovaný vaším poskytovateľom presne tak, ako je zadaný, a zapnúť podpisovanie len po tom, čo je záznam v DNS aktívny. V tomto poradí nedôjde k žiadnemu narušeniu.

Už používame veľkého poskytovateľa ako Google alebo Microsoft — nie sme automaticky krytí?

Nie vždy. Veľkí poskytovatelia robia DKIM ľahkým, ale pre mnohé domény ho stále treba zapnúť a záznam pridať do DNS — nie vždy je predvolene zapnutý. Preto doména na veľkom poskytovateľovi môže stále zlyhať v tejto kontrole. Trvá to len niekoľko minút na potvrdenie a povolenie.

Aký je rozdiel medzi DKIM, SPF a DMARC? Potrebujem všetky tri?

Predstavte si ich ako sadu. SPF vypisuje, ktoré servery môžu odosielať poštu pre vašu doménu. DKIM je ochranná pečať, ktorá dokazuje, že správa je skutočne vaša a nezmenená. DMARC je inštrukcia, ktorá hovorí poskytovateľom blokovať čokoľvek, čo zlyhá v týchto kontrolách. Najlepšie fungujú spolu — DMARC sa obzvlášť opiera o DKIM — takže áno, potrebujete všetky tri.

Môj IT pracovník hovorí, že DKIM je 'zapnutý' — ako viem, že skutočne funguje a je dostatočne silný?

Dôležité sú dve veci: že platný podpis je zverejnený pri selektore vašej domény a že kľúč za ním je silný (2048-bitový RSA alebo silnejší). Starší 1024-bitový kľúč stále funguje, ale podľa moderných štandardov sa považuje za slabý. Opätovná kontrola vašej domény potvrdzí oboje naraz.

Čo je 'selektor' a prečo je dôležitý?

Selektor je len označenie, ktoré ukazuje na jeden konkrétny DKIM kľúč vo vašom DNS — umožňuje vám mať súčasne viac kľúčov a bezpečne rotovať kľúče. Nespravujete ho ručne; váš poskytovateľ vytvára selektor a hovorí vám, ktorý záznam zverejniť.