Vad är DKIM?
DomainKeys Identified Mail (DKIM) är en e-postautentiseringsmetod som lägger till en digital signatur i varje utgående meddelande. Signaturen skapas med en privat nyckel som din e-postserver håller, och verifieras av mottagande servrar med hjälp av en tillhörande offentlig nyckel publicerad i ditt DNS.
När en mottagande server kontrollerar DKIM-signaturen och den stämmer, bevisar det två saker:
- Mejlet kom faktiskt från din domäns auktoriserade infrastruktur.
- Meddelandets innehåll inte har förändrats under transport.
DKIM är ett nödvändigt byggblock för DMARC-alignering. Utan DKIM (eller SPF) har DMARC ingenting att alignera mot.
Vad du bör göra
Steg 1 — Generera ett nyckelpar
De flesta hosted e-postleverantörer (Google Workspace, Microsoft 365 m.fl.) hanterar DKIM-nyckelgenerering internt och ger dig DNS-värdet att publicera. För egenhostade e-postservrar genererar du nyckelparet själv:
opendkim-genkey -t -s mail -d dindomän.se
Detta skapar:
- mail.private — den privata nyckeln, som sparas på din e-postserver
- mail.txt — TXT-postvärdet att publicera i DNS
Steg 2 — Publicera den offentliga nyckeln i DNS
Publicera en TXT-post på selektor-subdomänen. Standardformatet är:
<selektor>._domainkey.dindomän.se
Selektorn är en etikett du väljer (t.ex. mail, google, s1). Ditt DNS-postvärde ser ut ungefär så här:
v=DKIM1; k=rsa; p=MIGfMA0GCSq...base64-kodad-offentlig-nyckel...
Vanliga selektorer per leverantör:
| Leverantör | Selektor |
|---|---|
| Google Workspace | google |
| Microsoft 365 | selector1, selector2 |
| Mailchimp | k1 |
| SendGrid | s1, s2 |
Steg 3 — Aktivera signering på din e-postserver
Konfigurera din e-postserver eller leverantör att signera utgående meddelanden med den privata nyckeln. I Google Workspace är detta en växel under Admin → Appar → Google Workspace → Gmail → Autentisera e-post. För egenhostade Postfix/OpenDKIM-lösningar lägger du till signeringskonfigurationen i /etc/opendkim.conf.
Steg 4 — Verifiera
Efter DNS-spridning, skicka ett testmejl och kontrollera rubrikerna för ett DKIM-Signature-fält. Använd ett verktyg som MXToolbox DKIM-kontroll eller mail-tester.com för att bekräfta att signaturen valideras.
Din nästa ExposureIndex-rapport kommer visa ett förbättrat resultat efter att detta har implementerats.
Nyckelrotation
DKIM-nycklar bör roteras regelbundet (minst en gång per år). Använd flera selektorer så att du kan publicera en ny nyckel (selector2) innan du avvecklar den gamla (selector1), vilket ger dig en övergångsperiod utan leveransproblem.
Vanliga misstag
- Publicera nyckeln men glömma aktivera signering — DNS-posten finns men utgående mejl saknar signatur. Kontrollera din e-postserverkonfiguration, inte bara DNS.
- För kort nyckel — 1024-bitarsnycklar anses numera vara svaga. Använd minst 2048 bitar.
- Vidarebefordrad e-post — E-postvidarebefordring bryter ofta DKIM-signaturer eftersom vidarebefordringsservern kan ändra meddelandet. Detta är förväntat; DMARC-alignering via SPF kan kompensera.
Senast uppdaterad: March 28, 2026