Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Jak ověřit DKIM záznam vaší domény

Jak ověřit DKIM záznam vaší domény

· 9 min čtení · Tomas Hojgr · dkim
dkim email-authentication dns email-security

Proč DKIM záznam nestačí jen nastavit

DKIM podpis chrání vaše e-maily před pozměněním a potvrzuje, že skutečně pochází z vaší domény. Jenže DKIM záznam v DNS se může stát neplatným — klíč expiruje, poskytovatel změní selektor, administrátor omylem smaže TXT záznam. Pokud DKIM kontrola selhává, příjemci to nevidíte. Dozvíte se to až z DMARC reportů, nebo když vám zákazníci začnou hlásit nedoručené e-maily.

Tento článek popisuje tři způsoby, jak DKIM záznam ověřit: online analyzérem, příkazovou řádkou a kontrolou hlaviček přímo v přijatém e-mailu. U každé metody se dozvíte, co přesně hledat a jak výsledky interpretovat.

Co potřebujete znát: doména a selektor

Na rozdíl od SPF, kde stačí znát doménu, DKIM vyžaduje dva údaje:

  • Doména (d=) — doména, která e-mail podepisuje
  • Selektor (s=) — identifikátor konkrétního klíče v DNS

DKIM záznam se v DNS nachází na adrese {selektor}._domainkey.{doména}. Bez selektoru se na veřejný klíč nedotážete — na rozdíl od SPF neexistuje jeden univerzální záznam pro celou doménu.

Jak najít selektor

Pokud nevíte, jaký selektor vaše doména používá:

  1. Z hlavičky přijatého e-mailu — odešlete si testovací zprávu a v hlavičkách najděte DKIM-Signature. Hodnota tagu s= je selektor:
DKIM-Signature: v=1; a=rsa-sha256; d=firma.cz; s=mail2024;
    h=from:to:subject:date; bh=2jUSOH9N...; b=AuUoFEfD...

V tomto příkladu je selektor mail2024 a doména firma.cz.

  1. Z administrace e-mailové služby — většina služeb selektor zobrazuje v nastavení DKIM:

    • Google Workspace: google
    • Microsoft 365: selector1 a selector2
    • Marketingové platformy: každá používá vlastní (např. k1 u Mailchimpu, s1 u SendGridu)

  2. Ze záznamu v DNS správci — hledejte záznamy obsahující ._domainkey v názvu.

Ověření online analyzérem

Nejrychlejší způsob. Online analyzér načte DKIM záznam z DNS, ověří jeho syntaxi, zkontroluje typ a délku klíče a upozorní na problémy.

Co analyzér kontroluje

Kontrola Co hledá
Existence záznamu Odpovídá DNS na dotaz {selektor}._domainkey.{doména}?
Syntaxe Správný formát v=DKIM1, platné tagy
Veřejný klíč Přítomnost a validita tagu p= (Base64 kódovaný klíč)
Typ klíče RSA nebo Ed25519 (k= tag)
Délka klíče Doporučeno minimálně 2048 bitů pro RSA (RFC 8301); povinné minimum je 1024 bitů
Odvolaný klíč Prázdná hodnota p= znamená, že klíč byl odvolán

Ověřte si svůj DKIM záznam analyzérem SPF Monitoru — zadejte doménu a selektor, analyzér zobrazí kompletní obsah záznamu a upozorní na nalezené problémy.

Ověření přes příkazovou řádku

DKIM záznam je standardní TXT záznam v DNS. Dotázat se na něj můžete přímo z terminálu — potřebujete znát doménu i selektor.

Linux a macOS: příkaz dig

dig mail2024._domainkey.firma.cz TXT +short

Výstup:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Pokud příkaz nevrátí žádný výstup, záznam pro daný selektor neexistuje.

Windows: příkaz nslookup

nslookup -q=txt mail2024._domainkey.firma.cz

Windows: PowerShell

Resolve-DnsName -Name "mail2024._domainkey.firma.cz" -Type TXT

Na co se zaměřit ve výstupu

  1. Existuje záznam? Pokud DNS nevrátí žádnou odpověď (NXDOMAIN), selektor v DNS neexistuje — buď je špatně zadaný, nebo záznam chybí.
  2. Obsahuje tag p=? Veřejný klíč je povinná součást záznamu. Prázdná hodnota p= (bez klíče) znamená, že klíč byl záměrně odvolán.
  3. Jaký je typ a délka klíče? Tag k=rsa (výchozí, pokud chybí) nebo k=ed25519. RFC 8301 doporučuje minimálně 2048 bitů; 1024bitové klíče jsou stále funkční, ale považují se za nedostatečné.
  4. Je záznam kompletní? Dlouhé RSA klíče (2048+ bitů) překračují limit 255 bajtů jednoho DNS řetězce. Záznam musí být správně rozdělen do více řetězců — pokud ho DNS vrátí neúplný, může jít o chybu při vkládání.

Příkazová řádka ukáže obsah záznamu, ale nevaliduje klíč ani nekontroluje, jestli podpis skutečně funguje. K tomu slouží analyzéry a kontrola hlaviček.

Ověření kontrolou e-mailových hlaviček

Nejspolehlivější způsob, jak ověřit, že DKIM skutečně funguje od podepisování po ověření. DNS záznam může být v pořádku, ale server nemusí e-maily podepisovat, nebo může podepisovat jiným selektorem.

Postup ověření přes hlavičky

  1. Odešlete e-mail z domény, kterou chcete ověřit, na jinou adresu (ideálně Gmail nebo jiného velkého poskytovatele).
  2. V přijatém e-mailu zobrazte zdrojový kód / hlavičky.
  3. Hledejte hlavičku Authentication-Results:
Authentication-Results: mx.google.com;
    dkim=pass header.d=firma.cz header.s=mail2024;
    spf=pass (google.com: domain of info@firma.cz designates 198.51.100.10 as permitted sender);
    dmarc=pass (p=REJECT) header.from=firma.cz

Interpretace výsledků

Výsledek Význam Co dělat
dkim=pass Podpis je platný, klíč odpovídá Vše funguje správně
dkim=fail Podpis nesouhlasí s veřejným klíčem Zpráva byla pozměněna cestou, nebo klíč v DNS neodpovídá privátnímu klíči na serveru
dkim=neutral Podpis obsahuje syntaktické chyby nebo ho nelze zpracovat Zkontrolujte formát DKIM-Signature hlavičky a DNS záznam
dkim=temperror Dočasná chyba DNS DNS server dočasně nedostupný — zkuste znovu později
dkim=permerror Trvalá chyba Syntaktická chyba v DNS záznamu nebo v podpisu
dkim=none E-mail nemá DKIM podpis Server nepodepisuje odchozí e-maily

Kontrola hlavičky DKIM-Signature

V hlavičkách odchozího e-mailu by měla být přítomna hlavička DKIM-Signature. Pokud chybí, server e-maily nepodepisuje — problém je v konfiguraci odesílajícího serveru, ne v DNS.

Ověření více selektorů najednou

Jedna doména může používat více DKIM selektorů — jiný pro firemní e-mail (Google Workspace), jiný pro marketingové kampaně (SendGrid), jiný pro helpdesk (Freshdesk). Každý selektor má vlastní klíčový pár a DNS záznam.

Ověřte všechny aktivní selektory:

  1. Zkontrolujte, jaké služby odesílají e-maily za vaši doménu
  2. Pro každou službu zjistěte selektor (z administrace služby nebo z hlaviček přijatého e-mailu)
  3. Ověřte DNS záznam pro každý selektor zvlášť

DMARC reporty vám ukáží, které selektory se reálně používají a zda procházejí kontrolou. Pokud ještě nemáte DMARC nastavený, začněte s ním — poskytne vám kompletní přehled o stavu autentizace e-mailů vaší domény.

Časté problémy odhalené při ověřování

Záznam neexistuje (NXDOMAIN)

Nejčastější příčina: špatný selektor nebo záznam nebyl přidán do DNS. Ověřte, že selektor v DNS odpovídá selektoru nakonfigurovanému na serveru. Pozor na překlepy — selektory jako selector1._domainkey a selector_1._domainkey jsou dva různé záznamy.

Klíč je příliš krátký

RSA klíče o délce 1024 bitů většina ověřovatelů stále přijímá, ale RFC 8301 doporučuje (SHOULD) minimálně 2048 bitů. Přechod na delší klíč je otázka vygenerování nového klíčového páru a publikování nového DNS záznamu — ideálně pod novým selektorem, aby přechod byl plynulý.

Neúplný klíč v DNS

Klíč o délce 2048 bitů překračuje limit 255 bajtů jednoho DNS řetězce (RFC 1035). Hodnota musí být rozdělena do více řetězců v uvozovkách:

mail2024._domainkey.firma.cz TXT ("v=DKIM1; k=rsa; "
    "p=MIIBIjANBgkqhkiG9w0BAQE..."
    "...FAAOCAQ8AMIIBCgKCAQEA...")

Některé DNS panely toto dělení zvládají automaticky, jiné ne. Pokud klíč vložíte do jednoho řetězce bez rozdělení, DNS ho může zkrátit — výsledkem je neplatný klíč a dkim=fail.

Odvolaný klíč

Prázdná hodnota p= (bez klíče) signalizuje, že selektor byl záměrně odvolán:

mail2024._domainkey.firma.cz TXT "v=DKIM1; p="

Toto je standardní postup při rotaci klíčů — starý selektor se odvolá po přechodném období. Pokud ale vidíte odvolaný klíč u aktivního selektoru, jde o chybu.

DKIM fail po přeposílání

Přeposílání e-mailů (forwarding) může způsobit selhání DKIM kontroly, pokud přeposílající server změní podepsané části zprávy — například přidá patičku mailing listu nebo přepíše hlavičku. Protokol ARC (Authenticated Received Chain) pomáhá tento problém řešit zachováním původních výsledků autentizace.

Kdy DKIM záznam ověřovat

  • Po nastavení DKIM — ověřte DNS záznam i reálné podepisování (odešlete testovací e-mail)
  • Po rotaci klíčů — zkontrolujte, že nový selektor je v DNS a starý je odvolán
  • Po změně e-mailové služby — nová služba = nový selektor a klíč
  • Po migraci DNS — ověřte, že všechny _domainkey záznamy byly přeneseny
  • Pravidelně — klíče by se měly rotovat minimálně jednou ročně, DNS záznamy se mohou změnit bez vašeho vědomí

Zkontrolujte zabezpečení vaší domény kompletní analýzou — ověříte SPF, DKIM i DMARC na jednom místě.

DKIM kontrola je jen součást celku

Platný DKIM záznam v DNS neznamená, že je vaše doména plně chráněna. DKIM ověřuje integritu a původ zprávy, ale bez DMARC nemá příjemce instrukce, co udělat se zprávou, která kontrolou neprojde. A bez SPF chybí ověření oprávněnosti odesílajícího serveru.

Pokud jste DKIM ověřili a je v pořádku, zkontrolujte i SPF záznam a nastavte DMARC. Kompletní trojice SPF + DKIM + DMARC je dnes nezbytná — Google a Yahoo ji od roku 2024 vyžadují pro hromadné odesílatele.

Číst v jiném jazyce: English

Související články

Co je DKIM a jak funguje
dkim

Co je DKIM a jak funguje

DKIM ověřuje integritu a původ e-mailů digitálním podpisem. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro DMARC a doručitelnost.

· 8 min čtení
Jak nastavit DKIM záznam krok za krokem
dkim

Jak nastavit DKIM záznam krok za krokem

Praktický návod na nastavení DKIM záznamu. Od generování klíčů přes DNS publikaci po konfiguraci Google Workspace, Microsoft 365 a vlastního serveru.

· 9 min čtení
Jak ověřit SPF záznam vaší domény
spf

Jak ověřit SPF záznam vaší domény

Jak ověřit SPF záznam domény příkazovou řádkou, online analyzérem i monitoringem. Zjistěte, co hledat a jak interpretovat výsledky.

· 6 min čtení