Аутентификация электронной почты с помощью DKIM
Как настроить подпись DKIM для защиты электронной почты от спуфинга
Технология DomainKeys Identified Mail (DKIM) используется для предотвращения спуфинга при отправке писем из вашего домена.
Спуфингом называется изменение письма злоумышленником, которое позволяет ему выдать себя за другое лицо. Чтобы предотвратить спуфинг, некоторые серверы электронной почты требуют подтверждения подлинности отправителя с помощью ключа DKIM.
Технология DKIM позволяет добавлять в заголовки всех исходящих сообщений зашифрованную подпись. Серверы электронной почты расшифровывают заголовки входящих сообщений и проверяют, не менялось ли сообщение после отправки.
Как улучшить защиту электронной почты
В дополнение к подписи DKIM рекомендуем настроить перечисленные ниже проверки.
- SPF: определяет круг доменов, письма из которых могут поступать пользователям вашей организации.
- DMARC: определяет, как обрабатываются подозрительные письма в домене.
Подписи DKIM повышают уровень безопасности электронной почты и помогают предотвращать спуфинг. Рекомендуем применять собственный ключ DKIM для всех исходящих сообщений.
Если вы не настроите подписи с помощью собственного ключа DKIM, все исходящие письма Gmail будут подписываться с помощью ключа DKIM по умолчанию: d=*.gappssmtp.com. Это не касается сообщений, отправленных из-за пределов домена mail.google.com.
Как настроить ключ DKIM
- Создайте ключ домена DKIM.
- Добавьте ключ в записи DNS домена. Он будет применяться на серверах электронной почты для расшифровки заголовков DKIM.
- Включите подпись DKIM для исходящих сообщений электронной почты.
Часто задаваемые вопросы о технологии DKIM
Каковы принципы работы DKIM?Технология DKIM предполагает использование двух ключей: открытого и закрытого.
С помощью закрытого ключа ко всем исходящим письмам, отправляемым из домена Gmail, добавляется зашифрованный заголовок.
В записи DNS домена Gmail добавляется открытый ключ. Он позволяет расшифровать заголовок, когда сообщение из домена поступает на сервер электронной почты, и проверить подлинность отправителя.
Чтобы шифровать заголовки исходящих писем с помощью ключа DKIM, включите аутентификацию электронной почты в Gmail.
Если вы уже используете ключ DKIM в своем домене для работы с какой-либо почтовой системой, создайте новый уникальный ключ для работы с Gmail.
Ключи домена содержат префикс селектора. По умолчанию для доменов G Suite используются ключи с префиксом google, но вы можете заменить его другим.
Если вы пользуетесь сервером исходящей почты, который меняет отправляемые сообщения (например, к каждому из них добавляется нижний колонтитул), то подписи DKIM будут недействительны. В этом случае выберите один из вариантов ниже.
- Настройте шлюз исходящей почты таким образом, чтобы исходящие сообщения не изменялись.
- Настройте сервер исходящей почты так, чтобы сначала сообщения изменялись, а после этого добавлялась подпись DKIM.
Свяжитесь с администратором сервера электронной почты, который отклоняет сообщения из вашего домена. Согласно стандарту RFC 4871 письма не должны отклоняться, если подпись DKIM отсутствует или ее подлинность не удается проверить.
