Аутентификация электронной почты с помощью DKIM
Что такое ключ домена DKIM
Технология DomainKeys Identified Mail (DKIM) используется для предотвращения спуфинга.
Спуфингом называется подделка заголовка письма злоумышленником с целью выдать себя за другое лицо. Чтобы предотвратить спуфинг, некоторые серверы электронной почты требуют подтверждения подлинности отправителя с помощью ключа DKIM.
Технология DKIM позволяет добавлять в заголовки всех исходящих сообщений зашифрованную подпись. Серверы электронной почты расшифровывают заголовки входящих сообщений и проверяют, не менялось ли сообщение после отправки.
Как использовать DKIM с SPF и DMARC
Помимо DKIM, рекомендуется использовать проверки SPF и DMARC. Технология DKIM позволяет удостовериться, что сообщение не было изменено после отправки. SPF определяет круг доменов, письма из которых могут поступать пользователям вашей организации. Спецификация DMARC позволяет определить, что делать с подозрительными письмами.
Подписи DKIM, используемые в Gmail по умолчанию
Подписи DKIM повышают уровень безопасности электронной почты и помогают предотвращать спуфинг. Рекомендуем применять собственный ключ DKIM для всех исходящих сообщений.
Если вы не настроите подписи с помощью собственного ключа DKIM, все исходящие письма Gmail будут подписываться с помощью ключа DKIM по умолчанию: d=*.gappssmtp.com. Это не касается сообщений, отправленных из-за пределов домена mail.google.com.
Как настроить ключ DKIM
- Создайте ключ домена DKIM.
- Добавьте ключ в записи DNS домена. Он будет применяться на серверах электронной почты для расшифровки заголовков DKIM.
- Включите подпись DKIM для исходящих сообщений электронной почты.
Часто задаваемые вопросы о технологии DKIM
Каковы принципы работы DKIM?Технология DKIM предполагает использование двух ключей: открытого и закрытого.
С помощью закрытого ключа ко всем исходящим письмам, отправляемым из домена Gmail, добавляется зашифрованный заголовок.
В записи DNS домена Gmail добавляется открытый ключ. Он позволяет расшифровать заголовок, когда сообщение из домена поступает на сервер электронной почты, и проверить подлинность отправителя.
Чтобы шифровать заголовки исходящих писем с помощью ключа DKIM, включите аутентификацию электронной почты в Gmail.
Если вы уже используете ключ DKIM в своем домене для работы с какой-либо почтовой системой, создайте новый уникальный ключ для работы с Gmail.
Ключи домена содержат префикс селектора. По умолчанию для доменов G Suite используются ключи с префиксом google, но вы можете заменить его другим.
Если вы пользуетесь шлюзом исходящей почты, который меняет отправляемые сообщения (например, добавляет к ним нижний колонтитул), то подписи DKIM будут недействительны. В этом случае выберите один из вариантов ниже.
- Настройте шлюз исходящей почты таким образом, чтобы исходящие сообщения не изменялись.
- Настройте сервер исходящей почты так, чтобы сначала сообщения изменялись, а после этого добавлялась подпись DKIM.
Свяжитесь с администратором сервера электронной почты, который отклоняет сообщения из вашего домена. Согласно стандарту RFC 4871 письма не должны отклоняться, если подпись DKIM отсутствует или ее подлинность не удается проверить.
