Как настроить DKIM

Для пользователей Gmail: если вы получаете спам или фишинговые письма в Gmail, прочитайте эту статью, а если вам не удается отправлять или получать письма в Gmail – эту статью.

Как администратор, вы можете настроить DKIM (также называется подписью DKIM), чтобы выполнять аутентификацию электронной почты и защитить домен от спуфинга.

Если DKIM не используется, серверы получателей с большей вероятностью будут помечать письма из организации или домена как спам.

Содержание

Каковы принципы работы DKIM?

Чтобы настроить DKIM, создайте пару ключей DKIM для домена:

  • Открытый ключ, который хранится в записи TXT DNS домена для DKIM. Этот ключ нужно добавить в домен.
  • Закрытый ключ, который загружается на почтовый сервер. Этот ключ создает и добавляет подпись DKIM ко всем исходящим письмам.
1. Почтовый сервер отправителя с закрытым ключом.
2. Запись TXT DKIM отправителя с открытым ключом.
3. Закрытый ключ отправителя добавляет подпись DKIM в заголовок исходящих писем.
4. Электронная почта отправляется в домен получателя.
5. Почтовый сервер получателя определяет открытый ключ по записи TXT DKIM и использует этот ключ для чтения подписи DKIM и выполнения аутентификации письма.

Если в вашей организации используются шлюзы исходящей почты

Исходящие шлюзы можно настроить для модификации исходящих писем. Например, исходящий шлюз может добавлять к каждому исходящему письму нижний колонтитул. В этом случае письмо не пройдет проверку DKIM, поскольку оно будет изменено уже после отправки.

Убедитесь, что настройки шлюза не нарушают процесс аутентификации DKIM. Прежде чем настраивать DKIM, настройте шлюз таким образом, чтобы он не изменял отправленные письма, или сделайте так, чтобы он изменял контент писем до отправки. Подробнее о том, как настроить шлюз исходящей почты

Шаг 1. Проверьте, выполнена ли настройка DKIM

Способ осуществления этой проверки зависит от того, используете ли вы Google Workspace:

  • Если вы используете Google Workspace, выполните инструкции в этом разделе.
  • Если вы не используете Google Workspace, обратитесь к поставщику услуг электронной почты и/или интернет-провайдеру (если его домен отправляет почту). Если вы сами управляете почтой, воспользуйтесь одним из доступных в интернете инструментов.
Если вы приобрели домен через Google Domains или Squarespace, Google автоматически создаст ключ DKIM и добавит его в записи DNS домена. Перейдите к разделу Включите и проверьте DKIM.
  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. Откройте Набор инструментов администратора Google.
  3. Введите имя своего домена в поле Доменное имя.

    Примечание. В некоторых случаях вам может понадобиться ввести префикс селектора DKIM, который уникальным образом обозначает ключ DKIM. По умолчанию используется google.

  4. Нажмите Начать проверку.
  5. Когда проверка будет завершена, вы получите одно из следующих сообщений:
  • Настройка аутентификации DKIM на DNS-сервере: ключ DKIM для домена и селектора задан. Рекомендуем также настроить DMARC.
  • Аутентификация DKIM не настроена: ключ для вашего домена с указанным вами префиксом селектора отсутствует. Настройте новый ключ с указанным селектором. Перейдите к созданию пары ключей DKIM.

Шаг 2. Создайте пару ключей DKIM

  • Если вы используете Google Workspace, выполните инструкции в этом разделе.
  • Если вы не используете Google Workspace, воспользуйтесь доступным в интернете инструментом, чтобы выполнить следующие действия:
    • Найдите префикс селектора DKIM. Вы можете отправить в свой почтовый ящик тестовое письмо, посмотреть его источник и найти значение s в заголовке DKIM-Signature.
    • Укажите доменное имя, длину ключа и префикс селектора DKIM, чтобы создать пару ключей DKIM.
    • Сохраните закрытый ключ в конфигурации почтового сервера и добавьте открытый ключ в домен.

Generate a DKIM key for your domain

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

Важно! В Google Workspace после того как вы включите почту Gmail для своей организации, вам придется подождать 24–72 часа, прежде чем вы сможете создать ключ DKIM в консоли администратора. При попытке создать ключ раньше этого срока вы можете увидеть сообщение об ошибке, в котором будет указано, что запись DKIM не создана.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемGoogle Workspaceа затемGmail.
  3. Нажмите Аутентификация электронной почты.
  4. В меню Выбранный домен укажите домен, в котором требуется настроить DKIM.
  5. Нажмите кнопку Создать новую запись.
  6. В окне Создание новой записи выберите параметры ключа DKIM:
    • Варианты длины ключа DKIM в битах:
      • 2048. Если ваш регистратор домена поддерживает 2048-битные ключи, выберите этот вариант. Длинные ключи безопаснее более коротких. Если ранее вы использовали 1024-битный ключ, вы можете перейти на 2048-битный, если ваш регистратор домена поддерживает такие ключи.
      • 1024. Выберите этот вариант, если ваш регистратор домена не поддерживает 2048-битные ключи.
    • Варианты префикса селектора:
      • По умолчанию используется префикс селектора google. Он является рекомендуемым для Google Workspace.
      • Если в домене уже используется другой ключ DKIM с таким префиксом, укажите в этом поле другое значение. Узнайте больше о селекторах DKIM.
  7. Нажмите Создать. На странице "Аутентификация электронной почты" будет обновлено значение записи TXT и появится следующее сообщение: Настройки аутентификации DKIM обновлены.

    Важно! На странице "Аутентификация электронной почты" в консоли администратора ещё в течение 48 часов может отображаться сообщение Необходимо обновить записи DNS для этого домена. Если вы уже добавили корректный ключ DKIM в настройках регистратора домена, это сообщение можно игнорировать.

  8. Скопируйте значения DKIM из окна Аутентификация электронной почты. На следующем шаге вы добавите это значение в настройки регистратора домена.
      1. Название хоста DNS (название записи TXT) – здесь указывается название записи TXT для DKIM, которая будет добавлена в записи DNS регистратора вашего домена. Его нужно будет ввести в поле Host (Хост).
      2. Значение записи TXT – здесь указан ключ DKIM. Это значение добавляется в запись TXT для DKIM. Его нужно будет ввести в поле TXT Value (Значение TXT).
         
         
         
         

Шаг 3. Добавьте ключ DKIM в домен

После создания пары ключей DKIM добавьте открытый ключ DKIM в домен, создав запись TXT DKIM.

Если вам нужна помощь с учетными данными для входа в домен, настройками или записями TXT, обратитесь к регистратору домена. Google не оказывает поддержку для доменов от сторонних регистраторов.

Add DKIM domain key to domain DNS records

Добавьте ключ DKIM из консоли администратора Google в записи DNS регистратора домена.

  1. Войдите в аккаунт на сайте регистратора домена (как правило, это компания, у которой вы приобрели домен). Если вы не знаете, кто является регистратором вашего домена, попробуйте найти эту информацию.
  2. Перейдите на страницу, на которой можно изменить TXT-записи DNS для вашего домена. Информация о том, как найти эту страницу, приведена в документации регистратора вашего домена.
  3. Добавьте в запись TXT следующую информацию или измените запись TXT (изучите документацию для вашего домена):

    Название поля Значение
    Тип Тип записи: TXT.
    Хост Домен (или субдомен) также может быть указан по названию, имени хоста или псевдониму. Если хост и домен (но не субдомен), для которого вы добавляете запись TXT, совпадают, добавьте символ @.
    Значение

    Строка, представляющая собой запись TXT:

    TTL (только SPF и BIMI)

    Значение времени жизни (TTL) определяет, сколько секунд проходит перед тем, как изменения записи вступают в силу.

    Например, можно установить значение 1 час, или 3600 секунд.

    Если регистратор домена не позволяет изменить значение этого поля, используйте текущее значение.

    Примечание. Некоторые поставщики доменов ограничивают длину записей TXT. Проверьте, соблюдаются ли ограничения на количество символов в записях TXT вашего регистратора домена.
  4. Сохраните изменения.
  5. Если вы используете субдомены, узнайте у поставщика домена, как добавить запись TXT для субдоменов.
  6. Если вы настраиваете DKIM для нескольких доменов, выполните эти шаги для каждого из них. Вам понадобится уникальный ключ DKIM из консоли администратора для каждого домена.

После добавления ключа DKIM проверка подлинности DKIM начнет работать в течение 48 часов.

Шаг 4. Включите и проверьте DKIM

  • Если вы используете Google Workspace, выполните инструкции в этом разделе.
  • Если вы не используете Google Workspace, воспользуйтесь одним из доступных в интернете инструментов.

Turn on DKIM signing

Добавив ключ DKIM на сайте регистратора домена, включите подпись DKIM в консоли администратора Google.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемGoogle Workspaceа затемGmail.
  3. Нажмите Аутентификация электронной почты.
  4. В меню Выбранный домен найдите домен, для которого вы хотите включить DKIM.
  5. Нажмите Начать аутентификацию. Когда настройка подписи DKIM будет завершена и подпись начнет использоваться, статус вверху страницы изменится на Аутентификация электронной почты с помощью DKIM.
  6. Отправьте письмо пользователю Gmail или Google Workspace. (Проверить работу DKIM, отправив письмо самому себе, не получится.)
  7. Откройте письмо в почтовом ящике получателя и посмотрите на заголовок.

    Примечание. В различных приложениях для работы с электронной почтой порядок действий для того, чтобы посмотреть заголовок письма, будет различен. Чтобы посмотреть заголовок письма в Gmail, рядом со значком Ответить нажмите Ещё а затемПоказать оригинал.

  8. В заголовке найдите строку Authentication-Results. Серверы, получающие электронную почту, используют различные форматы для заголовков входящих писем, однако результаты аутентификации DKIM должны приблизительно выглядеть так: DKIM=pass или DKIM=OK.

    Если заголовок сообщения не содержит строку с информацией о DKIM, значит письма из вашего домена отправляются без подписи DKIM.

Дальнейшие действия

  • Google рекомендует также настроить для организации аутентификацию DMARC.
  • Если вы не можете определить, работает ли DKIM, или если письма из домена организации попадают в спам, воспользуйтесь инструкциями в статье Устранение неполадок с DKIM.
  • Вы также можете настроить BIMI, чтобы к исходящим письмам добавлялся логотип организации.

Статьи по теме


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню