Przejdź do treści
Słownik

DKIM

DomainKeys Identified Mail

Także zwany: podpis DKIM, DKIM record

DKIM (DomainKeys Identified Mail) to standard dodający kryptograficzny podpis cyfrowy do każdego wysyłanego maila. Serwer odbierający weryfikuje podpis kluczem publicznym z DNS domeny nadawcy - potwierdza autentyczność i brak modyfikacji w transporcie. DKIM razem z SPF i DMARC tworzy kompletne uwierzytelnianie poczty.

DKIM podpisuje wiadomość kluczem prywatnym serwera nadawcy. Klucz publiczny publikowany jest jako rekord DNS _domainkey.wasza-domena.pl. Modyfikacja wiadomości w drodze unieważnia podpis.

Jak to działa

  1. Serwer wysyłający hashuje wybrane nagłówki i treść, szyfruje kluczem prywatnym.
  2. Do nagłówka maila trafia pole DKIM-Signature z podpisem i wskazaniem selektora klucza.
  3. Serwer odbierający pobiera klucz publiczny z DNS i weryfikuje podpis.
  4. Wynik (pass/fail) trafia do oceny DMARC.

Praktyczne wskazówki

  • Rotacja kluczy - zmieniajcie klucze DKIM co 6-12 miesięcy.
  • Selektor pozwala mieć wiele aktywnych kluczy jednocześnie (google._domainkey, smtp._domainkey).
  • Każdy dostawca email wysyłający z waszej domeny (newsletter, CRM, help desk) potrzebuje osobnego DKIM.

Bez DKIM DMARC musi polegać wyłącznie na SPF - co jest niewystarczające przy forwarding.

Ostatnia aktualizacja: 2026-05-28