Что значит «DKIM подпись», как она влияет на безопасность и уровень доставки писем, почему DKIM должна быть у КАЖДОГО отправителя, и как ее настроить.
Что значит DKIM – подпись?
Упрощая сложное определение в Википедии, DKIM (DomainKeys Identified Mail) – это стандарт защиты электронной почты. Его основная цель - уберечь содержимое сообщения при передаче между почтовыми серверами.
Внешне DKIM подпись выглядит так:
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=20130519032151.pm; d=example.com;
h=From:Date:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:To:Message-ID;
i=support@example.com; bh=vYFvy46eesUDGJ45hyBTH30JfN4=;
b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/Kp+sipURfVH7BGf+SxcwOkX7X8R1RVObMQsFcbIxnrq7Ba2QCf0YZlL9iqJf32V
В этом рандомном (на первый взгляд) наборе цифр, букв и математических знаков скрыт тайный смысл, который разшифровывается следующим образом:
DKIM – это паспорт отправляющего домена. Без него рассылки возможны, но защиту их никто не гарантирует.
Зачем нужна DKIM подпись?
- DKIM защищает от интернет-преступлений
На уровне почтового сервера заменить адрес отправителя – проще пареной репы. Этим часто промышляют мошенники. Выдав себя за компанию с хорошей репутацией, они прикарманивают личные данные и деньги пользователей. Этот процесс называется фишингом, и считается популярным видом интернет-преступления.
DKIM – это часть защитного механизма. Он работает вместе с SPF (позволяет проверить оригинальность домена-отправителя) и DMARC (задает алгоритм проверки входящей почты). Настройка этих параметров – необязательна, рассылка без них будет идти своим чередом. Но никто не гарантирует, что получатели писем вместо предложения не получат вирус. И письмо будет подписано вашим именем. И данные будут в сохранности. В общем, вы поняли - мы за безопасность клиентов и DKIM-подписи.
- DKIM улучшает репутацию домена
Уровень доверия к отправителю влияет на Open Rate. Open Rate влияет на репутацию домена. Настроенный DKIM репутацию домен «обеляет».
По подписи сервер-получатель определяет не только подлинность, но и его общий рейтинг отправителя. Если подписи нет – кредит лояльности к домену уменьшается, как и вероятность доставки сообщения.
- Скрывает домен отправителя (при использовании email сервисов для рассылок)
Визуально это выглядит следующим образом:
Эта опция дополнительная, но выгодная для интернет-магазинов. «Палиться», что каждое индивидуальное предложение создано автоматически в рамках массовой рассылки через email сервис не хочется. DKIM подпись в этом случае выручает :)
Как работает DKIM?
Условно, сфера влияния DKIM делится на 2 части: то, что происходит на сервере-отправителе, и то, что происходит на сервере-получателе. Всем процессом заправляют приватный и публичный ключ.
Приватный ключ (private key) – секретный уникальный код, который хранится под семью печатями на сервере или под надзором email сервиса.
Этап #1: на сервере-отправителе.
При отправке каждое сообщение подписывается цифровой подписью, используя ваш приватный ключ DKIM. Он прячется в заголовке письма, и выглядит примерно так (см.пункт «Подписан» на рисунке). В графе должно находиться имя домена-отправителя: по нему происходит идентификация.
Этап #2: на сервере-получателе.
Получающий сервер начинает проверку входящего email c поля «DKIM-подпись» в заголовке сообщения. Он анализирует:
- версию DKIM, которую использовал отправитель;
- соответствие домена отправителя значению, указанному в подписи;
- значение тега h= (т.е. от кого пришло письмо).
Затем делает запрос в своеобразную библиотеку доменных имен – DNS: подлинный ли домен отправителя?
Ответ положительный – email не меняется и идет дальше в почтовый ящик получателя. Если нет – отправляется в СПАМ.
Как настроить DKIM подпись?
Каждый сервис рассылок имеет свою процедуру настройки DKIM подписи. Обычно их можно найти в инструкциях, справочниках или мануалах. В Estismail, к примеру, это “Настройка DKIM записи на домене”. Если у вас возникают вопросы – спрашивайте в службы поддержки.
Как проверить DKIM?
Почтовые сервисы делают проверку DKIM незаметно для пользователя. Некоторые же, не скрывают работу в этом направлении: Google подтверждает надежность отправителя знаком ключа возле адреса:
Включить поддержку этой функции можно в Настройки (Settings)→ Лаборатория (Labs)→ «Значок проверенного сообщения» (Authentication icon for verified senders).
DKIM легко проверить самостоятельно, чтобы узнать рейтинг домена среди почтовых сервисов. Вот 3 бесплатных онлайн инструмента для проверки DKIM сигнатуры:
- DKIMCore - проверяет правильность ключа (наличие записи и соблюдения формата). Есть два варианта: ввести селектор и домен, тогда сайт сам найдет ваш ключ и проверит его на правильность; напрямую ввести ваш ключ.
- MXToolBox.com - проверка проходит похоже на предыдущий вариант. Сам сервис предоставляет множество проверок доменов и серверов.
- MailTester.com SPF DKIM check - все то же самое, только в более приятном интерфейсе. Поддерживает русский язык. С помощью этого сервиса ваше письмо проходит "боевую проверку" вашего письма - полный отчет о точности доставки, вывод SpamAssasin и все проверки записей, наличия в blacklist и тд.
Технология DKIM подписи, вместе с SPF и DMARC, защищает рассылки и повышает уровень доставки писем. Открывать письмо или нет – решает получатель. Задача почтового сервиса сделать так, чтобы сообщение гарантировано дошло до Входящих. И наряду с DKIM не стоит забывать и о других требованиях к рассылкам, о которых мы писали ранее и ориентироваться на требования почтовиков:
Безопасных рассылок Вам!