Czym Jest Rekord DKIM?
Rekord DKIM (DomainKeys Identified Mail) to rekord DNS typu TXT zawierający publiczny klucz kryptograficzny. Gdy e-mail jest wysyłany, serwer nadawcy podpisuje wiadomość kluczem prywatnym. Serwer odbierający pobiera klucz publiczny z DNS, aby zweryfikować podpis — potwierdzając, że e-mail nie został zmodyfikowany w transporcie i rzeczywiście pochodzi z danej domeny.
DKIM jest jednym z trzech filarów uwierzytelniania e-mail, obok SPF i DMARC. Podczas gdy SPF weryfikuje autoryzację serwera nadawcy po adresie IP, DKIM weryfikuje integralność samej wiadomości za pomocą kryptografii. Nasz checker DKIM automatycznie wykrywa selektory z bazy ponad 65 popularnych wzorców, parsuje tagi rekordu i wykonuje 10 szczegółowych walidacji.
Jak Sprawdzić Rekord DKIM
Istnieje kilka sposobów na sprawdzenie rekordu DKIM dowolnej domeny. Nasze narzędzie online jest najłatwiejszą metodą dzięki automatycznemu wykrywaniu selektorów, ale narzędzia wiersza poleceń przydadzą się administratorom systemów.
Wpisz nazwę domeny w narzędziu Checker DKIM powyżej i kliknij 'Check DKIM'. Narzędzie automatycznie skanuje ponad 65 popularnych selektorów (google, default, selector1, selector2 itd.), pobiera rekord DKIM, parsuje wszystkie tagi, sprawdza typ i rozmiar klucza oraz wykonuje 10 walidacji. Możesz też ręcznie podać nazwę selektora.
Wykonaj dig selector._domainkey.example.com TXT +short w terminalu, zastępując 'selector' rzeczywistą nazwą selektora DKIM. Ta metoda wymaga znajomości nazwy selektora. Dla pełnej diagnostyki DNS, użyj naszego narzędzia Wyszukiwanie DNS.
Otwórz wysłany e-mail, wyświetl nagłówki i znajdź nagłówek 'DKIM-Signature'. Parametr s= wskazuje selektor, a d= wskazuje domenę podpisującą. Użyj naszego Analizera Nagłówków E-mail, aby łatwo wyodrębnić te informacje.
Tagi DKIM — Kompletna Dokumentacja
Rekord DKIM składa się z tagów definiujących klucz publiczny, typ algorytmu, dozwolone serwisy i konfigurację podpisywania. Zrozumienie tych tagów jest kluczowe dla prawidłowej konfiguracji DKIM i diagnozowania problemów z uwierzytelnianiem e-mail.
Nasz checker DKIM parsuje i waliduje każdy tag rekordu, sprawdzając zgodność ze standardami RFC 6376. Poniżej znajdziesz opis naszych 10 walidacji oraz najlepsze praktyki konfiguracji DKIM.
Rekord DKIM znaleziony — Sprawdza, czy domena ma rekord DKIM opublikowany pod selector._domainkey.domena.com
Prawidłowa składnia — Waliduje format rekordu i wymagane tagi zgodnie z RFC 6376
Klucz publiczny obecny — Potwierdza, że tag
p=zawiera prawidłowy klucz base64 (nie jest pusty/odwołany)Typ klucza — Sprawdza algorytm klucza (RSA lub Ed25519) i zgodność ze standardem
Rozmiar klucza ≥ 2048 bit — Weryfikuje, czy klucz RSA ma co najmniej 2048 bitów (1024-bit jest słaby)
Tryb testowy — Wykrywa flagę
t=yi ostrzega o trybie testowym, który nie egzekwuje DKIMAlgorytm hashowania — Sprawdza dozwolone algorytmy (sha256 zalecany, sha1 przestarzały)
Tag wersji — Weryfikuje obecność i prawidłowość tagu
v=DKIM1Typ serwisu — Sprawdza konfigurację tagu
s=ograniczającego użycie kluczaOcena ogólna — Wystawia końcową ocenę zdrowia DKIM na podstawie wszystkich walidacji
v (wersja)
Tag wersji — musi być ustawiony na DKIM1. Identyfikuje rekord jako klucz DKIM. Wymagany tag w każdym rekordzie DKIM.
p (klucz publiczny)
Klucz publiczny zakodowany w base64. Używany do weryfikacji podpisów DKIM. Pusty klucz (p=) oznacza odwołanie selektora. Najważniejszy tag rekordu.
k (typ klucza)
Algorytm klucza — rsa (domyślny) lub ed25519. RSA 2048-bit jest standardem; Ed25519 to nowoczesna alternatywa z mniejszym rozmiarem klucza przy równoważnym bezpieczeństwie.
t (flagi)
Flagi trybu: t=y oznacza tryb testowy (niepowodzenia DKIM nie wpływają na dostarczanie), t=s wymaga ścisłego dopasowania domeny. Usuń t=y po potwierdzeniu prawidłowej konfiguracji.
h (algorytmy hashowania)
Dozwolone algorytmy hashowania — sha256 (zalecane), sha1 (przestarzałe). Domyślnie dozwolone oba. Najlepsza praktyka to ograniczenie do h=sha256.
s (typ serwisu)
Ogranicza użycie klucza do określonego typu serwisu. s=email ogranicza do e-maili, s=* (domyślne) zezwala na wszystkie serwisy.
SPF vs DKIM vs DMARC
SPF, DKIM i DMARC to trzy uzupełniające się protokoły uwierzytelniania e-mail. Każdy pełni inną funkcję: SPF weryfikuje autoryzację serwera nadawcy po adresie IP, DKIM weryfikuje integralność wiadomości podpisem kryptograficznym, a DMARC łączy oba protokoły z polityką egzekucji i wyrównaniem domen.
DKIM jest szczególnie ważny, ponieważ chroni przed modyfikacją treści e-maila w transporcie — czego SPF nie robi. Nawet jeśli e-mail przejdzie kontrolę SPF (serwer jest autoryzowany), bez DKIM nie ma gwarancji, że treść wiadomości nie została zmieniona po drodze. DMARC wymaga wyrównania jednego z protokołów — domena podpisująca DKIM lub domena koperty SPF musi odpowiadać domenie nagłówka From:. Użyj naszych narzędzi Checker SPF, Checker DMARC i Generator DMARC dla kompletnej konfiguracji uwierzytelniania.
Powiązane Narzędzia E-mail i DNS
DNS Robot oferuje kompletny zestaw narzędzi do diagnostyki uwierzytelniania e-mail i konfiguracji DNS. Oto narzędzia najczęściej używane razem z Checker DKIM.
Sprawdź rekordy SPF i zweryfikuj, które serwery są autoryzowane do wysyłania e-maili z Twojej domeny.
Sprawdź politykę DMARC domeny i zweryfikuj konfigurację wyrównania i raportowania.
Utwórz rekord DMARC za pomocą wizualnego kreatora z polityką, wyrównaniem i raportowaniem.
Przetestuj połączenie SMTP z serwerem pocztowym i sprawdź konfigurację TLS.
Analizuj nagłówki e-mail, aby wyodrębnić selektory DKIM i wyniki uwierzytelniania.
Sprawdź rekordy MX i serwery pocztowe dowolnej domeny z wykrywaniem dostawcy.