Что такое DKIM запись?
DKIM (DomainKeys Identified Mail) — это DNS TXT запись, содержащая публичный криптографический ключ. Когда вы отправляете письмо, отправляющий сервер подписывает сообщение приватным ключом. Принимающий сервер получает публичный ключ из DNS и верифицирует подпись, подтверждая, что письмо не было изменено при передаче и действительно пришло с указанного домена.
DKIM запись публикуется по адресу selector._domainkey.domain.com, где selector — уникальный идентификатор ключа. Разные email-сервисы используют разные селекторы: Google Workspace — «google», Microsoft 365 — «selector1» и «selector2», Amazon SES — уникальные идентификаторы.
Правильная настройка DKIM — критически важна для email-аутентификации. Вместе с SPF и DMARC она обеспечивает комплексную защиту от email-спуфинга и подделки писем.
Как проверить DKIM запись домена
Введите домен в наш инструмент проверки DKIM и нажмите «Check DKIM». Инструмент автоматически просканирует 65+ популярных селекторов (google, default, selector1 и др.), получит DKIM запись, разберет все теги, проверит тип и размер ключа и выполнит 10 проверок валидации. Вы также можете указать конкретный селектор вручную.
Альтернативный способ — командная строка: dig selector._domainkey.example.com TXT +short в терминале. Однако для этого нужно знать селектор. Чтобы найти его, откройте заголовки отправленного письма и найдите заголовок «DKIM-Signature» — в нем указан s=selector.
Для полной проверки email-аутентификации рекомендуем также использовать проверку SPF, проверку DMARC и анализатор email заголовков.
Теги DKIM записи — полный справочник
DKIM запись содержит несколько тегов: v=DKIM1 (версия), k= (тип ключа: rsa или ed25519), p= (публичный ключ в base64), t= (флаги: y — тестовый режим, s — строгое выравнивание), h= (допустимые алгоритмы хеширования), s= (тип сервиса: * — все, email — только email).
Наши 10 проверок DKIM включают: наличие записи, корректность версии v=DKIM1, наличие публичного ключа (p=), тип ключа (RSA рекомендуется 2048+ бит), размер ключа, отсутствие тестового режима (t=y), тип сервиса, допустимость алгоритмов хеширования, корректность base64-кодировки ключа, отсутствие отозванного ключа (p= пустой).
Рекомендуется использовать RSA ключи размером минимум 2048 бит. Ключи 1024 бит считаются слабыми. Ed25519 — современная альтернатива с меньшим размером, но эквивалентной безопасностью.
Лучшие практики и ротация DKIM ключей
Ротацию DKIM ключей рекомендуется проводить каждые 6-12 месяцев. Процесс: (1) опубликуйте новый ключ с новым селектором, (2) обновите почтовый сервер для использования нового ключа, (3) оставьте старый селектор активным на несколько дней для верификации уже отправленных писем, (4) отзовите старый ключ, установив p= пустым.
Лучшие практики DKIM: используйте RSA ключи минимум 2048 бит, удалите флаг t=y после завершения тестирования, настройте DKIM для каждого email-сервиса с отдельным селектором, регулярно проверяйте ключи на актуальность, не используйте 1024-битные ключи — они уязвимы.
Для создания комплексной email-защиты настройте также SPF для авторизации серверов и DMARC с политикой reject. Используйте генератор DMARC для создания оптимальной DMARC записи.
Минимальный размер RSA ключа — 2048 бит
Ротация ключей каждые 6-12 месяцев
Удалите t=y после завершения тестирования
Отдельный DKIM селектор для каждого email-сервиса
Ed25519 — современная альтернатива RSA
Проверяйте DKIM регулярно — ключи могут быть скомпрометированы
SPF vs DKIM vs DMARC — email-аутентификация
DKIM проверяет целостность сообщения через криптографические подписи. SPF проверяет, авторизован ли IP-адрес отправляющего сервера. DMARC связывает их, проверяя выравнивание (домен подписи DKIM или envelope-домен SPF должен совпадать с заголовком From) и устанавливая политику обработки неаутентифицированных писем.
Каждый протокол дополняет другие: SPF может не пройти при пересылке писем, но DKIM подпись сохраняется. DKIM может не пройти, если письмо было изменено (например, списком рассылки), но SPF может пройти по IP. DMARC требует прохождения хотя бы одного из них с выравниванием.
Проверьте все три протокола вашего домена с помощью наших бесплатных инструментов: SPF, DKIM и DMARC. Используйте SMTP тест для проверки конфигурации сервера и BIMI проверку для настройки логотипа бренда.
Связанные инструменты для email и DNS
DNS Robot предлагает полный набор инструментов для email-аутентификации: проверка SPF для валидации SPF записей, проверка DMARC для анализа политик, генератор DMARC для создания записей и проверка BIMI для валидации брендинга.
Для диагностики почтовых серверов используйте SMTP тест для проверки подключения, MX Lookup для проверки почтовых записей, анализатор email заголовков для отслеживания маршрута писем и проверку SSL для верификации TLS-шифрования.