Как найти свой селектор DKIM и управлять ключами DKIM
Последнее обновление:
7 Время чтения: 7 минут
Ключевые выводы
- Селектор DKIM - это важнейший идентификатор, который помогает проверить подлинность электронной почты.
- Селекторы DKIM можно найти, проверив тег «s=» в подписи DKIM тестового электронного письма.
- Использование таких инструментов, как PowerDMARC, упрощает процесс поиска селекторов DKIM и управления безопасностью электронной почты.
- Настройка уникальных и сложных селекторов DKIM усиливает защиту от потенциальных кибер-атак.
- Регулярная ротация ключей DKIM и соблюдение лучших практик по выбору селектора DKIM могут значительно укрепить безопасность вашего домена.
Что делает аутентификация электронной почты? Да, она блокирует поддельные сообщения, но также играет важную роль в защите репутации бренда и обеспечении того, чтобы легитимные электронные письма действительно доходили до почтового ящика. Среди основных протоколов аутентификации DKIM выделяется тем, что добавляет криптографическую подпись к каждому сообщению, подтверждая, что оно не было изменено во время передачи.
В центре DKIM находится селектор DKIM. Хотя его часто упускают из виду, селектор определяет, какой открытый ключ должны использовать серверы-получатели для проверки подписи вашего электронного письма, что делает его необходимым для успешной аутентификации DKIM в различных почтовых потоках и у разных провайдеров.
В этом блоге мы разберем все, что вам нужно знать о селекторах DKIM, и устраним распространенные ошибки, которые могут нарушить аутентификацию и повлиять на доставляемость.
Что такое DKIM Selector?
Селектор DKIM — это уникальный идентификатор, используемый в аутентификации DKIM, который сообщает получающим почтовым серверам, какой открытый ключ необходимо получить из DNS для проверки DKIM-подписи электронного письма. Он позволяет домену использовать несколько ключей DKIM одновременно, что упрощает ротацию и управление ключами без прерывания доставки электронной почты.
Пример:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…
Здесь s= обозначает селектор. В этом примере s=selector1 указывает серверу выполнить запрос:
selector1._domainkey.example.com
Как работает аутентификация DKIM (пошаговое руководство)
Как объяснялось выше, DKIM работает путем добавления криптографической подписи к каждому исходящему электронному письму, отправленному с вашего домена, поддерживающего DKIM.
- Шаг 1: Отправляющий почтовый сервер подписывает исходящее электронное письмо с помощью закрытого криптографического ключа. Эта подпись добавляется в заголовок электронного письма вместе с селектором DKIM, который идентифицирует, какой ключ был использован.
- Шаг 2: Получающий почтовый сервер ищет открытый ключ. Для этого он отправляет запрос в DNS, используя селектор.
- Шаг 3: После обнаружения открытого ключа принимающий сервер использует его для проверки подписи в заголовке электронного письма. Если подпись совпадает, DKIM проходит проверку, подтверждая, что сообщение не было изменено во время передачи и было авторизовано доменом-отправителем.
Однако обратите внимание, что DKIM работает лучше всего в сочетании с SPF и DMARC и не может самостоятельно предотвратить атаки спуфинга и фишинга.
Как найти свой селектор DKIM?
Метод A: Проверка заголовков электронных писем (вручную)
1) Отправьте тестовое письмо на свой аккаунт Gmail
2) Нажмите на 3 точки рядом с письмом в папке «Входящие» Gmail
3) Выберите "показать оригинал"
4) На странице "Original Message" (Оригинальное сообщение) перейдите в нижнюю часть страницы к разделу подписи DKIM и попробуйте найти тег "s=", значение этого тега - ваш селектор DKIM.
В приведенном выше примере s1 - это мой селектор DKIM. Это один из методов, который вы можете использовать для идентификации и определения местоположения вашего.
Способ B: Использование настроек почтового провайдера
Шаг 1: Войдите в консоль администратора своего поставщика услуг электронной почты.
Шаг 2: Перейдите в раздел аутентификации электронной почты или настройки DNS.
Шаг 3: Найдите настройки DKIM для вашего домена.
Шаг 4: Определите значение селектора, указанное в записи DKIM TXT.
Метод C: Использование инструментов DKIM Lookup/Checker
Шаг 1: Откройте инструмент PowerDMARC DKIM Checker.
Шаг 2: Введите свое доменное имя и оставьте поле выбора в положении «auto» (автоматически).
Шаг 3: Нажмите «Поиск»
Шаг 4: Позвольте нашему инструменту автоматически обнаружить и отобразить ваш селектор DKIM
Метод D: Использование инструментов мониторинга DMARC
Инструменты отчетности DMARC, такие как PowerDMARC, обеспечивают видимость селекторов DKIM, активно используемых источниками отправки.
Шаг 1: Включите агрегированную отчетность DMARC для вашего домена, зарегистрировавшись в PowerDMARC.
Шаг 2: Просмотрите результаты аутентификации для каждого источника отправки.
Шаг 3: Определите значения селектора DKIM, указанные для каждого источника и IP-адреса.
Как настроить и опубликовать селектор DKIM
Правильная настройка селектора DKIM имеет решающее значение для аутентификации электронной почты, репутации отправителя и долгосрочной доставки. Неправильно настроенный селектор может полностью нарушить работу DKIM, даже если сам ключ является действительным.
Требуемый формат и синтаксис записи DNS
Запись DKIM публикуется в DNS в виде записи TXT со следующей структурой: selector._domainkey.yourdomain.com
Пример: s1._domainkey.example.com
Эта стоимость обычно включает:
- v=DKIM1 (версия протокола)
- k=rsa (тип ключа)
- p= (открытый ключ)
Пример значения: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Убедитесь, что провайдер DNS не добавил лишних пробелов, кавычек или разрывов строк.
Рекомендации по длине ключа (2048 бит)
- Настоятельно рекомендуется использовать 2048-битные ключи DKIM.
- 1024-битные ключи устарели и могут не пройти аутентификацию у основных поставщиков почтовых ящиков.
- Более длинные ключи повышают криптографическую прочность без ущерба для производительности.
Большинство современных почтовых платформ по умолчанию используют 2048-битные ключи. Рекомендуется оставить эту настройку включенной, если нет веских технических причин для ее отключения.
Публикация через панель провайдера DNS
- Войдите в систему своего провайдера DNS-хостинга.
- Добавить новую запись TXT
- Установите хост /имя в качестве селектора DKIM
- Вставьте открытый ключ DKIM в поле значения.
- Сохраните и дождитесь распространения
- Проверьте настройки DKIM с помощью нашего инструмента DKIM Checker.
Соглашения об именовании селекторов DKIM и примеры
Выбор правильного имени селектора повышает ясность, масштабируемость и облегчает долгосрочное обслуживание.
Общие шаблоны селекторов
Часто используемые форматы включают: s1, s2, selector1 и стандартные настройки провайдера, такие как google, k1, smtp, mail. Хотя они работают нормально, им часто не хватает контекста, и их может быть сложно отслеживать.
Лучшая практика: описательные имена селекторов
Вместо этого используйте селекторы, которые указывают на услугу и период времени, например: google2025, sendgrid_q1, marketing_2024. Их гораздо легче запомнить и отслеживать, они предоставляют точный контекст, оставляя мало места для догадок, а также являются безопасными.
Управление селекторами DKIM
Одним из наиболее упускаемых из виду аспектов DKIM является управление селекторами с течением времени. Селекторы следует рассматривать как управляемые активы, а не как одноразовые записи DNS, о которых забывают после настройки.
Ведение документации — простая, но эффективная практика. С помощью простой таблицы или внутреннего журнала можно эффективно отслеживать селекторы и сроки их ротации. Это позволяет избежать путаницы, когда ключи необходимо заменить или когда отправляющая служба выходит из эксплуатации.
Просто ведите простую систему отслеживания (CSV, таблица или внутренний журнал) с помощью:
- Имя селектора
- Домен
- Услуга отправки
- Длина ключа
- Дата создания
- График ротации
- Владелец/команда
Жизненный цикл селектора DKIM
Каждый селектор DKIM должен следовать четкому жизненному циклу. Он начинается с планирования, где определяются соглашения об именовании и сроки ротации.
Здоровый жизненный цикл включает в себя:
- План: определить стратегию наименования и ротации
- Опубликовать: добавить запись DNS и проверить
- Поворот: введите новый селектор и ключ
- Вывод из эксплуатации: безопасное удаление неиспользуемых селекторов
Лучшие практики для селекторов DKIM
Чтобы поддерживать работоспособность селектора DKIM, рекомендуется следовать следующим рекомендациям:
- Сделайте ваши селекторы уникальными и сложными для угадывания
- Как можно чаще меняйте ключи DKIM, чтобы избежать их компрометации.
- Используйте единые правила именования для всех отправителей, чтобы упростить аудит.
- Активно контролируйте DKIM, чтобы обеспечить своевременное выявление и удаление неиспользуемых селекторов.
Как инструмент аналитики DKIM от PowerDMARC может помочь
Хостинг-аналитика DKIM от PowerDMARC устраняет этот пробел, предоставляя организациям постоянную информацию о том, как DKIM фактически работает в различных доменах, селекторах и источниках отправки.
- Мониторинг по селектору и службе отправки: PowerDMARC анализирует производительность DKIM на уровне селектора и службы отправки.
- Гибкая фильтрация по временному диапазону: PowerDMARC позволяет анализировать эффективность DKIM за гибкие временные диапазоны, такие как последние семь дней, предыдущий месяц или полностью настраиваемые периоды.
- Краткая статистика DKIM: для быстрой оценки PowerDMARC предоставляет обзор DKIM высокого уровня, в котором обобщаются общие селекторы, активные службы отправки и объем писем с подписью DKIM по сравнению с письмами без подписи.
- Подробная информация на уровне селектора: для каждого селектора PowerDMARC отображает ключевые данные, такие как общий объем электронной почты, показатели прохождения DKIM и время последнего наблюдения за подписанием электронной почты селектором.
- Экспортируемые отчеты для аудита и совместной работы: PowerDMARC позволяет экспортировать данные Hosted DKIM Analytics в формате CSV, что делает отчетность простой и гибкой.
- Обзор состояния ключей DKIM: основные сведения о состоянии ключей включают видимость длины ключей, отслеживание ротации ключей и мониторинг использования ключей.
Распространенные проблемы с селектором DKIM и их устранение
Проблема 1: Селектор не найден в DNS
Распространенные причины: эта проблема может быть вызвана синтаксическими ошибками, неправильным типом записи DNS, неполной пропагандой или неправильным использованием домена или поддомена.
Устранение неполадок: если вы недавно настроили DKIM, подождите 24–48 часов, пока DNS пройдет пропаганду. Если проблема не исчезнет, воспользуйтесь инструментом проверки DKIM, чтобы проверить свою запись и исправить найденные ошибки.
Проблема 2: Несколько селекторов вызывают путаницу
Распространенные причины: слишком много активных селекторов может усложнить аудит, а неиспользуемые селекторы могут оставаться в системе на неопределенный срок. Это не является хорошей практикой. Кроме того, плохая документация делает владение неясным.
Устранение неполадок: своевременно удаляйте неиспользуемые селекторы и обновляйте документацию, чтобы аудит и отслеживание были точными и не требовали больших усилий.
Проблема 3: Несоответствие селектора
Распространенные причины: заголовок DKIM ссылается на селектор, который не существует в DNS, или ключ был сменен, но служба отправки не была обновлена.
Устранение неполадок: всегда проверяйте соответствие между подписью DKIM (значение s=) и опубликованной записью DNS.
Заключительные слова
Из этого блога мы узнали, что селектор DKIM играет ключевую роль в аутентификации DKIM, и его можно найти с помощью нескольких методов — как ручных, так и автоматических. Однако, если вам требуется максимальный контроль над DKIM, этого будет недостаточно.
Объединяя аналитику производительности с ключевой информацией о состоянии системы, PowerDMARC превращает DKIM из статической конфигурации в постоянно контролируемый механизм безопасности. Команды получают необходимую видимость для поддержания доставляемости, внедрения передовых практик и уверенного управления DKIM в сложных экосистемах электронной почты, не полагаясь на ручные проверки или догадки. Свяжитесь с нами, чтобы начать работу уже сегодня!
Часто задаваемые вопросы
Что произойдет, если селектор DKIM будет неправильным?
Если селектор DKIM будет неправильным, ваши электронные письма могут не пройти аутентификацию DKIM, что увеличит фильтрацию спама и вызовет возможные сбои DMARC.
Можно ли иметь несколько селекторов DKIM?
Да. Наличие нескольких селекторов DKIM является нормальным явлением и часто требуется для ротации или нескольких отправителей.
Как часто следует менять ключи DKIM?
Рекомендуется менять ключи DKIM каждые 3–6 месяцев. Однако в случае инцидента, связанного с безопасностью,следует немедленно сменить ключи, чтобы предотвратить дальнейшее нарушение безопасности.
Какие инструменты могут автоматически находить селекторы DKIM?
Анализатор заголовков электронных писем и инструменты поиска DKIM от PowerDMARC могут мгновенно извлечь селектор DKIM, используемый в сообщении, без ручного вмешательства или технических знаний.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
- Как отправлять защищенные электронные письма в Outlook: пошаговое руководство - 2 апреля 2026 г.
