Defaults.Exposed

Defaults.ExposedПоправки › DKIM

Как да поправите DKIM

DKIM е невидимият неманипулируем печат на всеки имейл, изпратен от вашия бизнес. Той позволява на получаващия пощенски доставчик да потвърди, че имейлът наистина е от вас и е пристигнал непроменен. Без него пощата ви е по-лесна за фалшифициране, по-лесна за изменяне и с много по-голяма вероятност да попадне в нежеланата поща.

Заключение за вашия бизнес: Без DKIM, изпратените от вас имейли могат да бъдат манипулирани при пренос, по-лесни за имитиране от престъпници и по-вероятно да бъдат филтрирани в нежеланата поща или напълно отхвърлени — тихо коствайки ви сделки, плащания и доверие, за чиято загуба никога не разбирате.

Какво може да ви струва това

Защо има значение. Имейлът никога не е бил изграден да доказва кой го е изпратил и фалшифицирането на подателя е тривиално лесно. DKIM добавя криптографски подпис, проверяван автоматично от получаващия доставчик — потвърждаващ, че съобщението наистина е от вашия домейн и не е изменено по пътя. Той е едно от трите неща, търсени от всеки съвременен пощенски доставчик, директно влияе на доверието или изхвърлянето на имейла ви и поправката е безплатна.

Как да го поправите, стъпка по стъпка

  1. Включете DKIM при пощенския доставчик. Активирайте DKIM в пощенската платформа; тя генерира публичен ключ и selector.
  2. Публикувайте ключа в DNS. Добавете CNAME или TXT запис(и), дадени от доставчика, точно такива, каквито са показани (Microsoft 365 използва два CNAME selector-а).
  3. Активирайте подписването. Включете DKIM подписването, за да се подписва изходящата поща.
  4. Покрийте всеки подател. Повторете за всеки инструмент, изпращащ от ваше наименование, за да не счупите DMARC наредването.
  5. Верифицирайте, че е проработило. Изпратете тест и проверете отново, за да потвърдите, че подписът се валидира.

Какво представлява на прост език

Всеки имейл, изпратен от вашия бизнес, преминава през няколко ръце, преди да достигне пощенската кутия. Сам по себе си имейлът не носи доказателство кой наистина го е изпратил или дали някой го е променил по пътя — редът „от” е просто текст, който всеки може да напише.

DKIM поправя това. Той поставя невидим, неманипулируем печат на всяко съобщение, изпратено от вашия бизнес. Когато имейлът пристига, получаващият пощенски доставчик проверява печата спрямо ключ, публикуван от вас в домейна ви. Ако съвпада, доставчикът знае две неща с увереност: имейлът наистина е от домейна ви и нито един символ не е бил сменен при пренос. Ако не съвпада — защото съобщението е фалшифицирано или изменено — печатът се проваля и доставчикът третира пощата с подозрение.

Вие не управлявате нищо от това ръчно. След като е включено, подписването и проверката се случват автоматично на всеки имейл, завинаги. Целият смисъл на DKIM е да прави реалната ви поща доказуемо реална — за да й се доверяват и фалшификатите да се открояват.

Какво може да ви струва това

Това не е абстрактно. Ето как изглежда липсващ или слаб DKIM печат на практика за малък или среден бизнес.

Какво всъщност е

DKIM е съкращение от DomainKeys Identified Mail. Ето как работи печатът без жаргон:

Няколко термина, които може да чуете от IT специалиста си:

Как изглежда „добро”: валиден DKIM ключ, публикуван при selector за вашия домейн, изходящата ви поща е подписана с него и ключът е 2048-битов или по-силен. Това е пълното преминаване.

Бележка за оценяването. Тази проверка търси истински, добре формиран DKIM ключ, публикуван при selector-ите, обичайно използвани от пощенски доставчици. Публикуван валиден ключ е положителният сигнал — скенер на трета страна не може да повтори активните ви подписи, така че наличието на правилен ключ е това, което се измерва. Ключ не е намерен проваля проверката (пропаст с висока тежест). Валиден ключ, но слаб (1024-битов RSA) носи приблизително половин точки — работи, но трябва да се надгради. Силен ключ (2048-битов RSA или по-добър, или Ed25519) носи пълни точки. Това е една от проверките за имейл сигурност, значими за оценката, носеща значителна нейна нешена.

Как да го поправите (безплатно, ~15 минути)

Тази секция е за когото управлява имейла или домейна ви — ако не сте вие, дайте им я. Поправката е безплатна. Ние таксуваме само за мониторинг, че защитите ви остават здрави с времето, а не за настройването им.

Общата форма е еднаква навсякъде: включете DKIM при пощенския доставчик, вземете ключа, генериран от него, публикувайте го в DNS-а, след което потвърдете, че е активен. Точните стъпки зависят от кой управлява имейла ви — ето общите:

Google Workspace (Gmail)

  1. Административна конзола → Apps → Google Workspace → Gmail → Authenticate email.
  2. Изберете домейна и кликнете Generate new record (изберете дължина на ключа 2048-bit).
  3. Google ви дава DNS запис. Добавете го при DNS хоста като TXT запис, host google._domainkey.yourdomain, със стойността, дадена от Google.
  4. Изчакайте разпространение (минути до няколко часа), след това се върнете на същия екран и кликнете Start authentication.

Microsoft 365 (Outlook / Exchange Online)

  1. Отидете на портала Microsoft DefenderEmail & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
  2. Изберете домейна. Microsoft показва два CNAME записа за публикуване (selector1 и selector2).
  3. Добавете и двата CNAME записа при DNS хоста точно такива, каквито са показани.
  4. Обратно в екрана DKIM, превключете DKIM подписването на Enabled за домейна.

Zoho Mail

  1. Control Panel → Email Authentication → DKIM.
  2. Генерирайте ключ (използвайте selector като zoho), след което добавете дадения TXT запис при zoho._domainkey.yourdomain в DNS-а ви.
  3. Верифицирайте в панела на Zoho след като записът е активен.

Други доставчици / собствен пощенски сървър Моделът е идентичен: доставчикът (или пощенският ви софтуер) генерира двойка ключове, подписва изходящата ви поща с частния ключ и ви дава публичен запис за публикуване. Обикновено изглежда така:

Host:  selector1._domainkey.yourdomain
Type:  TXT (или CNAME, в зависимост от доставчика)
Value: (дългият ключов низ, даден от доставчика)

Где се добавят DNS записи: в DNS настройките на домейна ви — обикновено при регистратора или DNS хоста (например Cloudflare, GoDaddy, хостинг контролния панел). Ако пощенският доставчик предоставя CNAME, той сочи към запис, хостван от него, така че никога не виждате суровия ключ — нормално е и е наред.

Потвърдете, че работи: изпратете си тест имейл до акаунт в Gmail, отворете го, изберете Show original и проверете дали DKIM: PASS се появява. След това проверете домейна отново, за да потвърдите, че ключът е 2048-битов или по-силен, а не слаб 1024-битов.

Чести грешки

Бележка за DKIM, SPF и DMARC

DKIM рядко работи сам. Той е едно от три настройки, заедно правещи имейла ви достоверен:

Ако поправяте DKIM, струва да проверите SPF и DMARC едновременно. Заедно те са онова, спиращо имперсонацията на вашия бизнес и поддържащо реалния ви имейл там, където трябва да пристига.

Настройте го при вашия хост

Стъпка по стъпка за популярни доставчици:

Чести ситуации

ЧЗВ

Не съм технически — това нещо ли е, с което мога сам да се справя?

Нямате нужда да разбирате криптографията. В повечето случаи е настройка, включвана в доставчика на имейл (Google Workspace, Microsoft 365, Zoho и т.н.), която след това ви дава един или два записа за добавяне към домейна. Дайте раздела 'Как да го поправите' на когото управлява имейла или домейна ви — бърза, безплатна работа, обикновено около 15 минути.

Включването на DKIM рискува ли да счупи имейла ми?

Правилното добавяне на DKIM е безопасно — не променя начина, по който пощата ви се изпраща, само добавя подпис, проверяван от получателите. Единственото нещо, което трябва да направите правилно, е да публикувате ключа, генериран от доставчика, точно такъв, какъвто е даден, и да активирате подписването само след като записът е активен в DNS. Направено в онзи ред, не предизвиква никакво прекъсване за вас или клиентите ви.

Вече използваме голям доставчик като Google или Microsoft — не сме ли покрити автоматично?

Не винаги. Големите доставчици правят DKIM лесен, но за много домейни все пак трябва да се включи и да се добави запис към DNS-а — не винаги е включен по подразбиране. Именно затова домейн при основен доставчик може все пак да не мине тази проверка. Потвърждаването и активирането отнема няколко минути.

Каква е разликата между DKIM, SPF и DMARC? Трябват ли ми и трите?

Мислете за тях като комплект. SPF изброява кои сървъри имат право да изпращат поща за вас. DKIM е неманипулируемият печат, доказващ, че дадено съобщение е наистина ваше и непроменено. DMARC е инструкцията, казваща на доставчиците да блокират всичко, провалящо тези проверки. Работят най-добре заедно — DMARC по-специално разчита на DKIM — така че да, искате и трите.

IT специалистът ни казва, че DKIM е 'включен' — как да знам, че действително работи и е достатъчно силен?

Две неща имат значение: валиден подпис, публикуван при selector за вашия домейн, и ключът зад него да е силен (2048-битов RSA или по-добър). По-стар 1024-битов ключ все пак работи, но се счита за слаб по съвременните стандарти и тук се третира като частично преминаване. Повторно изпълнение на проверка на домейна потвърждава и двете наведнъж.

Какво е 'selector' и защо има значение?

Selector е просто етикет, сочещ към конкретен DKIM ключ в DNS-а ви — позволява ви да изпълнявате повече от един ключ едновременно (например един за пощенската кутия и един за инструмента за бюлетини) и да ротирате ключове безопасно. Не го управлявате ръчно; доставчикът ви създава selector-а и ви казва записа за публикуване. Има значение тук, защото проверката търси валиден ключ при selector-ите, обичайно използвани от пощенски доставчици.