Defaults.Exposed › Налаштування › DKIM

Як налаштувати DKIM на Cloudflare

Опублікуйте DKIM-ключ вашого поштового провайдера в DNS Cloudflare, щоб ваші листи мали захищений від підробки підпис.

Чому це важливо для вашого бізнесу

DKIM (DomainKeys Identified Mail) додає невидимий цифровий підпис до кожного листа, який ви надсилаєте. Поштовий провайдер одержувача використовує відкритий ключ, опублікований у вашому DNS, щоб підтвердити дві речі: лист дійсно надійшов з вашого домену, і ніхто не змінював його у дорозі.

Простіше кажучи: DKIM — це печатка автентичності на вашій пошті. Вона ускладнює підробку і підвищує шанси, що ваші справжні листи потраплять у вхідні, а не у спам. Як і інші захисти, вона безкоштовна і налаштовується один раз.

Важливо: DKIM складається з двох частин

Саме цей запис найчастіше потребує розуміння того, хто що робить:

• Ваш поштовий провайдер генерує ключ. Google Workspace, Microsoft 365 або той, хто обслуговує ваші поштові скриньки, створює DKIM-ключ для вас у своїй адмін-консолі. Це значення не можна вигадати — ви маєте отримати точне ім’я хосту і значення від них. Cloudflare не генерує DKIM-ключі; він є вашим DNS-хостом, а не поштовим провайдером.
• Cloudflare публікує його. Потім ви додаєте цей ключ до DNS вашого домену в Cloudflare (за умови, що Cloudflare керує вашим DNS — дивіться нижче).

Тобто: генеруйте в поштовій платформі, публікуйте в DNS-хості.

Спочатку переконайтеся, що Cloudflare керує вашим DNS

DKIM-запис працює лише якщо Cloudflare відповідає на DNS-запити для вашого домену. DNS Cloudflare активний лише якщо неймсервери вашого домену (встановлені у вашого реєстратора) вказують на неймсервери Cloudflare, показані у вашому дашборді. Відкрийте ваш домен у Cloudflare і перегляньте сторінку Overview — там буде підтверджено, чи активний Cloudflare. Якщо неймсервери вказують на інший провайдер — додайте DKIM-запис там; у Cloudflare він не набере чинності.

Отримайте ключ від вашого поштового провайдера

У адмін-панелі вашого поштового провайдера знайдіть розділ DKIM або автентифікації пошти і згенеруйте/увімкніть ключ. Вам нададуть два фрагменти тексту:

• host/selector name — щось на кшталт google._domainkey або selector1._domainkey.
• Довге значення, що починається з v=DKIM1;, потім k=rsa; p= і дуже довгий рядок символів (відкритий ключ).

Скопіюйте обидва точно.

Покрокова інструкція для Cloudflare

1. Увійдіть до Cloudflare і виберіть свій домен.
2. У лівому меню перейдіть до налаштувань DNS (шукайте DNS / Records).
3. Натисніть Add record.
4. Встановіть Type — TXT для більшості DKIM-ключів. Використовуйте CNAME лише якщо ваш провайдер конкретно це вказав — деякі провайдери, включно з Microsoft 365, використовують CNAME-записи, що вказують назад на їхні сервери.
5. У полі Name введіть лише частину selector — наприклад google._domainkey або selector1._domainkey. Не додавайте ваш домен у кінці; Cloudflare додає його автоматично.
6. У полі Content вставте довге значення ключа точно так, як надав ваш провайдер. (Для CNAME — вставте hostname-ціль від провайдера.)
7. Залиште TTL на Auto.
8. Натисніть Save.

Типові помилки в Cloudflare

• Не вводьте повний домен у поле Name. Якщо в інструкціях вашого провайдера написано selector1._domainkey.yourdomain.com — у Cloudflare вводьте лише selector1._domainkey. Все інше додається автоматично. Включення домену знову створить зламаний хост ..yourdomain.com.yourdomain.com.
• Вставте увесь ключ — він довгий. Відкриті ключі DKIM складаються з сотень символів. Переконайтеся, що нічого не обрізано і немає зайвих пробілів або переносів рядка. Cloudflare автоматично розділить довге TXT-значення на сегменти — це нормально.
• Не додавайте власних лапок. Вставте звичайне значення; Cloudflare обробляє лапки. Ручне додавання " може пошкодити запис.
• TXT проти CNAME — дотримуйтесь вказівок провайдера. Якщо вказано CNAME — виберіть CNAME і вставте hostname-ціль як Content; не конвертуйте в TXT.
• Якщо ви додаєте CNAME — встановіть «DNS only» (сіра хмарка). Записи автентифікації не мають проксуватися — переконайтеся, що статус проксі показує сіру хмарку, а не помаранчеву, щоб запис відповідав значенню вашого поштового провайдера, а не проксі Cloudflare.
• Selector має збігатися точно. Selector у полі Name має відповідати тому, що очікує провайдер, символ у символ — саме так одержувач знаходить правильний ключ.
• Зачекайте. DNS-зміни можуть займати від хвилин до кількох годин, перш ніж DKIM почне підтверджуватися.

Перевірте результат

Після збереження і невеликої паузи для поширення змін запустіть безкоштовну перевірку на цьому сайті. Вона підтвердить зрозумілою мовою, чи опублікований і читається ваш DKIM-запис.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.