Назад в базу знаний
Настройка DKIM
Как настроить DKIM для домена
Как включить DKIM-подпись, опубликовать selector._domainkey, проверить публичный ключ и не сломать подпись почтовым шлюзом.
Что проверяем
- включена ли DKIM-подпись на MTA или сервисе
- selector и домен d=
- TXT-запись публичного ключа
- body hash и signed headers
- alignment DKIM с доменом From
Почему это важно
- DKIM доказывает, что письмо не изменили после подписи.
- DKIM помогает DMARC пройти даже при пересылке, где SPF может сломаться.
- Ошибочная DKIM-подпись выглядит как неверная настройка инфраструктуры.
Симптомы проблемы
- DKIM-Signature отсутствует
- public key not available
- body hash did not verify
- d= не совпадает с доменом From
Как исправить
- Сгенерируйте ключ и selector на почтовом сервере или в сервисе отправки.
- Опубликуйте TXT selector._domainkey.domain.
- Подписывайте письмо после всех изменений тела и заголовков.
- Не удаляйте старый selector сразу после ротации.
- Проверьте, что d= aligned с From для DMARC.
Как проверить после исправления
- Отправьте новое письмо и откройте раздел DKIM.
- Проверьте DNS-имя selector._domainkey из отчета.
- Убедитесь, что хотя бы одна подпись verified.
Типовые ошибки
- публикуют ключ не на том selector
- шлюз меняет письмо после подписи
- используют один старый ключ без ротации годами
Проверьте это на своем письме
Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.
