Po co generować klucze tutaj zamiast pozwolić zrobić to dostawcy poczty?

Większość zarządzanych dostawców (Google Workspace, Microsoft 365, Mailgun, SendGrid) daje klucz DKIM out of the box. Ale jeśli prowadzisz **własne SMTP** (Postfix + opendkim, exim, Haraka, własny mailer w Node), jeśli **migrujesz** między dostawcami i chcesz utrzymać podpisywanie w trakcie, albo po prostu chcesz **zrotować** stary klucz którego Twój panel nigdy nie eksponował. Generujesz parę sam. To narzędzie robi to jednym klikiem bez instalowania OpenSSL.

Którą długość klucza wybrać: 1024, 2048 czy 4096?

**2048 bitów to właściwa odpowiedź dla prawie każdego**. To rekomendacja **RFC 8301** i de facto obecny standard. **1024 bity** jeszcze działają u większości odbiorców, ale są uważane za słabe (NIST wycofał to dla podpisów RSA lata temu) i Google ostrzega. **4096 bitów** jest technicznie silniejsze, ale podpisy są liczone **5 do 7 razy wolniej** i klucz publiczny bywa za długi dla starszych paneli DNS. Podpis jest liczony dla **każdej** wychodzącej wiadomości, więc 4096-bit przy dużym wolumenie staje się realnym kosztem CPU bez praktycznego zysku bezpieczeństwa nad 2048-bit.

Czym jest "selektor" i jak go wybrać?

**Selektor** to krótka etykieta (zwykle alfanumeryczna, np. `mail2024`, `s1`, `google`, `mxvault`) która staje się częścią nazwy DNS gdzie publikujesz klucz publiczny: ` ._domainkey. `. Wiadomość podpisana zawiera selektor w nagłówku DKIM-Signature (`s=mail2024`), żeby odbiorca wiedział który klucz pobrać. Sens selektorów: możesz publikować **wiele kluczy jednocześnie** pod różnymi selektorami, co umożliwia czystą **rotację bez przerwy w wysyłce**. Wybierz coś opisowego, np. `mail-2026-05` jeśli rotujesz cyklicznie.

Gdzie ląduje klucz prywatny po pobraniu?

Na Twoim **serwerze pocztowym**, w miejscu z którego daemon SMTP (albo moduł podpisujący jak opendkim) może go odczytać. Typowe ścieżki: `/etc/opendkim/keys/ / .private` na Linuksie, albo gdziekolwiek dokumentuje Twój dostawca. **Uprawnienia są kluczowe**: plik powinien być czytelny tylko dla użytkownika serwera pocztowego (`chmod 600`, owner `opendkim` albo użytkownik mailera). Klucz prywatny nigdy nie opuszcza serwera, nigdy nie jest wysyłany mailem ani commitowany do gita. Jeśli ląduje gdzieś indziej, traktuj jak skompromitowany i rotuj.

Jak często rotować klucze DKIM?

Rekomendacja **M3AAWG** i Google: **co 6 miesięcy** dla nadawców produkcyjnych. W praktyce wielu mniejszych nadawców rotuje raz do roku i to też jest OK, a duże platformy (provider transakcyjny, duże firmy) często co kwartał. Rotacja jest tania jeśli zrobić ją dobrze: generujesz nowy selektor, publikujesz nowy klucz w DNS, przełączasz konfig serwera na podpisywanie nowym kluczem, **czekasz minimum tydzień** zanim wycofasz stary selektor (bo wiadomości podpisane przed przełączeniem są weryfikowane przy dostarczeniu, które może być godziny lub dni po wysłaniu dla maili opóźnionych).

Jak DKIM ma się do SPF i DMARC?

**SPF** mówi "te adresy IP mogą wysyłać pocztę z mojej domeny". **DKIM** mówi "tę konkretną wiadomość podpisałem kluczem prywatnym mojej domeny, więc treść jest autentyczna". **DMARC** wiąże je razem: mówi odbiorcom "jeśli wiadomość nie przeszła ani SPF ani DKIM, zrób X" (X to zwykle `none` dla monitorowania, `quarantine` dla spam folderu, `reject` żeby odrzucić). Chcesz **wszystkich trzech**. DKIM jest najsilniejszy z trójki, bo podpis pokrywa body wiadomości. Nawet jeśli pośrednik zmodyfikuje nagłówki, podpis może się zgodzić. SPF psuje się przy każdym forwardzie, DKIM przeżywa większość forwardów.

Co zrobić jeśli klucz prywatny wycieknie?

Każdy z kluczem może podpisać pocztę jako Twoja domena, co kasuje cały sens DKIM. **Traktuj wyciek poważnie**: natychmiast wygeneruj nową parę pod **nowym selektorem**, opublikuj nowy klucz publiczny w DNS, przełącz serwer pocztowy na podpisywanie nowym kluczem i **unieważnij wyciekły klucz** ustawiając wartość `p=` jego rekordu na pustą (`v=DKIM1; k=rsa; p=`). Odbiorcy próbujący zweryfikować podpis wyciekłym kluczem zobaczą puste `p=` i odrzucą podpis jako unieważniony. Nie kasuj od razu starego rekordu TXT, zostaw unieważnienie na kilka tygodni żeby odbiorcy widzieli "jawnie odwołany" zamiast "selektor brak".

Dlaczego rekord TXT jest dzielony na wiele cudzysłowiowanych stringów?

Pojedynczy character-string w rekordzie TXT DNS jest **limitowany do 255 oktetów** przez **RFC 1035**. Klucz publiczny 2048-bit w base64 ma około **400 znaków**, a 4096-bit około **730 znaków**, oba grubo ponad limit. DNS rozwiązuje to pozwalając jednemu rekordowi TXT zawierać **wiele cudzysłowiowanych stringów**, które resolver skleja: `"v=DKIM1; k=rsa; p=MIIBIj..." "...AQAB"`. Nowoczesne panele DNS (Cloudflare, Route 53) akceptują długi pojedynczy string i tną go same; starsze panele (część cPanela, klasyczny OVH, generyczne registry) wymagają wpisania wersji split ręcznie. Damy obie, wklej tę którą Twój dostawca akceptuje.

Jaka jest właściwa strategia rolloveru z wieloma selektorami?

Czysty wzorzec: (1) **wygeneruj** nową parę pod nowym selektorem, np. `s2-2026`; (2) **opublikuj** nowy klucz publiczny w DNS przy nadal działającym starym selektorze `s1-2025`; (3) **poczekaj na propagację DNS** (kilka godzin do dnia); (4) **przełącz** serwer pocztowy na podpisywanie kluczem nowego selektora; (5) **poczekaj minimum 1 do 2 tygodni** żeby poczta w locie albo opóźniona, podpisana starym kluczem, nadal się weryfikowała; (6) **unieważnij** stary selektor opróżniając jego `p=`; (7) **usuń** stary rekord TXT zupełnie po kolejnym miesiącu. Ta sekwencja zero-downtime jest dokładnie powodem dla którego DKIM ma selektory. Nigdy nie musisz przerywać podpisywania żeby rotować.

Generator kluczy DKIM - darmowy

Czym jest para kluczy DKIM

DKIM (DomainKeys Identified Mail) to standard, dzięki któremu Twój serwer pocztowy kryptograficznie podpisuje każdą wychodzącą wiadomość. Odbiorcy (Gmail, Outlook) weryfikują podpis i wiedzą, że mail naprawdę pochodzi z Twojej domeny i nie został zmodyfikowany po drodze. Do tego potrzebujesz pary kluczy: klucza prywatnego, który siedzi na serwerze i podpisuje wiadomości, oraz klucza publicznego, który publikujesz jako rekord TXT w DNS pod adresem `<selektor>._domainkey.<twoja-domena>`, żeby odbiorcy mogli go pobrać.

To narzędzie generuje tę parę za Ciebie. Zwraca klucz prywatny w formacie PEM (instalujesz go na serwerze pocztowym) i gotowy do wklejenia rekord TXT (publikujesz go w DNS). RSA 1024 / 2048 / 4096 bitów, generowane wbudowanym modułem crypto Node'a (OpenSSL pod spodem). Nigdzie nie zapisujemy klucza.

Jak używać

Wybierz selektor: krótka etykieta typu `mail2024`, `s1`, `google`. Mówi, który klucz podpisał wiadomość. Nowy selektor pozwala rotować klucze bez psucia starych maili.
Wybierz długość klucza: 2048 bitów to obecny standard. 1024 jest przestarzałe (jeszcze akceptowane, ale odradzane). 4096 to przesada w 99% przypadków i spowalnia podpisywanie.
Opcjonalnie wpisz domenę żebyśmy pokazali pełną nazwę DNS (`<selektor>._domainkey.<domena>`). Bez tego i tak dostaniesz treść rekordu TXT.
Kliknij Generuj. Dostaniesz klucz prywatny w PEM i wartość rekordu TXT gotową do wklejenia w panel DNS.
Zapisz klucz prywatny od razu. Nigdzie nie trzymamy kopii. Zamknięcie karty = klucz znika na zawsze. Zainstaluj go w serwerze pocztowym (Postfix + opendkim, exim, Mailgun, SendGrid, Postmark, własne SMTP) według dokumentacji Twojego dostawcy.
Opublikuj rekord TXT pod `<selektor>._domainkey.<twoja-domena>` w DNS. Jeśli Twój dostawca DNS limituje pojedynczy string TXT do 255 znaków (większość tak, taki jest limit RFC), użyj wersji split którą damy: `"część1" "część2"` w jednej linii.
Poczekaj na propagację DNS (od kilku minut do kilku godzin), wyślij testowego maila i sprawdź nagłówki pod kątem `dkim=pass`. Gmail pokazuje to w "Pokaż oryginał".

Kiedy się przydaje

Sześć typowych sytuacji w których potrzebujesz świeżej pary DKIM:

Pierwsze ustawienie DKIM na nowej domenie albo nowym serwerze pocztowym. Potrzebujesz pary kluczy zanim skonfigurujesz cokolwiek po stronie poczty albo DNS.
Rotacja kluczy co 6 do 12 miesięcy jako higiena bezpieczeństwa. Generujesz nowy selektor, publikujesz, przełączasz klucz podpisujący na serwerze, wycofujesz stary selektor po okresie karencji.
Podejrzenie kompromitacji klucza: jeśli sądzisz że klucz prywatny wyciekł (włamanie na serwer, przypadkowy commit do publicznego repo, były admin nadal ma dostęp), wygeneruj nowy natychmiast i unieważnij stary opróżniając wartość `p=`.
Dodanie drugiego źródła wysyłki (np. provider transakcyjny SendGrid obok własnego Postfixa). Każde źródło zwykle chce własny selektor i własny klucz.
Przejście ze starego klucza 1024-bit na nowoczesny 2048-bit. Większość dostawców głośno o tym ostrzega w 2026.
Testy DKIM na domenie staging zanim włączysz to na produkcji.

Powiązane: sprawdzanie DNS dla email (SPF / DKIM / DMARC) (weryfikacja Twojego rekordu), sprawdzanie DNS, analizator nagłówków email.

Pytania i odpowiedzi

DKIM (DomainKeys Identified Mail) to standard uwierzytelniania poczty. Serwer pocztowy podpisuje każdą wychodzącą wiadomość kluczem prywatnym, a odbiorcy pobierają Twój klucz publiczny z DNS żeby zweryfikować podpis. Jeśli matematyka się zgadza, odbiorca wie że wiadomość naprawdę przyszła z Twojej domeny i body nie zostało zmienione po drodze. Bez DKIM Gmail i Outlook traktują Twoją pocztę jak podejrzaną albo wrzucają od razu do spamu. DKIM to jeden z trzech filarów dostarczalności poczty, obok SPF (kto może wysyłać w Twoim imieniu) i DMARC (co odbiorcy mają zrobić gdy SPF lub DKIM nie przejdzie).

Generator kluczy DKIM

Wybierz selektor i długość klucza. Wygenerujemy parę RSA: klucz prywatny zainstalujesz na serwerze pocztowym, klucz publiczny opublikujesz jako rekord TXT w DNS.

Selektor

Krótka etykieta DNS. Wybierz coś opisowego (np. mail-2026-05) żeby łatwo rotować klucze.

Długość klucza

Domena (opcjonalnie)

Jeśli podasz domenę, pokażemy pełną nazwę rekordu DNS: [selector]._domainkey.[domain]

Zapisz klucz prywatny TERAZ

Nie trzymamy kopii. Zamknięcie tej karty = klucz znika na zawsze. Pobierz, wklej do password managera albo zainstaluj na serwerze zanim opuścisz tę stronę.

Paranoja

Generujemy klucz po stronie naszego serwera i wysyłamy do Ciebie po TLS. Jeśli klucz nigdy nie ma opuszczać Twojej maszyny, uruchom lokalnie: openssl genrsa -out private.pem 2048 i openssl rsa -in private.pem -pubout -out public.pem.

Czym jest para kluczy DKIM

Jak używać

Wybierz selektor: krótka etykieta typu `mail2024`, `s1`, `google`. Mówi, który klucz podpisał wiadomość. Nowy selektor pozwala rotować klucze bez psucia starych maili.

Wybierz długość klucza: 2048 bitów to obecny standard. 1024 jest przestarzałe (jeszcze akceptowane, ale odradzane). 4096 to przesada w 99% przypadków i spowalnia podpisywanie.

Opcjonalnie wpisz domenę żebyśmy pokazali pełną nazwę DNS (`<selektor>._domainkey.<domena>`). Bez tego i tak dostaniesz treść rekordu TXT.

Kliknij Generuj. Dostaniesz klucz prywatny w PEM i wartość rekordu TXT gotową do wklejenia w panel DNS.

Zapisz klucz prywatny od razu. Nigdzie nie trzymamy kopii. Zamknięcie karty = klucz znika na zawsze. Zainstaluj go w serwerze pocztowym (Postfix + opendkim, exim, Mailgun, SendGrid, Postmark, własne SMTP) według dokumentacji Twojego dostawcy.

Opublikuj rekord TXT pod `<selektor>._domainkey.<twoja-domena>` w DNS. Jeśli Twój dostawca DNS limituje pojedynczy string TXT do 255 znaków (większość tak, taki jest limit RFC), użyj wersji split którą damy: `"część1" "część2"` w jednej linii.

Poczekaj na propagację DNS (od kilku minut do kilku godzin), wyślij testowego maila i sprawdź nagłówki pod kątem `dkim=pass`. Gmail pokazuje to w "Pokaż oryginał".

Kiedy się przydaje

Sześć typowych sytuacji w których potrzebujesz świeżej pary DKIM:

Pierwsze ustawienie DKIM na nowej domenie albo nowym serwerze pocztowym. Potrzebujesz pary kluczy zanim skonfigurujesz cokolwiek po stronie poczty albo DNS.
Rotacja kluczy co 6 do 12 miesięcy jako higiena bezpieczeństwa. Generujesz nowy selektor, publikujesz, przełączasz klucz podpisujący na serwerze, wycofujesz stary selektor po okresie karencji.
Podejrzenie kompromitacji klucza: jeśli sądzisz że klucz prywatny wyciekł (włamanie na serwer, przypadkowy commit do publicznego repo, były admin nadal ma dostęp), wygeneruj nowy natychmiast i unieważnij stary opróżniając wartość `p=`.
Dodanie drugiego źródła wysyłki (np. provider transakcyjny SendGrid obok własnego Postfixa). Każde źródło zwykle chce własny selektor i własny klucz.
Przejście ze starego klucza 1024-bit na nowoczesny 2048-bit. Większość dostawców głośno o tym ostrzega w 2026.
Testy DKIM na domenie staging zanim włączysz to na produkcji.

Powiązane: sprawdzanie DNS dla email (SPF / DKIM / DMARC) (weryfikacja Twojego rekordu), sprawdzanie DNS, analizator nagłówków email.

Pytania i odpowiedzi

Generator kluczy DKIM

Czym jest para kluczy DKIM

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

DNS poczty (SPF, DKIM, DMARC)

Sprawdzanie DNS

Walidator DNSSEC

Analizator nagłówków e-maila

WHOIS Lookup

Generator kluczy DKIM

Czym jest para kluczy DKIM

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

DNS poczty (SPF, DKIM, DMARC)

Sprawdzanie DNS

Walidator DNSSEC

Analizator nagłówków e-maila

WHOIS Lookup