DKIM2: co se mění a co to znamená pro odesílatele

DKIM2 je plánovaná náhrada DKIM od IETF. Srozumitelný průvodce ukazuje, co se mění, co zůstává a co to vyžaduje od vlastníků domén.

Jack Zagorski
Kvě 18, 2026

DKIM2, plánovaná náhrada DKIM, standardu, který podepisuje a ověřuje e-maily, dosáhla dalšího veřejného milníku. Pracovní skupina IETF, která ho přepisuje, zveřejnila 17. května 2026 nejnovější verzi návrhu specifikace a v následujících 12 až 18 měsících má posunout standard směrem k formálnímu schválení. Tento článek vysvětluje, co DKIM2 mění na podpisování e-mailů, proč IETF tento standard přebudovává právě teď a co (pokud vůbec něco) tato změna vyžaduje od vlastníků domén, kteří dnes provozují DMARC.

DKIM (DomainKeys Identified Mail) je to, co příjemcově poště říká, jestli zpráva, která se tváří jako z vaší domény, byla po cestě upravena nebo zfalšována. Jde o jednu ze dvou kryptografických kontrol, na kterých DMARC stojí (druhou je SPF). DKIM je v e-mailovém průmyslu standardem pro podpisování od roku 2007. IETF teď otevřeně navrhuje něco ambicióznějšího než záplatu: kompletní redesign, který řeší tři problémy, jež DKIM sám o sobě nikdy nedokázal vyřešit.

 

Co najdete v tomto průvodci

Co DKIM dělá a kde má slabá místa

DKIM (DomainKeys Identified Mail, definovaný v RFC 6376) funguje tak, že ke každému odchozímu e-mailu připojí kryptografický podpis. Odesílající doména zveřejní veřejný klíč v DNS a přijímající server tímto veřejným klíčem podpis ověří. Pokud podpis sedí, příjemce ví dvě věci: že zprávu odeslal někdo s přístupem k privátnímu klíči domény a že tělo zprávy a vybrané hlavičky nebyly cestou změněny.

Tento mechanismus má tři známá slabá místa a pracovní skupina IETF DKIM je všechna popsala v dokumentu o motivaci k DKIM2 (draft-ietf-dkim-dkim2-motivation):

  • Replay útoky DKIM nezachytí. DKIM podpis je platný pro libovolného příjemce. Spammer, který získá jednu podepsanou zprávu (z napadeného účtu nebo přihlášením k newsletteru z domény s dobrou reputací), ji může rozeslat milionům příjemců a každá kopie projde ověřením DKIM. Reputační dopad nese původní podepisující doména.
  • Mailing listy a forwardery podpis rozbíjejí. Jakýkoli mezilehlý server, který upraví tělo zprávy, i nepatrně (prefix s názvem listu v předmětu, patička, změna kódování), DKIM podpis zneplatní. Příjemce vidí selhání DKIM a často i DMARC, přestože je zpráva legitimní.
  • Po úpravách mezilehlými servery nezůstává žádná stopa. Když DKIM na přeposlané zprávě selže, příjemce nemá na úrovni protokolu žádný způsob, jak rozeznat, zda selhání způsobil poctivý forwarder benigní úpravou, nebo nepřátelský útočník měnící obsah.

Tato slabá místa se ukazují v reálných autentizačních datech. V průmyslové zprávě DMARCeye za Q1 2026 jsou míry selhání DKIM u velkých poskytovatelů schránek a podnikových e-mailových systémů vysoké: 19,6 % u Microsoftu, 11,1 % u Googlu, 26,3 % u Proofpointu, 22,9 % u Mailgunu. Špičkoví odesílatelé transakční pošty ve stejné datové sadě (Bird, Amazon SES, SendGrid) mají míru selhání DKIM pod 1 %. Propast mezi těmito dvěma skupinami je provozní realita, kterou má DKIM2 řešit.

 

Jak sama zpráva za Q1 podotýká, vysoké míry selhání u velkých poskytovatelů schránek jsou téměř vždy konfigurační problém na straně zákazníka, ne vada samotného poskytovatele. Odchozí pošta z nájemce Microsoft 365 nebo Google Workspace prochází přes forwardery, mailing listy, externí relaye a starší on-premise gateways. Kterýkoli z nich může DKIM podpis rozbít, aniž si toho zákazník všimne.

Rozumná hypotéza je, že dedikovaní odesílatelé transakční pošty mají nejčistší čísla proto, že jejich celé podnikání je posílat jeden typ pošty přes jednu podpisovou rouru. Univerzální poskytovatelé schránek oproti tomu zpracovávají mnohem širší škálu poštovních toků, na kterou původní DKIM specifikace nikdy nebyla stavěná. Detailní rozbor míry shody podle ESP ukazuje stejný vzorec ze strany odesílatele.

Co DKIM2 mění

DKIM2 zachovává stejnou základní myšlenku - podepsat každý odchozí e-mail, aby si příjemce mohl ověřit, že přišel z vaší domény -, ale přebudovává to, jak podpisování funguje. Aktuální návrh specifikace (draft-ietf-dkim-dkim2-spec-02, zveřejněný 17. května 2026, na standards track) zavádí čtyři podstatné změny.

Zprávu podepisuje každý server v doručovacím řetězci. Když dnes posíláte e-mail, podepíše ho pouze váš odesílající server. Pokud na něm cestou cokoli pracuje - firemní auto-forwarder, mailing list, který doplní prefix do předmětu, nebo bezpečnostní e-mailová gateway, která upraví hlavičky -, původní podpis se rozbije a přijímající schránka nemá jak zjistit, co se změnilo ani kdo to změnil. DKIM2 to mění. Každý poštovní server, který se zprávou pracuje, přidá vlastní podpis, takže příjemce má na konci ověřitelný řetězec, který ukazuje, jaké domény se zprávy dotkly a v jakém pořadí. Myšlenku evidence všech mezilehlých serverů poprvé představil protokol Authenticated Received Chain (ARC, definovaný v RFC 8617), experimentální nadstavba, která teď ustupuje DKIM2.

Podpis je svázaný se skutečnými příjemci zprávy. DKIM dnes podepisuje obsah e-mailu (tělo a vybranou sadu hlaviček), ale neobsahuje informaci o tom, komu je zpráva poslána. Právě proto může spammer, který zachytí jednu podepsanou zprávu, rozeslat ji milionům dalších lidí, a každá kopie přesto projde kontrolou podpisu. DKIM2 to opravuje tím, že podepisuje i směrovací obálku: adresu MAIL FROM (odesílatel) a adresy RCPT TO (příjemci), kterým byla zpráva poslána. Zachycená zpráva podepsaná v DKIM2 a přeposlaná jinému seznamu příjemců okamžitě selže při ověření, protože adresy příjemců v obálce už neodpovídají tomu, co původní podepisovatel podepsal.

Každý server, který zprávu cestou upraví, po sobě nechá písemný záznam o tom, co změnil. Když dnes mailing list přidá prefix "[název-listu]" do předmětu nebo doplní patičku do těla zprávy, tiše tím rozbije původní DKIM podpis, a příjemce nemá jak zjistit, jestli šlo o benigní úpravu, nebo nepřátelský zásah. DKIM2 umožňuje upravujícímu serveru připojit malou strojově čitelnou poznámku popisující, co změnil. Software u příjemce každou zaznamenanou úpravu vrátí zpět, zrekonstruuje původní zprávu a ověří původní podpis proti této rekonstrukci. Formát poznámek o úpravách je popsán v samostatném doprovodném návrhu.

Podepisují se i zprávy o nedoručení, takže je nelze zfalšovat. Pokud jste někdy dostali oznámení o nedoručení e-mailu, který jste nikdy neposlali, viděli jste "backscatter": spammer zfalšoval vaši adresu odesílatele, přijímající server se zprávu pokusil doručit, nedokázal to a odeslal nedoručitelnost zpátky vám místo spammerovi. DKIM2 tomu brání tím, že vyžaduje, aby samotné zprávy o nedoručení byly kryptograficky podepsány přijímajícím serverem. Nedoručitelnost může odejít jen z domény, která původně zprávu přijala, a může dorazit jen na doménu, která ji původně odeslala.

Proč IETF přebudovává DKIM právě teď?

Pracovní skupina DKIM se k důvodu nezdráhá: dřívější pokus přidat evidenci mezilehlých serverů nad DKIM nedosáhl úrovně nasazení, která by ho učinila spolehlivým. ARC, zveřejněný v roce 2019 jako RFC 8617, byl první odpovědí IETF na problém s mailing listy a forwardery. ARC umožňoval mezilehlým serverům potvrdit autentizační stav zprávy v okamžiku, kdy ji zpracovaly, a v teorii umožňoval následným příjemcům řetězci důvěřovat, i když samotný DKIM po cestě selhal.

V praxi ARC zůstal experimentální specifikací s nerovnoměrným nasazením. Návrh motivace k DKIM2 výslovně uvádí, že nový standard se staví "na základě poznatků získaných při implementaci experimentu ARC". ARC je v samostatném návrhu IETF naplánovaný k překlasifikování na status Historic. DKIM2 je konsolidovaná, produkčně použitelná verze stejné myšlenky evidence mezilehlých serverů, navržená tak, aby byla nasaditelná jako základní náhrada DKIM, ne jako volitelná nadstavba.

Pracovní skupina DKIM dělá stejný druh generačního úklidu, jaký pracovní skupina DMARC dělá s DMARCbis, plánovanou aktualizací samotného DMARC. Oba standardy vznikly v období 2007 až 2015 jako odpověď na potřebu autentizace e-mailů, oba mají za sebou víc než deset let provozních zkušeností ukazujících, kde původní specifikace zaostávaly, a oba se právě přepisují s těmito zkušenostmi v ruce.

Jak vypadá váš DKIM dnes?

Ať bude DKIM2 v den vydání jakýkoli, DKIM záznam, který publikujete dnes, pořád musí být správný. Špatně nakonfigurovaný DKIM záznam je nejčastější důvod, proč pošta od legitimního odesílatele neprojde autentizací, a (jak ukazují data za Q1 2026 výše) míry selhání u velkých poskytovatelů schránek jsou vyšší, než si většina vlastníků domén uvědomuje.

Zadejte níže svou doménu a zkontrolujte, jak váš publikovaný DKIM záznam vypadá a jestli je nastavený správně.

 

 

Co to znamená pro vás

Jak moc na vás DKIM2 dopadne, závisí na tom, jakou roli v e-mailovém ekosystému hrajete.

Pokud provozujete jednu doménu nebo malou firmu: dnes se pro vás nemění nic. Váš DKIM záznam funguje dál. Poskytovatelé schránek budou ověřovat DKIM1 podpisy ještě roky po zveřejnění DKIM2 a po vaší doméně nikdo nebude chtít DKIM2 záznamy do té doby, než velcí poskytovatelé naznačí, že je kontrolují. Soustřeďte se na to, aby váš stávající DKIM byl v pořádku: jeden klíč pro každý odesílací zdroj, pravidelná rotace klíčů a soulad s vaší DMARC zásadou.

Pokud provozujete e-shop a spoléháte na to, že transakční pošta dorazí do schránky, jsou naléhavějším problémem výše uvedené míry selhání za Q1 2026. DKIM je autentizační metoda, která u poskytovatelů schránek vašich zákazníků selhává nejčastěji, a selhání mají na svědomí provozní detaily (forwardery, mailing listy, mezery při rotaci klíčů), které s DKIM2 standardem nemají nic společného. Pokud DKIM monitoring ještě nemáte zavedený, bezplatný plán DMARCeye pokryje jednu doménu s plným parsováním reportů, což stačí, abyste viděli, jestli vám DKIM podepisuje spolehlivě.

Pokud jste agentura nebo MSP spravující domény pro klienty: DKIM2 je víceklientský přechod, který bude nakonec potřeba koordinovat napříč portfoliem. DMARCeye každý klientský účet odděluje samostatně, včetně integrace Model Context Protocol, která vám umožňuje programově dotazovat autentizační stav. Váš tým může sledovat stav DKIM napříč mnoha klientskými doménami z jedné konzole, zatímco každý klient vidí jen vlastní data. Infrastruktura přehledu, kterou máte dnes, je to, co přechod unese, až přijde.

Pokud provozujete firemní e-mailovou infrastrukturu: sledujte návrh nasazovacího profilu (draft-moccia-dkim2-deployment-profile, zveřejněný v dubnu 2026). Tento návrh popisuje, jak lze DKIM2 implementovat přes stávající milter rozhraní, které většina Mail Transfer Agentů už podporuje, bez úprav jádra MTA. Z toho vyplývá, že DKIM2 se navrhuje tak, aby zapadl do stávajících poštovních stacků, ne aby vyžadoval kompletní přepis. Udělejte si teď inventuru klíčů a určete, které odesílací cesty byste migrovali jako první.

Časový plán zavedení DKIM2

DKIM2 není zveřejněný RFC a k tomu má daleko. Hlavní specifikace je k 17. květnu 2026 v revizi 02. Internet-Drafty IETF expirují po šesti měsících, takže současná revize se musí buď posunout dál, nebo být znovu publikována před listopadem 2026. Několik doprovodných návrhů (motivace, DNS specifikace, doporučená praxe, nasazovací profil) postupuje souběžně.

I při ambiciózním harmonogramu trvá publikace RFC od stabilního návrhu specifikace obvykle 12 až 18 měsíců. Adopce u poskytovatelů schránek pak trvá další roky: samotný DMARC byl publikován jako RFC 7489 v roce 2015 a stále není všeobecně vynucován. Reálně se DKIM2 nestane výchozím pro odchozí poštu dřív než na konci 20. let.

Práce, která má v roce 2026 smysl, je zajistit, aby byl DKIM1 správně nakonfigurovaný pro každou doménu, na které vám záleží. Nová specifikace na tom nic nemění.

Závěr

DKIM2 je upřímná přestavba podpisování e-mailů, která řeší mezery v replay útocích, odpovědnosti a úpravách mezilehlými servery, jež IETF dokumentoval během téměř 20leté existence standardu. Přebírá to, co u ARC fungovalo, zahazuje to, co nefungovalo, a navrhuje se tak, aby šel nasadit uvnitř stávajících poštovních stacků. Nic z toho dnes po vlastníkovi domény nic nechce, ale infrastruktura přehledu, kterou si pořídíte teď, je to, co vás přes nadcházející přechod přenese.

Pokud už DMARC monitoring provozujete, dnes můžete udělat to, že si ověříte, zda vaše DKIM podpisy spolehlivě procházejí a zda je váš záznam nastavený správně. DMARCeye parsuje DMARC reporty, které vaše doména dostává, a srozumitelně vám ukáže, kde DKIM prochází, kde selhává a co selhání způsobuje, aniž byste museli číst surové XML.

 

Similar posts

Získejte upozornění na nové marketingové poznatky

Buďte první, kdo se dozví o nových poznatcích, které vám pomohou vytvořit nebo vylepšit vaši strategii DMARC.