DKIM-подпись: что это такое и как правильно настроить

Что такое DKIM-подпись и зачем она нужна

DomainKeys Identified Mail от англ. «почта, идентифицированная с использованием доменных ключей»— это технология, которая используется, чтобы проверять подлинность отправителя и гарантировать, чтобы письмо не было изменено в процессе передачи.

Email остается главным каналом общения для бизнеса. Компании отправляют клиентам счета, коммерческие предложения, рекламные рассылки и важные уведомления. Но без защиты письма легко подделать.

Мошенники могут отправлять фальшивые письма от имени банка, интернет-магазина или сервиса доставки. Получатель увидит знакомый адрес, но кликнет по вредоносной ссылке или передаст мошенникам конфиденциальные данные.

Как это работает:

1. Организация отправляет email. Почтовый сервер добавляет к нему подпись DKIM — зашифрованный уникальный код.
2. Получатель открывает письмо. Сервис автоматически проверяет подпись, сверяет ее с открытым идентификатором, который хранится в DNS домена отправителя.
3. Если подпись совпадает с ключом, письмо считается подлинным и попадает во «Входящие». Если нет — текст отправляют в спам или блокируют.

Разберем на примере. Интернет-магазин косметики запускает email-рассылку о скидках и акциях. Без DKIM сообщения компании могут начать копировать мошенники: клиенты могут начать получать поддельные сообщения с фальшивыми ссылками, случайно по ним перейти и потерять деньги.

Руководство магазина настроило цифровую технологию. Теперь тексты, отправленные с их домена, подтверждаются электронной подписью. Если кто-то попытается подделать такие письма, почтовые сервисы сразу их отклонят.

Основные преимущества DKIM-подписи

Эта технология подтверждает подлинность отправителя и предотвращает фальсификацию сообщений.

DKIM-подпись:

1. Предотвращает подделку писем. Почтовые сервисы проверяют цифровую подпись и подтверждают, что письмо действительно отправил указанный домен. Это снижает риск фишинга и мошенничества.
2. Повышает репутацию отправителя. Сервисы вроде Gmail и Outlook доверяют письмам с DKIM-подписью, поэтому такие сообщения реже попадают в спам.
3. Улучшает доставку сообщений. Благодаря DKIM почтовые фильтры пропускают письма, а клиенты получают важное сообщение без задержек.
4. Работает в связке с другими технологиями защиты. DKIM дополняют другие технологии защиты — SPF и DMARC.

Компании, которые используют DKIM, могут безопасно отправлять письма и повышать доверие клиентов.

Как проверить DKIM-подпись

Существует несколько способов, как можно проверить DKIM.

Проверить заголовки письма вручную

Самый простой способ — отправить письмо самому себе и посмотреть его технические заголовки.

Как это сделать в Gmail:

1. Отправьте письмо с вашего домена.
2. Откройте письмо и нажмите на 3 точки справа (рядом с кнопкой «Ответить»).
3. Выберите «Показать оригинал».
4. Найдите строку DKIM-Signature.
5. Если рядом написано PASS, значит, DKIM работает. Если FAIL, есть проблема.

Использовать онлайн-сервисы

Есть бесплатные сервисы, которые позволяют проверить идентификатор без отправки сообщений вручную. Они анализируют настройки и сразу показывают, работает подпись или нет.

Читайте по теме:

Пять способов сделать ящик на Gmail более защищенным

Как настроить антиспам-фильтры, чтобы не пропустить важное письмо

Популярные сайты:

• mail-tester.com — отправьте письмо на специальный адрес и получите отчет с оценкой отправителя.
• dkimcore.org — здесь можно проверить, правильно ли добавлена DKIM-запись в DNS.

Проверить через командную строку

Если есть доступ к серверу, можно проверить, добавлена ли запись в DNS.

Пошаговая инструкция по настройке DKIM-подписи

Представим, что владелец интернет-магазина регулярно отправляет письма своим клиентам: уведомления о заказах, промоакции, подтверждения. Он заметил, что некоторые сообщения оказываются в спам-ящике или даже не доходят до получателей.

Чтобы повысить доставляемость и защитить свой бизнес от фишинга, директор решает настроить DKIM-подпись для своих отправлений.

Что ему для этого нужно:

1. Шаг 1. Бизнесмен заходит в панель управления почтовым сервером или провайдером (например, Google Workspace или Zoho Mail). Он создает пару идентификаторов — публичный и приватный. Первый будет использоваться для подписания текста, а второй — для верификации подписи на стороне получателя.
2. Шаг 2. Далее предприниматель переходит в панель управления DNS на хостинге и добавляет новую TXT-запись. В этой записи он указывает публичный ключ, который был сгенерирован на предыдущем шаге. Имя записи будет содержать префикс, например, default._domainkey, а значение будет включать сам ключ. Это важно, чтобы почтовые серверы могли найти и использовать его для проверки подписанных писем.
3. Шаг 3. Надо отправить тестовое письмо себе на почту и проверить заголовки. Подпись в письме должна совпасть с записью в DNS.
4. Шаг 4. Далее нужно продолжать следить за результатами. Бизнесмену надо проверить, насколько часто его письма попадают в основной ящик, а не в спам. Если что-то не так, ему снова нужно будет проверить настройки DKIM или обратиться за помощью к своему почтовому провайдеру.

Частые ошибки при настройке DKIM

Настроить подпись не так сложно, но часто встречаются ошибки, из-за которых идентификатор не работает. Рассмотрим наиболее частые ошибки во время этой процедуры:

Неправильно добавленная запись в DNS

Открытый ключ DKIM нужно добавить в DNS в виде TXT-записи. Ошибки в записи — самая распространенная проблема.

Типичные проблемы:

• Неправильное имя записи. Вместо default._domainkey указывают просто default или domainkey.
• Лишние пробелы и символы. Ключ копируют с разрывами строк, что делает его недействительным.
• Запись не сохранилась или не обновилась. DNS-провайдеры могут обновлять сведения до 48 часов.

Использование устаревших или коротких ключей

Современные почтовые сервисы требуют ключи длиной не менее 1024 бит. Лучше использовать 2048 бит — это повысит уровень защиты.

Смотрите на сам идентификатор. Когда проверяете ключ через онлайн-сервис или в настройках DNS, он будет выглядеть как длинная строка символов (буквы и цифры).

Как понять, что запись короткая:

• Если строка выглядит как несколько десятков символов — это слишком короткий идентификатор, и его лучше заменить.
• Ключ длиной 2048 бит будет в несколько раз длиннее — это будет гораздо больше символов.

p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A

А вот так выглядит ключ длиной 2048 бит (он намного длиннее):

p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC

Он будет длинным, с сотнями символов, и заканчивается на «==».

Так что если ключ не очень длинный (меньше 100 символов), его, скорее всего, нужно заменить.

Ошибки в синтаксисе DKIM-записи

Даже одна неправильная буква делает подпись неработающей.

Как проверить:

1. Ввести домен на dkimcore.org/tools.
2. Если запись не найдена или показывает ошибку, исправить ее в DNS.

Другие технологии защиты почты

Чтобы избежать мошеннических действий, существуют технологии защиты, которые проверяют подлинность писем и блокируют опасные сообщения.

Еще по теме:

9 способов избавиться от спама в электронной почте

Ошибки в деловой переписке: как их исправить и избежать

Какие технологии помогают защитить почту:

1. SPF. Эта технология проверяет, с каких серверов разрешено отправлять письма от имени домена. Например, если компания использует только один почтовый сервер, SPF укажет его как единственный разрешенный источник. Информация о сервере записывается в TXT-запись домена. Если письмо придет с другого сервера, его могут заблокировать.
2. DMARC. Объединяет SPF и DKIM, а также дает возможность задавать правила для обработки подозрительных писем. Например, можно настроить блокировку всех писем, которые не прошли проверку. Также администраторы могут получать DMARC-отчеты, которые показывают, какие письма были проверены, какие отклонены и откуда они отправлены.
3. Антивирусная проверка писем. Многие почтовые сервисы автоматически проверяют вложения и ссылки в письмах. Если обнаружен вирус или подозрительный файл, письмо не дойдет до получателя или попадет в карантин.
4. Фильтры спама. Эти системы анализируют содержание писем и поведение отправителя. Если письмо выглядит подозрительно — содержит много ссылок, незнакомые вложения или написано с ошибками — оно может попасть в папку «Спам».

Без этих технологий мошенники могут отправлять фальшивые сообщения от имени крупных организаций, заражать компьютеры вирусами или красть личные данные. Защищенная почта снижает риск таких атак, а письма с важной информацией доходят до адресатов без проблем.

Итог

Настройка DKIM, SPF и DMARC помогает защитить почту и повысить репутацию предприятия. Важно учесть несколько ключевых моментов:

• DKIM-подпись подтверждает, что письмо не изменялось в пути.
• Частые ошибки в настройке: неправильное имя записи, ошибки в ключе, отсутствие поддержки DKIM на сервере.
• Проверить идентификатор можно через заголовки письма, онлайн-сервисы и командную строку.
• DMARC контролирует почтовый трафик и определяет, что делать с подозрительными записями.
• SPF ограничивает список серверов, которые могут отправлять письма от имени домена.
• Все 3 технологии лучше использовать вместе, чтобы снизить вероятность попадания важных писем в спам.

Фото на обложке: Freepik