Что такое DKIM-подпись для домена, для чего она нужна и как её правильно настроить

Защита конфиденциальных данных – один из основных моментов, который следует учесть при настройке рассылки электронной почты. Это помогает сформировать положительную репутацию компании, заручиться доверием адресатов, гарантированно защитить корпоративную почту от спуфинга.

Спуфинг представляет собой популярный вид мошенничества в интернете, когда злоумышленник отправляет получателю письмо со знакомого ему электронного адреса с целью получения конфиденциальных данных, осуществления махинаций с финансами, заражения ПК вирусами.

Чтобы избежать подобной неприятной ситуации и сформировать положительный имидж бренда, заботящегося о своих деловых партнёрах и клиентах, необходимо настроить специальную DKIM-подпись.

Что представляет собой DKIM

Данная аббревиатура расшифровывается как Domain Keys Identified Mail. Перевод следующий – «почта идентифицирована при помощи доменного ключа». Это особая технология проверки электронной почты, позволяющая своевременно выявить мошеннические письма.

Она добавляет закодированную информацию о домене отправителя в письмо (подпись), а почтовые провайдеры благодаря ей убеждаются, что сообщение отправляет именно настоящий владелец домена, а не кто-то посторонний.

Принцип работы DKIM

Для аутентификации создаётся два типа ключей: публичный и приватный. Второй вариант шифрует в заголовке отправленного сообщения информацию об отправителе. Адресаты не замечают ничего специфического в полученном письме. Ключ хранится на сервере почтового провайдера.

Публичный ключ и является DKIM-подписью (его также могут называть DKIM-записью). Он представляет собой запись формата txt, которую добавляют в настройки DNS-зоны домена. Выглядит DKIM-подпись следующим образом.

В состав DKIM-подписи также входят следующие элементы:

• заголовок для защищённых отправлений (DKIM-Signature);

• домен почтового сервера;

• цифровую подпись;

• переключатель, подтверждающий, что во время отправки сообщения использован правильный ключ;

• идентификатор домена, откуда было отправлено письмо;

• дополнительные служебные элементы.

При помощи ключа приватного типа почтовый сервер определяет репутацию домена отправителя (он может входить как в «белые», так и в «чёрные» перечни сервера), а затем направляет сообщение либо в модуль фильтрации, либо на дополнительную оценку соответствия установленным правилам.

Важно! В случае совпадения данных в заголовке и в публичном ключе, адресат получает гарантированно безопасное письмо. При наличии расхождений корреспонденция автоматически направляется почтовым сервером в папку «Спам».

Назначение DKIM-подписи

Основная функция данной технологии заключается в подтверждении подлинности отправителя и гарантии безопасности получателя электронной корреспонденции. Такой верификацией стоит пользоваться и по ряду дополнительных причин.

Защита от интернет-мошенничества

Технология DKIM уверенно противостоит спамерам. При помощи DKIM-подписи получатели не увидят потенциально опасные сообщения, выглядящие как корреспонденция от имени вашей компании. Это повышение безопасности как для самой фирмы, так и для её клиентов.

Внедрение DKIM не позволяет развиваться популярному направлению интернет-мошенничества – фишингу. Вкупе с технологиями DMARC и SPF данные получателей электронных писем никто не выкрадет.

Улучшение репутации домена отправителя

Организация, позаботившаяся о безопасности адресатов своей корреспонденции и настроившая DKIM, автоматически улучшает свой Open Rate. Следовательно, улучшается и показатель «доверия» почтового сервера к домену. Эффективность рассылок растёт, а потраченный на них бюджет тратится не зря.

Повышение доставляемости корреспонденции

Правильно настроенная DKIM-подпись снижает риск попадания отправленной корреспонденции в папку со спамом. Отправитель получает высокий рейтинг доверия, его предложения чаще читают, в итоге растёт число клиентов, сделок и прибыль по итогу отчётного периода.

Предоставление доступа к использованию постмастеров

Это сервисы для упрощенного и удобного анализа осуществленных рассылок. Постмастеры позволяют отправителю проверять факты открытия писем получателями, контролировать доставляемость корреспонденции (регулярность попадания сообщений в спам), количество поступивших жалоб от клиентов, число отписок от рассылки.

Использовать сервисы постмастеров разрешается только при установленной и настроенной электронной аутентификации. И самым распространенным её элементом как раз является DKIM-подпись. 

Настройка DKIM-подписи

Для настройки DKIM-подписи отправителю необходимо:

иметь персональный почтовый домен;

иметь доступ администратора интернет-ресурса для внесения нужных корректировок в настройки DNS;

создать DKIM-ключ.

Создание DKIM-ключей

Это можно сделать непосредственно на почтовом сервисе, использующемся для массовой рассылки электронной корреспонденции. Вот несложная пошаговая инструкция, помогающая создать ключ в Google:

• зайдите в консоль администратора;

• зайдите в Приложения, затем в пункты Google Workspace и Gmail;

• кликните на разделе Аутентификация электронной почты;

• выберите нужный домен, в котором будет использоваться в дальнейшем DKIM-подпись;

• нажмите на пункт Создать новую запись;

• укажите размер будущего ключа в формате бит (это может быть 1024 для стандартного уровня защиты и 2048, если требуется более совершенная защита);

• выберите префикс;

• кликните на пункт Создать.

Сгенерировать и внедрить DKIM-ключ можно и при помощи стороннего сервиса. Например, вы можете использовать специальный DKIM-генератор. Для этого потребуется указать имя домена, его селектор и определиться с размером ключа – 124 или 2048 бит. Пример заполнения формы генератора приведен на скриншоте ниже.

Далее нажмите Рассчитать. Сервис выдаст вам два ключа (приватный и публичный), а также txt-запись для настройки домена и сервера-отправителя почтовой рассылки, как это показано на изображении ниже. Как видите, все максимально просто.

Общая настройка

После удачной генерации ключей они размещаются на сервере и домене, с которых в дальнейшем компания будет рассылать своим клиентам письма. Для добавления публичного ключа скопируйте код, который получился в разделе Публичный ключ между словами BEGIN И END. Запись будет выглядеть примерно так, как на скриншоте ниже.

После этого зайдите в панель управления DNS-зоной домена, создайте там запись по следующим параметрам.

Далее сохраните внесённые корректировки. В зависимости от правил хостинга новые настройки могут активироваться не сразу, а в течение следующих 24 часов.

Важно! Приватный ключ размещается на сервере-отправителе. Нужно, чтобы сервер не имел доступа к данному файлу. Также активируйте поддержку технологии DKIM в почтовом сервере.

Проверка работы DKIM-подписи

Проверить, работает ли новая технология электронной аутентификации, можно, воспользовавшись специальным сервисом, например, на whatsmydns.net. Просто укажите адрес сайта и нажмите Enter.

Если защита вступила в силу, многие почтовики не станут это скрывать. Например, сервис Google ставит знак вопроса напротив имени отправителя сообщения, если системе не удалось проверить домен и сервер-отправитель. Так почтовик оповещает пользователей о возможном мошенничестве со стороны отправителя.

Но это не гарантирует, что корреспонденция пришла со злым умыслом, так система призывает адресата проявить бдительность и не переходить по возможным сомнительным ссылкам в теле письма и не скачивать вложенные файлы.

Важно! Если вы активировали технологию DKIM, а по истечении времени внесения изменений в настройки напротив адреса отправителя всё равно появляется знак вопроса, возможно, была допущена ошибка. И процедуру необходимо повторить.

Мы предлагаем вам ещё три полностью бесплатных онлайн-сервиса для тестирования DKIM сигнатуры.

DKIMCore

Проверяет наличие записи и принцип соблюдения формата. Проверка осуществляется двумя способами. В первом случае необходимо указать домен и селектор. Сервис сам отыщет ключ и проверит его правильность. Во втором просто вводите ключ и смотрите на реакцию сайта.

MXToolBox.com 

Принцип работы данного сервиса схож с первым. Вводятся те же самые данные, после чего сайт выдаёт результат об актуальности внедрённой аутентификации. Дополнительно на сервисе есть масса разных проверок серверов и доменов.

MailTester.com SPF DKIM check 

Аналогичен первым двум вариантам проверочных сервисов, но оснащён более дружелюбным и визуально приятным интерфейсом. Также рассчитан на русскоязычную аудиторию. Письмо проходит полную проверку, после которой вы получаете детальный отчёт на предмет спама, точности доставки корреспонденции, попадания в чёрный лист.

Что делать, если DKIM-подпись не функционирует

Это может происходить по нескольким причинам:

• ключ скопирован не полностью, например, потерялось его окончание (распространённая ошибка, так как ключи генерируются длинные);

• провайдер хостинга выставил ограничение на возможную длину ключа (для решения проблемы в данном случае придётся обратиться напрямую к провайдеру, чтобы тот помог добавить запись);

• на домене установлено больше одного DNS-сервера (в таком случае DKIM обычно работает с перебоями, необходимо проверить настройки каждого сервера в отдельности и устранить ошибки).

Минусы DKIM

Технология, разумеется, полезная. Однако настройка DKIM-подписи не гарантирует 100%-ного попадания корреспонденции в папку Входящие у адресата. Обычные пользователи могут настраивать DKIM на своем домене. А если это сделают мошенники, у них получится пройти проверку сервером-получателем.

Второй недостаток. Если случайно или намеренно изменить порядок заголовков электронного письма (например, во время изменения текста или добавления дополнительных заголовков), DKIM-подпись будет неправильно расшифровываться сервером-получателем. И это тоже приведет к некорректному действию алгоритмов.

Ещё один минус заключается в уязвимости ключей шифрования. Если их размер составляет меньше 1024 бит, взломать такой ключ будет не так уж и сложно. Поэтому рекомендуется использовать только варианты длиной 1024 или 2048 бит.

Заключение

DKIM относится к методам проверки входящей электронной почты на предмет мошеннических действий. С помощью данной технологии отправитель улучшит репутацию домена, снизит риск попадания корреспонденции в папку со спамом и повысит эффективность рассылки.

Однако настройка DKIM-подписи не гарантирует 100%-ную защиту от мошенников. Технология имеет некоторые недостатки и слабые места. Кроме того, всегда присутствует риск ошибочной настройки, в результате чего подпись не активируется вовремя. Но это можно проверить при помощи специальных бесплатных онлайн-сервисов.