Defaults.Exposed › Настройка › DKIM

Как настроить DKIM в Google Workspace

Сгенерируйте DKIM-ключ в консоли администратора Google и опубликуйте его в DNS, чтобы каждое письмо несло защищённую от подделки подпись.

Почему это важно для вашего бизнеса

DKIM (DomainKeys Identified Mail) добавляет к каждому отправленному письму невидимую цифровую подпись. Принимающий почтовый сервис с помощью открытого ключа, который вы опубликовали в своём DNS, подтверждает две вещи: письмо действительно отправлено с вашего домена и никто не изменил его по дороге.

Проще говоря: DKIM — это печать подлинности на вашей почте. С ней труднее выдать себя за вас, а ваши настоящие письма с большей вероятностью попадут во входящие, а не в спам. Это бесплатно и настраивается один раз.

Важно: у DKIM две половины

DKIM — та самая запись, где действительно важно, кто что делает:

• Ключ создаёт Google — в консоли администратора Google. Вы входите на admin.google.com и поручаете Google создать DKIM-ключ для вашего домена. Это значение нельзя придумать; Google формирует его за вас.
• Ключ публикует ваш DNS-хостер. Затем вы добавляете этот ключ в DNS вашего домена — у той компании, которая обслуживает ваши серверы имён (регистратор, веб-хостинг, Cloudflare и т. п.). Обычно это не Google.

Итак: создаём в Google Workspace, публикуем у DNS-хостера. Нужны обе половины, и в конце есть дополнительный шаг — вы возвращаетесь в Google и включаете DKIM.

Шаг 1 — Сгенерируйте ключ в консоли администратора Google

1. Войдите в консоль администратора Google по адресу admin.google.com под учётной записью администратора.
2. Перейдите в Apps → Google Workspace → Gmail, затем откройте Authenticate email (это раздел DKIM).
3. Выберите свой домен из списка.
4. Если будет предложено, выберите длину ключа (значение по умолчанию, обычно 2048 бит, подойдёт) и нажмите Generate new record.
5. Google покажет вам два фрагмента текста:
   • DNS-имя хоста / селектор, который у Google обычно google._domainkey.
   • Длинное значение TXT-записи, начинающееся с v=DKIM1; k=rsa; p=, за которым идёт очень длинная строка символов (открытый ключ).
6. Оставьте эту страницу открытой — вы скопируете данные в свой DNS, а затем вернётесь, чтобы включить DKIM.

Шаг 2 — Опубликуйте ключ у DNS-хостера

Сначала убедитесь, что работаете у той компании, которая действительно обслуживает ваш DNS. DKIM-запись работает, только если добавлена там, куда указывают серверы имён вашего домена. Если не уверены, проверьте раздел Nameservers в аккаунте регистратора или спросите того, кто управляет вашим сайтом.

1. Войдите к своему DNS-хостеру и откройте настройки DNS домена (ищите DNS / Records / Advanced DNS).
2. Добавьте новую запись и выберите тип TXT.
3. В поле Name / Host введите только часть-селектор — у Google это обычно google._domainkey. Не дописывайте в конце имя своего домена: DNS-хостер добавит его автоматически.
4. В поле Value вставьте длинное значение ключа, которое дал Google, в точности.
5. Оставьте TTL по умолчанию.
6. Сохраните.

Шаг 3 — Включите DKIM, вернувшись в Google

Публикации записи недостаточно — нужно велеть Google начать подписывать почту.

1. Вернитесь на страницу Authenticate email в консоли администратора Google.
2. Нажмите Start authentication.
3. Google проверит, что запись видна в вашем DNS. Если он пока её не находит, дайте DNS немного времени на распространение (от нескольких минут до пары часов) и попробуйте снова.

Ошибки, которые допускают чаще всего

• Два места, по порядку. Сгенерируйте в Google, опубликуйте в DNS, затем вернитесь и нажмите Start authentication. Пропуск последнего шага означает, что ключ опубликован, но Google так и не подписывает вашу почту.
• Не вписывайте полный домен в Host. Если в инструкции указано google._domainkey.yourdomain.com, у DNS-хостера вы вводите только google._domainkey — остальное добавится за вас. Повторное указание домена создаёт сломанный хост вида google._domainkey.yourdomain.com.yourdomain.com.
• Вставляйте ключ целиком — он длинный. Открытые ключи DKIM состоят из сотен символов. У некоторых DNS-хостеров есть ограничение на длину одного поля, и они разбивают длинные TXT-значения на несколько строк в кавычках — это нормально, Google это понимает, но убедитесь, что ничего не обрезано и не закрались лишние пробелы или переносы строк.
• Следите за кавычками. Вставляйте чистое значение; большинство DNS-хостеров проставляют кавычки за вас. Знаки ", добавленные сверху вручную, могут испортить запись.
• Точно соблюдайте селектор. Хост в вашем DNS должен символ в символ совпадать с тем, что ожидает Google (google._domainkey), — именно так получатель находит нужный ключ.
• Дайте время. Изменения DNS могут распространяться от нескольких минут до пары часов, прежде чем Google сможет подтвердить запись и DKIM начнёт проходить проверку.

Проверьте, что всё сработало

После публикации записи, включения аутентификации и небольшой паузы на распространение запустите бесплатную проверку на Defaults.Exposed. Она простым языком подтвердит, опубликована ли ваша DKIM-запись и читается ли она. Ваши данные обрабатываются в ЕС.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.