Uwierzytelnianie poczty
Sprawdzanie i walidacja rekordu DKIM
Odpytaj rekord TXT selector._domainkey dowolnej domeny i zweryfikuj tagi DKIM, typ oraz długość klucza.
Co sprawdza walidator DKIM?
- Wpisz selektor DKIM (na przykład google, default lub k1) oraz domenę. Narzędzie odpytuje rekord TXT {selector}._domainkey.{domena} przez publiczny DNS.
- Rekord jest analizowany tag po tagu: wersja v=DKIM1, typ klucza k=, klucz publiczny p=, algorytmy h=, typy usług s= i flagi t=, a także zdekodowana długość klucza.
- Sprawdź werdykt i ostrzeżenia: brak rekordu, pusty tag p= (unieważniony klucz), słaby klucz 1024-bitowy lub flaga t=y — każdy przypadek jest jasno wyjaśniony.
Tagi DKIM warte uwagi
Walidator obejmuje DNS-ową połowę DKIM: opublikowany rekord z kluczem publicznym. Potwierdza istnienie rekordu, analizuje każdy tag i oznacza słabe lub unieważnione klucze — nie podpisuje ani nie odbiera poczty za Ciebie.
| Tag | Dlaczego to ważne | Przykład |
|---|---|---|
| v=DKIM1 | Tag wersji, od którego musi zaczynać się każdy poprawny rekord DKIM | v=DKIM1 |
| k / p | Typ klucza i klucz publiczny w Base64 używany do weryfikacji podpisów | k=rsa; p=MIIBIjANBg… |
| Długość klucza | Rozmiar modułu RSA — klucze 1024-bitowe są dziś uznawane za słabe | 2048 bitów |
| t=y | Flaga testowa: odbiorcy traktują podpisy tak, jakby domena nie podpisywała poczty | t=y |
Kiedy sprawdzać rekord DKIM
Uruchom sprawdzenie zaraz po dodaniu lub zmianie rekordu DNS dostawcy poczty. Google Workspace zwykle używa selektora google, Microsoft 365 — selector1 i selector2, Amazon SES wydaje trzy losowe selektory CNAME, Mailchimp używa k1 (oraz k2/k3), a SendGrid najczęściej s1 i s2.
Sprawdzaj DKIM, gdy wiadomości lądują w spamie lub raporty DMARC pokazują dkim=fail. Brakujący lub uszkodzony rekord to jedna z najczęstszych przyczyn.
Podczas rotacji kluczy weryfikuj oba selektory: dostawcy publikują nowy klucz na drugim selektorze, zanim wycofają stary, i oba muszą się rozwiązywać, dopóki stare podpisy są jeszcze w drodze.
Naprawa brakujących lub niepoprawnych rekordów DKIM
Jeśli rekordu nie znaleziono, sprawdź dokładną pisownię selektora oraz to, że rekord TXT (lub CNAME) znajduje się pod selector._domainkey.twojadomena.com — częsty błąd to publikacja na apexie albo zdublowana domena w polu host.
Jeśli rekord istnieje, ale jest niepoprawny, przejrzyj przeanalizowane tagi: brak v=DKIM1, ucięta wartość p= (panele DNS często dzielą długie klucze na kilka łańcuchów w cudzysłowach) lub zbędne spacje psują weryfikację.
Pusty tag p= oznacza celowe unieważnienie klucza. Flaga t=y to tryb testowy: odbiorcy weryfikują podpis, ale nie egzekwują go rygorystycznie — usuń flagę po potwierdzeniu wdrożenia.
Selektory, klucze i rotacja DKIM
DKIM pozwala serwerowi wysyłającemu podpisywać każdą wiadomość kluczem prywatnym; odbiorcy pobierają klucz publiczny z DNS na podstawie selektora z nagłówka DKIM-Signature (tag s=). Selektory pozwalają domenie publikować wiele kluczy jednocześnie.
Długość klucza ma znaczenie: klucze RSA 1024-bitowe są jeszcze akceptowane, ale uznawane za słabe, a większość dostawców wydaje już klucze 2048-bitowe. Niektóre panele DNS wymagają podzielenia długiego łańcucha Base64 na dwa fragmenty w cudzysłowach.
Rotuj klucze, publikując nowy klucz pod nowym selektorem, przełączając na niego podpisywanie i dopiero potem usuwając lub unieważniając stary rekord. Sprawdzenie każdego selektora z osobna potwierdza każdy krok.
Przepływ uwierzytelniania poczty
- Potwierdź rekordy MX i SPF w DNS Checkerze.
- Zwaliduj każdy selektor DKIM, którym podpisują Twoi dostawcy.
- Sprawdź rekord TXT _dmarc i jego politykę.
- Powtórz sprawdzenie po każdej migracji dostawcy lub rotacji kluczy.
Walidator DKIM vs dig i nagłówki poczty
Rekord można odpytać przez dig TXT selector._domainkey.example.com, ale tagi i długość klucza trzeba analizować samodzielnie. Walidator robi to automatycznie i wyjaśnia każde znalezisko.
Nagłówki Authentication-Results w odebranej wiadomości pokazują, czy konkretna wiadomość przeszła weryfikację. Walidator odpowiada na wcześniejsze pytanie: czy opublikowany rekord w ogóle istnieje i jest poprawny?
Pełne pakiety deliverability testują skrzynki seed i reputację. To narzędzie pokrywa fundament DNS, od którego zależy cała reszta — szybko, za darmo i z automatyzacją przez API.
Dlaczego walidator DKIM od DN01
- Zapytanie po selektorze, które analizuje każdy tag DKIM i raportuje typ oraz długość klucza — nie tylko surowy TXT.
- Czytelne ostrzeżenia o unieważnionych kluczach (puste p=), trybie testowym (t=y) i słabych kluczach 1024-bitowych.
- Pasuje do istniejącego przepływu DN01 obok sprawdzeń DNS, SPF/TXT i czarnych list, z interfejsem w 8 językach.
FAQ
FAQ walidatora DKIM
Selektory, rekordy TXT w DNS, długość klucza oraz znaczenie flag testowych i unieważnienia.
Co to jest selektor DKIM?
Selektor to etykieta z tagu s= w nagłówku DKIM-Signature wiadomości. Odbiorca łączy go z Twoją domeną i odpytuje rekord TXT selector._domainkey.twojadomena.com — dzięki temu jedna domena może publikować wiele kluczy podpisu naraz.
Jak znaleźć swój selektor DKIM?
Otwórz wysłaną wiadomość i sprawdź nagłówek DKIM-Signature: tag s= to selektor. Typowe wartości: google w Google Workspace, selector1/selector2 w Microsoft 365, k1 w Mailchimp i s1/s2 w SendGrid. Istnienie rekordu TXT potwierdzisz w DNS Checker.
Dlaczego mój rekord DKIM jest niepoprawny?
Częste przyczyny: brak tagu v=DKIM1, ucięta wartość p= po złym podziale długiego klucza w panelu DNS, zbędne cudzysłowy lub spacje, albo rekord opublikowany pod złą nazwą hosta. Walidator analizuje każdy tag i wskazuje dokładny problem.
Co oznacza t=y w rekordzie DKIM?
To flaga testowa: odbiorcy weryfikują podpis, ale błędy traktują tak, jakby wiadomość nie była podpisana. W trakcie wdrożenia to w porządku, ale usuń flagę, gdy raporty DMARC pokazują stabilne dkim=pass.
Klucz DKIM 1024 czy 2048 bitów?
Użyj 2048 bitów. Klucze RSA 1024-bitowe są nadal weryfikowane, ale uznawane za słabe, a duzi dostawcy domyślnie wydają już 2048 bitów. Jeśli panel DNS odrzuca długą wartość, podziel łańcuch Base64 na dwa fragmenty w cudzysłowach.
Czy domena może mieć wiele selektorów DKIM?
Tak, i zwykle powinna. Każdy dostawca poczty podpisuje własnym selektorem, a rotacja kluczy polega na publikacji nowego klucza pod świeżym selektorem przed unieważnieniem starego. Waliduj każdy selektor osobno.
Przełącznik narzędzi
Kontynuuj innym sprawdzeniem
Wybierz kolejny krok w pracy z domeną lub bezpieczeństwem.
- Weryfikator DNSWszystkie główne typy rekordów w jednym przebieguOtwórz
- DIGJeden typ rekordu, odpowiedź w stylu resolveraOtwórz
- WHOISRejestrator, wygaśnięcie i status domenyOtwórz
- IP domenyAdresy A i AAAA domenyOtwórz
- Weryfikator czarnych listReputacja DNSBL dla IP i domenyOtwórz
- Weryfikator certyfikatu SSLŁańcuch certyfikatów, SAN i wersja TLSOtwórz
- Tester HTTP/2Wsparcie HTTP/2, ALPN i TLSOtwórz
- Weryfikator nagłówków HTTPNagłówki odpowiedzi, przekierowania i cacheOtwórz
- Konwerter PunycodeUnicode ↔ Punycode dla domen IDNOtwórz
- Kalkulator IPMatematyka podsieci IPv4 i IPv6 CIDROtwórz
- Weryfikator BINMarka karty, bank i kraj z BIN/IINOtwórz
- Kodek Base64Kodowanie i dekodowanie tekstu Base64Otwórz
- Generator hasełSilne losowe hasła do pracy operacyjnejOtwórz
- Generator fraz hasłowychZapamiętywalne losowe frazy do bezpiecznych testówOtwórz
Powiązane artykuły
Praktyczne poradniki do typowych zadań z Walidator DKIM: rekordy DNS, kroki diagnostyczne i linki do naszych bezpłatnych narzędzi.
DKIM selector, what is DKIM selector, selector._domainkey
DKIM Selector Explained: How selector._domainkey Works
What a DKIM selector is, where it appears in DNS, and why mail providers use different selectors for signing keys.
Czytaj artykuł →find DKIM selector, DKIM selector lookup, Google Workspace DKIM selector
How to Find Your DKIM Selector
Practical places to find DKIM selectors in Google Workspace, Microsoft 365, Amazon SES, Mailchimp, SendGrid and email headers.
Czytaj artykuł →DKIM p tag, DKIM public key, DKIM TXT p=
DKIM p= Tag: Public Key Checks That Matter
How to read the DKIM p= public key tag, why empty p= revokes a key, and what truncated DNS TXT records look like.
Czytaj artykuł →DKIM 1024 vs 2048, DKIM key length, weak DKIM key
DKIM 1024 vs 2048 Bit Keys: What to Use
Why 2048-bit DKIM keys are preferred, when 1024-bit keys still appear, and how key length affects DNS TXT records.
Czytaj artykuł →DKIM t=y, DKIM testing mode, DKIM flags
DKIM t=y Testing Mode: When to Remove It
What the DKIM t=y flag means, why it is useful during rollout, and why it should not stay forever.
Czytaj artykuł →rotate DKIM keys, DKIM key rotation, multiple DKIM selectors
How to Rotate DKIM Keys Safely
A safe workflow for publishing a new selector, switching signing, waiting out TTL, and retiring the old DKIM key.
Czytaj artykuł →Google Workspace DKIM, google DKIM selector, Gmail DKIM record
Google Workspace DKIM Check: Selector and TXT Record
How Google Workspace DKIM records are named, what the google selector means, and how to troubleshoot missing or invalid records.
Czytaj artykuł →Microsoft 365 DKIM selector1 selector2, Office 365 DKIM, M365 DKIM CNAME
Microsoft 365 DKIM: selector1 and selector2 Explained
Why Microsoft 365 uses selector1 and selector2, how CNAME-based DKIM publishing works, and what to check when validation fails.
Czytaj artykuł →