DKIM je zkratka pro DomainKeys Identified Mail. Jde o technologii, která k odchozím e-mailům přidává digitální podpis. Díky němu může příjemce ověřit, že zpráva opravdu souvisí s danou doménou a že po cestě nebyla nepozorovaně změněna.
Proč je DKIM důležitý
Ve světě e-mailingu nestačí říct „tuhle zprávu jsem poslal já“. Je potřeba to umět i technicky prokázat. A právě tady DKIM pomáhá. Na straně příjemce proběhne ověření podpisu podle veřejného klíče uloženého v DNS.
- Zvyšuje důvěryhodnost zprávy – e-mail má technický důkaz původu.
- Pomáhá doručitelnosti – zejména u velkých poskytovatelů, kteří kombinují více signálů důvěry.
- Chrání integritu obsahu – když se zpráva po cestě změní, podpis přestane sedět.
- Je klíčový pro DMARC – bez DKIM bývá DMARC strategie slabší nebo zbytečně křehká.
Jak DKIM funguje v praxi
Odesílací server při odeslání zprávy vytvoří digitální podpis z vybraných částí e-mailu. Příjemce si potom v DNS dohledá veřejný klíč a ověří, zda podpis souhlasí. Pokud ano, získává silný signál, že zpráva nebyla cestou upravena a je navázaná na deklarovanou doménu.
Na rozdíl od SPF tedy DKIM neřeší jen to, odkud e-mail technicky přišel, ale i to, zda sedí jeho podpis a integrita.
Jak DKIM záznam vypadá a co znamenají jeho části
DKIM není jen „zapnutá funkce“ v e-mailovém nástroji. V praxi jde o konkrétní DNS záznam, podle kterého si příjemce dohledá veřejný klíč pro ověření podpisu zprávy. Právě proto je dobré vědět, jak takový záznam vypadá a co znamenají jeho jednotlivé části.
Nejčastěji se DKIM publikuje jako TXT záznam v DNS. Někteří poskytovatelé ale používají i CNAME, který ukazuje na jejich vlastní DKIM infrastrukturu. To je důležité hlavně proto, že různé služby nevypadají na první pohled stejně, i když funkčně řeší totéž.
Jak vypadá typický DKIM TXT záznam
Ukázkový DKIM záznam může vypadat například takto:google._domainkey.example.cz TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4G..."
Na první pohled to může působit nepřehledně, ale jednotlivé části mají jasný význam:
- google – to je selector, tedy identifikátor konkrétního klíče,
- ._domainkey – pevná část názvu DKIM záznamu, podle které příjemce pozná, že jde o DKIM,
- example.cz – doména, za kterou se e-mail podepisuje,
- TXT – typ DNS záznamu,
- v=DKIM1 – verze DKIM,
- k=rsa – typ použitého klíče,
- p=… – veřejný klíč, podle kterého příjemce ověřuje podpis zprávy.
Co je selector a proč je důležitý
Selector je jedna z nejdůležitějších částí DKIM, protože určuje, který konkrétní klíč se má pro ověření použít. Díky tomu můžete mít pro jednu doménu více DKIM klíčů najednou – například při rotaci klíčů, při přechodu mezi poskytovateli nebo při oddělení různých typů provozu.
Příklad:s1._domainkey.example.cz
newsletter._domainkey.example.cz
google._domainkey.example.cz
To znamená, že jedna doména může mít více různých DKIM záznamů a každý z nich může patřit jinému systému nebo jiné fázi nastavení.
Jak vypadá DKIM ve hlavičce e-mailu
Když je DKIM správně zapnutý, v hlavičce doručeného e-mailu se obvykle objeví pole podobné tomuto:DKIM-Signature: v=1; a=rsa-sha256; d=example.cz; s=google;
h=from:date:subject:message-id:content-type;
bh=abc123...; b=xyz456...
Tady už nejde o DNS záznam, ale o samotný podpis zprávy. I zde mají jednotlivé části svůj význam:
- v=1 – verze DKIM podpisu,
- a=rsa-sha256 – algoritmus použitý pro podpis,
- d=example.cz – doména, která zprávu podepsala,
- s=google – selector, podle kterého se má dohledat veřejný klíč v DNS,
- h= – seznam hlaviček, které byly do podpisu zahrnuté,
- bh= – hash těla zprávy, tedy kontrola integrity obsahu,
- b= – samotná digitální signatura.
Co znamenají nejdůležitější identifikátory
Nejdůležitější pro orientaci bývají tyto tři položky:
- d= – říká, jaká doména zprávu podepsala,
- s= – říká, který selector byl použitý,
- p= – v DNS záznamu obsahuje veřejný klíč, podle kterého se podpis ověřuje.
Jinými slovy:
- ve zprávě vidíte d= a s=,
- podle s= a domény z d= příjemce najde v DNS odpovídající DKIM záznam,
- v něm použije hodnotu p= jako veřejný klíč pro ověření podpisu.
Už jste četli? Vyjmenovaná slova po F
Proč někde vidíte TXT a jinde CNAME
Tohle je častý zdroj zmatku. Někdy vám poskytovatel řekne, že máte vložit do DNS TXT záznam s veřejným klíčem. Jindy vám dá místo toho CNAME, který ukazuje jinam. Rozdíl je technický:
- TXT záznam – veřejný klíč je uložený přímo ve vašem DNS,
- CNAME záznam – vaše doména jen ukazuje na DKIM záznam, který spravuje poskytovatel.
Pro běžného uživatele to znamená hlavně to, že je potřeba přesně následovat instrukce konkrétní služby. Nelze automaticky říct, že jen TXT je správně a CNAME špatně – nebo naopak.
Jak si zkontrolovat, že DKIM opravdu funguje
Nestačí jen vědět, že jste vložili DNS záznam. Důležité je ověřit i skutečný výsledek:
- V DNS existuje správný záznam – se správným selectorem a klíčem.
- Odeslaný e-mail obsahuje DKIM-Signature.
- V Authentication-Results je uvedeno dkim=pass.
- Doména v podpisu dává smysl i ve vztahu k DMARC.
U DKIM je potřeba rozumět dvěma vrstvám zároveň – DNS záznamu, kde je publikovaný veřejný klíč, a hlavičce samotného e-mailu, kde je uvedeno, jakou doménou a jakým selectorem byla zpráva podepsaná.
Pokud čtenář pochopí, co znamenají selector, d=, s= a p=, má už velmi dobrý základ pro to, aby DKIM nejen „někde zapnul“, ale skutečně rozuměl tomu, co kontroluje a proč to ovlivňuje doručitelnost.
Co DKIM neřeší
- Sám o sobě nezaručí doručení do inboxu – je to jeden z důležitých signálů, ne jediné kritérium.
- Neřeší kvalitu databáze – pokud posíláte na neaktivní nebo problematické kontakty, podpis vám reputaci nezachrání.
- Neřeší obsahovou relevanci – i podepsaný direct e-mail může skončit ve spamu, pokud příjemce takové zprávy nechce.
Nejčastější chyby
- DKIM není zapnutý vůbec – přestože rozesílací nástroj tuto možnost nabízí.
- Klíč v DNS neodpovídá nastavení služby – po změně dodavatele nebo migraci.
- Podepisuje jiná doména, než čekáte – což může komplikovat důvěru i DMARC vyhodnocení.
- Nikdo podpisy průběžně nekontroluje – a problém se odhalí až při propadu doručitelnosti.
Jak DKIM souvisí se SPF a DMARC
DKIM v praxi nefunguje jako osamocené technické opatření. Největší smysl dává tehdy, když je správně nastavený společně se SPF a DMARC. Tyto tři prvky totiž tvoří základní autentizační rámec moderního e-mailingu.
SPF říká, které servery smějí odesílat e-maily jménem vaší domény. DKIM k tomu přidává digitální podpis zprávy, aby bylo možné ověřit, že e-mail skutečně souvisí s danou doménou a že po cestě nebyl změněn. DMARC pak obě technologie propojuje a určuje, jak má příjemce naložit se zprávou, která ověřením neprojde.
Jinými slovy – SPF ověřuje, odkud zpráva přichází, DKIM pomáhá ověřit, že je zpráva technicky důvěryhodná a nebyla změněna, a DMARC nad tím nastavuje pravidla a kontrolu.
Proč je to důležité právě u newsletterů a hromadných rozesílek
U běžné individuální komunikace se technické chyby někdy skryjí, protože objem odesílaných zpráv je malý. U newsletterů, automatických kampaní a hromadných e-mailů je ale situace jiná. Právě tady poskytovatelé mnohem víc sledují, zda má odesílatel správně nastavenou autentizaci, stabilní reputaci a důvěryhodnou infrastrukturu.
Pokud newsletterový nástroj odesílá e-maily bez správně nastaveného DKIM, nebo pokud podpis neodpovídá doméně, zvyšuje se riziko, že tyto zprávy budou vyhodnocené jako méně důvěryhodné. To se pak může projevit horší doručitelností, častějším umístěním do spamu nebo do hromadné pošty a slabším výkonem kampaní.
U newsletterů navíc nejde jen o samotné doručení. Jde i o dlouhodobou reputaci domény a celé odesílací infrastruktury. Pokud technické nastavení kulhá, může to postupně snižovat důvěru v celé vaše rozesílání – i když je samotný obsah zpráv kvalitní.
- Správně nastavený DKIM pomáhá zvýšit důvěru v rozesílku – zvlášť u pravidelných newsletterů.
- Ve spojení se SPF a DMARC posiluje technickou legitimitu odesílatele – což je u hromadných kampaní zásadní.
- Pomáhá chránit doménu před zneužitím – například před podvrženými e-maily, které by se vydávaly za vaši značku.
- Podporuje dlouhodobou doručitelnost – protože mailbox provideři vidí, že rozesílka stojí na správném technickém základu.
