Назад в базу знаний
DKIM
DKIM: криптографическая подпись письма
DKIM подписывает заголовки и тело письма, а получатель проверяет подпись по публичному ключу в DNS.
Что проверяем
- наличие DKIM-Signature
- домен d= и selector s=
- доступность TXT-записи selector._domainkey
- валидность подписи и body hash
- набор подписанных заголовков h=
Почему это важно
- DKIM подтверждает, что письмо не изменили после подписи.
- DKIM помогает DMARC пройти alignment даже если SPF ломается при пересылке.
- Плохая DKIM-подпись хуже, чем ее отсутствие: она показывает ошибку настройки.
Симптомы проблемы
- DKIM-Signature header is missing
- public key not available
- body hash did not verify
- 0 of N signatures passed
Как исправить
- Включите DKIM-подпись на почтовом сервере или в сервисе рассылок.
- Опубликуйте TXT-запись selector._domainkey.domain с публичным ключом.
- Проверьте, что письмо не меняется шлюзом, антивирусом или disclaimers после подписи.
- При смене ключа оставляйте старый selector на время доставки старых писем.
Как проверить после исправления
- Проверьте DNS-запись selector._domainkey.
- Отправьте новое письмо и убедитесь, что DKIM verified.
- Сравните d= с доменом From для DMARC alignment.
Типовые ошибки
- selector в подписи не совпадает с DNS
- TXT-запись порезана или опубликована не в том домене
- почтовый шлюз добавляет подпись до изменения тела письма
- ключ удалили из DNS сразу после ротации
Проверьте это на своем письме
Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.
