DKIM – czym jest i jak go skonfigurować?

Wysyłanie maili w e-commerce i Marketing Automation to dziś znacznie więcej niż samo kliknięcie „wyślij”. Każda wiadomość e-mail musi zostać uznana przez serwer odbiorcy za autentyczną, bezpieczną i nienaruszoną, inaczej trafi do SPAMu albo w ogóle nie dotrze do skrzynki odbiorczej.

Właśnie w tym miejscu pojawia się DKIM, czyli mechanizm, który potwierdza, że mail faktycznie pochodzi z Twojej domeny i nie został zmieniony po drodze.

W dalszej części artykułu pokażemy:

• czym jest i co zrobisz z pomocą DKIM,
• jak działa technicznie,
• jak wygląda rekord DKIM w DNS,
• jak poprawnie przejść przez konfigurację i weryfikację.

Czym jest DKIM i co oznacza w praktyce?

DKIM to mechanizm uwierzytelniania poczty e-mail, który potwierdza autentyczność nadawcy i integralność wiadomości. W praktyce oznacza to, że każda wiadomość e-mail wysyłana z danej domeny jest kryptograficznie podpisywana, a serwery odbiorcze mogą sprawdzić, czy mail nie został zmodyfikowany oraz czy faktycznie pochodzi z deklarowanej domeny nadawcy.

DKIM działa na poziomie domeny, a nie pojedynczego adresu mail, dlatego jest tak istotny przy masowym wysyłaniu wiadomości, automatyzacjach, kampaniach e-commerce czy komunikacji transakcyjnej.

Dzięki temu mechanizmowi odbiorcy i ich serwery pocztowe mają jasny sygnał: „tej domenie można zaufać”.

Z perspektywy biznesowej DKIM:

• poprawia dostarczalność wiadomości,
• ogranicza ryzyko SPAMu i podszywania się pod innych nadawców,
• wzmacnia reputację nadawcy,
• zwiększa skuteczność wysyłania maili do klientów.

DomainKeys Identified Mail: skąd ta nazwa?

Nazwa DKIM pochodzi od rozwinięcia DomainKeys Identified Mail i dokładnie opisuje sposób działania tego standardu. Każda wiadomość e-mail jest „identyfikowana” poprzez domenę, z której pochodzi, a nie tylko przez adres nadawcy widoczny dla użytkowników.

W praktyce oznacza to, że serwer wysyłający podpisuje wiadomość przy użyciu klucza prywatnego, a serwer odbiorcy weryfikuje ten podpis, pobierając klucz publiczny z rekordu DNS domeny. To właśnie powiązanie maila z domeną sprawia, że DKIM jest tak skuteczny w walce ze SPAMem i atakami phishingowymi.

DomainKeys Identified Mail stał się standardem branżowym, wspieranym m.in. przez największe serwery odbiorcze i dostawców poczty, takich jak Google (Gmail). Bez DKIM wysyłanie maili na dużą skalę jest narażone na porażkę.

Jak działa DKIM?

DKIM działa poprzez podpisanie każdej wiadomości e-mail kluczem prywatnym domeny nadawcy i jej późniejszą weryfikację po stronie serwera odbiorcy.

W praktyce, serwer wysyłający generuje podpis DKIM, który trafia do nagłówków maila, a następnie serwery odbiorcze sprawdzają ten podpis, pobierając klucz publiczny z rekordu DKIM opublikowanego w DNS domeny.

Cały proces przebiega automatycznie i bez udziału użytkowników. Podczas wysyłania maila dochodzi do podpisania wiadomości przez serwer pocztowy, a wybrane nagłówki są podpisane przy użyciu klucza prywatnego.

Gdy mail dociera do serwera odbiorcy, następuje weryfikacja DKIM: serwer odczytuje selektor, pobiera odpowiedni rekord TXT z rekordu DNS i porównuje podpis z treścią wiadomości.

Jeśli podpis jest zgodny, wiadomość e-mail zostaje uznana za autentyczną i nienaruszoną. Jeżeli nie - mail może zostać oznaczony jako podejrzany, trafić do SPAMu albo zostać odrzucony jeszcze przed dostarczeniem do odbiorcy.

DKIM a dostarczalność: mniej spamu, więcej dostarczania

DKIM bezpośrednio wpływa na dostarczalność, ponieważ pomaga serwerom odbiorczym odróżnić autentyczne wiadomości od nieuwierzytelnionych. Gdy DKIM jest poprawnie skonfigurowany, serwery odbiorcze otrzymują jasny sygnał, że dana domena rzeczywiście autoryzuje wysyłanie tych wiadomości e-mail.

W praktyce oznacza to, że maile z poprawnym podpisem DKIM rzadziej trafiają do SPAMu, częściej docierają do skrzynki odbiorczej i są traktowane jako zaufane. Ma to ogromne znaczenie w e-commerce i Marketing Automation, gdzie wolumen wysyłanych wiadomości jest wysoki, a reputacja nadawcy budowana jest długofalowo.

Przeczytaj też: Dostarczalność emaili (deliverability) w 2026 roku: kluczowe obserwacje i wyzwania dla marketerów >>>

DKIM chroni także przed sytuacją, w której ktoś podszywa się pod Twoją domenę. Jeśli domena nie ma poprawnego rekordu DKIM, serwery odbiorcze mogą odrzucać wiadomości, nawet jeśli temat wysyłki i treść są poprawne.

Dobrze skonfigurowany DKIM:

• ogranicza ryzyko trafienia do SPAMu,
• zwiększa skuteczność dostarczania wiadomości,
• wzmacnia zaufanie serwerów odbiorczych,
• chroni domenę przed nadużyciami.

Co jest potrzebne, aby skonfigurować DKIM?

Aby skonfigurować DKIM, potrzebujesz dostępu do swojej domeny, serwera pocztowego lub narzędzia do wysyłania maili oraz możliwości edycji DNS domeny. W praktyce oznacza to, że musisz posiadać domenę, z której wysyłasz wiadomości e-mail, oraz dostęp do jej strefy DNS - najczęściej przez panel hostingu lub rejestratora.

Kluczowe elementy, które będą potrzebne w procesie konfiguracji DKIM:

• domena nadawcy, z której realizowane jest wysyłanie maili,
• serwer pocztowy lub platforma do Marketing Automation / e-mail marketingu,
• dostęp do konfiguracji DNS domeny,
• możliwość dodania rekordu TXT do strefy DNS.

Warto pamiętać, że DKIM konfiguruje się oddzielnie dla każdej domeny, a czasem także dla subdomen, jeśli wysyłka realizowana jest z różnych źródeł.

Krok 1: Generowanie klucza DKIM

Pierwszym krokiem konfiguracji DKIM jest wygenerowanie klucza DKIM u dostawcy poczty lub platformy do wysyłania maili. Proces ten odbywa się po stronie narzędzia, z którego realizujesz wysyłanie - serwera pocztowego, systemu Marketing Automation lub innego rozwiązania SaaS.

Każdy dostawca udostępnia również parametry konfiguracyjne, takie jak selektor DKIM, nazwa rekordu, typ wpisu (TXT) oraz pełna wartość rekordu. To dokładnie te dane, które w kolejnym kroku dodasz do DNS swojej domeny.

Krok 2: Rekord DKIM w DNS: jak wygląda i gdzie go dodać?

Rekord DKIM to specjalny rekord TXT w DNS domeny, który zawiera klucz publiczny używany do weryfikacji podpisu DKIM. Serwery odbiorcze odczytują go podczas sprawdzania autentyczności wiadomości e-mail.

Typowy rekord DKIM:

• jest typu TXT,
• zawiera selektor (np. selector1._domainkey),
• jest przypisany do konkretnej domeny lub subdomeny,
• zawiera długi ciąg znaków będący kluczem publicznym.

Rekord DKIM dodaje się w DNS domeny, czyli w panelu hostingu, rejestratora domeny lub dostawcy DNS. Miejsce dodania rekordu jest zawsze to samo - strefa DNS domeny, niezależnie od tego, z jakiego narzędzia korzystasz do wysyłania maili.

Krok 3: Dodanie rekordu TXT w strefie domeny (konfiguracji DNS)

Dodanie rekordu TXT polega na wklejeniu danych otrzymanych od dostawcy do odpowiedniego miejsca w konfiguracji DNS domeny. Choć technicznie jest to prosta operacja, wymaga dokładności - nawet drobna literówka może spowodować, że DKIM nie będzie działał.

Najczęstsze elementy rekordu TXT to:

• nazwa rekordu (z selektorem i domeną),
• typ rekordu: TXT,
• wartość rekordu zawierająca klucz publiczny,
• opcjonalny TTL (Time To Live, czyli w tym wypadku okres ważności danych w rekordzie TXT).

Po zapisaniu zmian rekord trafia do DNS, ale nie zawsze jest widoczny od razu. Propagacja DNS może potrwać od kilku minut do nawet kilkunastu godzin - to normalny etap konfiguracji, na który wpływa wartość TTL.

Krok 4: Weryfikacja, czyli upewnij się, że wszystko działa

Ostatnim etapem konfiguracji DKIM jest weryfikacja, czyli sprawdzenie, czy rekord DKIM jest poprawnie widoczny i wykorzystywany przy wysyłaniu maili. Weryfikację możesz wykonać bezpośrednio w panelu dostawcy poczty lub za pomocą narzędzi do sprawdzania DNS np. PowerDMARC.com.

Proces weryfikacji DKIM polega na:

• sprawdzeniu, czy rekord TXT jest poprawnie odczytywany z DNS,
• potwierdzeniu, że podpis DKIM pojawia się w nagłówkach wysyłanych wiadomości,
• upewnieniu się, że serwery odbiorcze poprawnie akceptują podpis.

Po pozytywnej weryfikacji DKIM zaczyna działać automatycznie dla wszystkich kolejnych wiadomości e-mail wysyłanych z danej domeny.

Podsumowanie

DKIM to jeden z kluczowych mechanizmów uwierzytelniania poczty e-mail, który bezpośrednio wpływa na dostarczalność, bezpieczeństwo i wiarygodność wysyłanych wiadomości. Dzięki podpisowi kryptograficznemu serwery odbiorcze mogą potwierdzić autentyczność nadawcy oraz integralność treści, co znacząco ogranicza ryzyko SPAMu i nadużyć.

Poprawna konfiguracja DKIM wymaga dostępu do domeny, wygenerowania klucza u dostawcy oraz dodania odpowiedniego rekordu TXT w DNS. Po przejściu weryfikacji DKIM działa automatycznie, wspierając reputację domeny i skuteczność wysyłania maili - szczególnie w e-commerce i Marketing Automation, gdzie skala i powtarzalność komunikacji mają kluczowe znaczenie.

Autor: Michał Kidoń

Najczęściej zadawane pytania (FAQ)

Jak sprawdzić DKIM dla domeny?

DKIM dla domeny sprawdzisz, weryfikując obecność rekordu DKIM w DNS oraz nagłówki wysłanej wiadomości e-mail. W praktyce możesz skorzystać z narzędzi do sprawdzania rekordów DNS lub wysłać mail testowy i przeanalizować nagłówki pod kątem informacji o weryfikacji DKIM.

Jak wygenerować klucz DKIM?

Klucz DKIM generuje się w panelu serwera pocztowego lub narzędzia do wysyłania maili. System automatycznie tworzy klucz prywatny (private key) oraz klucz publiczny (public key), a następnie udostępnia gotowe parametry rekordu TXT do dodania w DNS domeny.

Co to jest zabezpieczenie DKIM?

Zabezpieczenie DKIM to mechanizm podpisywania wiadomości e-mail, który chroni je przed modyfikacją i podszywaniem się pod domenę nadawcy. Dzięki weryfikacji podpisu serwery odbiorcze mogą potwierdzić integralność treści i autentyczność nadawcy.

Skrót DKIM - co to znaczy?

DKIM to skrót od DomainKeys Identified Mail. Oznacza standard uwierzytelniania poczty e-mail, który wiąże każdą wiadomość z domeną nadawcy za pomocą kryptograficznego podpisu.