Настройка DKIM: Пошаговое руководство по настройке DKIM для обеспечения безопасности электронной почты (2025)

DKIM или DomainKeys Identified Mail это протокол аутентификации электронной почты, который проверяет подлинность исходящих писем. При настройке DKIM используется частный криптографический ключ, генерируемый вашим почтовым сервером, который создает цифровую подпись на основе содержимого письма (зашифрованный хэш). Эта подпись добавляется в заголовок письма. Настройка DKIM для вашего домена позволяет серверам-получателям использовать соответствующий открытый ключ, опубликованный в вашем DNS, для проверки того, что получаемые ими электронные письма исходят от вашего авторизованного почтового сервера, не были подделаны при передаче и не являются поддельными.

Правильная настройка DKIM необходима для повышения безопасности электронной почты, повышения эффективности доставки и предотвращения поддельных атак. Таким образом, в этом руководстве представлен простой план действий по пошаговой настройке DKIM для вашего домена. Давайте приступим!

Упростите DKIM с помощью PowerDMARC!

Почему настройка DKIM крайне важна 

Улучшенная доставляемость электронной почты

Настройка DKIM, а также поддержка таких протоколов, как SPF и DMARC, может значительно повысить уровень доставки электронной почты, помогая вашим сообщениям попадать в почтовый ящик, а не быть отмеченными спам-фильтрами таких сервисов, как Gmail, Outlook и Yahoo! Mail.

Улучшенная репутация отправителя

Аутентификация играет важную роль в поддержании и укреплении репутации отправителя, снижая вероятность того, что письма будут помечены как спам.

Предотвращение несанкционированного доступа к электронной почте

DKIM помогает предотвратить фальсификацию сообщений во время их передачи. Это означает, что если злоумышленник попытается подслушать ваш разговор и вставить в него вредоносный код, DKIM поможет идентифицировать сообщение как недостоверное. Криптографическая подпись гарантирует, что содержимое письма не было изменено с момента его подписания отправителем.

Повышение доверия со стороны получателей

DKIM в сочетании с другими протоколами аутентификации электронной почты помогает установить доверие среди получателей, повышая показатели вовлеченности и доставляемости электронной почты. 

Согласование с передовыми практиками и требованиями к безопасности электронной почты

Внедрение DKIM приведет ваш домен в соответствие с лучшими отраслевыми практиками безопасности электронной почты и поможет выполнить требования к аутентификации, установленные основными поставщиками почтовых ящиков, особенно в сочетании с SPF и DMARC.

Настройка DKIM: Пошаговое руководство

1. Создайте свою DKIM-запись

Создайте свою DKIM-запись с помощью нашего Инструмент для создания DKIM-записей. Инструмент поможет вам мгновенно сгенерировать пару ключей DKIM, содержащую открытый и закрытый ключи DKIM. Для повышения безопасности рекомендуется генерировать ключи длиной 2048 бит.

2. Доступ к консоли управления DNS

Чтобы начать работу, вам нужен доступ к системе доменных имен. Вы можете обратиться к своему DNS-провайдеру или хостеру, чтобы они помогли вам в этом процессе.

3. Добавьте DKIM-запись в настройки DNS

Опубликуйте открытый ключ DKIM (обычно в виде записи TXT или CNAME) в настройках DNS под выбранным вами именем селектора (например, `s1._domainkey.yourdomain.com`). Сохраните изменения. Настройте сервер (серверы) отправки электронной почты на использование соответствующего закрытого ключа для подписи исходящих сообщений.

4. Проверка конфигурации DKIM

После того как вы настроили DKIM-запись и дали время на распространение DNS (что может занять до 48 часов), проверьте ее с помощью нашего инструмента Инструмент проверки DKIM. Этот инструмент подскажет вам, действительна ли ваша запись, нет ли в ней ошибок и правильно ли она настроена!

Хотите автоматизировать процесс настройки и управления DKIM? Начните работу с Hosted DKIM бесплатно!

Настройка DKIM для популярных служб электронной почты

Если вы используете различные почтовые сервисы для отправки деловых или коммерческих писем, вам необходимо настроить для них DKIM. Это позволит убедиться в том, что ваш поставщик электронной почты отправляет адресатам письма, соответствующие требованиям, что повысит эффективность доставки. 

1. Настройка DKIM для рабочей среды Google

Источник: Поддержка Google

1. Проверьте, настроен ли DKIM для вашего домена, используя наш инструмент проверки DKIM. 
2. Если вы не используете Google Workspace, для создания записи можно воспользоваться инструментом генератора DKIM в PowerDMARC. 
3. Если вы используете рабочее пространство Google, войдите в консоль администратора Google. 
4. Перейдите в меню > Приложения > Рабочее пространство Google> Gmail.
5. Нажмите кнопку Проверка подлинности электронной почты 
6. Выберите свой домен из списка и нажмите на кнопку Generate New Record, чтобы начать создание записи. Обычно Google предоставляет 2048-битный ключ.
7. После создания скопируйте имя DNS-хоста (имя TXT-записи) и значение TXT-записи (открытый ключ).
8. Опубликуйте TXT-запись в настройках DNS и сохраните изменения. Дождитесь распространения DNS.
9. Вернитесь в консоль администратора Google и нажмите "Начать аутентификацию".

2. Настройка DKIM для Microsoft Office 365

• Перейти к Настройки аутентификации электронной почты в Портал Defender.
• На вкладке вкладка DKIMвыберите пользовательский домен для настройки (щелкните в любом месте строки, кроме флажка).
• Во всплывающем окне сведений о домене проверьте статус. Если там написано "Для этого домена не сохранены DKIM-ключи", нажмите Создать DKIM-ключи.
• Скопируйте Значениязаписи CNAME представленные в диалоговом окне. Появятся два имени хоста и соответствующие им адреса точек доступа.
• Откройте сайт регистратора доменов и создайте два необходимых Записи CNAME используя скопированные значения. Например:
  • Имя хоста: selector1._domainkey → Значение: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
  • Имя хоста: selector2._domainkey → Значение: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
• Подождите несколько минут (или больше) для распространения DNS.
• Возврат к всплывающему окну сведений о домене на портале Defender. Переключить Подписывать сообщения для этого домена с помощью DKIM-подписей в положение Включено (если оно еще не включено). Если записи CNAME были обнаружены, статус должен обновиться.
• Проверьте:
  • Переключение установлено на Включено.
  • Статус Подписание DKIM-подписей для этого домена.
  • Дата последней проверки отражает недавнюю проверку.

3. Настройка DKIM для Godaddy

Процесс для GoDaddy включает в себя добавление записи DKIM (обычно это TXT или CNAME запись, предоставленная вашим поставщиком услуг электронной почты или сгенерированная инструментом) в настройки DNS вашего домена.

• Войдите в свою учетную запись GoDaddy.
• Перейдите на страницу Портфолио доменов и выберите свой домен.
• Выберите DNS в левом меню.
• Нажмите "Добавить новую запись".
• Введите данные, указанные в инструкции по настройке DKIM:

Тип: Выберите TXT или CNAME в зависимости от необходимости.

Имя: Введите предоставленное имя хоста/имя (например, selector._domainkey. GoDaddy часто автоматически добавляет ваше доменное имя).

Значение: Вставьте значение открытого ключа DKIM или значение целевого CNAME.

TTL: Используйте значение по умолчанию (обычно 1 час) или следуйте специальным инструкциям.

• Нажмите "Сохранить". Дайте время на распространение DNS.

4. Настройка DKIM для Cloudflare 

Как и в случае с GoDaddy, настройка DKIM в Cloudflare предполагает добавление специальной DNS-записи, предоставленной вашей почтовой службой или инструментом генерации DKIM.

• Войдите в систему Cloudflare.
• Выберите свою учетную запись и домен.
• Перейдите в раздел DNS → Записи.
• Нажмите "Добавить запись".
• Введите данные для записи DKIM:
  • Тип: Выберите TXT или CNAME в зависимости от необходимости.
  • Имя: Введите имя хоста (например, `selector._domainkey`). Cloudflare автоматически добавляет домен.
  • Содержимое/цель: Вставьте значение открытого ключа DKIM (для TXT) или имя целевого хоста (для CNAME).
  • TTL: Авто обычно подходит, или следуйте специальным инструкциям.
• Убедитесь, что статус прокси установлен на "Только DNS" (серое облако) для записей DKIM.
• Нажмите Сохранить и дайте время на распространение DNS.

(Примечание: в оригинальном разделе Cloudflare описывалась настройка DMARC. Приведенные выше шаги исправлены для настройки DKIM в Cloudflare).

Как определить селектор DKIM

Владельцы доменов часто задают вопрос: "Как найти мой селектор DKIM"? Селектор является частью DKIM-подписи, добавляемой в заголовки электронной почты, и соответствует определенной записи открытого ключа в вашем DNS. Для того чтобы найти свой DKIM-селектор для полученного или отправленного вами электронного письма:

1) Отправьте тестовое письмо с настроенного домена/сервиса на аккаунт, к которому вы можете получить доступ (например, Gmail).

2) Откройте письмо в папке входящих сообщений (например, Gmail).

3) Нажмите на три вертикальные точки (Другие варианты) рядом с кнопкой ответа.

4) Выберите "Показать оригинал".

5) На странице "Оригинальное сообщение" найдите заголовок `DKIM-Signature`. Внутри этого заголовка найдите тег `s=`. Значение, присвоенное этому тегу, является вашим DKIM-селектором (например, `s=s1` означает, что селектор - это `s1`).

Проблемы, связанные с ручной настройкой DKIM

Ручная настройка DKIM может быть сложной и чреватой ошибками. Вот некоторые ключевые проблемы:

• Генерация, хранение и ротация криптографических ключей вручную требует опыта и осторожного обращения, чтобы избежать рисков безопасности.
• Записи DKIM должны быть точно добавлены в настройки DNS. Одна опечатка или неправильное форматирование могут привести к неудачной аутентификации, в результате чего электронные письма будут помечены как спам или отклонены.
• Регулярная ротация ключей необходима для обеспечения безопасности, но при отсутствии тщательного управления ручные обновления могут быть пропущены, неправильно выполнены или привести к простою.
• Диагностика проблем с DKIM, таких как сбои в проверке подписи или проблемы с конфигурацией DNS, может быть сложной и трудоемкой, особенно при работе с несколькими поставщиками электронной почты или сторонними службами.
• Ручная настройка и обслуживание требуют значительного времени и технических усилий, что повышает риск неправильной конфигурации и неэффективности работы.

Преимущества автоматизации

• Автоматизация управления DKIM - это более быстрый способ внедрения и мониторинга настроек DKIM, не требующий ручного вмешательства, такого как генерация ключей и обновление DNS.
• Автоматизированные решения гораздо более точны, поскольку сводят к минимуму возможность человеческих ошибок при создании и настройке записей.
• Простота использования - еще один фактор, который делает автоматизированные решения заманчивой альтернативой для предприятий, желающих сократить ручные операции и уменьшить количество необходимых технических знаний.
• Автоматизированное управление DKIM может повысить безопасность, упростив и поощрив регулярную ротацию ключей DKIM.

Как PowerDMARC упрощает настройку DKIM

Автоматизированная генерация ключей DKIM

PowerDMARC's инструмент генератора DKIM автоматически генерирует безопасные криптографические DKIM-ключи (с поддержкой 1024 и 2048 бит), устраняя риск ошибок, допущенных вручную. Наш сервис Hosted DKIM еще больше автоматизирует управление ключами.

Упрощенная настройка DNS-записей

Пользователи получают готовую к публикации запись DKIM для своих DNS, что избавляет их от необходимости вручную создавать или устранять неполадки в записях TXT или CNAME. Пошаговое руководство обеспечивает быстрое и безошибочное развертывание.

Простая проверка и мониторинг DKIM

Наша платформа включает инструменты для проверки в режиме реального времени, чтобы убедиться, что DKIM настроен правильно и функционирует в соответствии с ожиданиями. Отчеты DMARC, анализируемые PowerDMARC, дают представление о результатах проверки подлинности DKIM, помогая пользователям получать предупреждения о сбоях в проверке подлинности, что позволяет немедленно устранить неполадки.

Централизованное управление DKIM

Управление несколькими ключами DKIM и доменами из одного Hosted DKIM приборная панель с возможностью отслеживания состояния ключей, их использования и упрощенной истории ротации, что повышает безопасность и контроль без прямого доступа к DNS, необходимого для обновления.

Лучшие практики DKIM для более надежной проверки подлинности электронной почты

Следующие лучшие практики помогут вам еще больше повысить уровень аутентификации DKIM: 

1. Ротация ключей DKIM

Частые Ротация ключей DKIM минимизирует риск компрометации в случае раскрытия закрытого ключа. Лучшая практика предполагает ротацию ключей каждые 6-12 месяцев или даже чаще. Автоматизированные решения, такие как PowerDMARC, обеспечивают простое управление ключами DKIM без ручного вмешательства. Настройка нескольких DKIM-записей также может способствовать более плавной ротации ключей, позволяя публиковать новый ключ до того, как старый будет отправлен в отставку.

2. Сильные селекторы и ключи DKIM

Использование уникальных и описательных DKIM-селекторов (например, `selector1`, `google`, `sendgrid`) улучшает организацию и поиск неисправностей по сравнению с общими селекторами. Настоятельно рекомендуется использовать 2048-битные ключи для повышения криптографической безопасности по сравнению со старым 1024-битным стандартом.

3. Мониторинг аутентификации DKIM

Регулярно проверяйте результаты проверки подлинности DKIM с помощью сводные отчеты DMARC чтобы обнаружить сбои в аутентификации или несанкционированное использование вашего домена. Используйте инструменты мониторинга и валидаторы DKIM, чтобы периодически проверять правильность применения и прохождения проверки DKIM-подписей.

4. Сочетание DKIM с SPF и DMARC

Использование DKIM наряду с SPF (Sender Policy Framework) и DMARC (Domain-based Message Authentication, Reporting, and Conformance) создает многоуровневую защиту электронной почты. SPF проверяет IP-адреса отправителей, DKIM проверяет целостность сообщений, а DMARC обеспечивает соблюдение политик и отчетность, предлагая комплексную защиту от подделки и фишинга.

Устранение распространенных проблем с DKIM

• Задержки распространения DNS: Вновь опубликованные или обновленные записи DKIM могут потребовать времени (от нескольких минут до 48 часов) для распространения на глобальных DNS-серверах. Важно подождать достаточное время и проверить наличие записей с помощью внешних инструментов поиска DNS, прежде чем предполагать ошибку конфигурации.
• Неправильная конфигурация DKIM-записи: Опечатки в имени селектора, отсутствие символов в значении открытого ключа, неправильный тип записи (TXT против CNAME) или неправильное форматирование записей могут привести к сбоям. Перед публикацией в DNS дважды проверьте имя хоста и значение в соответствии с предоставленными инструкциями.
• Сбои в проверке DKIM (`dkim=fail`): Если DKIM не прошел проверку, письма могут быть помечены как спам или отклонены. Возможные причины: неправильный открытый ключ в DNS, несоответствие закрытого ключа на сервере-отправителе, изменение сообщения посредниками (хотя DKIM предназначен для обнаружения этого) или слишком строгая проверка получателем. Проверьте заголовки подписи DKIM в источнике электронной почты, убедитесь, что открытый ключ в DNS совпадает с предполагаемым, и проанализируйте отчеты DMARC на предмет наличия шаблонов отказов.
• Проблемы со сторонними поставщиками электронной почты: При использовании сторонних провайдеров (например, Mailchimp, SendGrid, Office 365) убедитесь, что вы следуете их специальным инструкциям по настройке DKIM. Некоторые из них могут требовать использования записей CNAME, указывающих на их домен, в то время как другие позволяют публиковать запись TXT с ключом, который они предоставляют или который вы генерируете. Убедитесь, что провайдер поддерживает DKIM для вашего отправляющего домена.
• Проблемы с селектором: Использование неправильного имени селектора в записи DNS (несоответствие тегу `s=` в заголовке электронной почты) приводит к сбоям аутентификации. Убедитесь, что имя селектора, опубликованное в DNS, совпадает с тем, которое используется службой отправки в заголовках электронной почты.

Вопросы и ответы о настройке DKIM

1. Сколько времени требуется для того, чтобы DKIM начал работать?

После публикации записи открытого ключа DKIM в вашем DNS она должна распространиться по DNS-серверам интернета. Это может занять от нескольких минут до 48 часов, хотя часто это происходит гораздо быстрее. После того как запись станет общедоступной и ваш почтовый сервер будет настроен на подписание писем, DKIM будет активен для последующих писем, отправленных из этого настроенного источника.

2. Как проверить, работает ли моя настройка DKIM?

Проверить настройку DKIM можно несколькими способами: использовать онлайн-инструмент проверки DKIM (например, PowerDMARC) для поиска опубликованной записи в DNS; отправить тестовое письмо в службу типа Gmail и проверить заголовки "Original Message" на наличие статуса `dkim=pass` в заголовке `Authentication-Results`; или просмотреть сводные отчеты DMARC, которые показывают результаты прохождения/непрохождения DKIM для писем вашего домена.

3. Что произойдет, если проверка DKIM не удастся? 

Если проверка DKIM не удалась (`dkim=fail`), серверы-получатели могут отнестись к письму с большим подозрением. Это может привести к тому, что сообщение будет помечено как спам, помещено в карантин или, возможно, отклонено, особенно если DMARC также настроен с политикой `карантина` или `отклонения`, а SPF также не работает (или не согласован). Сбой DKIM негативно сказывается на репутации отправителя и возможности доставки.

4. Могу ли я использовать несколько селекторов DKIM для одного домена?

Да, вы можете и часто должны использовать несколько селекторов DKIM для одного и того же домена. Это необходимо при отправке электронной почты через различные сервисы (например, Google Workspace, Salesforce, маркетинговую платформу), поскольку для каждого из них может потребоваться свой ключ/селектор. Это также является лучшей практикой для ротации ключей, позволяющей вводить новый ключ с новым селектором до того, как старый будет снят с эксплуатации.

5. Каких распространенных ошибок следует избегать при настройке DKIM?

К распространенным ошибкам относятся: синтаксические ошибки в DNS-записи (опечатки, лишние пробелы, неправильное цитирование); публикация записи неправильного типа (TXT против CNAME); несоответствие селектора DNS-записи и подписи электронной почты; забывание включить DKIM-подпись на платформе отправки электронной почты после публикации DNS-записи; копирование только части длинного значения открытого ключа; недостаточно долгое ожидание распространения DNS перед тестированием или ожиданием результатов. Неиспользование 2048-битных ключей, когда они доступны, также является упущенной возможностью для повышения безопасности.

Заключительные размышления

DKIM - это мощный строительный блок для укрепления безопасности электронной почты вашего домена. Обеспечивая целостность ваших почтовых сообщений с помощью криптографической проверки, он защищает репутацию вашего бренда от вреда, а ваш домен - от спуфинга и фишинговых атак, основанных на подделке информации об отправителе. Учитывая миллионы незащищенных доменов по всему миру и все более пристальное внимание со стороны провайдеров почтовых ящиков, сейчас самое время повысить уровень безопасности, а не отставать. Сделайте первый шаг к усилению аутентификации, правильно внедрив DKIM, в идеале - вместе с SPF и DMARC. Начните бесплатную пробную версию с PowerDMARC сегодня, чтобы упростить этот процесс!

"`

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• DMARC MSP Case Study: Как PowerDMARC защищает домены клиентов Amalfi Technology Consulting от спуфинга - 17 ноября 2025 г.
• Тестирование доставляемости электронной почты: Что это такое и как его использовать - 17 ноября 2025 г.
• Что такое безфайловое вредоносное ПО? Как оно работает и как его остановить - 14 ноября 2025 г.