DKIM-подпись: что это такое и как настроить

Современные фишинговые технологии позволяют перехватывать электронные письма, отправленные добросовестным отправителем, и заменять их на мошеннические. Чтобы ограничить такую возможность, почтовые серверы используют различные протоколы проверки, отфильтровывающие потенциально опасные email-сообщения. Одним из таких протоколов является DKIM.

DKIM, или DomainKeys Identified Mail («почта, идентифицированная с использованием доменных ключей») - технология электронной аутентификации, позволяющая проверить подлинность отправителя и подтвердить его добросовестность путем включения в сообщение закрытой DKIM-подписи. Почтовый сервер получателя сверяет эту подпись с парной ей DKIM-записью для домена, используя криптографическую аутентификацию.

Пример DKIM-подписи:

Расшифровывается она следующим образом:

a – алгоритм подписи (как правило, rsa);

q – метод запроса по умолчанию (в данном примере — DNS отправителя);

d – домен почтового сервера отправителя;

i – идентификатор домена-отправителя. Обычно используется почтовый адрес, с которого отправляется сообщение;

s – верификационный переключатель (селектор) для доменного ключа. Он формируется при создании пары закрытого и открытого ключей;

c – определяет положение пробелов и переносов в сообщении. Simple — не допускает изменений. Relaxed — возможны базовые изменения;

t – временная метка подписи. Определяет, когда письмо было подписано;

x – срок годности подписи. Ранее отправленные письма могут быть использованы для подделки подписи, так что рекомендуется ее периодически менять;

h – список подписанных ключом заголовков, в данном случае — отправитель, получатель, тема и дата письма;

b – криптографическая запись всей вышеперечисленной информации.
 

Использование DKIM-подписи — это стандарт для организаций, которые рассылают электронные письма и хотят подтвердить свое «авторство». Подпись используется получателем, чтобы убедиться, что сообщение было действительно отправлено владельцем домена и не было заменено в процессе его пересылки.

DKIM-подпись позволяет предотвратить фишинговые атаки, в частности спуфинг (spoofing) — вид кибер-атаки, при котором злоумышленники маскируются под добросовестного отправителя, чтобы получить доступ к конфиденциальным данным или внедрить в систему получателя вредоносную программу. Изменения в письмо или его подмена происходят в процессе доставки, когда фишеры перехватывают оригинальное письмо и заменяют его своим.

Наличие DKIM способствует повышению репутации отправителя. Эта функция может быть как скрытой, так и открытой для получателя — например, на почтовом сервере Gmail DKIM-подпись, прошедшая проверку, подсвечивается специальным значком-ключом у адреса отправителя. Письмо, содержащее корректную DKIM-подпись, с большей долей вероятности попадет в папку «Входящие» и не будет отфильтровано как спам. А значит, open rate рассылки скорее всего будет выше, чем без DKIM-подписи.

Постмастер — это сервис статистики рассылок на адреса конкретного почтового провайдера. Он позволяет проводить более глубокую аналитику, учитывающую статистику отправляемости, репутацию отправителя, количество попавших в спам рассылок и т. д. Наиболее востребованные почтовые провайдеры с возможностью подключения функции постмастера — Google, Mail, Outlook, но без DKIM-подписи подключить эту функцию не получится.

DKIM-подпись представляет собой хэш, созданный на основе различных элементов сообщения. Для создания подписи отправитель может использовать имя домена, текст сообщения, тему письма и т. д. То, какие элементы используются, определяется в момент отправки письма и не может быть изменено впоследствии.

Отправитель использует закрытый ключ домена, чтобы зашифровать сообщение и создать хэш, который включается в заголовок письма. Почтовый сервер получателя в свою очередь использует открытый ключ отправителя, размещенный в DNS-зоне сайта отправителя, чтобы провести проверку DKIM записи домена и зашифровать те же элементы сообщения.

Затем полученные хэш-коды сравниваются, и если они совпадают, это означает две вещи: первое, что в процессе отправки письма оно не было изменено; и второе, что адрес, с которого было отправлено письмо, действительно принадлежит отправителю. Если хоть один знак в отправленном сообщении был изменен, хэш-коды не совпадут. Это может быть признаком того, что письмо было перехвачено в ходе кибератаки и его содержание было изменено для фишинговых целей.

Настройка DKIM-подписи — один из самых технически сложных моментов в обеспечении доставляемости почтовых рассылок. Чтобы узнать, как создать DKIM-запись для домена (открытый ключ) и DKIM-подпись для писем (закрытый ключ), рекомендуется обратиться к хостинг-провайдеру, владельцу сервиса рассылок или запросить помощь внутренних IT-специалистов компании. Также можно воспользоваться бесплатными DKIM генераторами, а если домен компании делегирован на серверы Yandex, DKIM-подпись настраивается автоматически.

В дальнейшем пользоваться уже настроенной подписью будет достаточно просто.

Чтобы убедиться, что подпись настроена корректно, и узнать уровень рейтинга своего домена среди почтовых серверов, можно воспользоваться бесплатными онлайн-сервисами проверки — например, MailTester.com. Этот сервис с русскоязычным интерфейсом позволяет не только проверить настройки email-аутентификации, но и составляет полный отчет о доставляемости сообщений. Он оценит общий рейтинг письма и оценит вероятность его попадания в папку «Входящие».

Можно также воспользоваться другими сервисами, просто введя в строку поиска DKIM check online.

UIS предлагает маркетологу инструменты аналитики различных коммуникационных каналов, что позволяет построить сквозную аналитику и проанализировать наиболее эффективные и успешные рекламные кампании, а коллтрекинг позволит включить в анализ все доступные каналы коммуникаций.