Что такое dkim запись в dns

Обновлено: 24.01.2025

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Вы также можете не настраивать DKIM для личного домена. В этом случае Office 365 создаст пару ключей — закрытый и открытый, — включит подпись с помощью DKIM и настроит политику по умолчанию для личного домена Microsoft 365.

Хотя встроенной в Microsoft 365 конфигурации достаточно для большинства клиентов, вы должны вручную настроить DKIM своего пользовательского домена в следующих случаях:

Как DKIM работает лучше, чем один SPF, для предотвращения злонамеренного подмены

Действия по созданию, включению и отключению DKIM на портале Microsoft 365 Defender

Все обслуживаемые домены вашего клиента будут показаны на портале Microsoft 365 Defender на странице DKIM. Если вы его не видите, добавьте обслуживаемый домен со страницы доменов. После добавления домена выполните нижеприведенные действия для настройки DKIM.

Шаг 2. Нажмите "Создать ключи DKIM".

Шаг 3. Скопируйте CNAMES, показанные во всплывающем окне

Шаг 4. Опубликуйте скопированные записи CNAME у вашего поставщика DNS.

На веб-сайте поставщика DNS добавьте записи CNAME для каждой DKIM, которую вы хотите включить. Убедитесь, что значения полей точно соответствуют каждым из указанных ниже:

Шаг 5. Вернитесь на страницу DKIM, чтобы включить DKIM.

Если запись CNAME не существует, это может быть связано со следующим:

Синхронизация с DNS-сервером, которая может занять от нескольких секунд до часов. Если проблема не исчезнет, повторите шаги еще раз
Проверьте наличие ошибок копирования и вставки, таких как лишний пробел, позиции табуляции и т. д.

Если вы хотите отключить DKIM, вернитесь в режим отключения

Если вы уже настроили DKIM, измените разрядность, выполнив следующую команду:

или

В случае новой реализации DKIM выполните следующую команду:

Сохраняйте подключение к Exchange Online PowerShell, чтобы проверить конфигурацию, выполнив следующую команду:

Дополнительные сведения о синтаксисе и параметрах см. в следующих статьях: Rotate-DkimSigningConfig, New-DkimSigningConfig и Get-DkimSigningConfig.

Необходимые шаги для настройки DKIM вручную

Настройка DKIM состоит из двух этапов:

Публикация двух записей CNAME для личного домена в DNS

Для каждого домена, для которого требуется добавить подпись DKIM в DNS, необходимо опубликовать две записи CNAME.

Если вы не ознакомились с полной статьей, вы могли пропустить эти сведения о подключении PowerShell, экономящие время: Подключение к Exchange Online PowerShell.

Чтобы создать записи селектора, выполните следующие команды в Exchange Online PowerShell:

Для каждого домена, создаваемого в Microsoft 365 в дополнение к начальному домену, следует опубликовать две записи CNAME. Таким образом, если у вас два домена, необходимо опубликовать две дополнительные записи CNAME и так далее.

Для записей CNAME используйте указанный ниже формат.

В Microsoft 365 селекторами всегда будут «селектор1» или «селектор2».

Важно создать вторую запись, но только один из селекторов может быть доступен во время создания. По сути, второй селектор может указывать на адрес, который еще не создан. Мы все же рекомендуем создать вторую запись CNAME, так как ротация ключей будет беспроблемной.

Шаги по включению подписи DKIM для личного домена

После публикации записей CNAME в DNS включите подпись с помощью DKIM в Microsoft 365. Это можно сделать в Центре администрирования Microsoft 365 или с помощью PowerShell.

Чтобы включить подпись DKIM для вашего личного домена на портале Microsoft 365 Defender

Откройте портал Microsoft 365 Defender с помощью своей рабочей или учебной учетной записи.

На странице DKIM выберите домен, щелкнув имя.

После завершения нажмите Смена ключей DKIM.

Повторите этот шаг для каждого личного домена.

Если вы настраиваете DKIM в первый раз и столкнулись с ошибкой "Для этого домена нет сохраненных ключей DKIM", воспользуйтесь Windows PowerShell для включения подписывания DKIM, как рассмотрено на следующем шаге.

Как включить подпись с помощью DKIM для личного домена, используя PowerShell

Используйте следующий синтаксис.

<Domain> — это имя личного домена, для которого требуется включить функцию подписывания с помощью DKIM.

Подтвердить, что подпись DKIM правильно настроена для Microsoft 365

Прежде чем выполнять указанные ниже действия для проверки настройки DKIM, подождите несколько минут. Для распространения информации DKIM о домене по сети требуется время.

Найдите заголовок Authentication-Results. Принимающие службы помечают входящую почту по-разному, но результат должен содержать элемент, подобный DKIM=pass или DKIM=OK.

Чтобы настроить DKIM для нескольких пользовательских доменов

Действия, описанные в этой статье, необходимо выполнить для каждого дополнительного личного домена, для которого требуется включить DKIM. В частности, выполните все действия, описанные в разделе Как настроить DKIM вручную.

Отключение политики подписи DKIM для пользовательского домена

Отключение политики подписывания полностью не отключает DKIM. Через некоторое время Microsoft 365 автоматически применит политику по умолчанию для вашего домена, если политика по умолчанию по-прежнему включена. Если вы хотите полностью отключить DKIM, отключите DKIM как в личных, так и в стандартных доменах. Для получения дополнительной информации см. Поведение по умолчанию для DKIM и Microsoft 365.

Отключение политики подписывания DKIM с помощью Windows PowerShell

Выполните одну из указанных ниже команд для каждого домена, для которого требуется отключить подпись с помощью DKIM.

Где number — это индекс политики. Например:

Поведение по умолчанию для DKIM и Microsoft 365

Кроме того, если вы отключите подпись DKIM в личном домене после включения, через некоторое время Microsoft 365 автоматически применит политику MOERA/исходного домена для вашего личного домена.

Настройте DKIM таким образом, чтобы сторонняя служба могла отправлять электронные письма от имени вашего личного домена

В этом примере для достижения представленного результата:

Поставщик услуг массовой рассылки предоставил компании Contoso открытый ключ DKIM.

Компания Contoso опубликовала ключ DKIM в своей записи DNS.

Идентификация доменов, с которых не отправляется почта

Например, запись DKIM может выглядеть следующим образом:

Следующие шаги: после настройки DKIM для Microsoft 365

Несмотря на то, что технология DKIM предназначена для предотвращения спуфинга, она работает эффективнее вместе с инфраструктурой политики отправителей и DMARC.

После настройки DKIM настройте инфраструктуру политики отправителей. Краткий обзор инфраструктуры политики отправителей и инструкции по ее быстрой настройке см. в статье Настройка инфраструктуры политики отправителей в Microsoft 365 для предотвращения спуфинга. Дополнительные сведения об использовании инфраструктуры политики отправителей в Microsoft 365, рекомендации по устранению неполадок и инструкции для нестандартных, в том числе гибридных, развертываний см. в статье Как Microsoft 365 использует инфраструктуру политики отправителей (SPF) для предотвращения спуфинга.

Этот тест проверяет правильность настройки подписи DKIM и публикацию соответствующих записей DNS.

Дополнительные сведения

Ротация ключей с помощью командлета: Rotate-DkimSigningConfig в PowerShell

С помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя. Чтобы установить DKIM-подпись для писем, отправляемых с вашего домена, создайте для вашего домена TXT-запись с публичным ключом подписи.

Если вы делегировали домен на серверы Яндекса, DKIM-подпись с публичным ключом будет настроена автоматически.

Общая инструкция по настройке DKIM-подписи

Получите TXT-запись с публичным ключом в настройках Почты:

Рядом с именем домена, для которого вы хотите добавить подпись, нажмите Добавить DKIM или Настроить МХ-запись .

Если нужного домена нет в списке, убедитесь, что он подключен и подтвержден.

В блоке Добавление DKIM-подписи скопируйте значение публичного ключа для вашего домена.

Войдите в панель управления на сайте компании, которая предоставляет вам DNS-хостинг.

Если вы делегировали домен на серверы Яндекса, перейдите в DNS-редактор Коннекта.

Создайте TXT-запись со следующими значениями полей (в разных панелях управления названия полей могут отличаться):

Имя поддомена (или Хост ) — mail._domainkey . В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, mail._domainkey.yourdomain.tld .

Значение — блок текста Публичный ключ , ранее скопированный из настроек Коннекта .

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.

Инструкции по настройке DKIM-подписи у некоторых хостинг-провайдеров

Перейдите на страницу Почты в Яндекс.Коннекте и скопируйте значение публичного ключа для вашего домена (см. в общей инструкции по настройке DKIM-подписи).

Нажмите ссылку с именем нужного домена. Откроется страница Управление .

Выберите DNS-серверы и управление зоной .

Text — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

На панели справа выберите DNS-зоны .

Нажмите ссылку с именем нужного домена. Откроется страница Просмотр DNS-зоны .

значение (IP/host.) — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Поле MX preference оставьте пустым.

В разделе Управление хостингом нажмите ссылку DNS .

В выпадающем списке выберите нужный домен.

Имя поддомена — mail._domainkey

TXT — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Что такое DKIM и SPF

DomainKeys Identified Mail (DKIM) — это метод подтверждения домена отправителя с помощью автоматически сгенерированной цифровой подписи.

Sender Policy Framework (SPF) — это TXT-запись в DNS-зоне домена, где указан список почтовых серверов, с которых разрешена отправка писем для данного домена.

DKIM и SPF записи настраиваются на сервере, с которого отправляются письма, чтобы снизить риск компрометирования домена и попадания писем в спам.

Как добавить DKIM и SPF записи

В первую очередь необходимо сгенерировать записи в вашем SendPulse аккаунте, а затем прописать их в панели управления вашего сайта.

Как сгенерировать DKIM и SPF записи в сервисе SendPulse

В разделе «Рассылки» выберите «Настройки сервиса».

Откройте вкладку «Аутентификация».

В разделе «Аутентификация (SPF и DKIM записи)» кликните «Подключить».

Укажите свой домен в поле «Имя домена отправки» и кликните «Получить SPF/DKIM записи».

Сервис сгенерирует все данные для добавления DNS записей SPF и DKIM, их необходимо добавить на вашем домене отправителя.

Настройки в панели управления DNS записями

Откройте настройки DNS

Откройте панель управления вашего сайта и найдите страницу для обновления записей DNS домена. Она может носить название «Управление DNS», «Управление сервером имен» или «Дополнительные настройки».

Вы увидите подобную страницу с незаполненными полями.

Заполните поля для SPF и DKIM.

Как заполнить поля для записи DKIM

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Например: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите, пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Как заполнить поля для записи SPF

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Если для вашего домена уже добавлена SPF-запись, отредактируйте существующую запись, новую создавать не нужно.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Письма подтверждения форм подписки и тестовые письма отправленные через опцию "Тестовая отправка", будут содержать дефолтную SPF\DKIM подпись сервиса SendPulse.

Настройки DNS записей у некоторых хостеров

Ниже приводим список ссылок на инструкции по редактированию DNS записей на платформах разных хостинг-провайдеров. Если вы пользуетесь услугами другого хостинг-провайдера, найдите документацию вашего провайдера или обратитесь в их службу поддержки.

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Небольшая справка. DNS (Domain Name System) - это система доменных имен. Она используется для получения информации о доменах, в частности IP-адреса. Более подробно об этом можно прочитать в статье « Введение в терминологию, элементы и понятия DNS ».

Ресурсные записи не ограничиваются только соответствием «домен - IP-адрес». Существует несколько десятков типов ресурсных записей . Каждый тип необходим для работы определенной службы.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» - этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам - это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме - у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.

Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее.

Обязательно проверьте SPF-запись, если письма, отправленные при помощи функции PHP mail(), попадают в спам.

Как настроить SPF

SPF настраивается как TXT-запись для домена.

Небольшая справка. TXT-запись - это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.

В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF - « Настройка SPF-записи ».

Более подробно ознакомиться с синтаксисом можно в документации SPF .

Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.

Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.

DKIM (DomainKeys Identified Mail) - это метод e-mail аутентификации, который дает возможность получателю проверить, было ли письмо отправлено с заявленного домена.

Главная задача DKIM - это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье « Настройка DNS-записей ».

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

DMARC

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на официальном сайте .

Общие рекомендации

В этой статье советы по настройке почтовых отправлений касаются только SPF, DKIM и DMARC, однако только этими настройками они не ограничиваются. Мы рекомендуем прочитать в нашем справочном центре статью « Рекомендации для рассылок », где рассказывается об общих правилах рассылок, которые обязательно нужно иметь в виду.

Если у вас есть какие-нибудь вопросы, задавайте в комментариях, будем рады помочь!

Читайте также: