Defaults.Exposed › Виправлення › DKIM

Як виправити DKIM

DKIM — це невидима захисна пломба на кожному листі, що надсилає ваш бізнес. Вона дозволяє приймальному поштовому провайдеру підтвердити, що лист справді прийшов від вас і не змінювався по дорозі. Без неї вашу пошту легше підробити, легше змінити і вона значно частіше потраплятиме до спаму.

Висновок для вашого бізнесу: Без DKIM листи, які ви надсилаєте, можуть бути змінені в дорозі, їх легше підробити шахраям, і вони частіше фільтруються до спаму або взагалі відхиляються — тихо позбавляючи вас угод, платежів і довіри, про втрату яких ви ніколи не дізнаєтесь.

Що це може вам коштувати

• Рахунок, надісланий вами електронною поштою, перехоплюється і банківські реквізити в ньому підмінюються ще до того, як він доходить до клієнта. Лист все одно виглядає таким, що надійшов від вас, клієнт платить шахраю, а коли все розкривається, звинувачення падають на вас.
• Ваші справжні пропозиції, контракти і рахунки постійно потрапляють до папки спаму клієнтів. Ви вважаєте, що клієнт замовк або вибрав іншого, — але він просто ніколи не бачив вашого листа.
• Служба безпеки або відділ закупівель великого клієнта проводить швидку перевірку вашого домену перед підписанням, бачить відсутність DKIM і або відкладає угоду на тижні, поки ви не виправите, або тихо обирає конкурента, що пройшов перевірку.
• Шахрай надсилає переконливі фальшиві листи «від вашої компанії» вашим клієнтам. Оскільки ніщо не доводить, які листи справді ваші, підробки виглядають так само правдоподібно, як справжні, — а вашій репутації завдається шкода.
• Великі поштові провайдери й банки дедалі більше ставляться з підозрою до непідписаної пошти. З часом все більше вашої ділової пошти затримується, потрапляє до спаму або відхиляється, і ваша комунікація поступово перестає доходити.

Чому це важливо. Email ніколи не був розроблений для підтвердження відправника, а підробити адресу — дрібниця. DKIM додає криптографічний підпис, який приймальний провайдер перевіряє автоматично, підтверджуючи, що повідомлення справді з вашого домену і не змінювалося по дорозі. Це одна з трьох речей, які шукають усі сучасні поштові провайдери, вона безпосередньо впливає на те, чи буде вашому листу довіряти, і виправлення безкоштовне.

Що це таке — простими словами

Кожен лист вашого бізнесу проходить через кілька рук, перш ніж потрапити до вхідних. Сам по собі лист не має жодного доказу того, хто насправді його надіслав або чи хтось змінив його по дорозі — рядок «від кого» — це просто текст, який може набрати будь-хто.

DKIM виправляє це. Він ставить невидиму захисну пломбу на кожне повідомлення, яке ваш бізнес надсилає. Коли лист надходить, приймальний поштовий провайдер перевіряє пломбу за ключем, який ви публікуєте у своєму домені. Якщо вони збігаються, провайдер знає дві речі напевно: лист справді прийшов з вашого домену і жодного символу не було змінено в дорозі. Якщо вони не збігаються — бо повідомлення підроблено або змінено — пломба не проходить перевірку, і провайдер ставиться до листа з підозрою.

Ви не керуєте цим вручну. Після активації підписання і перевірка відбуваються автоматично для кожного листа, назавжди. Вся суть DKIM — зробити вашу справжню пошту доказово справжньою, щоб їй довіряли, а підробки були помітні.

Що це може коштувати вам

Це не абстракція. Ось що відсутня або слабка DKIM-пломба означає на практиці для малого або середнього бізнесу.

• Змінений рахунок. Ви надсилаєте клієнту рахунок електронною поштою. Десь між вашим сервером і їхнім зловмисник перехоплює його і підміняє ваші банківські реквізити на свої. Лист все одно виглядає таким, що надійшов від вас, клієнт платить — на рахунок шахрая. Без DKIM немає нічого, що позначило б тихе підроблення. З ним ця непомітна зміна ламає пломбу і виявляється.
• Угоди, що загинули в спамі. Ваші пропозиції, проєкти і повторні листи постійно потрапляють до папки небажаних повідомлень клієнтів. Ви так і не отримуєте відповіді й вирішуєте, що вони не зацікавлені. Насправді непідписана пошта — сильний сигнал спаму, і ваша справжня ділова пошта просто не була побачена.
• Втрачений контракт. Відділ закупівель або безпеки великого клієнта перевіряє ваш домен перед підписанням. Вони бачать відсутність DKIM і сприймають це як тривожний сигнал — або відкладаючи угоду на тижні, поки ви не виправите, або тихо обираючи постачальника, чия пошта пройшла перевірку.
• Ваше ім’я проти ваших клієнтів. Шахрай надсилає переконливі листи «від вашої компанії» вашій клієнтській базі. Оскільки ніщо не доводить, які повідомлення справді ваші, підробки виглядають так само правдоподібно, як справжні, — і ваша репутація страждає, коли люди стають жертвами.
• Повільне задушення вашої пошти. Банки, великі поштові провайдери й корпоративні фільтри дедалі більше не довіряють непідписаній пошті. Ефект наростає з часом: більше затримок, більше потрапляння до спаму, більше відмов — і ваша звичайна ділова комунікація тихо перестає доходити.

Що це насправді є

DKIM розшифровується як DomainKeys Identified Mail. Ось як працює пломба без жаргону:

• Ви публікуєте відкритий ключ у вашому домені (у DNS-налаштуваннях). Його може прочитати будь-хто — саме так і задумано.
• Ваш поштовий провайдер зберігає відповідний закритий ключ і використовує його для підписання кожного листа, що ви надсилаєте, додаючи прихований заголовок.
• Коли лист надходить, провайдер одержувача отримує ваш відкритий ключ, перевіряє підпис відносно повідомлення і підтверджує, що воно справжнє і незмінне.

Кілька термінів, які ви можете почути від свого IT-фахівця:

• Selector — мітка, що вказує на один конкретний ключ, наприклад selector1._domainkey.yourdomain. Дозволяє управляти кількома ключами і ротувати їх без проблем. Ваш провайдер налаштовує це.
• Сила ключа — DKIM-ключі бувають різних розмірів. Сучасний базовий рівень — RSA 2048 біт; ключі RSA 4096 біт або Ed25519 ще сильніші. Старіші ключі 1024 біт ще функціонують, але вважаються слабкими за сучасними стандартами (NIST SP 800-131A / RFC 8301).

Як виглядає «добре»: дійсний DKIM-ключ опублікований на selector’і для вашого домену, ваша вихідна пошта підписується ним, а ключ — 2048 біт або більше. Це повна оцінка.

Примітка щодо оцінювання. Ця перевірка шукає справжній, правильно сформований DKIM-ключ, опублікований на selector’ах, які поштові провайдери зазвичай використовують. Опублікований дійсний ключ — це позитивний сигнал; сторонній сканер не може відтворити ваші живі підписи, тому наявність правильного ключа і є тим, що вимірюється. Ключ не знайдений — перевірка не пройдена (критична прогалина). Дійсний, але слабкий ключ (RSA 1024 біт) дає приблизно половину балів — він працює, але потребує оновлення. Сильний ключ (RSA 2048 біт або більше, або Ed25519) дає повний бал.

Як це виправити (безкоштовно, ~15 хвилин)

Ця частина призначена для того, хто керує вашою поштою або доменом. Виправлення безкоштовне. Ми беремо плату лише за моніторинг того, що ваш захист залишається в порядку з часом, а не за налаштування.

Загальний порядок дій однаковий скрізь: увімкніть DKIM у вашому поштовому провайдері, візьміть згенерований ним ключ, опублікуйте його у вашому DNS, потім підтвердіть, що він активний. Конкретні кроки залежать від того, хто керує вашою поштою.

Google Workspace (Gmail)

1. Консоль адміністратора → Apps → Google Workspace → Gmail → Authenticate email.
2. Виберіть ваш домен і натисніть Generate new record (виберіть довжину ключа 2048 біт).
3. Google дає вам DNS-запис. Додайте його у вашого DNS-хоста як запис TXT, host google._domainkey.yourdomain, зі значенням від Google.
4. Зачекайте поширення (хвилини або кілька годин), потім поверніться на той самий екран і натисніть Start authentication.

Microsoft 365 (Outlook / Exchange Online)

1. Перейдіть на портал Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
2. Виберіть ваш домен. Microsoft показує вам два CNAME-записи для публікації (selector1 і selector2).
3. Додайте обидва CNAME-записи у вашого DNS-хоста точно так, як показано.
4. Поверніться на екран DKIM і переведіть підписання DKIM у стан Enabled для домену.

Zoho Mail

1. Control Panel → Email Authentication → DKIM.
2. Згенеруйте ключ (використовуйте selector на зразок zoho), потім додайте наданий TXT-запис на zoho._domainkey.yourdomain у вашому DNS.
3. Підтвердіть у панелі Zoho після того, як запис стане активним.

Інші провайдери / ваш власний поштовий сервер Схема однакова: провайдер (або ваше поштове програмне забезпечення) генерує пару ключів, підписує вихідну пошту закритим ключем і дає вам відкритий запис для публікації. Зазвичай це виглядає так:

Host:  selector1._domainkey.yourdomain
Type:  TXT (або CNAME, залежно від провайдера)
Value: (довгий рядок ключа від вашого провайдера)

Де додаються DNS-записи: у DNS-налаштуваннях вашого домену — зазвичай у вашого доменного реєстратора або DNS-хоста (наприклад, Cloudflare, GoDaddy, панель керування хостингом). Якщо ваш поштовий провайдер надає CNAME, він вказує на запис, що вони розміщують, тому ви ніколи не бачите сирий ключ — це нормально.

Підтвердіть роботу: надішліть собі тестовий лист на акаунт Gmail, відкрийте його, виберіть Show original і перевірте, що з’являється DKIM: PASS. Потім повторно перевірте ваш домен тут, щоб підтвердити, що ключ є 2048 біт або більше, а не слабкий 1024-бітний.

Поширені помилки

• Припускати, що великий провайдер увімкнув DKIM за замовчуванням. На багатьох доменах з Google або Microsoft DKIM все одно потрібно увімкнути і опублікувати запис. «Ми використовуємо Microsoft 365» — це не те саме, що «DKIM увімкнено».
• Генерувати слабкий ключ 1024 біт. Деякі провайдери все ще за замовчуванням пропонують 1024 біт. Вибирайте 2048 біт при наявності такого варіанту — слабкий ключ дає лише половину балів і відзначається суворішими одержувачами.
• Опублікувати запис, але не увімкнути підписання. Додавання DNS-запису — лише половина роботи. Якщо ви не вмикаєте підписання у провайдера (фінальний перемикач), ваша пошта продовжує надходити непідписаною.
• Помилки або скорочення ключа. DKIM-ключі довгі. Копіювання, де символ губиться або значення розбивається неправильно, дає зламану пломбу, що не проходить перевірку в кожному листі. Вставляйте значення точно так, як вказано.
• Забути про інших відправників. Якщо ви надсилаєте пошту через інструмент розсилки, CRM, застосунок для виставлення рахунків або платформу електронної комерції, кожен з них може потребувати власного DKIM-ключа і selector’а. Підписуйте пошту від усіх служб, що надсилають від вашого імені, а не лише від вашої поштової скриньки.

Примітка щодо DKIM, SPF і DMARC

DKIM рідко працює самостійно. Це одне з трьох налаштувань, що разом роблять вашу пошту надійною:

• SPF вказує, яким серверам дозволено надсилати пошту для вашого домену.
• DKIM (ця сторінка) — захисна пломба, що доводить: повідомлення справді ваше і незмінне.
• DMARC — це інструкція, що говорить провайдерам, що робити з тим, що не пройшло перевірку, і вона покладається на DKIM і SPF для прийняття цього рішення.

Якщо ви виправляєте DKIM, варто одночасно перевірити SPF і DMARC. Разом вони зупиняють видавання себе за ваш бізнес і забезпечують доставлення вашої справжньої пошти туди, куди потрібно.

Налаштуйте на своєму хості

Покроково для популярних провайдерів:

• Налаштувати DKIM на GoDaddy
• Налаштувати DKIM на Namecheap
• Налаштувати DKIM на Cloudflare
• Налаштувати DKIM на Google Workspace
• Налаштувати DKIM на Microsoft 365
• Налаштувати DKIM на Squarespace
• Налаштувати DKIM на Wix
• Налаштувати DKIM на AWS Route 53
• Налаштувати DKIM на Hostinger
• Налаштувати DKIM на Porkbun
• Налаштувати DKIM на IONOS
• Налаштувати DKIM на Bluehost

FAQ