Defaults.Exposed › Налаштування › DKIM

Як налаштувати DKIM для Google Workspace

Згенеруйте DKIM-ключ в адмін-консолі Google і опублікуйте його у вашому DNS, щоб листи мали захищений від підробки підпис.

Чому це важливо для вашого бізнесу

DKIM (DomainKeys Identified Mail) додає невидимий цифровий підпис до кожного листа, який ви надсилаєте. Поштовий провайдер одержувача використовує відкритий ключ, опублікований у вашому DNS, щоб підтвердити дві речі: лист дійсно надійшов з вашого домену, і ніхто не змінював його у дорозі.

Простіше кажучи: DKIM — це печатка автентичності на вашій пошті. Вона ускладнює підробку і підвищує шанси, що ваші справжні листи потраплять у вхідні, а не у спам. Вона безкоштовна і налаштовується один раз.

Важливо: DKIM складається з двох частин

Саме цей запис найчастіше потребує розуміння того, хто що робить:

• Google генерує ключ — в адмін-консолі Google. Ви входите на admin.google.com і доручаєте Google створити DKIM-ключ для вашого домену. Це значення не можна вигадати — Google генерує його для вас.
• Ваш DNS-хост публікує його. Потім ви додаєте цей ключ до DNS вашого домену — у тієї компанії, що керує вашими неймсерверами (ваш реєстратор, вебхостинг, Cloudflare тощо). Це зазвичай не Google.

Тобто: генеруйте в Google Workspace, публікуйте у вашому DNS-хості. Обидві частини обов’язкові, і є додатковий крок наприкінці — повернутися в Google і ввімкнути DKIM.

Крок 1 — Згенеруйте ключ в адмін-консолі Google

1. Увійдіть до адмін-консолі Google на admin.google.com з акаунтом адміністратора.
2. Перейдіть до Apps → Google Workspace → Gmail, потім відкрийте Authenticate email (це розділ DKIM).
3. Виберіть ваш домен зі списку.
4. За потреби виберіть довжину ключа (стандартна, зазвичай 2048 біт, підходить) і натисніть Generate new record.
5. Google надає два фрагменти тексту:
   • DNS host name / selector — для Google це зазвичай google._domainkey.
   • Довге значення TXT-запису, що починається з v=DKIM1; k=rsa; p=, потім дуже довгий рядок символів (відкритий ключ).
6. Залиште цю сторінку відкритою — ви скопіюєте ці дані у ваш DNS, а потім повернетеся, щоб увімкнути DKIM.

Крок 2 — Опублікуйте ключ у вашому DNS-хості

Спочатку переконайтеся, що ви працюєте в компанії, яка дійсно керує вашим DNS. DKIM-запис працює лише якщо він доданий там, куди вказують неймсервери вашого домену. Якщо не впевнені — перегляньте розділ Nameservers у вашого реєстратора або запитайте того, хто управляє вашим сайтом.

1. Увійдіть до вашого DNS-хоста і відкрийте DNS-налаштування для вашого домену (шукайте DNS / Records / Advanced DNS).
2. Додайте новий запис і виберіть тип TXT.
3. У полі Name / Host введіть лише частину selector — для Google це зазвичай google._domainkey. Не додавайте ваш домен у кінці; DNS-хост додає його автоматично.
4. У полі Value вставте довге значення ключа від Google точно як є.
5. Залиште TTL за замовчуванням.
6. Збережіть.

Крок 3 — Увімкніть DKIM, повернувшись до Google

Публікації запису недостатньо — потрібно повідомити Google почати підписувати листи.

1. Поверніться до сторінки Authenticate email в адмін-консолі Google.
2. Натисніть Start authentication.
3. Google перевіряє, чи видимий запис у вашому DNS. Якщо він ще не знайдений — дайте DNS трохи часу для поширення (хвилини або кілька годин) і спробуйте знову.

Типові помилки

• Два місця, по порядку. Згенеруйте в Google, опублікуйте в DNS, потім поверніться і натисніть Start authentication. Пропуск останнього кроку означає, що ключ опублікований, але Google ніколи не підписуватиме вашу пошту.
• Не вводьте повний домен у поле Host. Якщо в інструкціях написано google._domainkey.yourdomain.com — вводьте лише google._domainkey у вашого DNS-хоста. Все інше додається автоматично. Включення домену знову створить зламаний хост на кшталт google._domainkey.yourdomain.com.yourdomain.com.
• Вставте увесь ключ — він довгий. Відкриті ключі DKIM складаються з сотень символів. Деякі DNS-хости мають обмеження символів у одному полі і розбивають довгі TXT-значення на кілька рядків у лапках — це нормально і Google це обробляє. Але переконайтеся, що нічого не обрізано і немає зайвих пробілів або переносів рядка.
• Зверніть увагу на лапки. Вставте звичайне значення; більшість DNS-хостів самостійно додають лапки. Ручне додавання " поверх може пошкодити запис.
• Selector має збігатися точно. Хост у вашому DNS має відповідати тому, що очікує Google (google._domainkey), символ у символ — саме так одержувач знаходить правильний ключ.
• Зачекайте. DNS-зміни можуть займати від хвилин до кількох годин, перш ніж Google зможе підтвердити і DKIM почне підтверджуватися.

Перевірте результат

Після публікації запису, ввімкнення автентифікації і невеликої паузи для поширення змін запустіть безкоштовну перевірку на Defaults.Exposed. Вона підтвердить зрозумілою мовою, чи опублікований і читається ваш DKIM-запис. Дані обробляються в ЄС.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.