Sjekk eget domene →

DKIM forklart: Digital signatur for e-post

Publisert 7. mai 2026 · Av Micronet · 6 min lesetid

DKIM er det tredje benet i e-posttreenigheten — sammen med SPF og DMARC. Mens SPF sjekker hvor e-posten kom fra, beviser DKIM at innholdet ikke er endret og at avsenderen virkelig er den de utgir seg for.

Innhold

  1. Hva er DKIM?
  2. Slik fungerer DKIM teknisk
  3. Oppsett — steg for steg
  4. Hva er en DKIM-selektor?
  5. 2048-bit eller 1024-bit nøkkel?
  6. 5 vanlige DKIM-feil
  7. Hvordan teste DKIM

1. Hva er DKIM?

DKIM står for DomainKeys Identified Mail og er definert i RFC 6376. Det fungerer som en digital signatur som legges til hver e-post du sender. Mottakerserveren kan verifisere signaturen mot en offentlig nøkkel som ligger i DNS-en din — og dermed bevise at:

  1. E-posten faktisk kom fra deg (autentisering)
  2. Innholdet ikke er endret underveis (integritet)

Tenk på det som et signert og forseglet brev. SPF sjekker postnummeret avsenderen kommer fra, men DKIM sjekker selve underskriften.

2. Slik fungerer DKIM teknisk

DKIM bruker asymmetrisk kryptografi (RSA eller Ed25519):

  1. Du har et nøkkelpar — én privat (hemmelig) og én offentlig.
  2. Den private nøkkelen ligger på e-postserveren din. Den offentlige ligger som en TXT-record i DNS-en på selektor._domainkey.dittfirma.no.
  3. Når du sender en e-post, tar serveren bestemte deler av meldingen (header + body) og signerer dem med privat nøkkel.
  4. Signaturen legges til som DKIM-Signature: i e-postens header.
  5. Mottakerserveren henter offentlig nøkkel fra DNS, og verifiserer signaturen.
  6. Hvis signaturen er gyldig → DKIM pass. Hvis ikke → DKIM fail.

En typisk DKIM-DNS-record ser slik ut:

selector1._domainkey.dittfirma.no  TXT
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAo..."

3. Oppsett — steg for steg

De fleste e-postleverandører genererer DKIM-nøkler automatisk. Du må bare aktivere det.

Microsoft 365 / Outlook

  1. Gå til Microsoft Defender for Office 365 → E-post & samarbeid → Policyer & regler → Trusler → DKIM.
  2. Velg domenet ditt og klikk Enable.
  3. Microsoft gir deg to CNAME-records (selector1 og selector2). Legg dem inn i DNS-en din.
  4. Vent 30 min og slå på DKIM i Microsoft-portalen.

Google Workspace / Gmail

  1. I Google Admin: Apper → Google Workspace → Gmail → Autentisering.
  2. Velg domenet ditt og klikk Generate new record.
  3. Google gir deg en TXT-record. Legg den inn i DNS.
  4. Vent på DNS-propagering, og klikk Start authentication i admin-panelet.

Mailchimp / Sendgrid / Mailgun

Disse genererer egne DKIM-nøkler. Du legger inn de TXT- eller CNAME-records de gir deg, og de signerer alle e-poster du sender via tjenesten.

Tips: Hvis du bruker flere leverandører (f.eks. Microsoft 365 til ansatte og Mailchimp til markedsføring), trenger du DKIM-konfigurasjon for begge. Hver leverandør får sin egen selektor.

4. Hva er en DKIM-selektor?

Siden du kan ha flere DKIM-nøkler samtidig (én per leverandør), bruker DKIM en selektor som peker til riktig nøkkel. Selektoren står i DKIM-Signature-headeren som s=.

Eksempel:

DKIM-Signature: v=1; a=rsa-sha256;
  d=dittfirma.no; s=selector1;
  c=relaxed/relaxed; h=From:Subject:Date;
  bh=...; b=...

Mottakerserveren leser s=selector1 og slår opp selector1._domainkey.dittfirma.no i DNS for å hente den offentlige nøkkelen.

Vanlige selektor-navn vi ser hos norske bedrifter:

5. 2048-bit eller 1024-bit nøkkel?

Når du genererer en DKIM-nøkkel kan du velge nøkkellengde. Korte nøkler er raskere men mindre sikre:

Hvis du har en gammel nøkkel, generér en ny på 2048-bit og rotér den. Begge kan eksistere samtidig under forskjellige selektorer i en overgangsperiode.

6. 5 vanlige DKIM-feil

  1. Brukket linjeskift i DNS-recorden. DKIM-recordene er lange. Hvis DNS-leverandøren bryter linjen feil eller mangler anførselstegn, blir signaturen ugyldig. Bruk en DKIM-validator (eller data1.no) for å sjekke.
  2. Glemt å rotere nøklene. Best practice er å rotere DKIM-nøkler én gang i året. Mange e-postleverandører gjør dette automatisk — hvis du har kopiert nøkkelen manuelt og glemt rotasjon, blir e-postene plutselig ikke signert.
  3. 1024-bit gammel nøkkel. Mange .no-domener har gammel 1024-bit nøkkel som de glemte å oppgradere. Dette flagges som svakt i sikkerhetsverktøy.
  4. DKIM-signatur som er for streng. Hvis du signerer for mange headers og en mellom-server endrer noe, feiler signaturen. Standard-oppsett (h=From:Subject:Date) holder.
  5. Mismatch mellom From-domene og DKIM-signatur-domene. DMARC krever at d= i DKIM-signaturen matcher From-headerens domene (alignment).

7. Hvordan teste DKIM

Den enkleste måten er å bruke data1.no — vi prøver 30+ vanlige selektor-navn automatisk og forteller deg hvilke som er satt opp, hvor lange nøklene er, og om det er feil.

Alternativt kan du sjekke manuelt hvis du vet selektor-navnet:

dig +short TXT selector1._domainkey.dittfirma.no

Eller send en test-e-post til [email protected] — du får et svar med komplett SPF/DKIM/DMARC-rapport innen sekunder.

Viktig: Hvis DKIM ikke vises i data1.no-resultatet, betyr det ikke nødvendigvis at DKIM mangler — bare at du bruker en sjelden selektor. Se i header på en faktisk e-post fra domenet ditt for å finne selektor-navnet.

Sjekk DKIM-oppsettet ditt

Vi prøver 30+ selektorer og forteller deg om alt er konfigurert riktig.

Sjekk eget domene →

Lese mer

M
Micronet
Norsk IT-konsulenttjeneste — DMARC, e-post sikkerhet og infrastruktur. micronet.no