Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню

Аутентификация электронной почты с помощью DKIM

Что такое ключ домена DKIM

Один из способов защититься от спуфинга – добавить цифровую подпись в заголовки исходящих сообщений согласно стандарту DKIM. Этот способ предусматривает шифрование заголовков исходящих сообщений с помощью закрытого ключа домена, а также добавление открытой версии ключа в записи DNS домена. Серверы-получатели могут скачать открытый ключ, чтобы расшифровать заголовки входящих сообщений и проверить, действительно ли сообщение исходит от заявленного отправителя.

Цифровая подпись G Suite соответствует стандарту почты, идентифицируемой ключом домена (DomainKeys Identified Mail, или DKIM).

Принцип работы

Для добавления цифровой подписи в исходящие сообщения необходимо создать ключ домена, на основе которого G Suite будет формировать подписанные почтовые заголовки, уникальные для данного домена. Также вам нужно добавить открытый ключ в записи DNS домена. Чтобы проверить источник сообщения, получатель может скачать открытый ключ и с его помощью убедиться в подлинности подписи.

Теперь вы можете сгенерировать не 1024-, а 2048-разрядный ключ. Если регистраторы ваших доменов поддерживают эту возможность, рекомендуем ей воспользоваться. 

Это нововведение не затронет пользователей, у которых уже есть 1024-разрядный ключ. 

Краткая инструкция

Повторите перечисленные ниже действия для каждого домена, связанного с вашим аккаунтом G Suite.

  1. Создайте открытый ключ.
  2. Добавьте ключ в записи DNS домена. Получатели смогут загружать этот ключ и использовать его для расшифровки заголовков DKIM.
  3. Включите подпись сообщений электронной почты, чтобы заголовки DKIM добавлялись в исходящие сообщения.

Пропустите первые два шага, если вы приобрели свой домен у одного из наших партнеров при создании аккаунта G Suite. Google автоматически создаст ключ домена и добавит запись DNS при включении аутентификации.

Далее: Как создать ключ домена

Если ключ уже создан

Если у домена уже есть ключ DKIM (например, тот, с помощью которого устаревший почтовый сервер подписывает исходящую почту), необходимо создать отдельный ключ для G Suite, который будет отличаться от других префиксом селектора. При создании ключа вы можете оставить стандартный префикс google или указать свой.

Настройка DMARC для обработки сообщений, которые не проходят проверку DKIM

Если сообщение не проходит проверку записи SPF, ваша почтовая служба решает, как обработать его. Чтобы управлять обработкой таких сообщений, создайте для домена G Suite запись DMARC. С ее помощью можно указать, что делать с такими сообщениями: отправлять в карантин, отклонять или не предпринимать никаких действий. Подробнее о записи DMARC

О сервере исходящей почты

Если вы пользуетесь сервером исходящей почты, который меняет отправляемые сообщения (например, добавляет в них нижний колонтитул), то подписи DKIM будут недействительными. Чтобы решить проблему, запретите серверу шлюза менять сообщения или настройте его так, чтобы подпись DKIM присваивалась после внесения изменений.

Для защиты от спуфинга мы также предлагаем использовать записи SPF и DMARC.
Была ли эта статья полезна?
Как можно улучшить эту статью?
Вход в аккаунт

Чтобы получить индивидуальную техническую поддержку, войдите в аккаунт G Suite. Прочитать об основных функциях сервиса можно здесь.