Chat / +372 505 8656 (Ma-Pe 09:00-16:00) / support@radicenter.eu / Vikailmoitus

DKIM ja DMARC käytäntö alkaen vuodesta 2025

KB Etusivu / cPanel/DKIM ja DMARC käytäntö alkaen vuodesta 2025

Lyhyesti: DKIM varmistaa lähettäjän aitouden ja DMARC määrää, miten vastaanottajan tulee käsitellä viestit. Nykytilanteessa pelkkä p=none ei suojaa brändiä eikä toimitusvarmuutta. Käytä vähintään p=quarantine tai mieluiten p=reject, yhdessä tarkoituksenmukaisten adkim– ja aspf-asetusten kanssa.

cPanel-pikastartti

  1. Avaa Email Deliverability -> korjaa DKIM/SPF (painike Repair / Install the suggested record(s)).
  2. Varmista, että DNS:ssä on default._domainkey.<domain> (DKIM) ja toimiva SPF.
  3. Lisää DMARC Zone Editorissa nimelle _dmarc (TXT). Aloita karanteenilla: 
    v=DMARC1; p=quarantine; aspf=r; adkim=r

    Siirry hylkyyn, kun kaikki on linjassa:

    v=DMARC1; p=reject; aspf=s; adkim=s
  4. (Suositus) Lisää koontiraportointi myöhemmin: rua=mailto:dmarc-rua@example.fi.

Samojen asetusten täysi DNS-rivi (BIND-tyyli)

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r"
_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s"

Mitä DKIM, SPF ja DMARC ovat

  • SPF: määrittää, mitkä palvelimet saavat lähettää domainisi puolesta (DNS TXT v=spf1 ...). Suojaa envelope/Return‑Pathia, ei näkyvää Fromia.
  • DKIM: kryptografinen allekirjoitus; vastaanottaja hakee julkisen avaimen DNS:stä (selector._domainkey.example.fi -> v=DKIM1; k=rsa; p=...).
  • DMARC: sitoo näkyvän From‑osoitteen SPF/DKIM‑tuloksiin ja määrää politiikan (none/quarantine/reject) sekä raportoinnin.

Alignment (tasasuuntaus): From‑domainin on vastattava DKIMin d=‑domainia tai SPF:n MailFrom/Return‑Path‑domainia. adkim=r / aspf=r sallii alidomainit; adkim=s / aspf=s vaatii täsmäyksen.

Miksi p=none ei enää riitä

  1. Ei täytäntöönpanoa: epäonnistuneet viestit eivät siirry karanteeniin eikä niitä hylätä -> spoofing jatkuu.
  2. Toimitusvarmuus: suuret vastaanottajat käyttävät DMARCia signaalina; ilman enforcementia myös legitiimit viestit kärsivät.
  3. Näkyvyys ≠ suoja: pelkkä raportointi ei estä väärinkäyttöä – quarantine/reject ohjaa ekosysteemiä oikein.

Johtopäätös: Aloita p=quarantine (relaxed) ja siirry p=reject (strict), kun kaikki lähettäjät alignaavat.

Milloin relaxed (r) ja milloin strict (s)?

  • Relaxed (aspf=r; adkim=r): useita lähettäjäalustoja/ alidomaineja -> joustavampi käyttöönotto.
  • Strict (aspf=s; adkim=s): hallitset lähetysketjua täysin -> vahvin suoja From‑spoofingia vastaan.

DKIM – käytännön ohjeet

  1. 2048‑b avaimet (tai vahvemmat); vaihda 6–12 kk välein.
  2. Selector‑strategia: esim. s2025q4; pidä kaksi selektoria rinnakkain avainvaihdoissa.
  3. Allekirjoita vähintään: From, Date, Subject, Message‑ID (ja usein To).
  4. Kanonisointi: c=relaxed/relaxed kestää reittimuokkauksia.
  5. cPanel/DNS: oletus‑selektori on default -> julkinen avain julkaistaan default._domainkey.<domain>.
  6. Testaus: tarkista Authentication‑Results‑otsakkeet: dkim=pass, spf=pass, dmarc=pass.

DKIM DNS‑esimerkki (cPanel default):

default._domainkey.example.fi. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Allekirjoitus esimerkki:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.fi; s=s2025q4;
 h=from:date:subject:message-id:to:mime-version:content-type;
 bh=...; b=...

DMARC – politiikat

Seuranta (ei suositella pitkäksi aikaa)

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:dmarc-rua@example.fi; ruf=mailto:dmarc-ruf@example.fi; fo=1; ri=86400"

Siirtymävaihe (suositus minimiksi)

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r; pct=100; sp=quarantine; rua=mailto:dmarc-rua@example.fi; fo=1; ri=86400"

Täysi täytäntöönpano

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s; sp=quarantine; rua=mailto:dmarc-rua@example.fi; fo=1; ri=86400"

Minimaaliset (ilman raportointia)

Pelkkä Value cPanelin TXT-kenttään:

v=DMARC1; p=quarantine; aspf=r; adkim=r
v=DMARC1; p=reject; aspf=s; adkim=s

Täysi DNS-rivi (BIND):

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r"
_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s"

Raportointi

_dmarc.example.fi. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r; rua=mailto:dmarc-rua@example.fi!10m,mailto:dmarc-ops@example.fi; ruf=mailto:dmarc-ruf@example.fi; fo=1; ri=86400"

Tyypillinen käyttöönottoaskelmapolku

  1. Inventoi lähettäjät (CRM, markkinointi, tiketöinti, laskutus…).
  2. SPF kuntoon; vältä +all ja liiallista include-ketjutusta.
  3. DKIM kaikille lähettäjille (2048‑b, erilliset selektorit).
  4. DMARC p=none + RUA 1–4 viikkoa, korjaa poikkeamat.
  5. Nosta p=quarantine (relaxed); seuraa vaikutuksia.
  6. Siirry p=reject (strict), kun kaikki viestit alignaavat.

Lisälukemista (dmarcian)

Kirjailija - 27 loka 2025 Luokka / cPanel, Roskaposti, Sähköposti, Turvallisuus, Verkkotunnukset
IP Info:
Radicenter 2025