Настройка DKIM

В этой статье будет рассмотрена настройка цифровой подписи для Вашего домена.

Технология DomainKeys Identified Mail (DKIM) — это метод e-mail аутентификации: к отправленному письму добавляется заголовок DKIM-Signature, в котором содержится зашифрованная информация о домене отправителя. Таким образом, содержимое заголовка DKIM-Signature подтверждает отправителя письма. На стороне получателя подпись автоматически проверяется, после чего для определения репутации отправителя применяются "белые списки" и "черные списки". После оценки репутации отправителя письма это письмо может быть принято, помещено в папку "Спам", либо отправлено на дополнительную проверку.

Настройка DKIM при отправке рассылок через хостинг Beget

На хостинге Beget можно настроить DKIM-подпись для следующих способов отправки писем:

  • через SMTP-сервер;
  • через функцию PHP mail(), он же sendmail

Для создания DKIM-подписи для писем, отправляемых средствами PHP mail(), потребуется выделенный IP-адрес - его стоимость составляет 660 руб./год, подключить можно из Панели управления аккаунтом, в разделе Сайты. Далее для настройки DKIM-подписи необходимо написать тикет из раздела Помощь и поддержка, указав в нём домен сайта.

Для создания DKIM-подписи для писем, отправляемых средствами SMTP, необходимо написать тикет из Панели управления аккаунтом, раздел Помощь и поддержка, указав в нём домен сайта. Настройка DKIM для SMTP возможна только на оплаченных аккаунтах (минимум на месяц по текущему тарифному плану). Настройка DKIM-подписи с нашей стороны возможна только в том случае, когда рассылки отправляются через наш хостинг и почта работает через нас, то есть, в качестве MX записи у домена, будут значения:

mx1.beget.com
mx2.beget.com

Настройка DKIM при отправке рассылок через сторонний сервис (на примере unisender.com)

Также возможен вариант, когда рассылки производятся через сторонний сервис, либо настроен сервис "Яндекс.Почта" для домена и т.п. В этом случае нужно самостоятельно в разделе DNS в Панели управления внести необходимые записи.

Рассмотрим внесение нужных записей на примере сервиса unisender.com. Для других сервисов рассылки инструкция будет похожей.

1) Смотрим необходимые настройки на сервисе рассылок:

2) Переходим в раздел DNS в панели управления. В верхней части экрана выбираем домен, для которого будем редактировать DNS-записи. В нашем случае первые две строки с SPF-записью начинаются с символа @. Согласно RFC 1034, 1035 этот символ обозначает всю зону целиком. Нажимаем кнопку "открыть режим редактирования" справа от зоны, совпадающей с названием домена, и вносим нужные TXT-записи:

Сохраняем изменения. Обратите внимание, что поскольку spf1-запись для домена у нас уже есть, просто добавляем в неё через пробел новый сервер, без создания новой TXT-записи. Если необходимо добавить spf2-запись, тогда уже создаётся новая TXT-запись. В нашем случае spf2-запись нужно добавить, сделаем это через форму быстрого добавления:

Итого мы добавили нужные TXT-записи:

3) Далее нам нужно добавить запись в подзону _domainkey. Через форму быстрого добавления вводим название подзоны в поле name, выбираем тип записи TXT в поле type, и в поле data вставляем нужную нам запись:

4) Аналогично нужно добавить запись с самой DKIM-подписью в подзону us._domainkey:

Итого добавленные записи выглядят следующим образом:

Обновление записей DNS происходит в течение 15 минут, после этого можно проверить наличие записи в системе DNS. Сделать это можно, к примеру, на сервисе G Suite, в качестве имени нужно ввести имя подзоны, например, us._domainkey.example.ru (вместо example.ru нужно подставить Ваш домен):

Чтобы удостовериться в том, что всё настроено правильно, нужно отправить письмо с ящика домена, для которого настроена цифровая подпись, и на принимающем ящике просмотреть заголовки письма. Там должен быть заголовок DKIM-Signature. Если этот заголовок есть, значит подпись работает. В случае, если письмо оказалось не подписано, необходимо обращаться в поддержку сервиса, через который отправляется письмо.

Для проверки через сервис Unisender была отправлена рассылка, и вот заголовок DKIM-Signature есть в технических заголовках письма:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=us; d=доменотправителя.ru;
 h=From:To:Message-Id:Subject:MIME-Version:Content-Type:List-Help:List-Id:
 List-Unsubscribe:Date:no; i=info@доменотправителя.ru;
 bh=bXvoaXR+a1NFSNkUPp9bw+sm5KA=;
 b=Nel1LTDx3EMy9oPXgrnkVJSk7ZdWUKhuZiynSC5Voi9e/PY/46VF+CBgHD3I8fDdcOlKmsr1dbbo
   9sYcRmIKFSTVG8PfYvEUUHeqC2K1BsvW+c8IStUGi1uAbISl2mP8di/wkoija+eBPZmPyov1/aYw
   Mq3HWOr7jBTH0x9RHbI=

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=jul2015; d=topeml.com;
 h=From:To:Message-Id:Subject:MIME-Version:Content-Type:List-Help:List-Id:
 List-Unsubscribe:Date;
 bh=bXvoaXR+a1NFSNkUPp9bw+sm5KA=;
 b=eIDPgMsW3iZmHhoDEFebsbgubtxeLvMCgfu68bfvZ65pYs6PryApPXwJjdev4/2bwcYW3UybQ4oi
   CSowVihgzRP1bab6ZatiGHwVOQfJ04W1qafl2X0NQ/vkorP5ZdyA7V+k8tQNxdp1uL3Ce32kIk2M
   1eORNohPUf9qbpOACLc=

Здесь видно, что DKIM-подпись работает.

Удачной работы! Если возникнут вопросы - напишите нам, пожалуйста, тикет из Панели управления аккаунта, раздел "Помощь и поддержка".