Słownik pojęć

DKIM (DomainKeys Identified Mail)

Autor: Jack Zagorski | 2026-05-05 08:08:54

Czym jest DKIM (DomainKeys Identified Mail)?

DKIM (DomainKeys Identified Mail) to protokół uwierzytelniania poczty e-mail, który weryfikuje, czy wiadomość została wysłana z autoryzowanego serwera pocztowego oraz czy jej treść pozostała niezmieniona podczas przesyłania. Działa przez dołączenie podpisu cyfrowego do każdej wychodzącej wiadomości, co pozwala serwerowi odbiorcy zweryfikować wiadomość za pomocą klucza publicznego opublikowanego w DNS nadawcy. Zapewnia to zarówno autentyczność, jak i integralność, chroniąc przed fałszowaniem (spoofing) i manipulacją treścią wiadomości.

Podpisując wiadomości kryptograficznie, DKIM pomaga dostawcom poczty i odbiorcom potwierdzić, że wiadomości naprawdę pochodzą z deklarowanej domeny. Jest podstawową warstwą bezpieczeństwa poczty e-mail, współpracującą z SPF i DMARC, aby zapobiegać podrobionym wiadomościom i utrzymywać zaufanie między nadawcami a odbiorcami.

Jak działa DKIM

DKIM używa pary kluczy kryptograficznych (jednego prywatnego i jednego publicznego) do walidacji wiadomości. Serwer wysyłający używa klucza prywatnego, aby wygenerować podpis cyfrowy dla określonych części wiadomości (zwykle nagłówków i treści). Podpis ten jest dodawany do wiadomości w polu nagłówka o nazwie DKIM-Signature.

Serwer odbiorcy pobiera klucz publiczny z rekordu DNS w subdomenie zdefiniowanej przez selektor (wskazany w znacznikach d= i s= podpisu). Za pomocą tego klucza publicznego weryfikuje, że wiadomość rzeczywiście została podpisana przez domenę i że jej treść nie została zmodyfikowana.

Przykład nagłówka podpisu DKIM:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123...; b=def456...
 

W tym przykładzie:

  • d=example.com identyfikuje domenę podpisującą.
  • s=selector1 identyfikuje konkretny klucz publiczny w DNS.
  • bh= reprezentuje skrót treści wiadomości.
  • b= zawiera właściwy podpis kryptograficzny.

Gdy wiadomość zostaje odebrana, system weryfikuje podpis za pomocą odpowiadającego klucza publicznego znajdującego się pod adresem:

selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD..."
 

Dlaczego DKIM jest ważny dla bezpieczeństwa i dostarczalności poczty e-mail

DKIM zapewnia, że wiadomość pochodzi z deklarowanej domeny i nie została zmieniona przez pośredników podczas dostarczania. Pomaga to dostawcom poczty budować reputację i zaufanie nadawcy, poprawiając trafianie do skrzynki odbiorczej i ograniczając fałszywe alarmy w filtrowaniu spamu.

Kluczowe korzyści z DKIM obejmują:

  • Zapobiega manipulacji treścią wiadomości i modyfikacji nagłówków
  • Potwierdza odpowiedzialność domeny za wysłane wiadomości
  • Poprawia dostarczalność, sygnalizując prawidłowość dostawcom skrzynek pocztowych
  • Ogranicza skuteczność phishingu i ataków fałszujących domenę
  • Wspiera wyrównanie DMARC dla silniejszej ochrony domeny

Ponieważ podpisy DKIM przetrwają przekazywanie poczty (w przeciwieństwie do weryfikacji SPF), zapewniają spójną walidację w złożonych przepływach poczty, takich jak listy mailingowe, systemy CRM i nadawcy zewnętrzni.

Dobre praktyki konfiguracji DKIM

Poprawne wdrożenie DKIM wymaga starannego zarządzania kluczami i konfiguracji domeny. Typowe dobre praktyki obejmują:

  • Używaj kluczy o długości co najmniej 2048 bitów do bezpiecznego podpisywania (Długość klucza)
  • Publikuj rekordy DKIM jako rekordy DNS TXT pod selector._domainkey.example.com
  • Regularnie rotuj klucze podpisujące, aby zapobiec naruszeniu (Rotacja kluczy DKIM)
  • Zapewnij wyrównanie z domeną użytą w nagłówku From (Wyrównanie DKIM)
  • Monitoruj wyniki uwierzytelniania, aby wykryć niepowodzenia lub błędy konfiguracji

Nieprawidłowo skonfigurowane lub wygasłe klucze DKIM mogą sprawić, że prawidłowe wiadomości nie przejdą uwierzytelniania, co prowadzi do problemów z dostarczaniem lub obniżenia reputacji nadawcy. Regularne audyty pomagają utrzymać spójne, zaufane praktyki podpisywania.

DKIM a DMARCeye

DMARCeye nieprzerwanie analizuje wyniki uwierzytelniania DKIM we wszystkich Twoich domenach i subdomenach. Platforma identyfikuje brakujące lub nieprawidłowe rekordy DKIM, słabe klucze oraz niepowodzenia wyrównania, które mogłyby wpłynąć na zgodność z DMARC.

DMARCeye wizualizuje też, które selektory są używane, jak wiadomości wypadają w różnych usługach wysyłkowych i gdzie weryfikacja podpisu zawodzi. Upraszczając zarządzanie DKIM i jego monitorowanie, DMARCeye pomaga organizacjom utrzymać bezpieczne, zaufane uwierzytelnianie poczty e-mail, które wspiera wyższą dostarczalność i silniejszą ochronę domeny.

Sprawdź swoją konfigurację DKIM:

 

Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.

Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.