Для чего нужен dkim
Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить
Разобраться в технических записях и терминологии, когда ты обычный макетолог, не всегда легко. На всех курсах для email-маркетологов, говорят, что у каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Что без этого письма не будут доставляться или, в лучшем случае, попадут в СПАМ.
Чтобы раз и навсегда разобраться с этими аббревиатурами и разложить вбитые насмерть аксиомы по полочкам, попросила нашего саппорт-ангела Артема написать доходчиво и понятно: как, зачем и почему у всех должны быть эти цифровые подписи.
Итак, чтобы прописать необходимые записи, нам нужен доступ к DNS (Domain Name System). Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.
Что такое SPF?
SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же). Для поддоменов нужны свои записи.
Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.
Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:
Наиболее используемые механизмы:
А также часто используемый модификатор:
«redirect=example.com» – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.
all» даст следующий результат:
1) «+а» – добавить в список все ip-адреса из записей A на домене;
2) «- mx» – исключить из списка все ip-адреса из записей MX на домене;
3) «?include:example.com» – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;
4) «
all» – всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).
Что такое DKIM?
DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.
Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.
Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.
Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:
Пример записи домена mailigen.com:
«v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+
Что такое DMARC?
DMARC (Domain-based Message Authentication, Reportingand Conformance) —это политика, которая показывает как обходиться с письмами, не прошедшими проверок SPF и DKIM.
Прибегая к аналогии с почтальоном – это решение, которое вы примете после всех проверок: пустить или не пустить.
На самом деле в случае с DMARC есть три настройки, что делать с письмами, не прошедшими проверку: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик.
К сожалению, отчеты приходят в формате, плохо воспринимаемым людьми, но есть специальные инструменты для преобразования отчета в читаемый формат, например, этот.
Проверить DMARC можно здесь.
Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.
P.S. Остались вопросы? Пишите на team@mailigen.ru
Рекомендуемые статьи
Если вы для отправки рассылок через Mailigen пользуетесь публичными доменами, например, Mail или Gmail, то…
Email-маркетинг в B2B – это не акционные письма, яркие баннеры и подборка товаров каждую неделю.…
Понравился кейс?
Мы поможем его реализовать и у вас! Напишите нам
Что такое DKIM подпись: все, что нужно о ней знать
Что значит DKIM – подпись?
Внешне DKIM подпись выглядит так:
В этом рандомном (на первый взгляд) наборе цифр, букв и математических знаков скрыт тайный смысл, который разшифровывается следующим образом:
Зачем нужна DKIM подпись?
DKIM защищает от интернет-преступлений
На уровне почтового сервера заменить адрес отправителя – проще пареной репы. Этим часто промышляют мошенники. Выдав себя за компанию с хорошей репутацией, они прикарманивают личные данные и деньги пользователей. Этот процесс называется фишингом, и считается популярным видом интернет-преступления.
DKIM улучшает репутацию домена
Уровень доверия к отправителю влияет на Open Rate. Open Rate влияет на репутацию домена. Настроенный DKIM репутацию домен «обеляет».
По подписи сервер-получатель определяет не только подлинность, но и его общий рейтинг отправителя. Если подписи нет – кредит лояльности к домену уменьшается, как и вероятность доставки сообщения.
Скрывает домен отправителя (при использовании email сервисов для рассылок)
Визуально это выглядит следующим образом:
Эта опция дополнительная, но выгодная для интернет-магазинов. «Палиться», что каждое индивидуальное предложение создано автоматически в рамках массовой рассылки через email сервис не хочется. DKIM подпись в этом случае выручает 🙂
Как работает DKIM?
Условно, сфера влияния DKIM делится на 2 части: то, что происходит на сервере-отправителе, и то, что происходит на сервере-получателе. Всем процессом заправляют приватный и публичный ключ.
Приватный ключ (private key) – секретный уникальный код, который хранится под семью печатями на сервере или под надзором email сервиса.
Этап #1: на сервере-отправителе.
При отправке каждое сообщение подписывается цифровой подписью, используя ваш приватный ключ DKIM. Он прячется в заголовке письма, и выглядит примерно так (см.пункт «Подписан» на рисунке). В графе должно находиться имя домена-отправителя: по нему происходит идентификация.
Этап #2: на сервере-получателе.
Затем делает запрос в своеобразную библиотеку доменных имен – DNS: подлинный ли домен отправителя?
Ответ положительный – email не меняется и идет дальше в почтовый ящик получателя. Если нет – отправляется в СПАМ.
Как настроить DKIM подпись?
Каждый сервис рассылок имеет свою процедуру настройки DKIM подписи. Обычно их можно найти в инструкциях, справочниках или мануалах. В Estismail, к примеру, это “Настройка DKIM записи на домене”. Если у вас возникают вопросы – спрашивайте в службы поддержки.
Как проверить DKIM?
Почтовые сервисы делают проверку DKIM незаметно для пользователя. Некоторые же, не скрывают работу в этом направлении: Google подтверждает надежность отправителя знаком ключа возле адреса:
Включить поддержку этой функции можно в Настройки (Settings)→ Лаборатория (Labs)→ «Значок проверенного сообщения» (Authentication icon for verified senders).
Как попасть в Inbox: технология DKIM
В цикле статей «Как попасть в Inbox» рассказываем о SPF-записи, протоколе DMARC, чёрных списках, тактиках прогрева и многом другом. Эта статья цикла посвящена DKIM‑технологии. Рассказываем, как она работает, зачем её использовать и как настраивать.
Что такое DKIM
DKIM — это технология, объединяющая несколько существующих методов антифишинга и антиспама с целью повышения качества классификации и идентификации легитимной электронной почты.
Проще говоря, DKIM, на ряду с SPF, является ещё одним методом емейл-аутентификации.
Принцип работы
Принцип работы базируется на двух ключах: публичном и приватном. Публичный ключ размещается в DNS‑записи в txt-поле. Приватный ключ размещается на стороне отправляющего сервера. В заголовки каждого отправляемого емейла с помощью приватного ключа в зашифрованном виде добавляются: тело письма, служебные заголовки, время отправки и другие параметры.
Почтовый провайдер обращается к домену отправителя сразу, как только получит подписанное емейл‑сообщение. С помощью публичного ключа расшифровывает заголовок и проверяет соответствие письма и информации в заголовке.
Зачем нужен DKIM
Наличие подписи в массовых емейл-рассылках является обязательным для большинства почтовых провайдеров. Она идентифицирует отправителя, и ISP считает его добросовестным. DKIM в совокупности с SPF-записью делает фишинг-атаки намного более сложными.
Как создать ключи
Пару ключей можно сгенерировать с помощью онлайн-сервисов, например, DKIM Core.
Либо без использования сторонних сервисов — с помощью OpenSSL:
Структура DKIM-заголовка
Заголовок, добавляемый сервером-отправителем, называется DKIM-Signature. Он состоит из списка тегов вида «тег=значение».
Основные теги и их значения:
Таким образом, получив письмо с заголовком из примера, почтовый провайдер обратится к DNS-записи expertsender1k._domainkey.news.emailmatrix.ru для получения публичного ключа. Содержимое данной записи следующее:
Как настроить
В большинстве платформ для емейл-рассылок настройки подписи включены по умолчанию, в таком случае технически рассылки ведутся от имени сервиса рассылок. Для крупных кампаний рекомендуется вести рассылки от имени своего домена для формирования репутации и снижения возможности фишинговых атак.
Крупные ESP предоставляют возможность настройки подписи для вашего домена. В некоторых это является стандартной процедурой при открытии аккаунта, в некоторых дополнительной опцией. В обоих случаях платформа предоставляет сгенерированный публичный ключ, который необходимо разместить в DNS‑записи. После чего подпись писем настроится автоматически.
Если вы используете собственную платформу для рассылок, то воспользуйтесь дополнительными средствами для настройки подписи писем.
Как проверить настройку
После того как настройка подписи произведена и добавлена DNS-запись с ключом, проверим доступность публичного ключа. Сделать это можно известным нам www.dnswatch.info.
Для этого после перехода на сайт введите адрес по следующей структуре — *селектор*._domainkey.*рассылающий домен* и выберите тип записи TXT.
Если содержимое данной записи отображается верно, приступайте к живому тесту подписи, а именно к отправке тестового письма. Рассмотрим на примере веб-интерфейса Mail.ru.
Получив тестовое емейл-сообщение, открываем его. В меню ищем пункт «Служебные заголовки».
Открыв его, вы увидите все служебные заголовки письма. Среди них будет DKIM-Signature.
Немного выше над ним в блоке Authentication-Results при успешной проверке должна быть строка dkim=pass:
Если вместо значения pass там будет fail, проверьте правильность ключей.
Что будет, если не настроить DKIM
Наличие настроенного DKIM является обязательным требованием большинства почтовых провайдеров.
Несмотря на это, емейл-сообщения, не подписанные DKIM, могут быть доставлены, но придут они в папку «Спам». Поэтому не стоит игнорировать данное требование, тем более что, единожды настроив его, вы также обезопасите себя и своих подписчиков от действий злоумышленников.
Кроме того, на основе DKIM работает протокол DMARC, о котором рассказали в одной из статей цикла.
Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга
1. DKIM
DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.
Зачем же он нужен?
DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).
Настройка DKIM подписи и DNS записей
Для это нам необходимо создать пару ключей:
Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.
Далее необходимо указать путь с секретному ключу в файле конфигурации (для этого лучше почитать документацию) почтового сервера и публичный ключ в DNS.
Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT «dkim=all»
Значений может быть три:
all — Все письма должны быть подписаны
discardable — Не принимать письма без подписи
unknown — Неизвестно (что, по сути, аналогично отсутствию записи)
2. SPF
SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF — механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)
Настройка SPF записей
» — дополнительные проверки, «?» — нейтрально.
3.DMARC
Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.
Настройка DMARC записей
Типичная запись выглядит так: _dmarc.your.tld TXT «v=DMARC1; p=none; rua=mailto:postmaster@your.tld»
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.
ruf — отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.
Эпилог
Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).
Эта статья — лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.
SPF, DKIM, DMARC: что всё это значит для email-рассылки, как настроить и проверить работу
SPF, DKIM и DMARC — это базовые настройки, которые обязательно нужно сделать перед запуском email-маркетинга, вне зависимости от того, какой сервис рассылок вы выбрали. Без них письмо не будет доставлено до почтового ящика клиента или попадёт в папку «Спам».
Записи SPF и DKIM это предотвращают. Они не дают мошенникам рассылать вредоносные письма от вашего имени, и говорят почтовым провайдерам, таким как Mail.ru, что рассылки приходят именно от вас. DMARC — это дополнительная броня к защите.
Что всё это значит
SPF и DKIM — это DNS-записи, без которых письмо, скорее всего, не будет доставлено или попадёт в папку «Спам». Domain Name System (DNS) — это «телефонный справочник» интернета, где номер телефона — это IP-адрес, а имя контакта — домен. Эта информация хранится на DNS-серверах. Чтобы добавить её в систему, нужно настроить SPF и DKIM — без этого работа почты на домене невозможна.
DMARC — это алгоритм действий с вашими рассылками, если письма признаны подозрительными. Все эти элементы защиты создаются как TXT — тип записи DNS, который позволяет связать текстовую информацию с доменом.
SPF подтверждает, что домен не подделка
Sender Policy Framework (структура политики отправителя) — это запись со списком серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Настроив SPF, вы сообщите почтовым сервисам, что письмо отправили именно вы. Если письмо отправлено с IP или сервера, которого нет в записи, то провайдер расценит его как спам.
Чтобы настроить SPF, создайте текстовую запись серверов, с которых вы делаете рассылки. Настройки производят в панели управления хостинга домена.
Как настроить
1. Определите, с каких серверов вы будете рассылать письма.
2. Зайдите в панель управления вашего DNS-хостинга.
3. Создайте TXT-запись, заполнив поля (в разных панелях их названия могут различаться). Покажем на примере записи для рассылок через RetailCRM.
Некоторые панели управления вместо символа @ требуют указать ваш домен (например, retailcrm.ru). Если не получается указать ни то, ни другое, оставьте эту строку пустой. Иногда этого поля может не быть совсем, значит, что ничего указывать не требуется.
4. Подождите, пока изменения вступят в силу. DNS-серверам необходимо время, чтобы обменяться сведениями о новых DNS-записях. На это может уйти до 72 часов.
Как проверить настройку
Чтобы убедиться, правильно ли вы всё настроили, воспользуйтесь сервисами для проверки SPF или просмотра DNS-записей:
DKIM улучшает репутацию отправителя
DKIM (DomainKeys Identified Mail) — цифровая подпись ваших писем. Настроенная DKIM-подпись повышает уровень доверия к отправителю со стороны провайдера.
Принцип работы заключается в двух этапах: сервер-отправитель и сервер-получатель. Процессом управляют приватный и публичный ключ. Приватный ключ — секретный уникальный код, который хранится на сервере почтового провайдера. Используя его, отправляющий сервер подписывает каждое сообщение цифровой подписью, где в зашифрованном виде содержатся имя и email получателя, время отправки и информация об отправителе.
Публичный ключ размещается в DNS‑записи в TXT-поле. С его помощью получающий сервер расшифровывает подпись и проверяет, что спрятанная в ней информация соответствует содержимому письма. Если есть какие-то нестыковки, то письмо попадает в папку «Спам».