Как правильно прописать dkim в dns

Обновлено: 05.07.2024

Если домен предоставлен партнером Google Workspace, добавлять ключ DKIM в записи DNS на сайте регистратора домена не нужно. Gmail автоматически сгенерирует и добавит ключ домена в записи DNS.

Чтобы включить аутентификацию с помощью DKIM, введите в качестве записи TXT (одна из записей DNS) ключ домена DKIM, сгенерированный в консоли администратора. Обратите внимание, что запись TXT нужно обновлять на сайте регистратора домена, а не в консоли администратора.

Добавьте ключ DKIM из консоли администратора Google в записи DNS регистратора домена.

Как добавить ключ домена в записи DNS домена

Чтобы выполнить указанные ниже действия, используйте ключ домена DKIM, сгенерированный в консоли администратора.

Важно! Если в вашем аккаунте несколько доменов, выполните эти шаги для каждого из них. При этом используйте уникальный ключ DKIM для каждого домена.

Войдите в консоль управления своего регистратора домена.
Перейдите на страницу, на которой можно изменить записи DNS.

Хотите добавить ключ для субдомена? Если ваш регистратор не позволяет обновить записи DNS субдомена, добавьте запись в родительский домен. Подробнее о том, как обновить записи DNS субдомена…

Примечание. Если ваш регистратор домена ограничивает длину записей TXT, ознакомьтесь с разделом Ключи домена и ограничения для длины записей TXT.

В первом поле введите значение, указанное в поле Название хоста DNS (название записи TXT) в консоли администратора.
Во втором поле введите текст, который отображается в поле Значение записи TXT в консоли администратора.

Ключи домена и ограничения для длины записей TXT

Записи TXT могут содержать до 255 символов в одной строке. Чтобы создать более длинные записи TXT, DNS объединяет несколько текстовых строк в одну запись TXT.

Чтобы узнать, поддерживает ли ваш регистратор домена записи TXT длиной более 255 символов, обратитесь к нему напрямую.

С помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя. Чтобы установить DKIM-подпись для писем, отправляемых с вашего домена, создайте для вашего домена TXT-запись с публичным ключом подписи.

Если вы делегировали домен на серверы Яндекса, DKIM-подпись с публичным ключом будет настроена автоматически.

Общая инструкция по настройке DKIM-подписи

Получите TXT-запись с публичным ключом в настройках Почты:

Рядом с именем домена, для которого вы хотите добавить подпись, нажмите Добавить DKIM или Настроить МХ-запись .

Если нужного домена нет в списке, убедитесь, что он подключен и подтвержден.

В блоке Добавление DKIM-подписи скопируйте значение публичного ключа для вашего домена.

Войдите в панель управления на сайте компании, которая предоставляет вам DNS-хостинг.

Если вы делегировали домен на серверы Яндекса, перейдите в DNS-редактор Коннекта.

Создайте TXT-запись со следующими значениями полей (в разных панелях управления названия полей могут отличаться):

Имя поддомена (или Хост ) — mail._domainkey . В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, mail._domainkey.yourdomain.tld .

Значение — блок текста Публичный ключ , ранее скопированный из настроек Коннекта .

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.

Инструкции по настройке DKIM-подписи у некоторых хостинг-провайдеров

Перейдите на страницу Почты в Яндекс.Коннекте и скопируйте значение публичного ключа для вашего домена (см. в общей инструкции по настройке DKIM-подписи).

Нажмите ссылку с именем нужного домена. Откроется страница Управление .

Выберите DNS-серверы и управление зоной .

Text — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

На панели справа выберите DNS-зоны .

Нажмите ссылку с именем нужного домена. Откроется страница Просмотр DNS-зоны .

значение (IP/host.) — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Поле MX preference оставьте пустым.

В разделе Управление хостингом нажмите ссылку DNS .

В выпадающем списке выберите нужный домен.

Имя поддомена — mail._domainkey

TXT — параметры DKIM с публичным ключом, полученные в настройках Почты.

Например, v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe.

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Вы также можете не настраивать DKIM для личного домена. В этом случае Office 365 создаст пару ключей — закрытый и открытый, — включит подпись с помощью DKIM и настроит политику по умолчанию для личного домена Microsoft 365.

Хотя встроенной в Microsoft 365 конфигурации достаточно для большинства клиентов, вы должны вручную настроить DKIM своего пользовательского домена в следующих случаях:

Как DKIM работает лучше, чем один SPF, для предотвращения злонамеренного подмены

Действия по созданию, включению и отключению DKIM на портале Microsoft 365 Defender

Все обслуживаемые домены вашего клиента будут показаны на портале Microsoft 365 Defender на странице DKIM. Если вы его не видите, добавьте обслуживаемый домен со страницы доменов. После добавления домена выполните нижеприведенные действия для настройки DKIM.

Шаг 2. Нажмите "Создать ключи DKIM".

Шаг 3. Скопируйте CNAMES, показанные во всплывающем окне

Шаг 4. Опубликуйте скопированные записи CNAME у вашего поставщика DNS.

На веб-сайте поставщика DNS добавьте записи CNAME для каждой DKIM, которую вы хотите включить. Убедитесь, что значения полей точно соответствуют каждым из указанных ниже:

Шаг 5. Вернитесь на страницу DKIM, чтобы включить DKIM.

Если запись CNAME не существует, это может быть связано со следующим:

Синхронизация с DNS-сервером, которая может занять от нескольких секунд до часов. Если проблема не исчезнет, повторите шаги еще раз
Проверьте наличие ошибок копирования и вставки, таких как лишний пробел, позиции табуляции и т. д.

Если вы хотите отключить DKIM, вернитесь в режим отключения

Если вы уже настроили DKIM, измените разрядность, выполнив следующую команду:

или

В случае новой реализации DKIM выполните следующую команду:

Сохраняйте подключение к Exchange Online PowerShell, чтобы проверить конфигурацию, выполнив следующую команду:

Дополнительные сведения о синтаксисе и параметрах см. в следующих статьях: Rotate-DkimSigningConfig, New-DkimSigningConfig и Get-DkimSigningConfig.

Необходимые шаги для настройки DKIM вручную

Настройка DKIM состоит из двух этапов:

Публикация двух записей CNAME для личного домена в DNS

Для каждого домена, для которого требуется добавить подпись DKIM в DNS, необходимо опубликовать две записи CNAME.

Если вы не ознакомились с полной статьей, вы могли пропустить эти сведения о подключении PowerShell, экономящие время: Подключение к Exchange Online PowerShell.

Чтобы создать записи селектора, выполните следующие команды в Exchange Online PowerShell:

Для каждого домена, создаваемого в Microsoft 365 в дополнение к начальному домену, следует опубликовать две записи CNAME. Таким образом, если у вас два домена, необходимо опубликовать две дополнительные записи CNAME и так далее.

Для записей CNAME используйте указанный ниже формат.

В Microsoft 365 селекторами всегда будут «селектор1» или «селектор2».

Важно создать вторую запись, но только один из селекторов может быть доступен во время создания. По сути, второй селектор может указывать на адрес, который еще не создан. Мы все же рекомендуем создать вторую запись CNAME, так как ротация ключей будет беспроблемной.

Шаги по включению подписи DKIM для личного домена

После публикации записей CNAME в DNS включите подпись с помощью DKIM в Microsoft 365. Это можно сделать в Центре администрирования Microsoft 365 или с помощью PowerShell.

Чтобы включить подпись DKIM для вашего личного домена на портале Microsoft 365 Defender

Откройте портал Microsoft 365 Defender с помощью своей рабочей или учебной учетной записи.

На странице DKIM выберите домен, щелкнув имя.

После завершения нажмите Смена ключей DKIM.

Повторите этот шаг для каждого личного домена.

Если вы настраиваете DKIM в первый раз и столкнулись с ошибкой "Для этого домена нет сохраненных ключей DKIM", воспользуйтесь Windows PowerShell для включения подписывания DKIM, как рассмотрено на следующем шаге.

Как включить подпись с помощью DKIM для личного домена, используя PowerShell

Используйте следующий синтаксис.

<Domain> — это имя личного домена, для которого требуется включить функцию подписывания с помощью DKIM.

Подтвердить, что подпись DKIM правильно настроена для Microsoft 365

Прежде чем выполнять указанные ниже действия для проверки настройки DKIM, подождите несколько минут. Для распространения информации DKIM о домене по сети требуется время.

Найдите заголовок Authentication-Results. Принимающие службы помечают входящую почту по-разному, но результат должен содержать элемент, подобный DKIM=pass или DKIM=OK.

Чтобы настроить DKIM для нескольких пользовательских доменов

Действия, описанные в этой статье, необходимо выполнить для каждого дополнительного личного домена, для которого требуется включить DKIM. В частности, выполните все действия, описанные в разделе Как настроить DKIM вручную.

Отключение политики подписи DKIM для пользовательского домена

Отключение политики подписывания полностью не отключает DKIM. Через некоторое время Microsoft 365 автоматически применит политику по умолчанию для вашего домена, если политика по умолчанию по-прежнему включена. Если вы хотите полностью отключить DKIM, отключите DKIM как в личных, так и в стандартных доменах. Для получения дополнительной информации см. Поведение по умолчанию для DKIM и Microsoft 365.

Отключение политики подписывания DKIM с помощью Windows PowerShell

Выполните одну из указанных ниже команд для каждого домена, для которого требуется отключить подпись с помощью DKIM.

Где number — это индекс политики. Например:

Поведение по умолчанию для DKIM и Microsoft 365

Кроме того, если вы отключите подпись DKIM в личном домене после включения, через некоторое время Microsoft 365 автоматически применит политику MOERA/исходного домена для вашего личного домена.

Настройте DKIM таким образом, чтобы сторонняя служба могла отправлять электронные письма от имени вашего личного домена

В этом примере для достижения представленного результата:

Поставщик услуг массовой рассылки предоставил компании Contoso открытый ключ DKIM.

Компания Contoso опубликовала ключ DKIM в своей записи DNS.

Идентификация доменов, с которых не отправляется почта

Например, запись DKIM может выглядеть следующим образом:

Следующие шаги: после настройки DKIM для Microsoft 365

Несмотря на то, что технология DKIM предназначена для предотвращения спуфинга, она работает эффективнее вместе с инфраструктурой политики отправителей и DMARC.

После настройки DKIM настройте инфраструктуру политики отправителей. Краткий обзор инфраструктуры политики отправителей и инструкции по ее быстрой настройке см. в статье Настройка инфраструктуры политики отправителей в Microsoft 365 для предотвращения спуфинга. Дополнительные сведения об использовании инфраструктуры политики отправителей в Microsoft 365, рекомендации по устранению неполадок и инструкции для нестандартных, в том числе гибридных, развертываний см. в статье Как Microsoft 365 использует инфраструктуру политики отправителей (SPF) для предотвращения спуфинга.

Этот тест проверяет правильность настройки подписи DKIM и публикацию соответствующих записей DNS.

Дополнительные сведения

Ротация ключей с помощью командлета: Rotate-DkimSigningConfig в PowerShell

Что такое DKIM и SPF

DomainKeys Identified Mail (DKIM) — это метод подтверждения домена отправителя с помощью автоматически сгенерированной цифровой подписи.

Sender Policy Framework (SPF) — это TXT-запись в DNS-зоне домена, где указан список почтовых серверов, с которых разрешена отправка писем для данного домена.

DKIM и SPF записи настраиваются на сервере, с которого отправляются письма, чтобы снизить риск компрометирования домена и попадания писем в спам.

Как добавить DKIM и SPF записи

В первую очередь необходимо сгенерировать записи в вашем SendPulse аккаунте, а затем прописать их в панели управления вашего сайта.

Как сгенерировать DKIM и SPF записи в сервисе SendPulse

В разделе «Рассылки» выберите «Настройки сервиса».

Откройте вкладку «Аутентификация».

В разделе «Аутентификация (SPF и DKIM записи)» кликните «Подключить».

Укажите свой домен в поле «Имя домена отправки» и кликните «Получить SPF/DKIM записи».

Сервис сгенерирует все данные для добавления DNS записей SPF и DKIM, их необходимо добавить на вашем домене отправителя.

Настройки в панели управления DNS записями

Откройте настройки DNS

Откройте панель управления вашего сайта и найдите страницу для обновления записей DNS домена. Она может носить название «Управление DNS», «Управление сервером имен» или «Дополнительные настройки».

Вы увидите подобную страницу с незаполненными полями.

Заполните поля для SPF и DKIM.

Как заполнить поля для записи DKIM

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Например: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите, пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Как заполнить поля для записи SPF

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Если для вашего домена уже добавлена SPF-запись, отредактируйте существующую запись, новую создавать не нужно.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Письма подтверждения форм подписки и тестовые письма отправленные через опцию "Тестовая отправка", будут содержать дефолтную SPF\DKIM подпись сервиса SendPulse.

Настройки DNS записей у некоторых хостеров

Ниже приводим список ссылок на инструкции по редактированию DNS записей на платформах разных хостинг-провайдеров. Если вы пользуетесь услугами другого хостинг-провайдера, найдите документацию вашего провайдера или обратитесь в их службу поддержки.

Читайте также: