Część 6 serii „Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny"
Problem
SPF sprawdza, czy serwer pocztowy jest autoryzowany. Ale SPF nie sprawdza, czy treść wiadomości została zmieniona w trakcie przesyłania. Skompromitowany serwer pośredniczący może zmienić tekst, podmienić linki, zmanipulować załączniki — a SPF nadal powie „pass".
DKIM rozwiązuje ten problem: Twój serwer pocztowy podpisuje każdy wychodzący e-mail kluczem prywatnym. Odbiorca weryfikuje podpis za pomocą klucza publicznego opublikowanego w Twoim DNS. Jeśli e-mail został zmieniony, podpis się nie zgadza — odbiorca wie: manipulacja.
Wskaźnik wdrożenia DKIM w UE: 31,1%. Dwie na trzy domeny nie podpisują swoich e-maili.
Dlaczego DKIM jest kluczowy dla DMARC
DMARC sprawdza: Czy SPF LUB DKIM przeszedł pomyślnie — i czy domena jest zgodna? W praktyce SPF często zawodzi dla przekierowanych e-maili (przekierowanie łamie SPF). DKIM przetrwa przekierowanie, ponieważ podpis jest dołączony do nagłówka wiadomości, a nie do serwera wysyłającego.
Bez DKIM Twoja polityka DMARC zawodzi przy każdym przekierowanym e-mailu. Listy mailingowe, reguły przekierowania w Outlooku, automatyczne przekierowania — wszystko generuje błędy SPF. Tylko DKIM ratuje dostarczalność.
Jak skonfigurować DKIM
Google Workspace
- Konsola administracyjna > Aplikacje > Google Workspace > Gmail > Uwierzytelnij e-mail
- „Wygeneruj nowy klucz DKIM" > Długość klucza 2048 bit
- Dodaj wyświetlony rekord TXT do DNS (pod
google._domainkey.twoja-domena.pl) - Wróć do konsoli administracyjnej: „Rozpocznij uwierzytelnianie"
Microsoft 365
- Microsoft 365 Defender > Zasady > Uwierzytelnianie e-mail > DKIM
- Wybierz domenę > „Utwórz klucz DKIM"
- Dodaj dwa rekordy CNAME do DNS (Microsoft je wyświetli)
- Włącz DKIM
Brevo / Mailchimp / Narzędzia newsletterowe
Większość narzędzi newsletterowych wymaga konfiguracji DKIM podczas weryfikacji domeny:
- W narzędziu: Dodaj domenę > Wyświetlany jest rekord DKIM
- Dodaj rekord TXT do DNS
- W narzędziu: Zweryfikuj domenę
Konfiguracja ręczna (Postfix / Własny serwer pocztowy)
# Zainstaluj OpenDKIM
apt install opendkim opendkim-tools
# Wygeneruj parę kluczy
opendkim-genkey -t -s mail -d twoja-domena.pl
# Dodaj klucz publiczny do DNS
cat mail.txt # -> rekord TXT pod mail._domainkey.twoja-domena.pl
Długość klucza
- 1024 bit: Minimum, nadal akceptowane, ale kryptograficznie na granicy
- 2048 bit: Standard, zalecane
- 4096 bit: Maksymalne bezpieczeństwo, ale niektórzy dostawcy DNS mają problemy z długością rekordów TXT (>255 znaków wymaga podziału)
Z benchmarku: tylko 31% ma DKIM — a z nich około 60% nadal używa kluczy 1024-bitowych. Zalecamy przejście na 2048 bit.
Typowe błędy
1. Zapomnienie o DKIM dla nadawców zewnętrznych. Każda usługa wysyłająca e-maile w Twoim imieniu potrzebuje własnego selektora DKIM: Google Workspace, narzędzie newsletterowe, system ticketowy, CRM. Każdy dostaje własny rekord selektor._domainkey.
2. Brak rotacji kluczy. Klucze DKIM powinny być rotowane co 6-12 miesięcy. Większość dostawców robi to automatycznie — ale zweryfikuj to.
3. DKIM bez DMARC. Sam DKIM tylko weryfikuje podpis. Bez DMARC nie mówi odbiorcy, co zrobić z niepodpisanymi e-mailami.
Sprawdź bezpieczeństwo poczty
SiteGuardian sprawdza SPF, DKIM (w tym długość klucza i wykrywanie selektorów), DMARC i STARTTLS:
W następnym tygodniu w części 7: X-Content-Type-Options i Referrer-Policy — dwa nagłówki, pięć minut, mierzalnie lepsza ochrona.