Defaults.Exposed › Popravki › DKIM
Kako popraviti DKIM
DKIM je nevidni zaščitni pečat na vsaki e-poštni sporočilu, ki ga vaše podjetje pošlje. Ponudniku poštnega predala prejemnika omogoča potrditi, da je e-pošta res prišla od vas in prispela nespremenjena. Brez njega je vašo pošto lažje ponarediti, lažje spremeniti in pogosteje konča v mapi za neželeno pošto ali je sploh zavrnjena.
Bistvo za vaše podjetje: Brez DKIM so e-poštna sporočila, ki jih pošljete, ranljiva za spremembo med prenosom, lažje jih je posnemati kriminalcem in pogosteje so filtrirana v neželeno pošto ali v celoti zavrnjena — kar tiho povzroča izgubo poslov, plačil in zaupanja, za katero nikoli ne izveste.
Kaj vas to lahko stane
- Račun, ki ste ga poslali e-poštno, med prenosom prestrezejo in bančne podatke spremenijo, preden doseže stranko. E-pošta še vedno izgleda, kot da prihaja od vas, stranka plača kriminalcu in ko se zadeva razplete, ste vi tisti, ki ste obtoženi.
- Vaše pristne ponudbe, pogodbe in računi pristanejo v mapah z neželeno pošto strank. Domnevate, da stranka ni bila zainteresirana ali je izbrala nekoga drugega — a enostavno ni videla vaše e-pošte.
- Varnostna ali nabavna ekipa večjega naročnika pred podpisom opravi hitro preverjanje vaše domene, ne najde DKIM in posel bodisi odloži za tedne, dokler ne opravite popravka, ali tiho izbere dobavitelja, katerega e-pošta je opravila preveritev.
- Kriminalec pošlje prepričljivo lažno e-pošto 'iz vašega podjetja' vašim strankam. Ker nič ne dokazuje, katera sporočila so resnično vaša, so ponarejene e-pošte enako verodostojne kot pristne — in vaše ime utrpi škodo.
- Večji ponudniki poštnih predalov in banke v vse večji meri obravnavajo nepodpisano pošto kot sumljivo. Sčasoma se vedno več vaše vsakodnevne poslovne e-pošte dušljično omeji, odloži v neželeno ali vrne.
Zakaj je to pomembno. E-pošta ni bila nikoli zasnovana za dokazovanje, kdo jo je poslal, in ponarejanje pošiljatelja je trivialno enostavno. DKIM doda kriptografski podpis, ki ga ponudnik prejemnika samodejno preveri — potrjuje, da sporočilo res prihaja iz vaše domene in da ni bilo spremenjenem med prenosom. Je ena od treh stvari, ki jih vsak sodoben ponudnik poštnih predalov išče, neposredno vpliva na to, ali je vaša e-pošta vredna zaupanja ali pristane v neželeni pošti, in popravek je brezplačen.
Kaj to je v preprostem jeziku
Vsaka e-pošta, ki jo pošlje vaše podjetje, gre skozi več rok, preden doseže nabiralnik. Sama po sebi e-pošta ne nosi nikakršnega dokaza, kdo jo je res poslal ali ali jo je kdo spremenil na poti — vrstica “od” je le besedilo, ki ga kdorkoli lahko napiše.
DKIM to popravi. Na vsako sporočilo, ki ga pošlje vaše podjetje, postavi neviden, zaščiten pečat. Ko prispe e-pošta, ponudnik poštnega predala prejemnika preveri pečat s ključem, ki ga objavite na svoji domeni. Če se ujema, ponudnik ve dve stvari: e-pošta je resnično prišla z vaše domene in med prenosom ni bila spremenjena niti ena sama črka. Če se ne ujema — ker je bilo sporočilo ponarejeno ali spremenjeno — pečat ne prestane preveritve in ponudnik obravnava pošto s sumom.
Vsega tega ne upravljate ročno. Ko je enkrat vklopljeno, poteka podpisovanje in preverjanje samodejno pri vsaki e-pošti za vedno. Celoten namen DKIM je narediti vašo pristno pošto dokazljivo pristno — da ji zaupajo in da ponarejene pošte izstopajo.
Kaj vas to lahko stane
To ni abstraktno. Takole izgleda manjkajoč ali šibak DKIM pečat v praksi za malo ali srednje podjetje.
- Spremenjen račun. Stranki pošljete račun. Nekje med vašim strežnikom in njihovim napadalec prestrezе in zamenja vaše bančne podatke s svojimi. E-pošta se še vedno zdi, kot da prihaja od vas, stranka plača — na račun kriminalca. Brez DKIM ni nic, kar bi opozorilo, da je bilo sporočilo spremenjenem. Z njim ta tiha sprememba zlomi pečat in se zazna.
- Posli, ki so umrli v neželeni pošti. Vaše ponudbe, predlogi in sledilna sporočila drsijo v mape z neželeno pošto strank. Ne slišite odgovora in domnevate, da niso bili zainteresirani. Dejansko je nepodpisana pošta močan signal za nezeleno pošto — vaša pristna poslovna e-pošta preprosto ni bila videna.
- Izgubljena pogodba. Nabavna ali varnostna ekipa večjega naročnika pregleda vašo domeno, preden podpišejo. Vidijo, da ni DKIM, in to obravnavajo kot rdeč signal — zamudijo posel za tedne, medtem ko ga odpravljate, ali tiho izberejo dobavitelja, katerega e-poštna varnost je prešla preverjanje.
- Vaše ime, uperjeno proti vašim lastnim strankam. Prevarant razpošlje prepričljive lažne e-pošte “iz vašega podjetja” vaši bazi strank. Ker nič ne dokazuje, katera sporočila so resnično vaša, so ponarejene pošte enako verodostojne kot pristne — in ko so ljudje prevarani, utrpi vaš ugled.
- Počasna zadušitev vaše e-pošte. Banke, večji ponudniki poštnih predalov in korporativni filtri v vse večji meri ne zaupajo nepodpisani pošti. Učinek se postopoma kaže: več omejevanja, več neželene pošte, več vrnjenih sporočil — dokler vaše vsakodnevno komuniciranje tiho preneha delovati.
Kaj to dejansko je
DKIM je kratica za DomainKeys Identified Mail. Takole pečat deluje brez tehničnega žargona:
- Na svoji domeni objavite javni ključ (v nastavitvah DNS). Kdorkoli ga lahko prebere — to je namen.
- Vaš ponudnik poštnih storitev hrani ustreza zasebni ključ in ga uporablja za podpisovanje vsake e-pošte, ki jo pošljete, z dodajanjem skritega glave.
- Ko prispe e-pošta, ponudnik prejemnika pridobi vaš javni ključ, preveri podpis glede na sporočilo in potrdi, da je pristno in nespremenjeno.
Nekateri izrazi, ki jih boste morda slišali od vaše IT osebe:
- Izbirnik — oznaka, ki kaže na en določen ključ, npr.
selector1._domainkey.vasadomena. Omogoča čisto izvajanje in menjavo več ključev. Vaš ponudnik to nastavi. - Moč ključa — DKIM ključi prihajajo v različnih velikostih. Sodobna osnova je 2048-bitni RSA; ključi 4096-bitni RSA ali Ed25519 so še močnejši. Starejši 1024-bitni ključi še delujejo, a se po današnjih standardih štejejo za šibke (NIST SP 800-131A / RFC 8301).
Kako izgleda “dobro”: veljaven DKIM ključ je objavljen pri izbirniku za vašo domeno, vaša odhodna pošta je podpisana z njim in ključ je 2048-bitni ali boljši. To je popolno opravilo.
Opomba o točkovanju. To preverjanje išče pristno, dobro oblikovani DKIM ključ pri izbirnikih, ki jih ponudniki poštnih storitev pogosto uporabljajo. Objavljen veljaven ključ je pozitiven signal — zunanji skener ne more predvajati vaših živih podpisov, zato se meri prisotnost pravilnega ključa. Ključ ni najden ne prestane preverjanja (gre za varnostno vrzel z visoko resnostjo). Veljaven ključ, ki je šibak (1024-bitni RSA) prinese približno polovico točk — deluje, a bi ga morali nadgraditi. Močan ključ (2048-bitni RSA ali boljši ali Ed25519) prinese polne točke.
Kako to popraviti (brezplačno, ~15 minut)
Ta del je za tistega, ki upravlja vašo e-pošto ali domeno — če to niste vi, mu posredujte ta razdelek. Popravek je brezplačen. Zaračunavamo le spremljanje, da vaše zaščite ostanejo zdrave sčasoma, ne pa njihove nastavitve.
Splošna oblika je povsod enaka: vklopite DKIM pri vašem ponudniku e-pošte, vzamete ključ, ki ga ustvari, ga objavite v vašem DNS, nato pa potrdite, da je v živo. Natančni koraki so odvisni od tega, kdo vodi vašo e-pošto — tukaj so najpogostejši primeri.
Google Workspace (Gmail)
- Skrbniška konzola → Aplikacije → Google Workspace → Gmail → Overitev e-pošte.
- Izberite svojo domeno in kliknite Ustvari nov zapis (izberite dolžino ključa 2048 bitov).
- Google vam da zapis DNS. Dodajte ga pri vašem gostitelju DNS kot zapis TXT, gostitelj
google._domainkey.vasadomena, z vrednostjo, ki jo je zagotovil Google. - Počakajte na razširitev (minute do nekaj ur), nato se vrnite na isti zaslon in kliknite Začni overjanje.
Microsoft 365 (Outlook / Exchange Online)
- Pojdite na portal Microsoft Defender → E-pošta in sodelovanje → Pravilniki in pravila → Pravilniki o grožnjah → Nastavitve overitve e-pošte → DKIM.
- Izberite svojo domeno. Microsoft prikaže dva CNAME zapisa za objavo (izbirnik1 in izbirnik2).
- Dodajte oba CNAME zapisa pri vašem gostitelju DNS natanko tako, kot sta prikazana.
- Nazaj na zaslonu DKIM preklопite podpisovanje DKIM na Omogočeno za domeno.
Zoho Mail
- Nadzorna plošča → Overitev e-pošte → DKIM.
- Ustvarite ključ (uporabite izbirnik, kot je
zoho), nato dodajte zagotovljeni TXT zapis prizoho._domainkey.vasadomenav vašem DNS. - Preverite v plošči Zoho, ko je zapis v živo.
Drugi ponudniki / vaš lastni poštni strežnik Vzorec je enak: ponudnik (ali vaša poštna programska oprema) ustvari par ključev, podpisuje vašo odhodno pošto z zasebnim ključem in vam da javni zapis za objavo. Navadno izgleda tako:
Gostitelj: selector1._domainkey.vasadomena
Vrsta: TXT (ali CNAME, odvisno od ponudnika)
Vrednost: (dolg niz ključa, ki vam ga da vaš ponudnik)
Kje se dodajajo zapisi DNS: v nastavitvah DNS vaše domene — navadno pri vašem registrarju domene ali gostitelju DNS (npr. Cloudflare, GoDaddy, nadzorna plošča gostovanja). Če vaš ponudnik e-pošte zagotavlja CNAME, kaže na zapis, ki ga gostijo, zato nikoli ne vidite neobdelovalnega ključa — to je normalno.
Potrdite, da deluje: pošljite si preizkusno e-pošto na Gmail račun, jo odprite, izberite Prikaži originalno in preverite, da se pojavi DKIM: PASS. Nato ponovno preverite svojo domeno tukaj, da potrdite, da je ključ prišel kot 2048-bitni ali boljši, ne šibki 1024-bitni.
Pogoste napake
- Predpostavitev, da ga ima veliki ponudnik privzeto vklopljeno. Veliko domen pri Google ali Microsoft še vedno zahteva vklop DKIM in objavo zapisa. “Uporabljamo Microsoft 365” ni enako kot “DKIM je omogočen.”
- Ustvarjanje šibkega 1024-bitnega ključa. Nekateri ponudniki še vedno privzeto ponujajo 1024-bitne. Ko imate možnost, izberite 2048-bitne — šibek ključ prinese le polovico točk.
- Objava zapisa brez vklopa podpisovanja. Dodajanje zapisa DNS je le polovica dela. Če ne vklopite podpisovanja pri ponudniku (zadnje preklopišče), vaša pošta še vedno odhaja nepodpisana.
- Napačno vtipkanje ali skrajšanje ključa. DKIM ključi so dolgi. Kopija-in-prilepi, ki izgubi znak ali napačno razdeli vrednost, ustvari pokvarjen pečat, ki ne prestane preveritve pri vsaki e-pošti.
- Pozabljanje na druge pošiljatelje. Če pošiljate pošto prek orodja za glasila, CRM, aplikacije za fakturiranje ali e-commerce platforme, bo morda vsaka potrebovala lasten DKIM ključ in izbirnik.
Opomba o DKIM, SPF in DMARC
DKIM redko deluje sam. Je ena od treh nastavitev, ki skupaj naredijo vašo e-pošto vrednostno zaupanja:
- SPF določa, kateri strežniki smejo pošiljati pošto za vašo domeno.
- DKIM (ta stran) je zaščitni pečat, ki dokazuje, da je sporočilo resnično vaše in nespremenjeno.
- DMARC je navodilo, ki pove ponudnikom, kaj storiti z vsem, kar ne prestane preveritve — in se za to odločanje naslanja na DKIM in SPF.
Če odpravljate DKIM, se splača hkrati preveriti SPF in DMARC. Skupaj preprečijo lažno predstavljanje vašega podjetja in zagotavljajo, da vaša pristna e-pošta pristane tam, kjer mora.
Nastavite pri svojem ponudniku
Korak za korakom pri priljubljenih ponudnikih:
- Nastavite DKIM pri GoDaddy
- Nastavite DKIM pri Namecheap
- Nastavite DKIM pri Cloudflare
- Nastavite DKIM pri Google Workspace
- Nastavite DKIM pri Microsoft 365
- Nastavite DKIM pri Squarespace
- Nastavite DKIM pri Wix
- Nastavite DKIM pri AWS Route 53
- Nastavite DKIM pri Hostinger
- Nastavite DKIM pri Porkbun
- Nastavite DKIM pri IONOS
- Nastavite DKIM pri Bluehost
Pogosta vprašanja
Nisem tehničen — ali to lahko uredim sam?
Kriptografije vam ni treba razumeti. V večini primerov je to nastavitev, ki jo vklopite pri vašem ponudniku e-pošte (Google Workspace, Microsoft 365, Zoho itd.), ki vam nato da en ali dva zapisa za dodajanje v vašo domeno. Posredujte razdelek 'Kako to popraviti' tistemu, ki upravlja vašo e-pošto ali domeno — to je hitra, brezplačna naloga, navadno okoli 15 minut.
Ali bo vklop DKIM povzročil tveganje za mojo e-pošto?
Pravilno dodajanje DKIM je varno — ne spremeni načina pošiljanja vaše pošte, le doda podpis, ki ga prejemniki lahko preverijo. Edina stvar, ki jo je treba pravilno narediti, je objaviti ključ, ki ga ustvari vaš ponudnik, natanko tako, kot je dan, in omogočiti podpisovanje šele po tem, ko je zapis v živo v DNS. Narejenega v tem vrstnem redu ni motnje za vas ali vaše stranke.
Že uporabljamo velikega ponudnika, kot je Google ali Microsoft — ali nismo samodejno zaščiteni?
Ni vedno tako. Veliki ponudniki olajšajo DKIM, a za mnoge domene ga je treba vklopiti in dodati zapis v vaš DNS — ni vedno privzeto vklopljen. Zato domena pri večjem ponudniku še vedno ne prestane tega preverjanja. Potrditev in omogočanje trajata le nekaj minut.
Kakšna je razlika med DKIM, SPF in DMARC? Ali potrebujem vse tri?
Razmišljajte o njih kot o kompletu. SPF navaja, kateri strežniki smejo pošiljati pošto za vašo domeno. DKIM je zaščitni pečat, ki dokazuje, da je sporočilo res vaše in nespremenjeno. DMARC je navodilo, ki pove ponudnikom, naj blokirajo vse, kar ne prestane teh preveritev. Skupaj delujejo najboljše — DMARC se posebej naslanja na DKIM pri odločanju — zato da, potrebujete vse tri.
Moja IT oseba pravi, da je DKIM 'vklopljen' — kako vem, da dejansko deluje in je dovolj močan?
Dve stvari sta ključni: da je veljaven podpis objavljen pri izbirniku za vašo domeno in da je ključ za njim dovolj močan (2048-bitni RSA ali boljši). Starejši 1024-bitni ključ še vedno deluje, a se po sodobnih standardih šteje za šibkega. Ponovno preverjanje vaše domene potrdi oboje hkrati.
Kaj je 'izbirnik' in zakaj je to pomembno?
Izbirnik je le oznaka, ki kaže na določen DKIM ključ v vašem DNS — omogoča vam hkratno izvajanje več ključev (na primer enega za poštni predal in enega za vaše orodje za glasila) in varno menjavo ključev. Tega ne upravljate ročno; vaš ponudnik ustvari izbirnik in vam pove zapis za objavo.