Przejdź do treści
D1
PL

Uwierzytelnianie poczty

Sprawdzanie i walidacja rekordu DKIM

Odpytaj rekord TXT selector._domainkey dowolnej domeny i zweryfikuj tagi DKIM, typ oraz długość klucza.

Ten formularz wywołuje względny endpoint: /site-api/tools/dkim

Co sprawdza walidator DKIM?

  1. Wpisz selektor DKIM (na przykład google, default lub k1) oraz domenę. Narzędzie odpytuje rekord TXT {selector}._domainkey.{domena} przez publiczny DNS.
  2. Rekord jest analizowany tag po tagu: wersja v=DKIM1, typ klucza k=, klucz publiczny p=, algorytmy h=, typy usług s= i flagi t=, a także zdekodowana długość klucza.
  3. Sprawdź werdykt i ostrzeżenia: brak rekordu, pusty tag p= (unieważniony klucz), słaby klucz 1024-bitowy lub flaga t=y — każdy przypadek jest jasno wyjaśniony.

Tagi DKIM warte uwagi

Walidator obejmuje DNS-ową połowę DKIM: opublikowany rekord z kluczem publicznym. Potwierdza istnienie rekordu, analizuje każdy tag i oznacza słabe lub unieważnione klucze — nie podpisuje ani nie odbiera poczty za Ciebie.

TagDlaczego to ważnePrzykład
v=DKIM1Tag wersji, od którego musi zaczynać się każdy poprawny rekord DKIMv=DKIM1
k / pTyp klucza i klucz publiczny w Base64 używany do weryfikacji podpisówk=rsa; p=MIIBIjANBg…
Długość kluczaRozmiar modułu RSA — klucze 1024-bitowe są dziś uznawane za słabe2048 bitów
t=yFlaga testowa: odbiorcy traktują podpisy tak, jakby domena nie podpisywała pocztyt=y

Kiedy sprawdzać rekord DKIM

Uruchom sprawdzenie zaraz po dodaniu lub zmianie rekordu DNS dostawcy poczty. Google Workspace zwykle używa selektora google, Microsoft 365 — selector1 i selector2, Amazon SES wydaje trzy losowe selektory CNAME, Mailchimp używa k1 (oraz k2/k3), a SendGrid najczęściej s1 i s2.

Sprawdzaj DKIM, gdy wiadomości lądują w spamie lub raporty DMARC pokazują dkim=fail. Brakujący lub uszkodzony rekord to jedna z najczęstszych przyczyn.

Podczas rotacji kluczy weryfikuj oba selektory: dostawcy publikują nowy klucz na drugim selektorze, zanim wycofają stary, i oba muszą się rozwiązywać, dopóki stare podpisy są jeszcze w drodze.

Naprawa brakujących lub niepoprawnych rekordów DKIM

Jeśli rekordu nie znaleziono, sprawdź dokładną pisownię selektora oraz to, że rekord TXT (lub CNAME) znajduje się pod selector._domainkey.twojadomena.com — częsty błąd to publikacja na apexie albo zdublowana domena w polu host.

Jeśli rekord istnieje, ale jest niepoprawny, przejrzyj przeanalizowane tagi: brak v=DKIM1, ucięta wartość p= (panele DNS często dzielą długie klucze na kilka łańcuchów w cudzysłowach) lub zbędne spacje psują weryfikację.

Pusty tag p= oznacza celowe unieważnienie klucza. Flaga t=y to tryb testowy: odbiorcy weryfikują podpis, ale nie egzekwują go rygorystycznie — usuń flagę po potwierdzeniu wdrożenia.

Selektory, klucze i rotacja DKIM

DKIM pozwala serwerowi wysyłającemu podpisywać każdą wiadomość kluczem prywatnym; odbiorcy pobierają klucz publiczny z DNS na podstawie selektora z nagłówka DKIM-Signature (tag s=). Selektory pozwalają domenie publikować wiele kluczy jednocześnie.

Długość klucza ma znaczenie: klucze RSA 1024-bitowe są jeszcze akceptowane, ale uznawane za słabe, a większość dostawców wydaje już klucze 2048-bitowe. Niektóre panele DNS wymagają podzielenia długiego łańcucha Base64 na dwa fragmenty w cudzysłowach.

Rotuj klucze, publikując nowy klucz pod nowym selektorem, przełączając na niego podpisywanie i dopiero potem usuwając lub unieważniając stary rekord. Sprawdzenie każdego selektora z osobna potwierdza każdy krok.

Przepływ uwierzytelniania poczty

  1. Potwierdź rekordy MX i SPF w DNS Checkerze.
  2. Zwaliduj każdy selektor DKIM, którym podpisują Twoi dostawcy.
  3. Sprawdź rekord TXT _dmarc i jego politykę.
  4. Powtórz sprawdzenie po każdej migracji dostawcy lub rotacji kluczy.

Walidator DKIM vs dig i nagłówki poczty

Rekord można odpytać przez dig TXT selector._domainkey.example.com, ale tagi i długość klucza trzeba analizować samodzielnie. Walidator robi to automatycznie i wyjaśnia każde znalezisko.

Nagłówki Authentication-Results w odebranej wiadomości pokazują, czy konkretna wiadomość przeszła weryfikację. Walidator odpowiada na wcześniejsze pytanie: czy opublikowany rekord w ogóle istnieje i jest poprawny?

Pełne pakiety deliverability testują skrzynki seed i reputację. To narzędzie pokrywa fundament DNS, od którego zależy cała reszta — szybko, za darmo i z automatyzacją przez API.

Dlaczego walidator DKIM od DN01

  • Zapytanie po selektorze, które analizuje każdy tag DKIM i raportuje typ oraz długość klucza — nie tylko surowy TXT.
  • Czytelne ostrzeżenia o unieważnionych kluczach (puste p=), trybie testowym (t=y) i słabych kluczach 1024-bitowych.
  • Pasuje do istniejącego przepływu DN01 obok sprawdzeń DNS, SPF/TXT i czarnych list, z interfejsem w 8 językach.

FAQ

FAQ walidatora DKIM

Selektory, rekordy TXT w DNS, długość klucza oraz znaczenie flag testowych i unieważnienia.

Co to jest selektor DKIM?

Selektor to etykieta z tagu s= w nagłówku DKIM-Signature wiadomości. Odbiorca łączy go z Twoją domeną i odpytuje rekord TXT selector._domainkey.twojadomena.com — dzięki temu jedna domena może publikować wiele kluczy podpisu naraz.

Jak znaleźć swój selektor DKIM?

Otwórz wysłaną wiadomość i sprawdź nagłówek DKIM-Signature: tag s= to selektor. Typowe wartości: google w Google Workspace, selector1/selector2 w Microsoft 365, k1 w Mailchimp i s1/s2 w SendGrid. Istnienie rekordu TXT potwierdzisz w DNS Checker.

Dlaczego mój rekord DKIM jest niepoprawny?

Częste przyczyny: brak tagu v=DKIM1, ucięta wartość p= po złym podziale długiego klucza w panelu DNS, zbędne cudzysłowy lub spacje, albo rekord opublikowany pod złą nazwą hosta. Walidator analizuje każdy tag i wskazuje dokładny problem.

Co oznacza t=y w rekordzie DKIM?

To flaga testowa: odbiorcy weryfikują podpis, ale błędy traktują tak, jakby wiadomość nie była podpisana. W trakcie wdrożenia to w porządku, ale usuń flagę, gdy raporty DMARC pokazują stabilne dkim=pass.

Klucz DKIM 1024 czy 2048 bitów?

Użyj 2048 bitów. Klucze RSA 1024-bitowe są nadal weryfikowane, ale uznawane za słabe, a duzi dostawcy domyślnie wydają już 2048 bitów. Jeśli panel DNS odrzuca długą wartość, podziel łańcuch Base64 na dwa fragmenty w cudzysłowach.

Czy domena może mieć wiele selektorów DKIM?

Tak, i zwykle powinna. Każdy dostawca poczty podpisuje własnym selektorem, a rotacja kluczy polega na publikacji nowego klucza pod świeżym selektorem przed unieważnieniem starego. Waliduj każdy selektor osobno.

Przełącznik narzędzi

Wybierz kolejny krok w pracy z domeną lub bezpieczeństwem.

Pełny katalog narzędzi

Poradniki

Praktyczne poradniki do typowych zadań z Walidator DKIM: rekordy DNS, kroki diagnostyczne i linki do naszych bezpłatnych narzędzi.

Wróć do Walidator DKIM