DKIM (аутентификация доменных ключей)

DKIM (DomainKeys Identified Mail) — это стандарт аутентификации электронной почты, который позволяет отправляющему почтовому серверу прикреплять криптографическую цифровую подпись к исходящим сообщениям. Принимающий сервер извлекает соответствующий публичный ключ из DNS-записей отправителя и использует его для проверки подписи. Если подпись действительна, получатель знает, что письмо действительно пришло от заявленного домена и не было изменено в процессе передачи. DKIM работает совместно с [SPF](/glossary/spf) (Sender Policy Framework) и [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance), формируя полный фреймворк аутентификации электронной почты, защищающий и отправителей, и получателей.

Электронная почта остаётся основным каналом для распространения цифровых публикаций, отправки уведомлений о лидах и доставки транзакционных сообщений. Без DKIM письма с большей вероятностью будут отмечены как спам или полностью отклонены почтовыми серверами получателей. Крупные провайдеры — Gmail, Outlook и Yahoo — теперь требуют DKIM для массовых отправителей, а сообщения без действительных подписей подвергаются всё более агрессивной фильтрации. Правильная настройка DKIM улучшает доставляемость, защищает ваш бренд от спуфинга (когда злоумышленники отправляют письма, притворяясь вашим доменом) и формирует доверие у почтовых провайдеров. Для издателей, которые полагаются на email для распространения флипбуков и сбора лидов, DKIM напрямую влияет на то, увидит ли аудитория ваши сообщения.

FlipLink отправляет письма от вашего имени для уведомлений о захвате лидов, ссылок на общие публикации и [шаблонов электронных писем](/features/email-templates). Эти письма отправляются через инфраструктуру с настроенным DKIM, что означает, что каждое исходящее сообщение несёт действительную криптографическую подпись. Если вы используете [пользовательский домен](/features/custom-domains) для своих публикаций и хотите отправлять письма с этого домена, вы настраиваете DNS-записи DKIM для авторизации почтовых серверов FlipLink отправлять от вашего имени. Это гарантирует, что получатели видят ваш домен как верифицированного отправителя, максимизируя попадание во входящие и сохраняя доверие к вашему бренду.

Настройка DKIM включает конфигурацию DNS и координацию с почтовым сервером. Вот как обычно выглядит процесс: 1. **Сгенерировать пару ключей.** Ваш почтовый сервис или платформа (например, FlipLink) генерирует приватный ключ (хранится на сервере отправки) и публичный ключ (публикуется в DNS). 2. **Добавить DNS TXT-запись.** Создайте TXT-запись по адресу `selector._domainkey.вашдомен.com`, содержащую публичный ключ. Селектор — это метка (например, `fl1` или `mail`), которая идентифицирует используемый ключ. 3. **Проверить распространение записи.** Изменения DNS могут занять до 48 часов, хотя большинство распространяется в течение часа. Используйте инструмент проверки DKIM, чтобы убедиться, что запись видна. 4. **Отправить тестовое письмо.** Отправьте письмо с настроенного домена и проверьте заголовки на наличие `dkim=pass` в заголовке Authentication-Results. 5. **Вести мониторинг.** Настройте отчётность [DMARC](/glossary/dmarc) для получения оповещений, если валидация DKIM начнёт давать сбои, что может указывать на ошибку конфигурации DNS или несанкционированных отправителей.

DKIM защищает от двух конкретных угроз: **спуфинг электронной почты** (кто-то отправляет письма, которые выглядят как отправленные с вашего домена) и **подмена содержимого** (кто-то изменяет содержимое письма после того, как оно покинуло ваш сервер). Однако DKIM сам по себе не является полным решением безопасности. **Что защищает DKIM:** - Проверяет, что письмо было отправлено авторизованным сервером для данного домена - Подтверждает, что подписанные заголовки и тело не были изменены при передаче - Обеспечивает основу для применения политик [DMARC](/glossary/dmarc) **Что DKIM не защищает:** - Не шифрует содержимое письма (для этого используйте TLS) - Не проверяет личность конкретного отправителя, только домен - Не предотвращает получение спама на ваш домен — только помогает вашей исходящей почте считаться доверенной **Ротация ключей** — важная, но часто упускаемая практика. Если ваш приватный ключ DKIM скомпрометирован, злоумышленник может подписывать письма от имени вашего домена. Ротируйте ключи DKIM периодически (каждые 6–12 месяцев) и обновляйте DNS-запись новым публичным ключом прежде, чем выводить из эксплуатации старый.

Подпись DKIM добавляется как заголовок `DKIM-Signature` к каждому исходящему письму. Этот заголовок содержит несколько полей: - **v** — Версия (всегда `1`) - **a** — Алгоритм подписи (обычно `rsa-sha256`) - **d** — Подписывающий домен - **s** — Селектор для поиска публичного ключа в DNS - **h** — Список заголовков, включённых в подпись (напр., `from:to:subject:date`) - **bh** — Хеш тела письма - **b** — Собственно криптографическая подпись Принимающий сервер извлекает значения `d` и `s`, запрашивает DNS по адресу `s._domainkey.d`, получает публичный ключ и проверяет подпись по подписанным заголовкам и хешу тела. Если всё совпадает, проверка DKIM пройдена. DKIM поддерживает длины ключей 1024 бит и 2048 бит. Хотя 1024-битные ключи всё ещё распространены, 2048-битные рекомендуются для более надёжной защиты. Некоторые DNS-провайдеры имеют ограничение в 255 символов для TXT-записей, что требует разбиения длинных 2048-битных ключей на несколько строк в одной TXT-записи.