DKIM (DomainKeys Identified Mail) podpisuje każdą wysyłaną przez Ciebie wiadomość kluczem prywatnym, a odbiorcy weryfikują ten podpis kluczem publicznym zapisanym w Twoim DNS. Poprawny podpis dowodzi, że wiadomość pochodzi z Twojej domeny i nie została zmieniona w drodze. Oto jak to włączyć.
Krok 1: wygeneruj klucz w swojej platformie wysyłkowej
Klucze DKIM tworzy usługa, która wysyła Twoją pocztę, a nie robisz tego ręcznie. W Google Workspace, Microsoft 365, SendGrid, Mailchimp i pozostałych platformach znajdziesz sekcję DKIM lub uwierzytelniania domeny, która wygeneruje klucz i poda rekordy DNS do opublikowania. Jeśli masz wybór, poproś o klucz 2048-bitowy, ponieważ klucz 1024-bitowy jest słaby.
Krok 2: opublikuj rekordy DNS
Platforma poda Ci jeden lub kilka rekordów do dodania, zwykle CNAME lub TXT, w selektorze pod _domainkey. Na przykład:
selector1._domainkey.yourdomain.com
Selektor to po prostu etykieta, która pozwala później rotować klucze. Opublikuj dokładnie to, co pokazuje dostawca.
Krok 3: włącz podpisywanie
Sama publikacja rekordu nie wystarczy. Musisz jeszcze włączyć podpisywanie DKIM wewnątrz platformy. Niektórzy dostawcy czekają, aż rekord DNS stanie się widoczny, zanim pozwolą go włączyć.
Krok 4: sprawdź, że działa
Wyślij wiadomość testową i sprawdź w nagłówkach podpis DKIM z wynikiem dkim=pass lub przeskanuj swoją domenę. Pamiętaj, że selektorów DKIM nie da się wykryć z DNS, więc skaner może potwierdzić tylko te najpopularniejsze. Jeśli używasz własnego selektora, najpewniejszym testem jest prawdziwa wiadomość.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
DKIM dowodzi integralności wiadomości, ale do egzekwowania polityki i wymagania zgodności potrzebuje DMARC. To kolejny krok, który warto skonfigurować.