Stručně: DKIM přidává k e‑mailu kryptografický podpis, aby příjemce ověřil, že zpráva je autentická a nebyla změněna. Níže najdete jednoduché vysvětlení, návod, časté chyby i technické detaily pro IT.
DKIM je jako pečeť na dopise, která říká: “Ano, tohle opravdu napsal tenhle odesílatel a nikdo s tím po cestě nešachoval.”
DKIM (DomainKeys Identified Mail) je způsob, jakým server odesilatele zakóduje některé části emailu (typicky předmět, odesilatele, adresáta, datum a čas). Dělá to pomocí tajného klíče, který zná jen server odesilatele. A otisk toho kódování připojí do těla emailu.
Uživatel odesilatel, ani adresát, nic nepoznají, nic měnit nemusí, děljí to servery.
A server příjemce si z centrálního registru stáhne veřejný klíč odesilatele, který slouží k ověření, jestli je přiložený otisk v pořádku. Pokud ano, znamená to, že email podepsal skutečný odesilatel a nikdo email po cestě nezměnil. Jinými slovy, že je to originál autorizovaný skutečnou doménou.
Většina poskytovatelů (hosting, Google Workspace, Microsoft 365, newsletter) vám ukáže, jak vytvořit DKIM záznam.
Obvykle jde o TXT záznam na adrese selector._domainkey.example.cz. Po ověření pošlete testovací e‑mail a zkontrolujte DKIM podpis.
TXT na selector._domainkey s v=DKIM1, k=rsa nebo ecdsa, p=… (public key). Doporučení: RSA ≥ 2048 bitů nebo ECDSA P‑256/P‑384, a=rsa‑sha256,
h= zahrnující důležité hlavičky, c=relaxed/relaxed. Rotujte selektory, nepoužívejte dlouhodobě t=y (testing).
p=) → podpis nelze ověřit.t=y nasazený v produkci → zbytečné oslabení kontroly.selector._domainkey podle instrukcí (TXT nebo CNAME → TXT u poskytovatele).Poslední aktualizace: 22. 10. 2025