Как настроить DKIM для домена
DKIM (DomainKeys Identified Mail) — криптографическая подпись, которая доказывает, что письмо действительно пришло с вашего домена и не было изменено в пути. Без DKIM Gmail/Yandex режут доставку. Процесс: генерация RSA-2048 пары ключей → публикация публичного ключа как TXT-записи selector._domainkey.example.com → активация подписи в почтовом сервере.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Пошаговая настройка
- Сгенерируйте пару RSA-2048 ключей:
openssl genrsa -out dkim.private 2048 && openssl rsa -in dkim.private -pubout -out dkim.public - Публичный ключ конвертируйте в DNS формат: убрать заголовок/footer и переносы — одна строка
- Создайте TXT-запись: имя
mail._domainkey(гдеmail— selector), значениеv=DKIM1; k=rsa; p=ПУБЛИЧНЫЙ_КЛЮЧ - Активируйте в почтовом сервере (Postfix: opendkim; Google Workspace: Admin → Apps → Gmail → Authenticate email)
- Отправьте тестовое письмо — проверьте заголовок
DKIM-Signatureв получателе - Проверьте через DKIM-чекер Enterno.io — введите домен + selector
- Проверьте прохождение:
check-auth@verifier.port25.com
Рабочие примеры
| Сценарий | Конфиг / запись |
|---|---|
| Google Workspace | Admin consol → Apps → Gmail → Authenticate email → Generate new record (selector = google) |
| Yandex360 | В админке домена → Почта → DKIM. Selector = mail |
| Mailgun | TXT imported from Mailgun dashboard (selector = mx) |
| Postfix + OpenDKIM | opendkim-genkey -s mail -d example.com → копируете mail.txt в DNS |
| SendGrid | DKIM host: s1._domainkey + s2._domainkey (2 записи) |
Типичные ошибки
- Ключ RSA меньше 1024 бит — Gmail rejects. Минимум 1024, рекомендовано 2048
- Перенос строк/пробелы в публичном ключе → invalid record
- Selector должен совпадать в DNS и в заголовке письма — опечатка ломает всё
- После ротации ключа оставьте старый selector 14 дней — чтобы догнать письма в пути
- Не храните приватный ключ в git — компрометация = spoofing
Почему нам доверяют
Как это работает
Введите домен и селектор
Получаем DKIM TXT-запись
Проверяем открытый ключ
Что такое DKIM?
DKIM (DomainKeys Identified Mail) — механизм подписи письма цифровым ключом, который хранится в DNS. Это позволяет получателю убедиться, что письмо действительно отправлено с указанного домена.
Проверка по селектору
Укажите домен и DKIM-селектор — получите публичный ключ и его параметры.
Анализ ключа
Длина ключа RSA/Ed25519, алгоритм хеширования, флаги и срок действия.
Рекомендации
Если ключ < 2048 бит — выдаём предупреждение и инструкцию по обновлению.
Мгновенный результат
Прямой DNS-запрос за секунды — без ожидания TTL.
Кому это нужно
Email-маркетологи
проверка перед рассылкой
Системные администраторы
настройка почтового сервера
Безопасники
аудит защиты от фишинга
Разработчики
дебаг доставляемости почты
Частые ошибки
Лучшие практики
Получите больше с бесплатным аккаунтом
История DKIM-проверок и DNS-мониторинг изменений записей домена.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Нужен ли DKIM если есть SPF?
Да. DMARC требует прохождения SPF ИЛИ DKIM. Если домен рассылает через forwarder — SPF часто ломается, DKIM выживает. Настраивайте оба.
Что такое selector?
Метка, которая позволяет иметь несколько DKIM ключей одновременно (один для маркетинга, второй для транзакционки). Имя DNS-записи: <code>selector._domainkey.domain</code>.
Как проверить чужой DKIM?
В письме смотрите заголовок <code>DKIM-Signature: d=sender.com; s=selector</code>. Или через <a href="/dkim">DKIM-чекер Enterno.io</a>.
Можно ли иметь несколько DKIM selectors?
Да. Каждый сервис (Mailgun, SendGrid, собственный SMTP) может использовать свой selector. Это нормально.