DKIM nebo-li DomainKeys Identified Mail je metoda ověření, zda nebyla zpráva při cestě mezi odesílatelem a příjemcem pozměněna. V případě, že je DKIM podpis ověřen jako validní, zároveň indikuje, že byla zpráva skutečně odeslána někým, kdo má oprávnění doménu používat. Podrobnosti i RFC k DKIM lze nalézt např. na stránce DKIM.org.
Mezi hlavní výhody DKIM patří jeho široká podpora napříč poskytovateli e-mailových služeb. Jakožto jedna z hlavních součástí ověření DMARC se DKIM stává standardem pro zvýšení bezpečnosti elektronické pošty. Zprávy podepsané DKIM podpisem mají na Seznamu menší pravděpodobnost označení za spam. Navíc se v nich automaticky stahují externí obrázky, aniž by uživatel musel jejich zobrazení potvrzovat.
DKIM na Seznamu
Všechny odchozí zprávy ze schránek v Email Profi jsou automaticky podepisované DKIM podpisem dané vlastní domény. Jedná se o výchozí nastavení pro domény, které mají DNS spravované v rámci Email Profi (tedy jsou registrované pod Email Profi nebo pod Email Profi plně převedené od jiného registrátora).
Domény do Email Profi pouze napojené (tedy správa DNS záznamů probíhá v administraci jiného registrátora) jsou automaticky podepisované DKIM podpisem emailprofi.seznam.cz.
DKIM podpis v hlavičce zprávy odeslané z adresy na Email Profi:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=emailprofi.seznam.cz; s=beta; t=1584097158; bh=nKvtYfFOmMtJyZnBLZS3UQ8fk3aBaw5krqVzxbf0ZiA=; h=Received:From:To:Subject:Date:Message-Id:Mime-Version:X-Mailer:Content-Type:Content-Transfer-Encoding; b=h1lmL7uyor7stbyjwnRRSfRTrOAIp+bZlU9OX6Lps8eRo0zfcouZkN1dTZXHA…
d = doména DKIM podpisu, s = selektor, t = časové razítko, bh = hash těla zprávy, h = hlavička zprávy, b = hash hlaviček z parametru h, c = kanonizace
Umožňujeme ale také použít vlastní DKIM podpis! V takovém případě je nutné v DNS administraci vlastního registrátora vytvořit CNAME záznam následujícího obsahu:
szn20221014._domainkey.<domena.tld>. 1800 IN CNAME szn20221014._domainkey.seznam.cz.
Poznámka: „<domena.tld>“ nahraďte vaší doménou.
U Seznamu existuje ještě DKIM podpis pro d=seznam.cz, ten je však používán pouze u zpráv odesílaných ze schránek uživatelů freemailového Email.cz. Jím jsou automaticky podepsány všechny odchozí zprávy s @seznam.cz, @email.cz a @post.cz.
DKIM podpis neobsahují zprávy, které jsou zasílány mezi schránkami na Seznamu.
Zprávy, které si naši uživatelé posílají navzájem (mezi schránkami v Email Profi či adresami s @seznam.cz, @email.cz a @post.cz), DKIM podpis neobsahují. Ten je používán primárně na zprávy, které míří mimo naše servery.
Přidání externího DKIM podpisu v DNS
Pokud si zřizujete služby externího e-mailového řešení, např. pro odesílání hromadných zpráv a newsletterů (MailChimp, Mailgun, SendGrid, Mailjet, Sendinblue a další), důrazně doporučujeme tyto zprávy podepisovat DKIMem. Zlepšíte tak jejich doručitelnost u uživatelů na Seznam.cz. Údaje pro nastavení DKIM do DNS záznamů domény vám poskytne provozovatel nastavované služby.
DNS záznam pro DKIM může vypadat například následovně (pozor, jedná se o příklad, nepoužívejte tyto hodnoty):
| Doména | Typ | TTL | Data |
| krs._domainkey.test | TXT | 1800 | k=rsa; p=MIGfMA0GCSqGSIbX… |
- krs = selektor (s=) pro identifikaci DNS záznamu, musí být stejný jako v hlavičce zprávy
- test = doména (d=), pro kterou je DKIM platný, musí být stejná jako v hlavičce zprávy
- nastavujete-li podpis pro hlavní doménu, např. vesela-domena.cz, tak po _domainkey nebudete za tečku psát nic dalšího (mujmail._domainkey)
- nastavujete-li podpis pro subdoménu, např. test.vesela-domena.cz, za _domainkey bude název subdomény (mujmail._domainkey.test)
- k = typ klíče, nejčastěji rsa
- p = veřejný klíč pro ověření platnosti DKIM podpisu
Je-li registrátorem vaší domény Seznam.cz, DNS záznamy upravujete u nás v administraci Email Profi, v části DNS záznamy. Záznam v administraci Email Profi může vypadat například následovně:
