Defaults.Exposed › Поправки › DKIM
Как да поправите DKIM
DKIM е невидимият неманипулируем печат на всеки имейл, изпратен от вашия бизнес. Той позволява на получаващия пощенски доставчик да потвърди, че имейлът наистина е от вас и е пристигнал непроменен. Без него пощата ви е по-лесна за фалшифициране, по-лесна за изменяне и с много по-голяма вероятност да попадне в нежеланата поща.
Заключение за вашия бизнес: Без DKIM, изпратените от вас имейли могат да бъдат манипулирани при пренос, по-лесни за имитиране от престъпници и по-вероятно да бъдат филтрирани в нежеланата поща или напълно отхвърлени — тихо коствайки ви сделки, плащания и доверие, за чиято загуба никога не разбирате.
Какво може да ви струва това
- Фактура, изпратена по имейл, е прихваната и банковите данни са сменени преди да достигне клиента ви. Имейлът все пак изглежда като от вас, клиентът плаща на престъпника, и когато се разкрие — вас ви обвиняват.
- Истинските ви оферти, договори и фактури продължават да попадат в папките за нежелана поща на клиентите. Приемате, че клиентът е замлъкнал или е избрал друг — но просто никога не са видели имейла ви.
- Екипът по сигурност или обществени поръчки на по-голям клиент прави бърза проверка на домейна ви преди подписване, вижда липса на DKIM и или бута сделката с седмици назад, докато не го поправите, или тихо избира конкурент, преминал проверката.
- Престъпник изпраща убедителни фалшиви имейли 'от компанията ви' на клиентите ви. Тъй като нищо не доказва кои имейли наистина са ваши, фалшивите са еднакво убедителни като истинските — и вашето наименование понася щетата.
- Основните доставчици на пощенски кутии и банки все по-силно третират неподписана поща като подозрителна. С времето все повече от ежедневния ви бизнес имейл се забавя, попада в нежелана или се отхвърля, и обхватът ви тихо спира да работи.
Защо има значение. Имейлът никога не е бил изграден да доказва кой го е изпратил и фалшифицирането на подателя е тривиално лесно. DKIM добавя криптографски подпис, проверяван автоматично от получаващия доставчик — потвърждаващ, че съобщението наистина е от вашия домейн и не е изменено по пътя. Той е едно от трите неща, търсени от всеки съвременен пощенски доставчик, директно влияе на доверието или изхвърлянето на имейла ви и поправката е безплатна.
Как да го поправите, стъпка по стъпка
- Включете DKIM при пощенския доставчик. Активирайте DKIM в пощенската платформа; тя генерира публичен ключ и selector.
- Публикувайте ключа в DNS. Добавете CNAME или TXT запис(и), дадени от доставчика, точно такива, каквито са показани (Microsoft 365 използва два CNAME selector-а).
- Активирайте подписването. Включете DKIM подписването, за да се подписва изходящата поща.
- Покрийте всеки подател. Повторете за всеки инструмент, изпращащ от ваше наименование, за да не счупите DMARC наредването.
- Верифицирайте, че е проработило. Изпратете тест и проверете отново, за да потвърдите, че подписът се валидира.
Какво представлява на прост език
Всеки имейл, изпратен от вашия бизнес, преминава през няколко ръце, преди да достигне пощенската кутия. Сам по себе си имейлът не носи доказателство кой наистина го е изпратил или дали някой го е променил по пътя — редът „от” е просто текст, който всеки може да напише.
DKIM поправя това. Той поставя невидим, неманипулируем печат на всяко съобщение, изпратено от вашия бизнес. Когато имейлът пристига, получаващият пощенски доставчик проверява печата спрямо ключ, публикуван от вас в домейна ви. Ако съвпада, доставчикът знае две неща с увереност: имейлът наистина е от домейна ви и нито един символ не е бил сменен при пренос. Ако не съвпада — защото съобщението е фалшифицирано или изменено — печатът се проваля и доставчикът третира пощата с подозрение.
Вие не управлявате нищо от това ръчно. След като е включено, подписването и проверката се случват автоматично на всеки имейл, завинаги. Целият смисъл на DKIM е да прави реалната ви поща доказуемо реална — за да й се доверяват и фалшификатите да се открояват.
Какво може да ви струва това
Това не е абстрактно. Ето как изглежда липсващ или слаб DKIM печат на практика за малък или среден бизнес.
- Изменената фактура. Изпращате на клиент фактура по имейл. Някъде между вашия сървър и техния, нападател я прихваща и сменя банковите ви данни с техни. Имейлът все пак изглежда като от вас, клиентът плаща — по сметката на престъпника. Без DKIM нищо не маркира, че съобщението е манипулирано. С него онова тихо изменение чупи печата и се хваща.
- Сделките, загинали в нежеланата. Офертите, предложенията и проследяванията ви продължават да се плъзгат в папките за боклук на клиентите. Никога не получавате отговор и приемате, че не са били заинтересовани. В действителност неподписаната поща е силен сигнал за нежелана — истинският ви бизнес имейл просто не е бил видян.
- Изгубеният договор. По-голям клиент проверява домейна ви преди подписване. Виждат липса на DKIM и го третират като червен флаг — или забавяйки сделката с седмици докато го поправите, или тихо избирайки доставчик, чиято имейл сигурност е преминала проверката.
- Вашето наименование, използвано срещу вашите клиенти. Измамник разпраща убедителни имейли „от компанията ви” до клиентската ви база. Тъй като нищо не доказва кои съобщения наистина са ваши, фалшивите изглеждат еднакво легитимни като истинските — и репутацията ви поема удара, когато хора биват измамени.
- Бавното задушаване на имейла ви. Банките, главните доставчици на пощенски кутии и корпоративните филтри все по-силно не вярват на неподписана поща. Ефектът се прокрадва с времето: повече забавяне, повече изхвърляне, повече отскачане — докато ежедневният ви обхват тихо спре да достига.
Какво всъщност е
DKIM е съкращение от DomainKeys Identified Mail. Ето как работи печатът без жаргон:
- Публикувате публичен ключ в домейна си (в DNS настройките). Всеки може да го прочете — това е целта.
- Пощенският ви доставчик притежава съответния частен ключ и го използва за подписване на всеки изпратен от вас имейл, добавяйки скрит заглавен ред.
- При пристигане на имейла, доставчикът на получателя извлича публичния ви ключ, проверява подписа спрямо съобщението и потвърждава, че е истинско и непроменено.
Няколко термина, които може да чуете от IT специалиста си:
- Selector — етикет, сочещ към конкретен ключ, напр.
selector1._domainkey.yourdomain. Позволява ви да изпълнявате и ротирате множество ключове чисто. Доставчикът ви го настройва. - Сила на ключа — DKIM ключовете идват в различни размери. Съвременната база е 2048-битов RSA; ключовете 4096-битов RSA или Ed25519 са още по-силни. По-стари 1024-битови ключове все още функционират, но се считат за слаби по днешните стандарти (NIST SP 800-131A / RFC 8301).
Как изглежда „добро”: валиден DKIM ключ, публикуван при selector за вашия домейн, изходящата ви поща е подписана с него и ключът е 2048-битов или по-силен. Това е пълното преминаване.
Бележка за оценяването. Тази проверка търси истински, добре формиран DKIM ключ, публикуван при selector-ите, обичайно използвани от пощенски доставчици. Публикуван валиден ключ е положителният сигнал — скенер на трета страна не може да повтори активните ви подписи, така че наличието на правилен ключ е това, което се измерва. Ключ не е намерен проваля проверката (пропаст с висока тежест). Валиден ключ, но слаб (1024-битов RSA) носи приблизително половин точки — работи, но трябва да се надгради. Силен ключ (2048-битов RSA или по-добър, или Ed25519) носи пълни точки. Това е една от проверките за имейл сигурност, значими за оценката, носеща значителна нейна нешена.
Как да го поправите (безплатно, ~15 минути)
Тази секция е за когото управлява имейла или домейна ви — ако не сте вие, дайте им я. Поправката е безплатна. Ние таксуваме само за мониторинг, че защитите ви остават здрави с времето, а не за настройването им.
Общата форма е еднаква навсякъде: включете DKIM при пощенския доставчик, вземете ключа, генериран от него, публикувайте го в DNS-а, след което потвърдете, че е активен. Точните стъпки зависят от кой управлява имейла ви — ето общите:
Google Workspace (Gmail)
- Административна конзола → Apps → Google Workspace → Gmail → Authenticate email.
- Изберете домейна и кликнете Generate new record (изберете дължина на ключа 2048-bit).
- Google ви дава DNS запис. Добавете го при DNS хоста като TXT запис, host
google._domainkey.yourdomain, със стойността, дадена от Google. - Изчакайте разпространение (минути до няколко часа), след това се върнете на същия екран и кликнете Start authentication.
Microsoft 365 (Outlook / Exchange Online)
- Отидете на портала Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
- Изберете домейна. Microsoft показва два CNAME записа за публикуване (selector1 и selector2).
- Добавете и двата CNAME записа при DNS хоста точно такива, каквито са показани.
- Обратно в екрана DKIM, превключете DKIM подписването на Enabled за домейна.
Zoho Mail
- Control Panel → Email Authentication → DKIM.
- Генерирайте ключ (използвайте selector като
zoho), след което добавете дадения TXT запис приzoho._domainkey.yourdomainв DNS-а ви. - Верифицирайте в панела на Zoho след като записът е активен.
Други доставчици / собствен пощенски сървър Моделът е идентичен: доставчикът (или пощенският ви софтуер) генерира двойка ключове, подписва изходящата ви поща с частния ключ и ви дава публичен запис за публикуване. Обикновено изглежда така:
Host: selector1._domainkey.yourdomain
Type: TXT (или CNAME, в зависимост от доставчика)
Value: (дългият ключов низ, даден от доставчика)
Где се добавят DNS записи: в DNS настройките на домейна ви — обикновено при регистратора или DNS хоста (например Cloudflare, GoDaddy, хостинг контролния панел). Ако пощенският доставчик предоставя CNAME, той сочи към запис, хостван от него, така че никога не виждате суровия ключ — нормално е и е наред.
Потвърдете, че работи: изпратете си тест имейл до акаунт в Gmail, отворете го, изберете Show original и проверете дали DKIM: PASS се появява. След това проверете домейна отново, за да потвърдите, че ключът е 2048-битов или по-силен, а не слаб 1024-битов.
Чести грешки
- Приемане, че голям доставчик го е включил по подразбиране. Много домейни при Google или Microsoft все пак се нуждаят от включен DKIM и публикуван запис. „Използваме Microsoft 365” не е равнозначно на „DKIM е активиран.”
- Генериране на слаб 1024-битов ключ. Някои доставчици все още предлагат или задават по подразбиране 1024-битов. Изберете 2048-bit когато имате опция — слабият ключ носи само половин точки и се маркира от по-строгите получатели.
- Публикуване на записа, но никога не активиране на подписването. Добавянето на DNS записа е само половината работа. Ако не включите подписването при доставчика (финалния превключвател), пощата ви все пак излиза неподписана.
- Сгрешен или съкратен ключ. DKIM ключовете са дълги. Копиране-поставяне, пропускащо символ или разделящо стойността неправилно, произвежда счупен печат, провалящ се на всеки имейл. Поставете стойността точно такава, каквато е дадена.
- Забравяне на другите подателки. Ако изпращате поща чрез инструмент за бюлетини, CRM, приложение за фактуриране или платформа за е-търговия, всяка може да се нуждае от свой DKIM ключ и selector. Подписвайте поща от всички услуги, изпращащи от ваше наименование, а не само пощенската кутия.
Бележка за DKIM, SPF и DMARC
DKIM рядко работи сам. Той е едно от три настройки, заедно правещи имейла ви достоверен:
- SPF указва кои сървъри имат право да изпращат поща за вашия домейн.
- DKIM (тази страница) е неманипулируемият печат, доказващ, че съобщението е наистина ваше и непроменено.
- DMARC е инструкцията, казваща на доставчиците какво да правят с всичко, провалящо се — и разчита на DKIM и SPF за вземане на онова решение.
Ако поправяте DKIM, струва да проверите SPF и DMARC едновременно. Заедно те са онова, спиращо имперсонацията на вашия бизнес и поддържащо реалния ви имейл там, където трябва да пристига.
Настройте го при вашия хост
Стъпка по стъпка за популярни доставчици:
- Настройте DKIM при GoDaddy
- Настройте DKIM при Namecheap
- Настройте DKIM при Cloudflare
- Настройте DKIM при Google Workspace
- Настройте DKIM при Microsoft 365
- Настройте DKIM при Squarespace
- Настройте DKIM при Wix
- Настройте DKIM при AWS Route 53
- Настройте DKIM при Hostinger
- Настройте DKIM при Porkbun
- Настройте DKIM при IONOS
- Настройте DKIM при Bluehost
Чести ситуации
- 'DKIM signature not valid'
- 'Body hash did not verify'
- 'No key for signature'
- DKIM passes, DMARC fails: default signatures
- DKIM broke after switching tools
ЧЗВ
Не съм технически — това нещо ли е, с което мога сам да се справя?
Нямате нужда да разбирате криптографията. В повечето случаи е настройка, включвана в доставчика на имейл (Google Workspace, Microsoft 365, Zoho и т.н.), която след това ви дава един или два записа за добавяне към домейна. Дайте раздела 'Как да го поправите' на когото управлява имейла или домейна ви — бърза, безплатна работа, обикновено около 15 минути.
Включването на DKIM рискува ли да счупи имейла ми?
Правилното добавяне на DKIM е безопасно — не променя начина, по който пощата ви се изпраща, само добавя подпис, проверяван от получателите. Единственото нещо, което трябва да направите правилно, е да публикувате ключа, генериран от доставчика, точно такъв, какъвто е даден, и да активирате подписването само след като записът е активен в DNS. Направено в онзи ред, не предизвиква никакво прекъсване за вас или клиентите ви.
Вече използваме голям доставчик като Google или Microsoft — не сме ли покрити автоматично?
Не винаги. Големите доставчици правят DKIM лесен, но за много домейни все пак трябва да се включи и да се добави запис към DNS-а — не винаги е включен по подразбиране. Именно затова домейн при основен доставчик може все пак да не мине тази проверка. Потвърждаването и активирането отнема няколко минути.
Каква е разликата между DKIM, SPF и DMARC? Трябват ли ми и трите?
Мислете за тях като комплект. SPF изброява кои сървъри имат право да изпращат поща за вас. DKIM е неманипулируемият печат, доказващ, че дадено съобщение е наистина ваше и непроменено. DMARC е инструкцията, казваща на доставчиците да блокират всичко, провалящо тези проверки. Работят най-добре заедно — DMARC по-специално разчита на DKIM — така че да, искате и трите.
IT специалистът ни казва, че DKIM е 'включен' — как да знам, че действително работи и е достатъчно силен?
Две неща имат значение: валиден подпис, публикуван при selector за вашия домейн, и ключът зад него да е силен (2048-битов RSA или по-добър). По-стар 1024-битов ключ все пак работи, но се счита за слаб по съвременните стандарти и тук се третира като частично преминаване. Повторно изпълнение на проверка на домейна потвърждава и двете наведнъж.
Какво е 'selector' и защо има значение?
Selector е просто етикет, сочещ към конкретен DKIM ключ в DNS-а ви — позволява ви да изпълнявате повече от един ключ едновременно (например един за пощенската кутия и един за инструмента за бюлетини) и да ротирате ключове безопасно. Не го управлявате ръчно; доставчикът ви създава selector-а и ви казва записа за публикуване. Има значение тук, защото проверката търси валиден ключ при selector-ите, обичайно използвани от пощенски доставчици.