Посібник із впровадження DKIM: Типові помилки та як їх уникнути

Domain Keys Identified Mail (DKIM) - це важливий протокол автентифікації електронної пошти, який перевіряє цілісність повідомлення та легітимність відправника. DKIM необхідний для BIMI (Brand Indicators for Message Identification - індикатори бренду для ідентифікації повідомлень), оскільки лише належним чином автентифіковані листи можуть відображати логотип вашого бренду у вхідних. Однак налаштування DKIM схильне до кількох поширених помилок, які можуть підірвати як безпеку, так і ефективність доставки.

• Відсутній або неправильний відкритий ключ у DNS: Якщо публічний ключ DKIM не опубліковано або відформатовано неправильно у вашому DNS, автентифікація не вдасться. Завжди використовуйте генератор записів DKIM і перевіряйте записи DNS на наявність синтаксичних помилок.
• Замала або застаріла довжина ключа: Використання ключів довжиною менше 1024 біт (наприклад, 512 біт) робить ваш DKIM вразливим до атак. Використовуйте принаймні 1024-бітові ключі - рекомендується 4848-бітові - і змінюйте їх кожні 6-12 місяців.
• Проблеми з вирівнюванням: Домен у підписі DKIM (значення d=) повинен збігатися з доменом в адресі "Від". Невідповідність призводить до збоїв автентифікації і може порушити відповідність DMARC.
• Невідповідність селектора: Селектор у вашому DNS-записі повинен збігатися з селектором у заголовку листа. Навіть розбіжність в один символ може призвести до збоїв.
• Неправильне форматування: Записи DKIM в DNS повинні бути єдиним нерозривним рядком. Розриви рядка, нерозділені крапки з комою або відсутні поля (наприклад, v=DKIM1 або k=rsa) зроблять запис недійсним.
• Забули увімкнути підпис DKIM: Опублікувати DNS-запис недостатньо - переконайтеся, що на вашому поштовому сервері або у вашого поштового провайдера увімкнено підпис DKIM.
• Ігнорування субдоменів та сторонніх постачальників: Якщо ви надсилаєте пошту з субдоменів або використовуєте сторонні сервіси, у кожному з них має бути належним чином налаштований DKIM, щоб уникнути прогалин в автентифікації.
• Не моніторинг і не тестування: Регулярно тестуйте налаштування DKIM та відстежуйте звіти DMARC, щоб вчасно виявити проблеми. Після будь-яких змін надсилайте тестові листи та перевіряйте проходження DKIM.

• Використовуйте міцні, регулярно обертаючі клавіші: 1024-2048 біт.
• Перевірте форматування DNS і вирівнювання селекторів: Переконайтеся в правильності синтаксису та відповідності селекторів.
• Вирівняйте DKIM-домени: Домен у підписі DKIM повинен відповідати вашій адресі "Від".
• Тестуйте після кожного оновлення: відстежуйте результати автентифікації за допомогою звітів DMARC.
• Координуйте роботу зі сторонніми відправниками: Переконайтеся, що всі постачальники правильно реалізують DKIM.
• Відкликайте старі або скомпрометовані ключі: Видаліть їх з DNS, щоб запобігти зловживанням.

• Перевірте затримки розповсюдження DNS: Зміни можуть тривати до 48 годин.
• Перегляньте звіти про збої DMARC і DKIM: Шукайте підказки про те, що не працює і чому.
• Переконайтеся, що вміст повідомлення не змінено після підписання: Переконайтеся, що інструменти пересилання або захисту не змінюють повідомлення.
• Зверніться до документації постачальника послуг електронної пошти: Дотримуйтесь інструкцій для конкретної платформи, щоб усунути проблеми з автентифікацією.