Defaults.Exposed › Настройка › DKIM

Как настроить DKIM в AWS Route 53

Опубликуйте DKIM-ключ вашего почтового провайдера в хостед-зоне Route 53, чтобы каждое письмо несло защищённую от подделки подпись.

Почему это важно для вашего бизнеса

DKIM (DomainKeys Identified Mail) добавляет к каждому отправленному письму невидимую цифровую подпись. Принимающий почтовый сервис с помощью открытого ключа, который вы опубликовали в своём DNS, подтверждает две вещи: письмо действительно отправлено с вашего домена и никто не изменил его по дороге.

Проще говоря: DKIM — это печать подлинности на вашей почте. С ней труднее выдать себя за вас, а ваши настоящие письма с большей вероятностью попадут во входящие, а не в спам. Как и остальное, это бесплатно и настраивается один раз.

Важно: у DKIM две половины

DKIM — та самая запись, где действительно важно, кто что делает:

• Ключ создаёт ваш почтовый провайдер. Google Workspace, Microsoft 365, Amazon SES или тот, кто отправляет вашу почту, генерирует DKIM-ключ для вас внутри своей админ-панели. Придумать его нельзя — нужно взять у провайдера точное имя хоста и значение. Route 53 не генерирует DKIM-ключи; это ваш DNS-хостер, а не провайдер почтовых ящиков.
• Route 53 его публикует. Затем вы добавляете этот ключ в DNS вашего домена в Route 53 (при условии, что DNS обслуживает именно Route 53 — см. ниже).

Итак: создаём на почтовой платформе, публикуем у DNS-хостера.

Сначала убедитесь, что DNS обслуживает Route 53

DKIM-запись работает, только если на DNS вашего домена отвечает Route 53. В консоли Route 53 откройте Hosted zones, выберите свой домен и отметьте четыре значения NS (серверов имён). Они должны совпадать с серверами имён, заданными у регистратора. Если вы регистрировали домен через Route 53, они обычно уже совпадают; если домен зарегистрирован в другом месте — или у вас несколько хостед-зон для домена — проверьте внимательно. Если активные серверы имён указывают на другого провайдера, добавьте DKIM-запись там; в Route 53 она не вступит в силу.

Получите ключ у почтового провайдера

В админ-панели вашего почтового провайдера найдите настройку DKIM или аутентификации почты и создайте/включите ключ. Что вы получите назад, зависит от провайдера — и это меняет способ ввода в Route 53:

• Google Workspace даёт TXT-запись: имя селектора вроде google._domainkey и длинное значение, начинающееся с v=DKIM1; k=rsa; p=, за которым идёт очень длинная строка.
• Microsoft 365 даёт две CNAME-записи с селекторами вроде selector1._domainkey и selector2._domainkey, каждая из которых ссылается на хост Microsoft.
• Amazon SES даёт три CNAME-записи (функция «Easy DKIM»). Если ваш домен в Route 53, SES часто может предложить добавить их за вас автоматически — но можно добавить и вручную.

Скопируйте имена хостов и значения в точности.

Пошагово в Route 53

1. Войдите в консоль AWS и откройте Route 53.
2. В меню слева выберите Hosted zones, затем нажмите на имя своего домена.
3. Нажмите Create record.
4. Если появится мастер с вариантами маршрутизации, переключитесь на простую форму (ищите Quick create record).
5. В поле Record name введите только часть-селектор — например google._domainkey или selector1._domainkey. Не дописывайте в конце имя своего домена: Route 53 добавит зону за вас автоматически (она показана рядом с полем).
6. Установите Record type в TXT или CNAME — в точности так, как дал провайдер (Google = TXT; Microsoft 365 и Amazon SES = CNAME).
7. В поле Value:
   • Для TXT-ключа вставьте длинное значение в двойных кавычках: "v=DKIM1; k=rsa; p=...".
   • Для CNAME вставьте целевой хост, который дал провайдер, без кавычек (например selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Оставьте TTL по умолчанию.
9. Нажмите Create records. Повторите для каждой записи (Microsoft 365 нужны две; Amazon SES нужны три).

Особенности Route 53, на которых ошибаются

• TXT-ключам нужны двойные кавычки; CNAME — нет. Об это спотыкаются постоянно. Значение TXT DKIM вводится как "v=DKIM1; ... p=..." с кавычками. Значение CNAME — это просто чистый целевой хост, без кавычек. Их путаница ломает запись.
• Не вписывайте полный домен в Record name. Если в инструкции провайдера указано selector1._domainkey.yourdomain.com, в Route 53 вы вводите только selector1._domainkey — остальное добавится за вас. Повторное указание домена создаёт сломанный хост selector1._domainkey.yourdomain.com.yourdomain.com.
• Вставляйте ключ целиком — он длинный. Открытые TXT-ключи DKIM состоят из сотен символов. Убедитесь, что ничего не обрезано и при копировании не закрались лишние пробелы или переносы строк.
• Добавьте все записи, которые требует провайдер. Microsoft 365 не пройдёт проверку лишь с одной из двух CNAME; Amazon SES нужны все три. Неполный набор оставляет DKIM молча неработающим.
• TXT или CNAME — следуйте провайдеру. Не превращайте CNAME в TXT и наоборот. Используйте тот тип, который они указали.
• Правильная хостед-зона, правильный аккаунт. При нескольких зонах или AWS-аккаунтах легко отредактировать не ту. Убедитесь, что четыре значения NS зоны совпадают с вашими активными серверами имён.
• Дайте время. Изменения DNS могут распространяться от нескольких минут до пары часов, прежде чем DKIM начнёт проходить проверку.

Проверьте, что всё сработало

После сохранения и небольшой паузы на распространение запустите бесплатную проверку на этом сайте. Она простым языком подтвердит, опубликована ли ваша DKIM-запись и читается ли она.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.