Defaults.Exposed › Rešenja › DKIM
Kako popraviti DKIM
DKIM je nevidljivi, zaštitni pečat na svakom imejlu koji vaše preduzeće šalje. On prijemnom provajderu omogućava da potvrdi da imejl zaista dolazi od vas i da je stigao nepromenjen. Bez njega, vaša pošta je lakša za falsifikovanje, lakša za izmenu i mnogo više šansi ima da završi u spamu.
Suština za vaše poslovanje: Bez DKIM-a, imejlove koje šaljete moguće je promeniti u tranzitu, lakše ih je da kriminalci lažiraju i veća je verovatnoća da budu filtrirani u spam ili potpuno odbijeni — tiho vas koštajući poslova, plaćanja i poverenja koje nikad niste ni znali da ste izgubili.
Šta vam ovo može koštati
- Faktura koju ste imejlom poslali biva presretnuta i bankovni podaci se menjaju pre nego što stigne kupcu. Imejl i dalje izgleda kao da dolazi od vas, kupac plati kriminalcu, a kad se stvar razmrsi, vi ste ti koji bivate optuženi.
- Vaše prave ponude, ugovori i fakture nastavljaju da pristižu u spam folderima kupaca. Pretpostavljate da klijent ućutao ili odabrao nekog drugog — ali oni jednostavno nikad nisu videli vaš imejl.
- Bezbednosni ili nabavni tim većeg klijenta obavlja brzu proveru vašeg domena pre potpisivanja, vidi da nema DKIM-a i ili odgađa dogovor za nedeljama dok to ne ispravite ili tiho bira konkurenta koji je prošao proveru.
- Kriminalac šalje uverljive lažne imejlove 'od vaše kompanije' vašim kupcima. Jer ništa ne dokazuje koji imejlovi su zaista vaši, lažni izgledaju jednako uvjerljivo kao pravi — i vaše ime trpi štetu.
- Veliki provajderi poštanskih sandučeta i banke sve više tretiraju nepotpisanu poštu kao sumnjivost. Tokom vremena sve više vaše svakodnevne poslovne pošte biva zagušena, odbačena ili odbijena, a vaša komunikacija tiho prestaje da stiže.
Zašto je to važno. Imejl nikad nije bio izgrađen da dokaže ko ga je poslao, a lažiranje pošiljaoca je trivijalno lako. DKIM dodaje kriptografski potpis koji prijemni provajder automatski proverava — potvrđujući da poruka zaista dolazi s vašeg domena i da nije promenjena na putu. To je jedna od tri stvari koje svaki moderan provajder traži, direktno utiče na to da li vaš imejl biva poverljiv ili odbačen, a popravka je besplatna.
Šta je ovo, jednostavnim rečima
Svaki imejl koji vaše preduzeće pošalje prolazi kroz nekoliko ruku pre nego što stigne u sanduče. Sam po sebi, imejl ne nosi nikakav dokaz ko ga je zaista poslao ili da li ga je neko promenio na putu — linija “od” je samo tekst koji svako može da upiše.
DKIM to menja. On stavlja nevidljiv, zaštitni pečat na svaku poruku koju vaše preduzeće pošalje. Kad imejl stigne, prijemni provajder proverava pečat u odnosu na ključ koji objavljujete na svom domenu. Ako se podudara, provajder zna dve stvari sa sigurnošću: imejl zaista dolazi s vašeg domena i ni jedan karakter nije promenjen u tranzitu. Ako se ne podudara — jer je poruka bila lažirana ili promenjena — pečat puca, a provajder tretira poštu s oprezom.
Ne upravljate ničime od ovoga ručno. Jednom kada je uključen, potpisivanje i provera se odvijaju automatski na svakom imejlu, zauvek. Cela poenta DKIM-a je da vaša prava pošta bude dokazivo prava — da bude poverljiva, i da se lažovi ističu.
Šta vam ovo može koštati
Ovo nije apstraktno. Ovako izgleda nedostajući ili slab DKIM pečat u praksi za malo ili srednje preduzeće.
- Izmenjena faktura. Imejlom šaljete kupcu fakturu. Negde između vašeg servera i njihovog, napadač presreće i zamenjuje vaše bankovne podatke sopstvenim. Imejl i dalje izgleda kao da dolazi od vas, kupac plati — na kriminalčev račun. Bez DKIM-a, nema ničeg da označi da je poruka bila falsifikovana. S njim, ta tiha izmena razbija pečat i biva uhvaćena.
- Poslovi koji su umrli u spamu. Vaše ponude, predlozi i praćenja nastavljaju da klize u spam folderima kupaca. Nikad ne čujete odgovor i pretpostavljate da nisu bili zainteresovani. U stvarnosti, nepotpisana pošta je jak spam signal — vaša stvarna poslovna pošta jednostavno nije bila viđena.
- Izgubljeni ugovor. Nabavni ili bezbednosni tim većeg klijenta proverava vaš domen pre nego što potpišu. Vide da nema DKIM-a i tretiraju to kao crvenu zastavu — ili odgađaju posao za nedeljama dok to ne ispravite, ili tiho biraju dobavljača čija imejl bezbednost je prošla proveru.
- Vaše ime koristi se protiv vaših kupaca. Prevarant šalje uverljive imejlove “od vaše kompanije” vašoj bazi kupaca. Jer ništa ne dokazuje koji su poruke zaista vaše, lažni izgledaju jednako legitimno kao pravi — i vaša reputacija trpi kad se ljudi prevare.
- Sporo gušenje vašeg imejla. Banke, veliki provajderi poštanskih sandučeta i korporativni filteri sve više ne veruju nepotpisanoj pošti. Efekat se uvlači tokom vremena: više gušenja, više odbacivanja, više odbijanja — sve dok vaša svakodnevna komunikacija tiho ne prestane da stiže.
Šta je to zapravo
DKIM je skraćenica za DomainKeys Identified Mail. Ovako funkcioniše pečat, bez žargona:
- Objavljujete javni ključ na svom domenu (u DNS podešavanjima). Svako ga može pročitati — to je cela poenta.
- Vaš imejl provajder drži odgovarajući privatni ključ i koristi ga da potpiše svaki imejl koji pošaljete, dodajući skriveno zaglavlje.
- Kad imejl stigne, provajder primaoca dohvata vaš javni ključ, proverava potpis u odnosu na poruku i potvrđuje da je genuina i nepromenjena.
Nekoliko termina koje možete čuti od IT osoblja:
- Selektor — oznaka koja pokazuje na jedan specifičan ključ, npr.
selector1._domainkey.vasdomen. Omogućava vam da čisto pokrenete i menjate više ključeva. Vaš provajder ovo podešava. - Jačina ključa — DKIM ključevi dolaze u veličinama. Moderna osnova je 2048-bitni RSA; 4096-bitni RSA ili Ed25519 ključevi su još jači. Stariji 1024-bitni ključevi i dalje funkcionišu, ali se smatraju slabim po današnjim standardima (NIST SP 800-131A / RFC 8301).
Kako izgleda “dobro”: validan DKIM ključ objavljen je za vaš domen, odlazna pošta se potpisuje s njim, a ključ je 2048-bitni ili jači. To je potpuni prolaz.
Napomena o bodovanju. Ova provera traži genuino, dobro formirani DKIM ključ objavljen na selektorima koje imejl provajderi uobičajeno koriste. Objavljen validan ključ je pozitivan signal — eksterni skener ne može ponovo reprodukovati vaše žive potpise, pa se prisustvo ispravnog ključa mere. Ključ nije pronađen — provera pada (to je kritičan propust visoke ozbiljnosti). Validan ključ koji je slab (1024-bitni RSA) donosi otprilike pola bodova — funkcioniše, ali bi trebalo da se nadogradi. Jak ključ (2048-bitni RSA ili bolji, ili Ed25519) donosi pune bodove.
Kako popraviti (besplatno, ~15 minuta)
Ovaj deo je za ko god upravlja vašim imejlom ili domenom — ako to niste vi, prosledite im ovaj odeljak. Popravka je besplatna. Naplaćujemo samo praćenje da vaše zaštite ostanu zdrave tokom vremena, a ne podešavanje.
Opšti oblik je isti svugde: uključite DKIM u vašem imejl provajderu, uzmite ključ koji generiše, objavite ga u vašem DNS-u, zatim potvrdite da je aktivan. Tačni koraci zavise od toga ko vodi vaš imejl — evo uobičajenih.
Google Workspace (Gmail)
- Admin konzola → Apps → Google Workspace → Gmail → Authenticate email.
- Izaberite domen i kliknite Generate new record (odaberite dužinu ključa 2048-bit).
- Google vam daje DNS zapis. Dodajte ga kod vašeg DNS hosta kao TXT zapis, host
google._domainkey.vasdomen, s vrednošću koju je Google dao. - Sačekajte propagaciju (minuti do nekoliko sati), zatim se vratite na isti ekran i kliknite Start authentication.
Microsoft 365 (Outlook / Exchange Online)
- Idite u Microsoft Defender portal → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
- Izaberite domen. Microsoft prikazuje dva CNAME zapisa za objavljivanje (selector1 i selector2).
- Dodajte oba CNAME zapisa kod vašeg DNS hosta tačno kako je prikazano.
- Nazad na DKIM ekranu, prebacite DKIM potpisivanje na Enabled za domen.
Zoho Mail
- Control Panel → Email Authentication → DKIM.
- Generišite ključ (koristite selektor poput
zoho), zatim dodajte dati TXT zapis nazoho._domainkey.vasdomenu vašem DNS-u. - Proverite na Zoho panelu kada je zapis aktivan.
Drugi provajderi / vlastiti mejl server Obrazac je identičan: provajder (ili vaš imejl softver) generiše par ključeva, potpisuje vašu odlaznu poštu privatnim ključem i daje vam javni zapis za objavljivanje. Obično izgleda ovako:
Host: selector1._domainkey.vasdomen
Type: TXT (ili CNAME, u zavisnosti od provajdera)
Value: (dugi string ključa koji vam daje provajder)
Gde se dodaju DNS zapisi: u DNS podešavanjima vašeg domena — obično kod registrara domena ili DNS hosta (npr. Cloudflare, GoDaddy, vaš hosting control panel). Ako vaš imejl provajder daje CNAME, pokazuje na zapis koji oni hostuju, tako da nikad ne vidite sirovi ključ — to je normalno i u redu.
Potvrda da radi: pošaljite sebi test imejl na Gmail nalog, otvorite ga, izaberite Show original i proverite da li se DKIM: PASS pojavljuje. Zatim ponovo proverite domen ovde da potvrdite da je ključ 2048-bitni ili jači, a ne slab 1024-bitni.
Česte greške
- Pretpostavljanje da veliki provajder ima to uključeno po defaultu. Mnogi domeni na Googleu ili Microsoftu i dalje moraju da imaju DKIM uključen i zapis objavljen. “Koristimo Microsoft 365” nije isto kao “DKIM je omogućen.”
- Generisanje slabog 1024-bitnog ključa. Neki provajderi i dalje defaultno nude 1024-bitni. Izaberite 2048-bitni kad god se da opcija — slab ključ donosi samo pola bodova i flaguju ga stroži primaoci.
- Objavljivanje zapisa ali nikad ne uključivanje potpisivanja. Dodavanje DNS zapisa je samo polovina posla. Ako ne uključite potpisivanje u provajderu (konačni toggle), vaša pošta i dalje odlazi nepotpisana.
- Pogrešno kucanje ili skraćivanje ključa. DKIM ključevi su dugački. Copy-paste koji ispusti karakter ili pogrešno podeli vrednost daje neispravan pečat koji puca na svakom imejlu. Nalepite vrednost tačno kako je data.
- Zaboravljanje ostalih pošiljalaca. Ako šaljete poštu putem alata za newsletter, CRM-a, aplikacije za fakturisanje ili e-commerce platforme, svaki može trebati vlastiti DKIM ključ i selektor. Potpišite poštu od svih servisa koji šalju u vaše ime, ne samo od poštanskog sandučeta.
Napomena o DKIM-u, SPF-u i DMARC-u
DKIM retko radi sam. To je jedna od tri postavke koje zajedno čine vaš imejl poverljivim:
- SPF kaže koji serveri smeju slati poštu za vaš domen.
- DKIM (ova stranica) je zaštitni pečat koji dokazuje da je poruka zaista vaša i nepromenjena.
- DMARC je instrukcija koja govori provajderima šta da rade sa svime što ne prođe — i oslanja se na DKIM i SPF za tu odluku.
Ako ispravljate DKIM, vredi istovremeno proveriti SPF i DMARC. Zajedno su ono što sprečava lažiranje vašeg preduzeća i što vaša prava pošta stiže tamo gde treba.
Podesite na svom hostingu
Korak po korak za popularne provajdere:
- Podesite DKIM na GoDaddy
- Podesite DKIM na Namecheap
- Podesite DKIM na Cloudflare
- Podesite DKIM na Google Workspace
- Podesite DKIM na Microsoft 365
- Podesite DKIM na Squarespace
- Podesite DKIM na Wix
- Podesite DKIM na AWS Route 53
- Podesite DKIM na Hostinger
- Podesite DKIM na Porkbun
- Podesite DKIM na IONOS
- Podesite DKIM na Bluehost
Često postavljana pitanja
Nisam tehničar — mogu li ovo srediti sam?
Ne morate razumeti kriptografiju. U većini slučajeva to je podešavanje koje uključujete unutar imejl provajdera (Google Workspace, Microsoft 365, Zoho, itd.), koji vam zatim daje jedan ili dva zapisa za dodavanje u domen. Prosledite odeljak 'Kako popraviti' ko god upravlja vašim imejlom ili domenom — to je brz, besplatan posao, obično oko 15 minuta.
Hoće li uključivanje DKIM-a ugroziti moj imejl?
Ispravno dodavanje DKIM-a je bezbedno — ne menja kako se vaša pošta šalje, samo dodaje potpis koji primaoci mogu da verifikuju. Jedina stvar da se ispravno uradi je da se objavi ključ koji generiše vaš provajder tačno onako kako je dat, i da se potpisivanje uključi tek pošto je zapis aktivan u DNS-u. Urađeno tim redosledom, nema poremećaja za vas ili vaše kupce.
Već koristimo velikog provajdera kao Google ili Microsoft — nismo li automatski pokriveni?
Nije uvek. Veliki provajderi olakšavaju DKIM, ali za mnoge domene još uvek mora biti uključen i zapis mora biti dodat u DNS — nije uvek uključen po defaultu. Upravo zbog toga domen kod velikog provajdera može i dalje ne proći ovu proveru. Traje nekoliko minuta da se potvrdi i uključi.
Koja je razlika između DKIM-a, SPF-a i DMARC-a? Trebam li sva tri?
Zamislite ih kao komplet. SPF navodi koji serveri smeju slati poštu za vaš domen. DKIM je zaštitni pečat koji dokazuje da je poruka zaista vaša i nepromenjena. DMARC je instrukcija koja govori provajderima da blokiraju sve što ne prođe te provere. Oni zajedno rade najprikladnije — DMARC posebno oslonci na DKIM da obavlja svoj posao — pa da, trebate sva tri.
Moj IT tvrdi da je DKIM 'uključen' — kako znam da zaista radi i da je dovoljno jak?
Dve stvari su bitne: da se validan potpis objavljuje za vaš domen, i da je ključ iza njega jak (2048-bitni RSA ili bolji). Stariji 1024-bitni ključ i dalje funkcioniše, ali se smatra slabim po modernim standardima i ovde se tretira kao delimičan prolaz. Ponovnim pregledom vašeg domena odmah se proveravaju obe stvari.
Šta je 'selektor' i zašto je bitan?
Selektor je samo oznaka koja pokazuje na jedan specifičan DKIM ključ u vašem DNS-u — omogućava vam da istovremeno koristite više od jednog ključa (na primer, jedan za poštansko sanduče i jedan za alat za newsletter) i bezbedno menjate ključeve. Ne upravljate njime ručno; vaš provajder kreira selektor i govori vam zapis za objavljivanje. Ovde je bitan samo zato što provera traži validan ključ na selektorima koje imejl provajderi uobičajeno koriste.