Defaults.Exposed › Åtgärder › DKIM

Hur du fixar DKIM

DKIM är det osynliga manipuleringsskyddet på varje e-postmeddelande ditt företag skickar. Det låter den mottagande e-postleverantören bekräfta att e-postmeddelandet genuint kom från dig och anlände oförändrat. Utan det är din e-post lättare att förfalska, lättare att ändra och far mer troligt att hamna i skräppost.

Slutsats för ditt företag: Utan DKIM kan e-post du skickar manipuleras under transport, är lättare för bedragare att utge sig för att vara, och är mer trolig att filtreras bort till skräppost eller avvisas direkt — vilket tyst kostar dig affärer, betalningar och förtroende som du aldrig vet att du förlorat.

Vad detta kan kosta dig

• En faktura du mailade fångas upp och bankuppgifterna ändras innan den når kunden. E-postmeddelandet ser fortfarande ut att komma från dig, kunden betalar bedragaren, och när det rullas upp är det du som får skulden.
• Dina genuina offerter, kontrakt och fakturor hamnar ständigt i kundernas skräppost. Du antar att kunden tystnat eller valt någon annan — men de såg helt enkelt aldrig din e-post.
• En större kunds säkerhets- eller inköpsteam kör en snabb kontroll av din domän innan de skriver på, ser ingen DKIM, och antingen skjuter upp affären veckor tills du åtgärdat det eller väljer tyst en leverantör vars e-postsäkerhet klarade kontrollen.
• En bedragare skickar övertygande falska e-postmeddelanden 'från ditt företag' till dina egna kunder. Eftersom ingenting bevisar vilka e-postmeddelanden som verkligen är dina, är falsarierna lika trovärdiga som de riktiga — och ditt namn tar skadan.
• Stora brevlådeleverantörer och banker behandlar alltmer osignerad e-post som misstänkt. Med tiden fler av dina vardagliga affärsmejl stryps, sorteras bort eller studsar, och din kommunikation slutar tyst att fungera.

Varför det spelar roll. E-post var aldrig byggt för att bevisa vem som skickade det, och att förfalska avsändaren är trivialt enkelt. DKIM lägger till en kryptografisk signatur som den mottagande leverantören kontrollerar automatiskt — det bekräftar att meddelandet genuint kommer från din domän och inte har ändrats på vägen. Det är en av de tre saker varje modern e-postleverantör letar efter, det påverkar direkt om din e-post litas på eller sorteras bort, och åtgärden är gratis.

Vad det här är, i klartext

Varje e-postmeddelande ditt företag skickar passerar genom flera händer innan det når inkorgen. I sig självt bär ett e-postmeddelande inget bevis på vem som verkligen skickade det eller om någon ändrat det längs vägen — “från”-raden är bara text som vem som helst kan skriva.

DKIM fixar det. Det sätter ett osynligt, manipulersäkert sigill på varje meddelande ditt företag skickar. När e-postmeddelandet anländer kontrollerar den mottagande e-postleverantören sigillet mot en nyckel du publicerar på din domän. Om det stämmer vet leverantören två saker med säkerhet: e-postmeddelandet kom genuint från din domän, och inte ett enda tecken ändrades under transporten. Om det inte stämmer — för att meddelandet förfalskades eller ändrades — misslyckas sigillet och leverantören behandlar e-postmeddelandet med misstänksamhet.

Du hanterar inget av detta för hand. När det väl är aktiverat sker signering och kontroll automatiskt på varje e-postmeddelande, för alltid. Hela poängen med DKIM är att göra din riktiga e-post bevisbart äkta — så att den litas på, och så att förfalskningar sticker ut.

Vad det här kan kosta dig

Det här är inte abstrakt. Så här ser en saknad eller svag DKIM-signatur ut i praktiken för ett litet eller medelstort företag.

• Den ändrade fakturan. Du mailar en kund en faktura. Någonstans mellan din server och deras fångar en angripare den och byter ut dina bankuppgifter mot sina egna. E-postmeddelandet verkar fortfarande komma från dig, kunden betalar — in på bedragarens konto. Utan DKIM finns inget som flaggar att meddelandet manipulerades. Med det fångas den tysta förändringen upp.
• Affärerna som dog i skräpposten. Dina offerter, förslag och uppföljningar hamnar ständigt i kundernas skräppost. Du hör aldrig tillbaka och antar att de inte var intresserade. I verkligheten är osignerad e-post en stark skräppostsignal — din genuina affärse-post syntes helt enkelt inte.
• Det förlorade kontraktet. En större kunds inköps- eller säkerhetsteam granskar din domän innan de skriver på. De ser ingen DKIM och behandlar det som en röd flagga — antingen fördröjs affären i veckor medan du åtgärdar det, eller väljer de tyst en leverantör vars e-postsäkerhet klarade kontrollen.
• Ditt namn används mot dina egna kunder. En bedragare skickar ut övertygande e-postmeddelanden “från ditt företag” till din kundbas. Eftersom ingenting bevisar vilka meddelanden som verkligen är dina, ser falsarierna lika legitima ut som de riktiga — och det är ditt rykte som tar stöten när folk drabbas.
• Långsam strypning av din e-post. Banker, stora brevlådeleverantörer och företagsfilter litar alltmer inte på osignerad e-post. Effekten smyger in med tiden: mer strypning, mer sortering till skräppost, mer studsar — tills din vardagliga kommunikation tyst slutar landa.

Vad det faktiskt är

DKIM står för DomainKeys Identified Mail. Så här fungerar sigillet, utan fackspråk:

• Du publicerar en offentlig nyckel på din domän (i dina DNS-inställningar). Vem som helst kan läsa den — det är poängen.
• Din e-postleverantör håller den matchande privata nyckeln och använder den för att signera varje e-postmeddelande du skickar, med ett dolt huvud.
• När e-postmeddelandet anländer hämtar mottagarens leverantör din offentliga nyckel, kontrollerar signaturen mot meddelandet och bekräftar att det är äkta och oförändrat.

Några termer du kanske hör från din IT-person:

• Selektor — en etikett som pekar på en specifik nyckel, t.ex. selector1._domainkey.dindomän. Den låter dig köra och rotera flera nycklar smidigt. Din leverantör ställer in det här.
• Nyckelstyrka — DKIM-nycklar finns i olika storlekar. Den moderna basnivån är 2048-bitars RSA; 4096-bitars RSA eller Ed25519-nycklar är ännu starkare. Äldre 1024-bitars nycklar fungerar fortfarande men anses svaga enligt dagens standarder (NIST SP 800-131A / RFC 8301).

Vad “bra” ser ut som: en giltig DKIM-nyckel publiceras på en selektor för din domän, din utgående e-post signeras med den, och nyckeln är 2048-bitars eller starkare. Det är det fulla godkännandet.

En notering om hur det här betygsätts. Den här kontrollen letar efter en äkta, välformad DKIM-nyckel publicerad på de selektorer e-postleverantörer vanligtvis använder. En publicerad giltig nyckel är den positiva signalen — en tredjeparts-skanner kan inte återspela dina livesignaturer, så förekomsten av en korrekt nyckel är vad som mäts. Ingen nyckel hittad underkänner kontrollen (det är ett allvarligt problem). En giltig nyckel som är svag (1024-bitars RSA) ger ungefär hälften av poängen — den fungerar men bör uppgraderas. En stark nyckel (2048-bitars RSA eller bättre, eller Ed25519) ger fullt betyg.

Så här åtgärdar du det (gratis, ~15 minuter)

Det här avsnittet är för den som hanterar din e-post eller domän — om det inte är du, skicka det avsnittet till dem. Åtgärden är gratis. Vi tar bara betalt för att övervaka att dina skydd förblir sunda över tid, inte för att ställa in dem.

Den allmänna formen är densamma överallt: slå på DKIM i din e-postleverantör, ta nyckeln den genererar, publicera den i din DNS, och bekräfta sedan att den är live. De exakta stegen beror på vem som driver din e-post — här är de vanliga.

Google Workspace (Gmail)

1. Admin Console → Appar → Google Workspace → Gmail → Autentisera e-post.
2. Välj din domän och klicka Generera ny post (välj nyckellängden 2048-bitars).
3. Google ger dig en DNS-post. Lägg till den hos din DNS-värd som en TXT-post, värd google._domainkey.dindomän, med värdet Google angav.
4. Vänta på spridning (minuter till några timmar), återvänd sedan till samma skärm och klicka Starta autentisering.

Microsoft 365 (Outlook / Exchange Online)

1. Gå till Microsoft Defender-portalen → E-post & samarbete → Policyer och regler → Hotpolicyer → E-postautentiseringsinställningar → DKIM.
2. Välj din domän. Microsoft visar dig två CNAME-poster att publicera (selector1 och selector2).
3. Lägg till båda CNAME-posterna hos din DNS-värd exakt som visas.
4. Tillbaka på DKIM-skärmen, slå på DKIM-signering till Aktiverat för domänen.

Zoho Mail

1. Kontrollpanelen → E-postautentisering → DKIM.
2. Generera en nyckel (använd en selektor som zoho), lägg sedan till den angivna TXT-posten på zoho._domainkey.dindomän i din DNS.
3. Verifiera i Zoho-panelen när posten är live.

Andra leverantörer / din egen e-postserver Mönstret är identiskt: leverantören (eller din e-postprogramvara) genererar ett nyckelpar, signerar din utgående e-post med den privata nyckeln och ger dig en offentlig post att publicera. Den ser typiskt ut så här:

Värd:  selector1._domainkey.dindomän
Typ:   TXT (eller CNAME, beroende på leverantör)
Värde: (den långa nyckelsträngen din leverantör ger dig)

Var DNS-poster läggs till: i din domäns DNS-inställningar — vanligtvis hos din domänregistrar eller DNS-värd (t.ex. Cloudflare, GoDaddy, din hostings kontrollpanel). Om din e-postleverantör tillhandahåller en CNAME pekar den på en post de hostar, så du ser aldrig den råa nyckeln — det är normalt och bra.

Bekräfta att det fungerar: skicka dig själv ett testmejl till ett Gmail-konto, öppna det, välj Visa original, och kontrollera att DKIM: PASS visas. Kontrollera sedan om din nyckel kom igenom som 2048-bitars eller starkare, inte en svag 1024-bitars.

Vanliga misstag

• Anta att en stor leverantör har det aktiverat som standard. Många domäner hos Google eller Microsoft behöver fortfarande ha DKIM aktiverat och en post publicerad. “Vi använder Microsoft 365” är inte samma sak som “DKIM är aktiverat.”
• Generera en svag 1024-bitarsnyckel. Vissa leverantörer erbjuder fortfarande 1024-bitars som standard. Välj 2048-bitars när du ges möjligheten — en svag nyckel ger bara halva poängen och flaggas av striktare mottagare.
• Publicera posten men aldrig aktivera signering. Att lägga till DNS-posten är bara halva jobbet. Om du inte slår på signering i leverantören (den sista knappen) skickas din e-post fortfarande utan signatur.
• Felskriva eller trunkera nyckeln. DKIM-nycklar är långa. En kopiera-klistra-in som tappar ett tecken eller delar värdet fel skapar ett trasigt sigill som misslyckas på varje e-postmeddelande. Klistra in värdet exakt som angivet.
• Glömma dina andra avsändare. Om du skickar e-post via ett nyhetsbrevverktyg, CRM, fakturaapp eller e-handelsplattform kan var och en behöva sin egen DKIM-nyckel och selektor. Signera e-post från alla tjänster som skickar för din räkning, inte bara din brevlåda.

En notering om DKIM, SPF och DMARC

DKIM fungerar sällan ensamt. Det är en av tre inställningar som tillsammans gör din e-post trovärdig:

• SPF anger vilka servrar som får skicka e-post för din domän.
• DKIM (den här sidan) är manipuleringsskyddet som bevisar att ett meddelande genuint är ditt och oförändrat.
• DMARC är instruktionen som berättar för leverantörer vad de ska göra med allt som misslyckas — och det förlitar sig på DKIM och SPF för att fatta det beslutet.

Om du åtgärdar DKIM är det värt att också kontrollera SPF och DMARC samtidigt. Tillsammans är det vad som stoppar att ditt företag utges för att vara någon annan och vad som håller din riktiga e-post landande där den ska.

Konfigurera det hos din leverantör

Steg för steg för populära leverantörer:

• Konfigurera DKIM hos GoDaddy
• Konfigurera DKIM hos Namecheap
• Konfigurera DKIM hos Cloudflare
• Konfigurera DKIM hos Google Workspace
• Konfigurera DKIM hos Microsoft 365
• Konfigurera DKIM hos Squarespace
• Konfigurera DKIM hos Wix
• Konfigurera DKIM hos AWS Route 53
• Konfigurera DKIM hos Hostinger
• Konfigurera DKIM hos Porkbun
• Konfigurera DKIM hos IONOS
• Konfigurera DKIM hos Bluehost

Vanliga frågor