Компании отправляют через email своим клиентам не только массовые рассылки, но и счета, важные уведомления и другие сообщения. Без защиты такие письма можно подделать. Злоумышленники могут отправлять фальшивые сообщения от имени банков, интернет-магазинов и любых других сервисов. Такие письма маскируются под знакомые рассылки и заставляют получателя перейти по вредоносной ссылке или передать конфиденциальные данные. Это называется фишингом.
Чтобы защититься от поддельных писем, почтовые системы проверяют домен и сервер отправителя. Если проверка не проходит, письмо попадает в спам или отклоняется — это зависит от политики DMARC и настроек почтового сервиса. Из-за этого при запуске рассылок часто возникает проблема: письма отправляются, но не доходят до «Входящих». Одна из частых причин — не настроена аутентификация домена.
DKIM — один из ключевых механизмов такой проверки. В статье разберёмся, как работает DKIM и как правильно его настроить.
Что такое DKIM простыми словами
DKIM (DomainKeys Identified Mail) — это цифровая подпись, которая добавляется к письму и помогает подтвердить, что письмо связано с доменом отправителя и не было изменено при доставке получателю.
Для настройки DKIM владелец домена добавляет специальную запись в DNS (Domain Name System) — систему доменных имён. Когда письмо приходит получателю, почтовый сервер сравнивает DKIM-подпись в письме с публичным ключом из DNS-записи домена.
При отправке письма почтовый сервис или другая система отправки email автоматически добавляет к нему подпись. Когда письмо приходит получателю, принимающий сервер проверяет подпись с помощью публичного ключа из DNS. Если проверка прошла успешно, то письмо считается подлинным, а его содержимое — не изменённым при передаче.
Что даёт маркетологу добавление DKIM
DKIM помогает улучшить доставляемость писем. Без подписи часть рассылок может уходить в спам — даже если база «хорошая», а предложение для аудитории полезное.
Например, интернет-магазин отправляет клиентам письма со скидками. Если DKIM не настроен, риск попадания таких писем в спам становится выше. В результате клиенты могут не увидеть рассылку.
Если вы используете email как канал продаж или коммуникации с клиентами, то без DKIM управлять доставляемостью сложнее. Настройка занимает 10–20 минут и помогает почтовым сервисам начать доверять вашим рассылкам.
Настроенная аутентификация домена помогает:
- повысить доставляемость писем;
- подтвердить подлинность писем для почтовых сервисов и получателей;
- снизить риск попадания писем в спам;
- подключить постмастеры и смотреть статистику доставляемости.
Почтовые сервисы оценивают не только конкретное письмо, но и всю историю отправителя. Для маркетинга это напрямую влияет на результат email-канала: чем больше писем дошло до получателей, тем выше открываемость, клики и продажи.
Как проходит проверка DKIM
DomainKeys Identified Mail (DKIM) — это технология аутентификации email. При отправке письма почтовый сервис добавляет DKIM-подпись, а принимающий сервер проверяет её с помощью публичного ключа из DNS домена.
DKIM-подпись добавляется в служебные заголовки каждого email. Это техническая часть письма, которая содержит информацию о доставке и проверках. Данные используются почтовыми серверами и обычно скрыты от пользователя.
В DNS домена хранится публичная часть DKIM-ключа.
Когда приходит письмо, почтовый сервер:
- берёт DKIM-подпись из технического заголовка письма;
- находит нужную DKIM-запись в DNS;
- проверяет подпись с помощью публичного ключа из DNS.
DKIM состоит из пары ключей, которые генерируются вместе:
- приватный ключ используется для создания подписи и остаётся на стороне отправителя — например, в CDP Sendsay;
- публичный ключ передаётся клиенту, чтобы добавить его в DNS домена в виде DKIM-записи.
Почтовый сервер проверяет DKIM-подпись с помощью публичного ключа из DNS. Если проверка проходит, то подпись считается корректной. Это повышает доверие email-провайдеров к письму.
Если проверка не проходит, подпись считается невалидной — такое письмо чаще попадает в спам или отклоняется.
Что нужно перед настройкой
Перед настройкой убедитесь, что у вас есть доступ к DNS-зоне домена. Он находится у регистратора или хостинга: например, Reg.ru или Nic.ru. Если доступа нет, его нужно запросить у администратора или разработчика. Без этого добавить DKIM-запись не получится.
Далее определите домен, от имени которого будут отправляться письма. Именно для этого домена нужно сгенерировать DKIM-ключ и добавить DKIM-запись в DNS.
Как настроить DKIM — пошагово
В большинстве сервисов настройка DKIM занимает 10–20 минут. Рассмотрим процесс на примере CDP Sendsay.
Шаг 1. Добавьте домен в Sendsay
В личном кабинете перейдите в «Настройки системы → Домены» и нажмите «Добавить домен». Введите имя домена и нажмите «Подключить». Платформа сгенерирует пару ключей: приватный останется на сервере Sendsay, а публичный нужно будет добавить в DNS. Подробнее читайте в статье.
Шаг 2. Добавьте DKIM в DNS
После генерации ключа скопируйте имя TXT-записи и её значение. Перейдите в редактор DNS-зоны вашего домена, создайте новую TXT-запись и заполните необходимые поля.
Важно перенести их без ошибок: лишние символы, неправильные переносы или неполный ключ сделают запись невалидной.
Шаг 3. Проверьте работу DKIM
Вернитесь в Sendsay и нажмите «Проверить» в настройках домена. DNS обновляется от нескольких часов до трёх дней. Поэтому ключ может быть обнаружен не сразу.
Когда DNS-запись станет доступна и домен перейдёт в статус «Активен» — после этого отправьте себе тестовое письмо. Если письмо в папке «Входящие», значит подпись настроена верно. Если ушло в спам — стоит перепроверить правильность скопированного ключа в DNS.
Также можно увидеть DKIM в служебных заголовках, открыв исходную версию письма. Проверьте:
- есть ли DKIM-подпись;
- статус dkim=pass.
Если DKIM не настроен или работает с ошибкой, в заголовках подпись будет отсутствовать или отобразится dkim=fail. В этом случае письмо может не доставиться или попасть в спам. Частая причина — невалидная DKIM-подпись, ошибка в DNS-записи домена или ситуация, когда не удалось получить ответ от сервера в момент проверки.
Практический комментарий
Если DKIM не проходит проверку, в большинстве случаев проблема связана с содержимым DNS-записи. Даже один лишний символ или неполный ключ могут привести к ошибке проверки.
Ещё раз проверьте: нет ли лишних пробелов, и полностью ли скопирован ключ. Если не удалось найти ошибку, не тратьте время — обратитесь в техподдержку через чат на сайте или напишите на адрес ask@sendsay.ru. Это быстрее, чем продолжать самому искать проблему.
Зачем вместе настраивать SPF, DMARC и DKIM
SPF, DKIM и DMARC — это части механизма email-аутентификации. Почтовые сервисы используют их, чтобы проверить домен отправителя и снизить риск подделки писем.
- SPF — запись в DNS, в которой указано, какие серверы имеют право отправлять письма от имени домена.
- DKIM — подпись письма, которая позволяет принимающему серверу проверить домен отправителя и целостность сообщения.
- DMARC — политика, которая определяет, что делать с письмами, если проверка SPF или DKIM не пройдена.
Например, если письмо не проходит нужные проверки аутентификации, DMARC укажет принимающему серверу отправить письмо в спам или отклонить его.
При получении письма почтовый сервис проверяет, совпадает ли сервер отправки с SPF-записью. Речь идёт о домене, от имени которого отправляется письмо, и сервере, который его отправляет. Если сервер отсутствует в записи, письмо может попасть в спам или быть отклонено.
DMARC — это запись в DNS, которая задаёт политику обработки писем, не прошедших проверку. Есть три варианта:
- reject — отклонить письмо;
- quarantine — отправить в спам;
- none — не применять к письму специальное действие по DMARC, а только собирать отчёты.
DMARC использует результаты проверок SPF и DKIM. Если одна из них не настроена или работает с ошибками, почтовым сервисам сложнее подтвердить подлинность письма. Поэтому для массовых рассылок DKIM обычно настраивают вместе с SPF и DMARC. Только вместе они дают стабильную доставляемость и защиту доменного
FAQ
