DKIM selektory — co to je a jak je správně používat
Co je DKIM selektor
DKIM selektor je textový identifikátor, který propojuje digitální podpis v e-mailu s odpovídajícím veřejným klíčem v DNS. Bez selektoru by příjemce nevěděl, kterým klíčem má podpis ověřit.
Selektor se objevuje na dvou místech:
- V hlavičce e-mailu jako tag
s=vDKIM-Signature— říká příjemci, který klíč má hledat. - V DNS jako součást názvu TXT záznamu ve formátu
{selektor}._domainkey.{doména}— obsahuje samotný veřejný klíč.
Jedna doména může mít libovolné množství selektorů. Každý selektor odkazuje na jiný klíčový pár, což umožňuje provozovat více odesílacích služeb současně a bezpečně rotovat klíče.
Jak selektor funguje v praxi
Celý proces je automatický a pro odesílatele i příjemce transparentní.
Podpis e-mailu
- Odesílající server vybere selektor (např.
mail2024) a odpovídající privátní klíč. - Vypočítá hash z těla zprávy a vybraných hlaviček.
- Podepíše hash privátním klíčem a výsledek vloží do hlavičky
DKIM-Signature:
DKIM-Signature: v=1; a=rsa-sha256; d=firma.cz; s=mail2024;
h=from:to:subject:date; bh=...; b=...
Ověření podpisu
- Přijímající server přečte z hlavičky
DKIM-Signaturedoménu (d=firma.cz) a selektor (s=mail2024). - Sestaví DNS dotaz na
mail2024._domainkey.firma.cza získá TXT záznam s veřejným klíčem. - Veřejným klíčem ověří podpis — pokud sedí, DKIM kontrola projde.
Pokud DNS záznam pro daný selektor neexistuje nebo obsahuje chybu, ověření selže.
Jak zjistit DKIM selektor domény
Selektor není veřejně inzerovaný — zjistíte ho z hlaviček přijatého e-mailu.
Z hlaviček e-mailu
Otevřete zdrojový kód libovolného e-mailu z dané domény a najděte hlavičku DKIM-Signature. Hodnota tagu s= je selektor:
DKIM-Signature: v=1; a=rsa-sha256; d=firma.cz; s=google;
h=from:to:subject:date:mime-version; bh=...; b=...
V tomto příkladu je selektor google — typický pro Google Workspace.
Dotazem na DNS
Pokud znáte selektor, můžete ověřit existenci klíče přímo:
dig google._domainkey.firma.cz TXT +short
Odpověď by měla obsahovat záznam začínající v=DKIM1; k=rsa; p=.... Pokud DNS nevrátí žádný výsledek, selektor neexistuje nebo je nesprávný.
Selektory běžných poskytovatelů
Každý e-mailový poskytovatel používá vlastní konvenci pro pojmenování selektorů:
| Poskytovatel | Typický selektor | DNS záznam |
|---|---|---|
| Google Workspace | google |
google._domainkey.firma.cz |
| Microsoft 365 | selector1, selector2 |
selector1._domainkey.firma.cz (CNAME) |
| Mailchimp | k1 |
k1._domainkey.firma.cz |
| SendGrid | s1, s2 |
s1._domainkey.firma.cz |
| Amazon SES | generovaný hash | závisí na konfiguraci |
Microsoft 365 jako výchozí vytváří dva selektory (selector1 a selector2), aby umožnil automatickou rotaci klíčů. Google Workspace používá selektor google, ale můžete nakonfigurovat i vlastní.
Pojmenování selektorů — konvence
RFC 6376 nestanovuje pravidla pro pojmenování selektorů. Selektor může obsahovat alfanumerické znaky a pomlčky. Může se také skládat z více částí oddělených tečkami (např. march2025.europe). V praxi se osvědčily tři přístupy:
Podle služby
google._domainkey.firma.cz
mailchimp._domainkey.firma.cz
helpdesk._domainkey.firma.cz
Výhoda: na první pohled vidíte, která služba selektor používá.
Podle času
mail202601._domainkey.firma.cz
mail202607._domainkey.firma.cz
Výhoda: snadné sledování stáří klíčů a plánování rotace.
Kombinace služby a času
google-2026q1._domainkey.firma.cz
sendgrid-2026q3._domainkey.firma.cz
Podobný přístup popisuje M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) ve svých doporučeních pro rotaci DKIM klíčů — pojmenování zahrnující službu, datum a délku klíče usnadňuje správu a audit.
Důležité: nikdy nepoužívejte stejný název selektoru opakovaně po smazání klíče. Pokud příjemce ověřuje starší e-mail podepsaný původním klíčem, ověření selže, protože v DNS najde jiný veřejný klíč. Vždy vytvořte nový, unikátní název.
Rotace klíčů pomocí selektorů
Pravidelná rotace DKIM klíčů snižuje riziko kompromitace privátního klíče. Selektory umožňují rotaci bez výpadku:
Postup rotace
- Vygenerujte nový klíčový pár s novým selektorem (např.
mail202607). - Publikujte nový veřejný klíč v DNS jako TXT záznam
mail202607._domainkey.firma.cz. - Počkejte na propagaci DNS — ověřte, že nový záznam je dostupný (obvykle do 1 hodiny).
- Přepněte podepisování na nový selektor a privátní klíč.
- Ponechte starý DNS záznam aktivní minimálně 7 dní — e-maily podepsané starým klíčem, které jsou ještě ve frontách nebo čekají na doručení, se stále ověří.
- Smažte starý DNS záznam po uplynutí přechodného období.
Jak často rotovat
| Scénář | Doporučená frekvence |
|---|---|
| Běžná doména | 1× za 6 měsíců |
| Hromadný odesílatel (marketing, transakční maily) | 1× za 3 měsíce |
| Vysokorizikové prostředí (finance, zdravotnictví) | 1× měsíčně |
M3AAWG doporučuje rotaci minimálně jednou za 6 měsíců. Pokud používáte klíče o délce 1024 bitů, rotujte častěji nebo přejděte na 2048bitové klíče — RFC 8301 důrazně doporučuje odesílatelům minimálně 2048 bitů.
Více selektorů pro různé služby
Pokud vaše doména odesílá e-maily z více služeb (firemní mailový server, marketingová platforma, helpdesk, CRM), každá služba by měla mít vlastní selektor a klíčový pár.
Příklad konfigurace DNS pro doménu firma.cz:
; Firemní e-mail (Google Workspace)
google._domainkey.firma.cz TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."
; Marketing (Mailchimp)
k1._domainkey.firma.cz TXT "v=DKIM1; k=rsa; p=MIGfMA0G..."
; Helpdesk (Freshdesk)
freshdesk._domainkey.firma.cz TXT "v=DKIM1; k=rsa; p=MIIBIjAN..."
Výhody oddělených selektorů:
- Izolace: kompromitace klíče jedné služby neovlivní ostatní.
- Nezávislá rotace: každou službu můžete rotovat v jiném termínu.
- Diagnostika: z DMARC reportů snadno identifikujete, která služba má problém s podpisem.
Časté chyby se selektory
Selektor v DNS neexistuje
Nejčastější chyba — selektor uvedený v DKIM-Signature nemá odpovídající DNS záznam. Příjemce vrátí výsledek permerror. Zkontrolujte přesnou shodu názvu selektoru v konfiguraci serveru a v DNS.
Nesoulad selektoru a klíče
Po rotaci klíčů může nastat situace, kdy server podepisuje novým klíčem, ale v DNS je stále starý veřejný klíč pod starým selektorem. Ověřte, že server používá selektor odpovídající aktuálnímu DNS záznamu.
Příliš mnoho aktivních selektorů
DNS zóna s desítkami DKIM selektorů je nepřehledná a náchylná k chybám. Udržujte maximálně 2–3 aktivní selektory na službu a staré záznamy po rotaci mažte.
Neodvolaný kompromitovaný klíč
Pokud máte podezření na kompromitaci privátního klíče, okamžitě:
- Vygenerujte nový klíčový pár s novým selektorem.
- Přepněte podepisování na nový klíč.
- Starý DNS záznam buď smažte, nebo nastavte prázdnou hodnotu
p=— tím klíč explicitně odvoláte.
Kontrola selektorů vaší domény
Pro systematickou kontrolu DKIM selektorů:
- Ověřte si DKIM záznam naším analyzérem pro každý selektor, který používáte.
- Ověřte, že všechny služby odesílající e-maily za vaši doménu mají funkční DKIM podepisování.
- Zkontrolujte délku klíčů — měly by být minimálně 2048 bitů.
- Zkontrolujte kompletní zabezpečení domény včetně SPF a DMARC.
Pravidelný monitoring DKIM selektorů a klíčů je součástí údržby e-mailové autentizace. Jednorázové nastavení nestačí — klíče stárnou, služby se mění a konfigurace se může rozbít při migraci nebo aktualizaci.
