Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.

DKIM Checker (analýza)

Analyzujte a ověřte DKIM podpisy pro libovolnou doménu
Tohle je vše, co potřebujete k zahájení. Další možnosti níže jsou volitelné.

Volitelné nastavení (ponechte prázdné pro automatickou detekci)

Emailové služby, které využíváte

Vyberte své e-mailové poskytovatele pro kontrolu jejich známých DKIM selektorů
Zkontroluje selektory nalezené v předchozích analýzách této domény pro rychlejší a přesnější výsledky
Vyhledá selektory pomocí prediktivních vzorců a historických dat (roční obměny, vzory poskytovatelů jako google2025, google2026 apod.).
Pokud znáte konkrétní DKIM selektory pro svou doménu, zadejte je sem.

DKIM Generátor

Sestavte DKIM záznam a nastavení – p, k, t

Editor DKIM záznamu

Zadejte nebo upravte DKIM záznam a ověřte jeho syntaxi

DKIM

Stručně: DKIM přidává k e‑mailu kryptografický podpis, aby příjemce ověřil, že zpráva je autentická a nebyla změněna. Níže najdete jednoduché vysvětlení, návod, časté chyby i technické detaily pro IT.

Co je DKIM a proč je důležitý

DKIM je jako pečeť na dopise, která říká: "Ano, tohle opravdu napsal tenhle odesílatel a nikdo s tím po cestě nešachoval."

DKIM prakticky pro ne‑IT

DKIM (DomainKeys Identified Mail) je způsob, jakým server odesilatele zakóduje některé části emailu (typicky předmět, odesilatele, adresáta, datum a čas). Dělá to pomocí tajného klíče, který zná jen server odesilatele. A otisk toho kódování připojí do těla emailu.

Uživatel odesilatel, ani adresát, nic nepoznají, nic měnit nemusí, děljí to servery.

A server příjemce si z centrálního registru stáhne veřejný klíč odesilatele, který slouží k ověření, jestli je přiložený otisk v pořádku. Pokud ano, znamená to, že email podepsal skutečný odesilatel a nikdo email po cestě nezměnil. Jinými slovy, že je to originál autorizovaný skutečnou doménou.

Většina poskytovatelů (hosting, Google Workspace, Microsoft 365, newsletter) vám ukáže, jak vytvořit DKIM záznam. Obvykle jde o TXT záznam na adrese selector._domainkey.example.cz. Po ověření pošlete testovací e‑mail a zkontrolujte DKIM podpis.

Technické shrnutí pro IT

TXT na selector._domainkeyv=DKIM1, k=rsa nebo ecdsa, p=… (public key). Doporučení: RSA ≥ 2048 bitů nebo ECDSA P‑256/P‑384, a=rsa‑sha256, h= zahrnující důležité hlavičky, c=relaxed/relaxed. Rotujte selektory, nepoužívejte dlouhodobě t=y (testing).

Tip: u SaaS poskytovatelů se klíče často publikují přes CNAME → dodržte správné cílové FQDN a TTL.
Časté chyby a jejich důsledky
  • Chybějící nebo neplatný veřejný klíč (tag p=) → podpis nelze ověřit. Viz diagnostika DKIM fail.
  • Slabý klíč (RSA 1024) → snadno prolomitelný, nízká důvěryhodnost.
  • Testing t=y nasazený v produkci → zbytečné oslabení kontroly.
  • Chybná syntaxe/úvozovky → rekord nelze načíst.
  • Pouze jeden selector dlouhodobě → složitější rotace a obnova klíčů.

Jak nastavit DKIM na své doméně (jednoduše)

  1. V poskytovateli e‑mailu zapněte DKIM a získejte selector a veřejný klíč (nebo CNAME).
  2. V DNS přidejte záznam selector._domainkey podle instrukcí (TXT nebo CNAME → TXT u poskytovatele). Používáte-li WEDOS, pomůže vám návod pro WEDOS.
  3. Pošlete testovací e‑mail a ověřte, že má platný DKIM podpis.
  4. Zaveďte druhý selector pro bezpečnou rotaci klíčů.

FAQ

Co je DKIM a k čemu slouží?
DKIM (DomainKeys Identified Mail) přidává k e‑mailu kryptografický podpis. Příjemce si ověří, že zpráva pochází z oprávněné domény a nebyla při přenosu pozměněna. Podpis se kontroluje proti veřejnému klíči publikovanému v DNS.
Šifruje DKIM e‑maily?
Ne. DKIM neprovádí žádné šifrování — obsah e‑mailu zůstává čitelný. DKIM pouze podepisuje zprávu, čímž ověřuje její původ a integritu. Pro šifrování slouží jiné technologie (S/MIME, PGP).
Kolik DKIM selectorů potřebuji?
Minimálně jeden, doporučené jsou dva — jeden aktivní a jeden v rezervě pro bezpečnou rotaci klíčů. Každý e‑mailový poskytovatel obvykle používá vlastní selector.
RSA nebo ECDSA klíč?
Obojí je v pořádku. RSA vyžaduje minimálně 2048 bitů (doporučeno). ECDSA (P‑256/P‑384) je kratší, rychlejší a moderní alternativa. Některé starší systémy mohou mít s ECDSA problémy — ověřte kompatibilitu.
Jak často rotovat DKIM klíče?
Doporučená frekvence je každé 3–6 měsíců. Pojmenujte selektory podle období (např. google202601, google202607), aby byla rotace přehledná. Starý selector nechte v DNS ještě několik dní po přepnutí.
Funguje DKIM při přeposílání?
Obvykle ano — DKIM podpis přežívá přeposílání, pokud se nezmění tělo zprávy ani podepsané hlavičky. Na rozdíl od SPF (kde se mění IP serveru) je DKIM při forwardingu spolehlivější. Protokol ARC navíc pomáhá zachovat výsledky autentizace.
Co je DKIM alignment?
Alignment znamená, že doména v DKIM podpisu (tag d=) odpovídá doméně v hlavičce „From". DMARC vyžaduje tuto shodu — bez ní DKIM kontrola projde, ale DMARC neschválí. Pokud služba podepisuje vlastní doménou místo vaší, aktivujte custom DKIM domain.
Stačí mít jen DKIM bez DMARC?
Ne — DKIM ověřuje podpis, ale neříká, co se má stát, když podpis chybí. Útočník může odeslat e‑mail zcela bez DKIM a příjemce ho přesto doručí. Teprve DMARC přidává politiku, která určuje, jak nakládat s neautentizovanými zprávami.

Související

Analýza domény SPF DMARC Slovník: DKIM a pojmy

Návody a řešení problémů

DKIM selektory — jak je používat DKIM fail — diagnostika a řešení DKIM nastavení ve WEDOS

Poslední aktualizace: 18. 3. 2026