Как найти свой селектор DKIM и управлять ключами DKIM
Последнее обновление:
9 Время чтения: 9 минут
Ключевые выводы
- Селектор DKIM - это важнейший идентификатор, который помогает проверить подлинность электронной почты.
- Селекторы DKIM можно найти, проверив тег «s=» в подписи DKIM тестового электронного письма.
- Использование таких инструментов, как PowerDMARC, упрощает процесс поиска селекторов DKIM и управления безопасностью электронной почты.
- Настройка уникальных и сложных селекторов DKIM усиливает защиту от потенциальных кибер-атак.
- Регулярная ротация ключей DKIM и соблюдение лучших практик по выбору селектора DKIM могут значительно укрепить безопасность вашего домена.
Что делает аутентификация электронной почты? Да, она блокирует поддельные сообщения, но также играет важную роль в защите репутации бренда и обеспечении того, чтобы легитимные электронные письма действительно доходили до почтового ящика. Среди основных протоколов аутентификации DKIM выделяется тем, что добавляет криптографическую подпись к каждому сообщению, подтверждая, что оно не было изменено во время передачи.
В центре DKIM лежит селектор DKIM. Хотя его часто упускают из виду, именно селектор определяет, какой открытый ключ должны использовать принимающие серверы для проверки подписи вашего письма, что делает его незаменимым для успешной аутентификации DKIM в различных почтовых потоках и у разных провайдеров.
В этом блоге мы разберем все, что вам нужно знать о селекторах DKIM, и устраним распространенные ошибки, которые могут нарушить аутентификацию и повлиять на доставляемость.
Что такое DKIM Selector?
Селектор DKIM — это уникальный идентификатор, используемый при аутентификации DKIM, который указывает принимающим почтовым серверам, какой открытый ключ необходимо получить из DNS для проверки подпись DKIM. Он позволяет домену использовать несколько ключей DKIM одновременно, что упрощает ротацию и управление ключами без прерывания доставки электронной почты.
Пример:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…
Здесь s= обозначает селектор. В данном примере s=selector1 указывает серверу запросить:
selector1._domainkey.example.com
Как работает аутентификация DKIM (пошаговое руководство)
Как объяснялось выше, DKIM работает путем добавления криптографической подписи к каждому исходящему электронному письму, отправленному с вашего домена, поддерживающего DKIM.
- Шаг 1: Почтовый сервер-отправитель подписывает исходящее письмо с помощью закрытого криптографического ключа. Эта подпись добавляется в заголовок письма вместе с селектором DKIM, который указывает, какой ключ был использован.
- Шаг 2: Получающий почтовый сервер ищет открытый ключ. Для этого он отправляет запрос в DNS, используя селектор.
- Шаг 3: Как только открытый ключ найден, принимающий сервер использует его для проверки подписи в заголовке электронного письма. Если подпись совпадает, проверка DKIM проходит успешно, подтверждая, что сообщение не было изменено при передаче и было авторизовано доменом отправителя.
Однако обратите внимание, что DKIM наиболее эффективно работает в сочетании с SPF и DMARCи не может в одиночку предотвратить спуфинга и фишинга .
Как найти селектор DKIM (пошаговые инструкции)
Метод A: Проверка заголовков электронных писем (вручную)
1) Отправьте тестовое письмо на свой аккаунт Gmail
2) Нажмите на три точки рядом с письмом в папке «Входящие» Gmail
3) Выберите "показать оригинал"
4) На странице "Original Message" (Оригинальное сообщение) перейдите в нижнюю часть страницы к разделу подписи DKIM и попробуйте найти тег "s=", значение этого тега - ваш селектор DKIM.
В приведенном выше примере s1 - это мой селектор DKIM. Это один из методов, который вы можете использовать для идентификации и определения местоположения вашего.
Способ B: Использование настроек почтового провайдера
Шаг 1: Войдите в консоль администратора своего поставщика услуг электронной почты.
Шаг 2: Перейдите в раздел «Аутентификация электронной почты» или «Настройка DNS».
Шаг 3: Найдите настройки DKIM для вашего домена.
Шаг 4: Определите значение селектора, указанное в записи DKIM TXT.
Метод C: Использование инструментов DKIM Lookup/Checker
Шаг 1: Откройте инструмент PowerDMARC DKIM Checker.
Шаг 2: Введите свое доменное имя и оставьте поле выбора в положении «auto» (автоматически).
Шаг 3: Нажмите «Поиск»
Шаг 4: Позвольте нашему инструменту автоматически обнаружить и отобразить ваш селектор DKIM
Метод D: Использование инструментов мониторинга DMARC
Инструменты отчетности DMARC, такие как PowerDMARC, обеспечивают видимость селекторов DKIM, активно используемых источниками отправки.
Шаг 1: Включите агрегированную отчетность DMARC для вашего домена, зарегистрировавшись в PowerDMARC.
Шаг 2: Просмотрите результаты аутентификации для каждого источника отправки.
Шаг 3: Определите значения селектора DKIM, указанные для каждого источника и IP-адреса.
Способ E: Использование инструментов командной строки
Для технически подкованных пользователей инструменты командной строки обеспечивают прямой доступ к записям DNS и селекторам DKIM.
Использование команды dig:
Чтобы запросить данные по конкретному селектору DKIM:
dig TXT selector1._domainkey.example.com
Использование команды nslookup:
nslookup -type=TXT selector1._domainkey.example.com
Примечание: Чтобы эффективно использовать эти команды, необходимо заранее знать имя селектора.
Как найти селектор DKIM у разных почтовых провайдеров
У каждого почтового провайдера есть свои инструкции по поиску селекторов DKIM. Ниже приводится подробное руководство для популярных платформ:
Gmail/Google Workspace
- Войдите в Консоль администратора Google
- Перейдите в раздел «Приложения» > «Google Workspace» > «Gmail» > «Подтвердить адрес электронной почты»
- Нажмите «Создать новую запись», чтобы открыть окно выбора
- Селектор обычно имеет следующий формат: google._domainkey.yourdomain.com
Microsoft 365/Outlook
- Перейти в Центр администрирования Microsoft 365
- Перейдите в раздел «Настройки» > «Домены» > Выберите свой домен
- Нажмите «Записи DNS» и найдите записи DKIM
- Обычно селекторы имеют следующий вид: selector1._domainkey и selector2._domainkey
Yahoo Mail
- Перейти в панель администратора Yahoo Small Business
- Перейдите в раздел «Настройки домена» > «Аутентификация электронной почты»
- Просмотрите настройки DKIM, чтобы найти селектор
- Стандартный формат: s1024._domainkey.yourdomain.com
SendGrid
- Войти в панель управления SendGrid
- Перейдите в «Настройки» > «Аутентификация отправителя»
- Нажмите «Подтвердить домен»
- Формат селектора: s1._domainkey.yourdomain.com и s2._domainkey.yourdomain.com
Mailchimp
- Перейти в настройки учетной записи Mailchimp
- Перейдите в раздел «Домены» > «Подтвердить домен»
- См. раздел «Записи DNS» для записей DKIM
- Формат селектора: k1._domainkey.yourdomain.com
Как настроить и опубликовать селектор DKIM
Правильная настройка селектора DKIM имеет решающее значение для аутентификации электронной почты, репутации отправителя и долгосрочной доставки. Неправильно настроенный селектор может полностью нарушить работу DKIM, даже если сам ключ является действительным.
Требуемый формат и синтаксис записи DNS
Запись DKIM публикуется в DNS в виде записи TXT со следующей структурой: selector._domainkey.yourdomain.com
Пример: s1._domainkey.example.com
Эта стоимость обычно включает:
- v=DKIM1 (версия протокола)
- k=rsa (тип ключа)
- p= (открытый ключ)
Пример значения: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Убедитесь, что дополнительных пробелов, кавычек или разрывов строк , добавленных провайдером DNS.
Рекомендации по длине ключа (2048 бит)
- Настоятельно рекомендуется использовать 2048-битные ключи DKIM.
- 1024-битные ключи устарели и могут не пройти аутентификацию у основных поставщиков почтовых ящиков.
- Более длинные ключи повышают криптографическую прочность без ущерба для производительности.
Большинство современных почтовых платформ по умолчанию используют 2048-битные ключи. Рекомендуется оставить эту настройку включенной, если нет веских технических причин для ее отключения.
Публикация через панель провайдера DNS
- Войдите в систему своего провайдера DNS-хостинга.
- Добавить новую запись TXT
- Установите host/name в качестве селектора DKIM
- Вставьте открытый ключ DKIM в поле значения.
- Сохраните и дождитесь распространения
- Проверьте настройки DKIM с помощью нашего инструмента DKIM Checker.
Записи TXT и CNAME для DKIM
Понимание разницы между записями TXT и CNAME для DKIM помогает правильно настроить систему и устранить неполадки.
Записи TXT (наиболее распространённые)
- Содержит фактический открытый ключ DKIM
- Формат: selector._domainkey.example.com TXT «v=DKIM1; k=rsa; p=MIIBIjAN…»
- Используется, если вы самостоятельно управляете своими ключами DKIM
Записи CNAME (делегированное управление)
- Указывает на другой домен, на котором размещен ключ DKIM
- Формат: selector._domainkey.example.com CNAME selector._domainkey.emailprovider.com
- Используется в том случае, если ваш почтовый провайдер управляет ключами DKIM
- Работает с такими сервисами, как Google Workspace, Office 365, SendGrid
Когда использовать тот или иной тип
- Записи TXT: Самостоятельно управляемые почтовые серверы, настраиваемые реализации DKIM
- Записи CNAME: Сторонние почтовые сервисы, управляемые почтовые платформы
Соглашения об именовании селекторов DKIM и примеры
Выбор правильного имени селектора повышает ясность, масштабируемость и облегчает долгосрочное обслуживание.
Общие шаблоны селекторов
Часто используемые форматы включают: s1, s2, selector1 и стандартные настройки провайдера, такие как google, k1, smtp, mail. Хотя они работают нормально, им часто не хватает контекста, и их может быть сложно отслеживать.
Лучшая практика: описательные имена селекторов
Вместо этого используйте селекторы, которые указывают сервис и период времени, например: google2025, sendgrid_q1, marketing_2024. Их гораздо проще запомнить и отслеживать, они обеспечивают точный контекст, оставляя мало места для догадок, и при этом являются безопасными.
Управление селекторами DKIM
Один из наиболее упускаемых из виду аспектов DKIM — это управление селекторами на протяжении времени. К селекторам следует относиться как к управляемым ресурсам, а не как к одноразовым записям DNS, о которых забывают сразу после настройки.
Ведение документации — это простой, но эффективный метод. С помощью обычной таблицы или внутреннего журнала можно эффективно отслеживать селекторы и сроки их ротации. Это позволяет избежать путаницы, когда возникает необходимость в ротации ключей или при выводе из эксплуатации отправляющего сервиса.
Просто ведите простую систему учета (в формате CSV, в электронной таблице или во внутреннем журнале), в которой указывайте:
- Имя селектора
- Домен
- Услуга отправки
- Длина ключа
- Дата создания
- График ротации
- Владелец/команда
Жизненный цикл селектора DKIM
Каждый селектор DKIM должен проходить четкий жизненный цикл. Он начинается с этапа планирования, на котором определяются правила именования и графики ротации.
Здоровый жизненный цикл включает в себя:
- План: определить стратегию присвоения имен и ротации
- Опубликовать: добавить запись DNS и проверить
- Повернуть: ввести новый селектор и ключ
- Вывод из эксплуатации: безопасное удаление неиспользуемых селекторов
Как инструмент аналитики DKIM от PowerDMARC может помочь
PowerDMARC Hosted DKIM Analytics заполняет этот пробел, предоставляя организациям постоянную информацию о том, как DKIM фактически работает в различных доменах, селекторах и источниках отправки.
- Мониторинг на уровне селектора и службы отправки: PowerDMARC анализирует эффективность DKIM на уровне селектора и службы отправки.
- Гибкая фильтрация по временному диапазону: PowerDMARC позволяет анализировать производительность DKIM производительность DKIM за гибкие временные интервалы, такие как последние семь дней, предыдущий месяц или полностью настраиваемые периоды.
- Краткий обзор статистики DKIM: Для быстрой оценки PowerDMARC предоставляет обзор DKIM на высоком уровне, в котором обобщаются данные об общем количестве селекторов, активных службах отправки, а также объеме писем с DKIM-подписью и без нее.
- Подробная аналитика на уровне селекторов: Для каждого селектора PowerDMARC отображает ключевые данные, такие как общий объем электронной почты, показатели успешности DKIM и время последнего обнаружения подписания электронного письма данным селектором.
- Отчеты для экспорта в целях аудита и совместной работы: PowerDMARC позволяет экспортировать данные аналитики Hosted DKIM в формате CSV, что делает отчетность простой и гибкой.
- Обзор состояния ключей DKIM: Основные сведения о состоянии ключей включают в себя информацию о длине ключей, отслеживание смены ключей и мониторинг использования ключей.
Лучшие практики для селекторов DKIM
Чтобы обеспечить работоспособность селектора DKIM и оптимизировать доставку электронной почты, следуйте этим рекомендациям:
Контрольный список рекомендаций по использованию селектора DKIM
| Передовой опыт | Влияние на возможность реализации | Реализация |
|---|---|---|
| Используйте уникальные, трудноугадываемые селекторы | Предотвращает атаки, основанные на переборе значений селектора | Используйте описательные названия с указанием дат/услуг |
| Регулярно меняйте ключи DKIM | Обеспечивает уровень безопасности | Планировать ротацию каждые 3–6 месяцев |
| Следуйте единым правилам именования | Упрощает управление и проведение аудитов | Стандарты именования документов |
| Активно отслеживать использование селектора | Выявляет неиспользуемые/компрометированные селекторы | Используйте отчеты DMARC и инструменты аналитики |
| Вести документацию по селекторам | Предотвращает отклонение от заданной конфигурации | Отслеживать в электронной таблице или CMDB |
Влияние на доставляемость
Правильное управление селекторами DKIM напрямую влияет на доставляемость электронной почты следующим образом:
- Обеспечение единообразной аутентификации для всех источников отправки
- Формирование репутации отправителя с помощью надежных подписей DKIM
- Предотвращение сбоев при аутентификации, которые могут привести к срабатыванию спам-фильтров
- Поддержка соответствия стандарту DMARC для обеспечения максимальной защиты
Устранение неполадок, связанных с селектором DKIM
Распространенные проблемы с селекторами DKIM и способы их решения:
| Проблема | Распространенные причины | Решения |
|---|---|---|
| Селектор не найден в DNS | Синтаксические ошибки, неверный тип записи, неполная передача | Подождите 24–48 часов, пока настройки вступят в силу, и воспользуйтесь инструментом проверки DKIM |
| Наличие нескольких селекторов вызывает путаницу | Слишком много активных селекторов, некачественная документация | Удалите неиспользуемые селекторы, обновляйте документацию |
| Несоответствие селектора | В заголовке используется несуществующий селектор, устаревшая конфигурация | Проверить соответствие между подписью DKIM и записью DNS |
| Задержки распространения DNS | Недавние изменения в DNS, высокие значения TTL | Дождитесь полного обновления, проверьте с нескольких мест |
| Основные вопросы, связанные с длиной ключа | Использование устаревших 1024-битных ключей | Переход на 2048-битные ключи, обновление записей DNS |
Проблема 1: Селектор не найден в DNS
Распространенные причины: Эта проблема может быть вызвана синтаксическими ошибками, неправильным типом записи DNS, неполным распространением или неправильным использованием домена или субдомена.
Устранение неполадок: Если вы недавно настроили DKIM, подождите 24–48 часов, чтобы записи DNS успели распространиться. Если проблема не устранилась, воспользуйтесь инструментом проверки DKIM, чтобы проверить свою запись и исправить обнаруженные ошибки.
Проблема 2: Несколько селекторов вызывают путаницу
Распространенные причины: Слишком большое количество активных селекторов может затруднить проведение аудитов, а неиспользуемые селекторы могут оставаться в коде на неопределенный срок. Это не является рекомендуемой практикой. Кроме того, некачественная документация затрудняет определение ответственности.
Устранение проблем: Своевременно удаляйте неиспользуемые селекторы и обновляйте документацию, чтобы аудит и отслеживание были точными и не требовали больших усилий.
Проблема 3: Несоответствие селектора
Распространенные причины: Заголовок DKIM ссылается на селектор, которого нет в DNS, либо ключ был обновлен, но отправляющая служба не была обновлена.
Устранение неполадок: Всегда проверяйте соответствие между подписью DKIM (значение s=) и вашей опубликованной записью DNS.
Заключительные слова
Из этого блога мы узнали, что селектор DKIM играет ключевую роль в аутентификации DKIM, и его можно найти с помощью нескольких методов — как ручных, так и автоматических. Однако, если вам требуется максимальный контроль над DKIM, этого будет недостаточно.
Благодаря сочетанию аналитики производительности и ключевых данных о состоянии системы PowerDMARC превращает DKIM из статичной настройки в постоянно контролируемый механизм безопасности. Команды получают необходимую информацию для поддержания доставляемости, внедрения передовых практик и уверенного управления DKIM в сложных экосистемах электронной почты, не прибегая к ручным проверкам или догадкам.
Почему следует выбирать PowerDMARC?
- Аналитика угроз в режиме реального времени
- Круглосуточная поддержка специалистов
- Безупречная интеграция с основными платформами
- Нам доверяют более 2000 брендов по всему миру
Начните свой путь в безопасности
Часто задаваемые вопросы
Как выглядит селектор DKIM?
Селектор DKIM обычно представляет собой короткую строку, например «s1», «selector1», «google» или «k1». В заголовке подписи DKIM он отображается в виде «s=selector1» и соответствует записи DNS, например «selector1._domainkey.yourdomain.com».
Как проверить селектор DKIM?
Проверить селектор DKIM можно с помощью онлайн-сервисов проверки DKIM, утилит командной строки, таких как dig или nslookup, либо путем анализа заголовков электронных писем на наличие результатов аутентификации DKIM. Сервис проверки DKIM от PowerDMARC обеспечивает всестороннее тестирование и проверку.
Как найти свой селектор DKIM в заголовке письма?
Чтобы найти свой селектор DKIM в заголовке письма, найдите строку DKIM-Signature и найдите параметр «s=». Например, в строке «s=selector1» селектором является «selector1». Просмотреть заголовки писем можно, выбрав в Gmail пункт «Показать исходный текст» или аналогичные настройки в других почтовых клиентах.
Что произойдет, если селектор DKIM указан неверно?
Если селектор DKIM указан неверно, ваши письма могут не пройти аутентификацию DKIM, что приведет к увеличению фильтрацию спама и вызывая возможные ошибки DMARC.
Можно ли использовать несколько селекторов DKIM?
Да. Наличие нескольких селекторов DKIM является нормальным явлением и часто требуется для ротации или при использовании нескольких отправителей.
Как часто мне следует меняю ключи DKIM?
Рекомендуется обновлять ключи DKIM каждые 3–6 месяцев. Однако в случае инцидента, связанного с нарушением безопасности, следует обновить ключи немедленно, чтобы предотвратить дальнейший ущерб.
Какие инструменты позволяют автоматически находить селекторы DKIM?
Анализатор заголовков электронных писем от PowerDMARC анализатор заголовков электронной почты и инструменты поиска DKIM могут мгновенно извлечь селектор DKIM, используемый в сообщении, без ручной работы или технических знаний.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Достаточно ли Windows Defender для обеспечения безопасности малого бизнеса? - 14 мая 2026 г.
- Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
