DKIM (DomainKeys Identified Mail) — криптографическая подпись, которая доказывает, что письмо действительно пришло с вашего домена и не было изменено в пути. Без DKIM Gmail/Yandex режут доставку. Процесс: генерация RSA-2048 пары ключей → публикация публичного ключа как TXT-записи selector._domainkey.example.com → активация подписи в почтовом сервере.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Бесплатный онлайн-инструмент — проверка SPF/DKIM/DMARC: результат мгновенно, без регистрации.
openssl genrsa -out dkim.private 2048 && openssl rsa -in dkim.private -pubout -out dkim.publicmail._domainkey (где mail — selector), значение v=DKIM1; k=rsa; p=ПУБЛИЧНЫЙ_КЛЮЧDKIM-Signature в получателеcheck-auth@verifier.port25.com| Сценарий | Конфиг / запись |
|---|---|
| Google Workspace | Admin consol → Apps → Gmail → Authenticate email → Generate new record (selector = google) |
| Yandex360 | В админке домена → Почта → DKIM. Selector = mail |
| Mailgun | TXT imported from Mailgun dashboard (selector = mx) |
| Postfix + OpenDKIM | opendkim-genkey -s mail -d example.com → копируете mail.txt в DNS |
| SendGrid | DKIM host: s1._domainkey + s2._domainkey (2 записи) |
Для настройки DKIM-подписи писем необходимо сгенерировать ключи, добавить публичный ключ в DNS-запись вашего домена и настроить почтовый сервер для использования приватного ключа. Этот процесс включает в себя использование команд, таких как openssl для генерации ключей, а также редактирование DNS-записей и конфигурации почтового сервера. Убедитесь, что ваш DKIM-заголовок корректно добавляется к исходящим письмам, чтобы гарантировать их доставляемость и защиту от подделки.
Настройка DKIM-подписи включает несколько ключевых шагов, которые необходимо выполнить последовательно. Рассмотрим их подробнее.
openssl для создания пары ключей. Для этого выполните следующую команду:openssl genrsa -out private.key 1024openssl rsa -in private.key -pubout -outform PEM -out public.keypublic.key и скопируйте его содержимое. Вам нужно будет вставить его в DNS-запись в формате TXT. Стандартный формат записи будет выглядеть так:default._domainkey.yourdomain.com IN TXT "v=DKIM1; k=rsa; p=ваш_публичный_ключ"default.dkim_key = /etc/opendkim/keys/default.private
Следуя этим шагам, вы сможете успешно настроить DKIM-подпись для ваших электронных писем, что повысит их надежность и защиту от подделок.
DKIM (DomainKeys Identified Mail) — механизм подписи письма цифровым ключом, который хранится в DNS. Это позволяет получателю убедиться, что письмо действительно отправлено с указанного домена.
Укажите домен и DKIM-селектор — получите публичный ключ и его параметры.
Длина ключа RSA/Ed25519, алгоритм хеширования, флаги и срок действия.
Если ключ < 2048 бит — выдаём предупреждение и инструкцию по обновлению.
Прямой DNS-запрос за секунды — без ожидания TTL.
проверка перед рассылкой
настройка почтового сервера
аудит защиты от фишинга
дебаг доставляемости почты
История DKIM-проверок и DNS-мониторинг изменений записей домена.
Зарегистрироваться (FREE)Да. DMARC требует прохождения SPF ИЛИ DKIM. Если домен рассылает через forwarder — SPF часто ломается, DKIM выживает. Настраивайте оба.
Метка, которая позволяет иметь несколько DKIM ключей одновременно (один для маркетинга, второй для транзакционки). Имя DNS-записи: <code>selector._domainkey.domain</code>.
В письме смотрите заголовок <code>DKIM-Signature: d=sender.com; s=selector</code>. Или через <a href="/dkim">DKIM-чекер Enterno.io</a>.
Да. Каждый сервис (Mailgun, SendGrid, собственный SMTP) может использовать свой selector. Это нормально.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.