DKIM (DomainKeys Identified Mail) — это система аутентификации электронной почты, которая обеспечивает целостность и неотказуемость с помощью криптографических подписей.
Как работает DKIM
- Почтовая система SpaceWeb генерирует закрытый ключ домена, чтобы зашифровать сообщение и создать хэш, который включается в заголовок письма.
- Почтовый сервер получателя, в свою очередь, использует открытый ключ отправителя, размещенный в DNS-зоне домена отправителя, чтобы провести проверку DKIM записи домена и зашифровать те же элементы сообщения.
- Затем полученные хэш-коды сравниваются, и если они совпадают, это означает две вещи:
- первое, что в процессе отправки письма оно не было изменено;
- и второе, что адрес, с которого было отправлено письмо, действительно принадлежит отправителю.
Если хоть один знак в отправленном сообщении был изменен, хэш-коды не совпадут. Это может быть признаком того, что письмо было перехвачено в ходе кибератаки и его содержание было изменено для фишинговых целей.
Например, в yandex письмо подписанное DKIM эыглядит так:
В чем ценность DKIM-подписи
- Использование DKIM-подписи — это стандарт для организаций, которые рассылают электронные письма и хотят подтвердить свое «авторство». Подпись используется получателем, чтобы убедиться, что сообщение было действительно отправлено владельцем домена и не было заменено в процессе его пересылки.
- Наличие DKIM способствует повышению репутации отправителя. Письмо, содержащее корректную DKIM-подпись, с большей долей вероятности попадет в папку «Входящие» и не будет отфильтровано как спам. А значит, open rate рассылки скорее всего будет выше, чем без DKIM-подписи.
- Доступ к постмастеру — это сервис статистики рассылок на адреса конкретного почтового провайдера. Он позволяет проводить более глубокую аналитику, учитывающую статистику отправляемости, репутацию отправителя, количество попавших в спам рассылок и т. д.
Как включить DKIM-подпись
Управление настройкой производится в панели управления, раздел Почта.
- Для доменов, которые размещаются на DNS-серверах SpaceWeb и имеют наши почтовые (MX) записи достаточно включить ползунок в столбце DKIM напротив нужного домена:
Важно! Обновление зоны занимает около 15 минут.
- Если вы подключаете DKIM к домену, который размещается не на наших DNS-серверах, то в таком случае необходимо добавить TXT-запись с ключом DKIM на стороне текущего хостинг-провайдера DNS.
DMARC-протокол
DMARC — это протокол, через который почта получателя проверяет, от кого пришло письмо: достоверного отправителя или спамера. По результатам проверки этот протокол решает, переместить письмо во «Входящие» или «Спам».
Важно! Переходите к подключению DMARC только после настройки DKIM.
Чтобы установить DMARC-политику, нужно добавить TXT-запись с нужным алгоритмом.
DMARC-политика по умолчанию задаётся следующей TXT-записью:
|
Имя записи |
Тип записи |
Значение записи |
|
_dmarc.domain.ru |
TXT |
v=DMARC1; p=none; aspf=r; sp=none |
Где domain.ru — имя вашего почтового домена.
Для добавления DMARC нужно:
- Перейти в раздел Домены панели управления
- Нажать меню "три точки" напротив почтового домена и выбрать DNS:
- Далее Добавить запись
- Выбрать тип записи TXT и добавить запись с необходимым описанием
Другие настройки DMARC
Можно настроить DMARC-политику иначе, для этого можно воспользоваться данной таблицей:
|
Название тега |
Назначение |
Пример |
Требуется |
Дополнительно |
|---|---|---|---|---|
|
v |
Версия протокола |
v=DMARC1 |
да |
|
|
p |
Правила для домена |
p=reject |
да |
none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
|
aspf |
Режим проверки соответствия для SPF-записей |
aspf=s |
нет |
r (relaxed) — разрешать частичные совпадения, s (strict) — разрешать только |
|
pct |
Сообщения, подлежащие фильтрации (в %) |
pct=40 |
нет |
|
|
sp |
Правила для субдоменов |
sp=reject |
нет |
none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
|
rua |
Адрес для сводных отчетов |
rua=mailto:admin@test.ru |
нет |