Настройка DKIM, SPF и DMARC

В этой статье мы поможем разобраться в настройках цифровой подписи для вашего домена, чтобы письма были доставлены и не попали в «Спам»

Технология DKIM — это метод e-mail аутентификации. Заголовок DKIM-Signature прикрепляется к письму, в DKIM зашифрована информация о домене отправителя. Так DKIM-Signature подтверждает его.

А SPF — это расширение с записями, где есть данные серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Грамотные настройки SPF помогают владельцу домена избежать отправки поддельных писем от его имени.

На стороне получателя система проверяет подпись и определяет репутацию отправителя. После этого письмо или доставляется, или отправляется в «Спам» / на дополнительную проверку. Бывает и такое, что сервер получателя сам отклоняет письмо.

Настройка DKIM-подписи при отправке рассылок через хостинг Beget

На нашем хостинге вы можете настроить DKIM для следующих способов отправки писем:

  • через SMTP-сервер;
  • через функцию PHP mail(), он же sendmail.

Чтобы создать DKIM-подпись для рассылки через PHP mail(), нужен выделенный IP-адрес. Вы можете подключить его из Панели управления аккаунтом (в разделе Сайты). Затем для настройки DKIM-подписи напишите тикет из раздела Помощь и поддержка с указанием домена сайта.

Чтобы сделать DKIM-подпись для писем с функцией SMTP, напишите тикет из Панели управления аккаунтом, раздел Помощь и поддержка, в нем укажите домен, с которым вы работаете. Эти функции доступны только на оплаченных аккаунтах (минимум на месяц по текущему тарифному плану). Мы можем настроить вам DKIM, только если письма отправляются через наш хостинг — то есть указаны наши MX-записи.

Настройка DKIM при отправке рассылок через сторонний сервис (на примере unisender.com)

Если рассылки отправляются через «Яндекс.Почту» или аналогичные сервисы, нужно самостоятельно внести требуемые записи в разделе DNS в Панели управления, чтобы работа DKIM была корректной.

Рассмотрим, как запустить рассылку через unisender.com. Инструкция подойдет и для других похожих сервисов.

1. Смотрим настройки DKIM, SPF и DNS на сервисе рассылок:

2. В панели управления переходим в раздел DNS. В верхней части экрана выбираем домен, для которого начнем работу с DNS-записью. В нашем случае первые две строки с SPF-записью начинаются с символа @. Согласно RFC 1034 и RFC 1035 этот символ означает всю зону целиком. Нажимаем кнопку «открыть режим редактирования» справа от основной зоны, совпадающей с названием домена, и вносим нужные TXT-записям изменения для работы DKIM:

Сохраните изменения.

Обратите внимание!
Если уже есть TXT-запись v=spf1, просто добавляем в нее новый сервер (без создания новой записи).

В нашем примере для работы с spf2-записью ее нужно только включить, используем форму быстрого добавления:

В итоге мы добавили нужные TXT-записи:

Можно пойти другим путем и редактировать уже существующую TXT-запись с параметрами SPF. Лучше, если она будет одна (SPF-запись может объединять все сервера и сервисы, с которых вы отправляете письма). 

Для этого к существующей записи "v=spf1 redirect=_spf.beget.com" (если использовался наш хостинг) нужно добавить "include:spf.unisender.com", а "redirect=" заменить на "include:". В конце ставим "~all". 

3. Затем создаем подзону _domainkey и проводим работу с записью — вносим ее в это поле. Нажимаем «добавить подзону» и вводим название подзоны в поле name через форму быстрого добавления, выбираем тип TXT в поле type, и в поле data вставляем нужную нам:

4. Аналогично нужно создать подзону us._domainkey и внести в неё запись, где отображена сама DKIM-подпись:

После внесения записи все выглядит так:

У нас DNS-записи обычно обновляются 15 минут, в других сервисах может быть дольше. После этого можно проверить наличие в системе и корректность DKIM. Это покажет G Suite, например. В качестве имени нужно ввести имя подзоны: us._domainkey.вашдомен.ru

Чтобы проверить работу, отправьте письмо с ящика домена, для которого проводились настройки цифровой подписи, и на принимающем ящике в графе «Служебные заголовки» найдите заголовок DKIM-Signature, над ним должна быть строка dkim=pass. 

Проверку доступности публичного ключа можно осуществить на сайте DNSWatch. Если такой же технический заголовок есть, значит DKIM работает — вы смогли верно настроить подпись. Но если письмо оказалось не подписано, обратитесь в поддержку к нам или того сервиса, где вы работаете — это поможет настроить DKIM заново.

Для проверки мы отправили рассылку через Unisender. Видно, что заголовок DKIM-Signature есть в технических заголовках письма:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=us; d=доменотправителя.ru;
 h=From:To:Message-Id:Subject:MIME-Version:Content-Type:List-Help:List-Id:
 List-Unsubscribe:Date:no; i=info@доменотправителя.ru;
 bh=bXvoaXR+a1NFSNkUPp9bw+sm5KA=;
 b=Nel1LTDx3EMy9oPXgrnkVJSk7ZdWUKhuZiynSC5Voi9e/PY/46VF+CBgHD3I8fDdcOlKmsr1dbbo
   9sYcRmIKFSTVG8PfYvEUUHeqC2K1BsvW+c8IStUGi1uAbISl2mP8di/wkoija+eBPZmPyov1/aYw
   Mq3HWOr7jBTH0x9RHbI=

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=jul2015; d=topeml.com;
 h=From:To:Message-Id:Subject:MIME-Version:Content-Type:List-Help:List-Id:
 List-Unsubscribe:Date;
 bh=bXvoaXR+a1NFSNkUPp9bw+sm5KA=;
 b=eIDPgMsW3iZmHhoDEFebsbgubtxeLvMCgfu68bfvZ65pYs6PryApPXwJjdev4/2bwcYW3UybQ4oi
   CSowVihgzRP1bab6ZatiGHwVOQfJ04W1qafl2X0NQ/vkorP5ZdyA7V+k8tQNxdp1uL3Ce32kIk2M
   1eORNohPUf9qbpOACLc=

Значит, DKIM работает.

А проверить корректность работы SPF вы можете, например, через сервис PowerDMARC. Просто введите имя вашего домена в поле поиска и нажмите кнопку «Поиск».

Удачи! Если возникнут вопросы по работе с DKIM — напишите нам, пожалуйста, тикет из Панели управления аккаунта, раздел «Помощь и поддержка».

Теги:

45
20947