Что такое DKIM подпись: все, что нужно о ней знать

Что значит «DKIM подпись», как она влияет на безопасность и уровень доставки писем, почему DKIM должна быть у КАЖДОГО отправителя, и как ее настроить. 

Что значит DKIM – подпись?

Упрощая сложное определение в Википедии, DKIM (DomainKeys Identified Mail)  – это стандарт защиты электронной почты. Его основная цель - уберечь содержимое сообщения при передаче между почтовыми серверами. 

Внешне DKIM подпись выглядит так:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=20130519032151.pm; d=example.com;

h=From:Date:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:To:Message-ID;

i=support@example.com; bh=vYFvy46eesUDGJ45hyBTH30JfN4=;

b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/Kp+sipURfVH7BGf+SxcwOkX7X8R1RVObMQsFcbIxnrq7Ba2QCf0YZlL9iqJf32V

 

В этом рандомном (на первый взгляд) наборе цифр, букв и математических знаков скрыт тайный смысл, который разшифровывается следующим образом:

DKIM – это паспорт отправляющего домена. Без него рассылки возможны, но защиту их никто не гарантирует.

Зачем нужна DKIM подпись?

• DKIM защищает от интернет-преступлений

На уровне почтового сервера заменить адрес отправителя – проще пареной репы. Этим часто промышляют мошенники. Выдав себя за компанию с хорошей репутацией, они прикарманивают личные данные и деньги пользователей. Этот процесс называется фишингом, и считается популярным видом интернет-преступления.

DKIM – это часть защитного механизма. Он работает вместе с SPF (позволяет проверить оригинальность домена-отправителя) и DMARC (задает алгоритм проверки входящей почты). Настройка  этих параметров – необязательна, рассылка без них будет идти своим чередом. Но никто не гарантирует, что получатели писем вместо предложения не получат вирус. И письмо будет подписано вашим именем. И данные будут в сохранности. В общем, вы поняли - мы за безопасность клиентов и DKIM-подписи.

• DKIM улучшает репутацию домена

Уровень доверия к отправителю влияет на Open Rate. Open Rate влияет на репутацию домена. Настроенный DKIM репутацию домен «обеляет».

По подписи сервер-получатель определяет не только подлинность, но и его общий рейтинг отправителя. Если подписи нет –  кредит лояльности к домену уменьшается, как и вероятность доставки сообщения.

• Скрывает домен отправителя (при использовании email сервисов для рассылок)

Визуально это выглядит следующим образом:

Эта опция дополнительная, но выгодная для интернет-магазинов. «Палиться», что каждое индивидуальное предложение создано автоматически в рамках массовой рассылки через email сервис не хочется. DKIM подпись в этом случае выручает :) 

Как работает DKIM?

Условно, сфера влияния DKIM делится на 2 части: то, что происходит на сервере-отправителе, и то, что происходит на сервере-получателе. Всем процессом заправляют приватный и публичный ключ.

Приватный ключ (private key) – секретный уникальный код, который хранится под семью печатями на сервере или под надзором email сервиса.

Этап #1: на сервере-отправителе.

При отправке каждое сообщение подписывается цифровой подписью, используя ваш приватный ключ DKIM. Он прячется в заголовке письма, и выглядит примерно так (см.пункт «Подписан» на рисунке). В графе должно находиться имя домена-отправителя: по нему происходит идентификация. 

  

Этап #2: на сервере-получателе.

Получающий сервер начинает проверку входящего email c поля «DKIM-подпись» в заголовке сообщения. Он анализирует:

• версию DKIM, которую использовал отправитель;
• соответствие домена отправителя значению, указанному в подписи;
• значение тега h= (т.е. от кого пришло письмо).

Затем делает запрос в своеобразную библиотеку доменных имен – DNS: подлинный ли домен отправителя? 

Ответ положительный – email не меняется и идет дальше в почтовый ящик получателя.  Если нет – отправляется в СПАМ.

Как настроить DKIM подпись?

Каждый сервис рассылок имеет свою процедуру настройки DKIM подписи. Обычно их можно найти в инструкциях, справочниках или мануалах. В Estismail, к примеру, это “Настройка DKIM записи на домене”. Если у вас возникают вопросы – спрашивайте в службы поддержки.

Как проверить DKIM?

Почтовые сервисы делают проверку DKIM незаметно для пользователя. Некоторые же, не скрывают работу в этом направлении: Google подтверждает надежность отправителя знаком ключа возле адреса:

 

Включить поддержку этой функции можно в Настройки (Settings)→ Лаборатория (Labs)→ «Значок проверенного сообщения» (Authentication icon for verified senders).

DKIM легко проверить самостоятельно, чтобы узнать рейтинг домена среди почтовых сервисов. Вот 3 бесплатных онлайн инструмента для проверки DKIM сигнатуры:

• DKIMCore - проверяет правильность ключа (наличие записи и соблюдения формата). Есть два варианта: ввести селектор и домен, тогда сайт сам найдет ваш ключ и проверит его на правильность; напрямую ввести ваш ключ.
• MXToolBox.com - проверка проходит похоже на предыдущий вариант. Сам сервис предоставляет множество проверок доменов и серверов.
• MailTester.com SPF DKIM check -  все то же самое, только в более приятном интерфейсе. Поддерживает русский язык. С помощью этого сервиса ваше письмо проходит "боевую проверку" вашего письма - полный отчет о точности доставки, вывод SpamAssasin и все проверки записей, наличия в blacklist и тд. 

 

Технология DKIM подписи, вместе с SPF и DMARC, защищает рассылки и повышает уровень доставки писем. Открывать письмо или нет – решает получатель. Задача почтового сервиса сделать так, чтобы сообщение гарантировано дошло до Входящих. И наряду с DKIM не стоит забывать и о других требованиях к  рассылкам, о которых мы писали ранее  и ориентироваться на требования почтовиков:

• Требования Яндекса к честным рассылкам
• Рекомендации Gmail для массовых рассылок

 

Безопасных рассылок Вам!