Yala.cz

DKIM záznam: Kompletní průvodce nastavením, testováním a ochranou vaší e-mailové komunikace

20. června 2025 Od Administrator Vyp
Pre

V moderní e-mailové infrastruktuře hraje DKIM záznam klíčovou roli při ověřování původu zpráv a ochraně doručitelnosti. Nepochybně jste již slyšeli o DKIM, ale detailní znalost DKIM záznamu a jeho správné implementace může být pro mnoho správců domén zásadní rozdíl mezi spolehlivým doručením a označením e-mailu jako spam. V tomto článku probereme, co DKIM záznam je, jak funguje, jak ho správně nastavit a otestovat, a na co si dát pozor při údržbě. Vysvětlíme také souvislosti s DMARC a SPF, aby vaše e-maily prošly filtrací bez problémů.

Co je DKIM záznam a proč je důležitý

DKIM záznam je veřejný kryptografický klíč uložený v DNS, který umožňuje příjemcům ověřit, že obsah e-mailu nebyl po odeslání změněn a že zpráva pochází z vašich serverů. DKIM záznam se spojuje se signerem (šifrovacím klíčem na odesílacím serveru) a s e-mailovým podpisem, který je vložen do hlavičky každé zprávy. Pokud ověření projde, přijemci vidí, že e-mail skutečně přišel z domény, kterou jste uvedli, a že obsah byl nezměněn během převodu.

Hlavní výhodou DKIM záznamu je zvýšení důvěryhodnosti vaší pošty a zlepšení doručitelnosti. DKIM záznam pomáhá vyhýbat se typu útoku známého jako spoofing, kdy někdo zamlčuje identitu odesílatele. Pro majitele domény je to důležitá součást moderní e-mailové bezpečnosti spolu s SPF a DMARC. Správně zvolený a správně nasazený DKIM záznam zvyšuje šanci, že vaše zprávy dorazí do doručené schránky, a snižuje riziko, že budou označeny jako spam.

Jak DKIM záznam funguje: základní principy

Princip fungování DKIM záznamu lze shrnout několika kroky:

  • Odesílací server podepíše zprávu digitálním podpisem, který se zakládá na soukromém klíči spojeném s vybraným selectorem.
  • Podpis je vložen do hlavičky DKIM-Signature a zahrnuje informace o tom, jaký algoritmus byl použit, doménu odesílatele a selector.
  • DKIM záznam v DNS, konkrétně TXT záznam na adrese [selector]._domainkey.[domena], obsahuje veřejný klíč odpovídající soukromému klíči na odesílacím serveru.
  • Přijímající server stáhne veřejný klíč z DNS a použije ho k ověření podpisu. Pokud se podpis shoduje a hlavičky a tělo zprávy nebyly změněny, DKIM ověření projde.

Správný DKIM záznam tedy umožňuje ověřit integritu zprávy a autoritu odesílatele. Důležité je, že DKIM pracuje s podpisem na úrovni zprávy, nikoli s obsahem samotného těla. To znamená, že změny v těle po podepsání mohou podpis poškodit, což se projeví selháním DKIM ověření.

Struktura DKIM záznamu v DNS: co v něm najdete

DKIM záznam je TXT záznam v DNS. Jeho obsah začíná verzí a nastavením klíče a postupně může obsahovat další volitelné parametry. Základní a nejčastější podoba záznamu je:

v=DKIM1; k=rsa; p=BASE64PUBLICKEY

Vysvětlení jednotlivých částí:

  • v=DKIM1 – verze DKIM (aktuálně DKIM1).
  • k=rsa – typ klíče (RSA je nejběžnější volba). V novějších implementacích mohou být použity i jiné algoritmy, ale RSA zůstává standardem pro širokou kompatibilitu.
  • p=BASE64PUBLICKEY – veřejný klíč kódovaný v base64, který bude použit pro ověření podpisu. Dlouhý text, často několik stovek až tisíců znaků.

DNS záznam má typicky název ve tvaru selector._domainkey.domena, například mail._domainkey.example.cz, a hodnota záznamu obsahuje výše uvedené parametry. Selector je volitelný identifikátor, který umožňuje spravovat více sad klíčů pro jednu doménu (např. pro otáčení klíčů). V praxi tedy máte DKIM záznam umístěný na selector._domainkey a doménový název, na který se DNS dotazuje.

Jak nastavit DKIM záznam krok po kroku

Nastavení DKIM záznamu je proces v několika krocích. Níže najdete praktický postup, který lze aplikovat na většinu serverů a hostingových služeb.

Krok 1: Vygenerujte klíčový pár

Pro DKIM je potřeba pair klíčů: soukromý klíč zůstává na odesílacím serveru a veřejný klíč se zveřejní v DNS jako DKIM záznam. Doporučená délka klíče pro současné prostředí je 2048 bitů (RSA). Kratší klíče, například 1024 bitů, jsou dnes považovány za zastaralé a méně bezpečné.

Ukázkový příkaz (pouze ukázka, konkrétní implementace závisí na vašem serveru):

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -outform PEM -out public.pem

Na serveru zvažte použití nástrojů pro správu klíčů nebo nástrojů vaší e-mailové platformy, které generují klíče bezpečně a snižují riziko chyb při kopírování.

Krok 2: Zvolte selector a doménu

Selector je identifikátor, který bude použit ve jménu DKIM záznamu. Např. pokud zvolíte selector mail, záznam bude umístěn na mail._domainkey.domena a bude platit pro doménu domena. Můžete zvolit i další selector pro rotaci klíčů (např. mail2001, mail2024).

Krok 3: Vytvořte DKIM TXT záznam v DNS

Ve vašem DNS správcovství vytvořte TXT záznam s názvem selector._domainkey.domena a hodnotou obsahující veřejný klíč a volitelné parametry. Základní záznam má podobu:

Name: selector._domainkey.domena
Type: TXT
Value: "v=DKIM1; k=rsa; p=BASE64PUBLICKEY"

Ujistěte se, že hodnotu uzavřete do uvozovek a že veřejný klíč je bez jakýchkoliv úprav. Proces může trvat nějakou dobu, v závislosti na TTL a aktualizacích DNS.

Krok 4: Nakonfigurujte odesílací server pro používání DKIM podpisu

Na odesílacím serveru musíte nastavit použití soukromého klíče pro DKIM podepisování. To zahrnuje konfiguraci podpisu pro vybraný selector a doménu a případně i výběr signing algoritmu (obvykle RSA-SHA256).

Základní kroky na serveru mohou vypadat následovně (obecně):

  • Nastavit cestu k soukromému klíči.
  • Aktivovat DKIM modul (např. OpenDKIM, Postfix s DKIM filtrem, Exim s DKIM, atd.).
  • Definovat doménu, selector a identifikaci odesílatele.

Krok 5: Otestujte syntaxi a funkčnost

Po konfiguraci proveďte testy, zda DKIM podpis vzniká a zda DNS záznam obsahuje správný veřejný klíč. Několik ověřovacích kroků:

  • Zkontrolujte, zda se do hlavičky zprávy dostává DKIM-Signature s platným podpisem.
  • Odešlete testovací e-mail na adresu, kterou vyžívají ověřovací nástroje (např. DKIM validator, MXToolbox).
  • V DNS proveďte ruční dotaz na TXT záznam pro selector._domainkey.domena a zkontrolujte, že obsah odpovídá veřejnému klíči.

Testování a ověřování DKIM záznamu: jak zajistit doručitelnost

Ověření DKIM záznamu je klíčové pro správné doručení e-mailů. Zde jsou osvědčené postupy a nástroje, které vám pomohou:

Online nástroje pro DKIM

  • DKIM Validator – ověření podpisu a konfigurace.
  • MXToolbox DKIM Lookup – rychlý pohled na DNS TXT záznam a identifikaci chyb.
  • Mail-tester.com – komplexní test doručitelnosti včetně DKIM, SPF a DMARC skóre.

Postup při testování krok za krokem

  1. Pošlete testovací e-mail ze serveru s fine DKIM podpisem na ověřovací službu.
  2. Podívejte se na DKIM-Signature v hlavičkách přijaté zprávy. Ujistěte se, že doména a selector odpovídají vašemu DNS záznamu.
  3. Ověřte, že se veřejný klíč z DNS shoduje s podpisem v hlavičce.
  4. Pokud ověření selhává, zkontrolujte časovou synchronizaci serverů, platnost certifikátu, formát TXT záznamu a případné chyby v syntaxi DNS záznamu.

Časté chyby při testování

  • Nesprávný název DNS záznamu (špatný selector nebo doména).
  • Chybějící nebo poškozený veřejný klíč v DKIM záznamu.
  • Nesoulad domény v podpisu (d= domain) a domény, pro kterou je DNS záznam publikován.
  • Nesprávný formát TXT záznamu (neuzavření v uvozovkách, skrytí znaků, diakritika v klíči).
  • Použití slabého klíče (menší než 2048 bitů) nebo zastaralých algoritmů.

DKIM záznam a DMARC: jak spolupracují pro lepší doručitelnost

DMARC (Domain-based Message Authentication, Reporting and Conformance) rozšiřuje ochranu e-mailů tím, že vyžaduje shodu mezi DKIM podpisem a SPF a zároveň umožňuje doméně definovat, jak má přijímající systém naložit s e-maily, které tyto kontroly nezískají. Z praktického hlediska to znamená, že DKIM záznam a DMARC spolupracují na posílení důvěryhodnosti odesílatele:

  • DKIM záznam zajišťuje integritu a autentičnost zprávy.
  • SPF říká, které IP adresy jsou oprávněny odesílat e-mail za doménu.
  • DMARC vyžaduje buď DKIM nebo SPF úspěch, nebo obou, a umožňuje nastavit politiky pro doručující servery (none, quarantine, reject) a poskytuje reporting.

Pro optimální výsledky je vhodné mít v pořádku DKIM záznam a FW SPF a nastavit DMARC politiku na limity — nejdříve s tolerantní politikou (none), abyste získali reporting a pochopili dopady změn, a poté postupně zvyšovat pro ochranu proti zneužití.

Porovnání s SPF: jakou roli hraje DKIM záznam ve srovnání

SPF (Sender Policy Framework) a DKIM spolupracují, aby identifikovaly legitimní odesílatele a minimalizovaly falešné zprávy. Zatímco SPF řeší, zda e-mail pochází z oprávněné IP adresy, DKIM řeší integritu obsahu a identitu odesílatele prostřednictvím podpisu. I když SPF a DKIM samostatně poskytují ochranu, jejich kombinace s DMARC dvakrát posílí vaši obranu proti spoofingu a phishingu. Z pohledu praktické implementace byste měli mít:

  • DKIM záznam s platným veřejným klíčem pro podpisy e-mailů.
  • SPF záznam, který explicitně uvádí, které servery mají oprávnění odesílat e-mail za vaši doménu.
  • DMARC politiku, která definuje, co se má dít s neprošelými zprávami, a reporting pro zlepšení nastavení.

Praktické tipy pro robustní DKIM záznam a doručitelnost

  • Používejte 2048bitové RSA klíče pro vyšší bezpečnost a odolnost vůči útokům.
  • Rotujte klíče pravidelně (např. každé dva až tři roky) a využívejte více selectorů pro hladkou rotaci.
  • Ujistěte se, že veřejný klíč v DKIM záznamu je plný a správně naformátovaný bez vložených mezer mimo segmenty klíče.
  • Máte-li více domén a subdomén, zvažte konzistenci DKIM nastavení napříč nimi a jednotnou politiku DMARC.
  • Vždy otestujte po každé změně DKIM záznamu, SPF a DMARC, aby nedošlo k nečekanému zhoršení doručitelnosti.
  • Pravidelně sledujte reporting (aggregate a forensic reports) z DMARC, abyste identifikovali neautorizované využití domény.
  • Jemně dolaďujte TTL DNS záznamů tak, aby změny nebyly příliš opožděné, ale zároveň nebyly zbytečně zatěžující pro DNS.

Časté scénáře a tipy pro specifické prostředí

Malé a střední firmy

Pro malé a střední podniky bývá často výhodné začít s jedním selectorem a postupnou rotací klíčů. I když máte jen málo odesílacích serverů, správná implementace DKIM záznamu výrazně zlepší doručitelnost a důvěryhodnost vašich zpráv.

E-shopy a marketingové e-maily

Pro marketingové a transakční e-maily je kritické, aby podpisy nebyly porušeny při změně obsahu (např. dynamic content, personalizace). V takovém případě zajistěte, že podpis zahrnuje relevantní hlavičky a v případě potřeby sledujte změny v nastavení systémů pro generování e-mailů.

Organizace s více doménami

Pokud spravujete více domén, je užitečné mít jednotnou politiku DKIM a DMARC napříč doménami. To usnadňuje správu a snižuje riziko, že některá doména bude mít špatně nastavené DKIM záznamy. Přemýšlejte o centralizovaném správci klíčů a pravidelných auditech konfigurací.

Bezpečnostní aspekty spojené s DKIM záznamem

DKIM záznam s sebou nese několik bezpečnostních aspektů, na které byste neměli zapomínat:

  • Bezpečné uchovávání soukromého klíče: mějte ho na uzavřeném a důvěryhodném místě na serveru, který je chráněn proti neoprávněnému přístupu.
  • Rotace klíčů a revize konfigurací: pravidelně obnovujte klíče a testujte, že nové klíče a staré signály nezasahují do doručitelnosti.
  • Ochrana proti útokům na DNS: používejte DNSSEC tam, kde je to možné, aby se zabránilo manipulaci s vašimi DNS záznamy.
  • Monitoring a reporting: vyhodnocujte DMARC reporting, abyste zachytili neautorizované využití domény a rychle reagovali na podezřelé aktivity.

Shrnutí a praktické doporučení

DKIM záznam je nezbytnou součástí moderní e-mailové bezpečnosti a doručitelnosti. Správná implementace zahrnuje:

  • Vygenerovat a zabezpečit silný pár klíčů (2048 bitů) pro DKIM podpisy.
  • Vytvořit správný DKIM TXT záznam v DNS ve tvaru, který obsahuje v=DKIM1; k=rsa; p=BASE64PUBLICKEY.
  • Nastavit odesílací server tak, aby podepisoval zprávy pomocí vybraného selectoru a domény.
  • Ověřit doručitelnost a správnost podpisů pomocí testovacích nástrojů a pravidelně sledovat DMARC reporting.
  • Koordinovat DKIM s SPF a DMARC pro úplnou ochranu proti spoofingu a pro dosažení co nejlepších výsledků v doručitelnosti.

Další zdroje a praktické odkazy

V rámci prohloubení znalostí o DKIM záznamu doporučujeme sledovat oficiální dokumentaci DKIM a osvědčené postupy v oblasti e-mailové bezpečnosti. Správná implementace vyžaduje průběžnou údržbu a pravidelné kontroly, aby vaše e-maily zůstaly spolehlivým komunikačním kanálem.

Pokud hledáte rychlý postup: definujte selector, v DNS vytvořte TXT záznam s veřejným klíčem, nakonfigurujte odesílací server pro podepisování zpráv, a otestujte pomocí specializovaných nástrojů. S dobře nastaveným DKIM záznamem budete mít lepší kontrolu nad e-mailovou reputací a budete mít jistotu, že vaše zprávy dorazí do cílové schránky bez zbytečných zdržení.

KategorieRizeni hrozeb