Как правильно сделать DKIM-запись для домена

2. Внедрите SPF для основного домена и его поддоменов

• Не забывайте, что SPF проверяется для домена из адреса envelope-from (он же MAIL FROM и Return-Path). Для того чтобы SPF можно было использовать для аутентификации отправителя сообщения, домен в envelope-from должен совпадать с доменом заголовка From с точностью до организационного домена (т. е. до домена второго уровня в .ru или .com). Использование неправильных адресов для envelope-from — одна из самых частых ошибок конфигурации сервера, CMS и серверных скриптов.
• В SMTP некоторые категории писем (NDR, DSN) имеют пустой адрес envelope-from. Для таких писем аутентификация производится по домену, который SMTP-сервер отправителя использует в команде HELO/EHLO и который, как правило, совпадает с каноническим именем сервера. Некорректные имена в команде HELO — это еще одна распространенная проблема. Убедитесь, что доменное имя в HELO правильное, и пропишите для него соответствующую SPF политику например, . В сообщениях о невозможности доставки в адресе отправителя можно либо вообще не указывать домен (например ) или использовать домен, совпадающий с доменом HELO с точностью до домена организации (обычно это домен второго уровня, например ).
• Не забывайте, что SPF не действует на поддомены. Необходимо внедрять его для каждого поддомена или прибегать к wildcards DNS.
• SPF имеет ограничение на 10 разрешений имен для одной записи. Поэтому следует минимизировать использование элементов, приводящих к дополнительным разрешениям, таких как и . Например, для элемента требуется один дополнительный запрос на получение самой MX-записи и по одному запросу на каждый сервер в MX-записи для получения его IP-адреса по имени.

Ресурсные записи

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Проще говоря, ресурсные записи связывают имя и служебную информацию о сервере, на который указывает это имя. Например, вы вводите адрес сайта в браузере – и именно DNS-запись позволит вашему провайдеру отправить запрос на сервер с нужным вам сайтом, чтобы затем отобразить его на экране вашего компьютера.

Небольшая справка. DNS (Domain Name System) — это система доменных имен. Она используется для получения информации о доменах, в частности IP-адреса. Более подробно об этом можно прочитать в статье «Введение в терминологию, элементы и понятия DNS

Ресурсные записи не ограничиваются только соответствием «домен — IP-адрес». Существует несколько десятков типов ресурсных записей. Каждый тип необходим для работы определенной службы.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Что значит DKIM – подпись?

Упрощая сложное определение в Википедии, DKIM (DomainKeys Identified Mail) – это стандарт защиты электронной почты. Его основная цель — уберечь содержимое сообщения при передаче между почтовыми серверами.

Внешне DKIM подпись выглядит так:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=20130519032151.pm; d=example.com;h=From:Date:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:To:Message-ID;[email protected]; bh=vYFvy46eesUDGJ45hyBTH30JfN4=;b=iHeFQ+7rCiSQs3DPjR2eUSZSv4i/Kp+sipURfVH7BGf+SxcwOkX7X8R1RVObMQsFcbIxnrq7Ba2QCf0YZlL9iqJf32V

В этом рандомном (на первый взгляд) наборе цифр, букв и математических знаков скрыт тайный смысл, который разшифровывается следующим образом

DKIM – это паспорт отправляющего домена. Без него рассылки возможны, но защиту их никто не гарантирует.

15. Заблуждение: spf1 хорошо, spf2.0 — лучше

На самом деле: надо использовать .

Объяснение: spf2.0 не существует. Публикация записи spf2.0 может приводить к непредсказуемым результатам. spf2.0 никогда не существовал и не был стандартом, но отсылка на него есть в серии экспериментальных стандартов, самым известным из которых является RFC 4406 (Sender ID). Эта серия стандартов разрабатывалась независимой рабочей группой, параллельно с принятием стандарта spf, что и внесло путаницу. Sender ID, который должен был решить проблему подмены адресов, не стал общепринятым стандартом и от него следует отказаться в пользу DMARC. Даже в том случае, если вы решаете использовать Sender ID и опубликовать spf2.0 запись, она не заменит записи spf1.

Я практически закончил писать эту статью, когда меня перехватила служба поддержки пользователей и настоятельно (с угрозой применения грубой силы) рекомендовала напомнить о следующих нюансах SPF, с которыми им чаще всего приходится сталкиваться при разрешении проблем:

1. SPF-политика должна заканчиваться директивой или . После этих директив ничего идти не должно.
2. Директивы или могут встретиться в политике ровно один раз, они заменяют друг друга (то есть в одной политике не может быть и одновременно).
3. Директива не заменяет директивы или . может встретиться в политике несколько раз, при этом политику всё равно следует завершать директивами или . Политика, включаемая через или , также должна быть валидной политикой, оканчивающейся на директиву или . При этом для безразлично, какое правило (, , ) используется для во включаемой политике, а для разница есть.
4. Директива используется с двоеточием (), директива — со знаком равенства ().
5. SPF не распространяется на поддомены. SPF. Не. Распространяется. На. Поддомены. SPF НЕ РАСПРОСТРАНЯЕТСЯ НА ПОДДОМЕНЫ. (а DMARC, по умолчанию, распространяется). Надо публиковать SPF для каждой записи A или MX в DNS, по которой производится (или может производиться) доставка почты.

5. Заблуждение: письма, не прошедшие авторизацию SPF, отсеиваются

На самом деле: SPF-авторизация или ее отсутствие в общем случае не влияет кардинально на доставку писем.

Объяснение: стандарт SPF является только стандартом авторизации и в явном виде указывает, что действия, применяемые к письмам, не прошедшим авторизацию, находятся за пределами стандарта и определяются локальной политикой получателя. Отказ в получении таких писем приводит к проблемам с письмами, идущими через непрямые маршруты доставки, например, перенаправления или списки рассылки, и этот факт должен учитываться в локальной политике. На практике, строгий отказ из-за сбоя SPF-авторизации не рекомендуется к использованию и возможен только при публикации доменом политики (hardfail) в отсутствии других средств фильтрации. В большинстве случаев, SPF-авторизация используется как один из признаков в классификаторах или как один из факторов в весовых системах. Причем вес этого фактора очень небольшой, потому что нарушение SPF-авторизации обычно не является сколь-либо достоверным признаком спама — многие спам-письма проходят SPF-авторизацию, а вполне легальные — нет, и вряд ли эта ситуация когда-нибудь кардинально изменится. При таком использовании, разницы между и нет.

Факт наличия SPF-авторизации важен не столько для доставки письма и принятия решения о том, является ли оно спамом, сколько для подтверждения адреса отправителя и связи с доменом, что позволяет для письма использовать не репутацию IP, а репутацию домена.

На принятие решения о действии над письмом, не прошедшим авторизацию, гораздо больше влияет политика DMARC. Политика DMARC позволяет отбросить (или поместить в карантин) все письма, не прошедшие авторизацию или их процент.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» — этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам — это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме — у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

DKIM

Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье «Настройка DNS-записей

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

3. Опубликуйте DMARC-запись с политикой none для основного домена и поддоменов

• Мы не советуем публиковать политику даже с тегом до того, как для основных потоков писем будет внедрен хотя бы один из механизмов аутентификации SPF или DKIM.
• Запись должна начинаться именно с v=DMARC1, и регистр букв имеет значение.
• Некоторые клиенты DNS показывают обратные слеши перед точками с запятой — но в записях DNS-зоны обратный слеш добавлять, как правило, не требуется.
• Адреса rua/ruf должны принадлежать тому же организационному домену, для которого публикуется политика, либо принимающий домен должен опубликовать специальную политику, показывающую согласие на прием репортов. Не получится принимать репорты на адреса, например, публичных почт.
• Если вы еще не закончили внедрение DKIM, то вы будете получать достаточно много нарушений DMARC с IP-адресов публичных почт (Mail.Ru, Gmail, Hotmail/Outlook, Yahoo и т. п.). Это связано с тем, что пользователи данных сервисов часто используют перенаправления в другие ящики, и это приводит к нарушению аутентификации SPF. Устраняется проблема внедрением подписи DKIM.
• Есть неплохие инструменты для визуализации отчетов DMARC. Dmarcian предоставляет платные и бесплатные (для небольших объемов почты) сервисы, и удобный удобный бесплатный инструмент XML-To-Human Converter для просмотра DMARC-отчетов. Agari и proofpoint также предлагают коммерческие сервисы для внедрения и поддержки DMARC.

Что такое SPF?

SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена

Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же)

Для поддоменов нужны свои записи.

Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.

Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:

• «+» – пропустить. Используется, чтобы добавить адрес(а).
• «?» – результат не определен. Примерно то же самое, что полное отсутствие записи.
• «~» – мягкий отказ. Что-то среднее между неопределенностью и отказом. Такие письма обычно принимаются, но скорее всего попадут в папку «Спам».
• «–» – твердый отказ. Такие письма не будут приниматься вообще.

Наиболее используемые механизмы:

• «a» – позволяет добавить (удалить) в список адреса из всех записей типа А для домена. Такая запись необходима, если письма отправляются напрямую с хостинга или сервера, привязанного к домену.
• «mx» – позволяет добавить (удалить) в список адреса из всех записей типа MX для домена. Такая запись необходима, если письма отправляются с личных почтовых серверов, принадлежащих домену.
• «include:example.com» – позволяет добавить (удалить) в список адреса, прописанные для другого домена.
• «ip4» или «ip6» – такая запись позволит напрямую добавить (удалить) IP-адрес(а) сервера, имеющего разрешение отправлять письма. Число, соответственно, обозначает 4 или 6 версию протокола.
• «all» – все случаи. Обычно используется после внесения всех положительных правил для отсечения остальных случаев.

А также часто используемый модификатор:»redirect=example.com» – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.

Например, запись: «v=spf1 +a -mx ?include:example.com ~all» даст следующий результат:1) «+а» – добавить в список все ip-адреса из записей A на домене;2) «- mx» – исключить из списка все ip-адреса из записей MX на домене;3) «?include:example.com» – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;4) «~all» –  всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).

Проверить SPF можно .

Что такое DKIM?

DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

• «v» – версия протокола, всегда устанавливается как DKIM1.
• «k» – тип ключа, всегда указывается как rsa.
• «p» – сам открытый ключ.

Пример записи домена mailigen.com:«v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

UZnYHiNV8rWYvfH/qaOzwD9q8jivC7zk4GJuXh9cECd3MAb3sw+Qet10E5RkeLzDw+

0zKecYQWKCXWSGKOeHDfyP9VqrlL2Bi1KieM8Q0KsFFwC5eoZqil/PwDhGlkFcNYae3TrWwIDAQAB»

Проверить DKIM можно .

Настройка DKIM (DomainKeys Identified Mail).

Настройка DKIM несколько сложнее, чем настройка SPF. Для работы этого механизма необходимо следующее:

– Почтовый сервер должен уметь подписывать письма
– Должны быть созданы приватный и публичный ключи
– Должны присутствовать записи в DNS, указывающие на наличие поддержки DKIM

Генерация ключей.

Ключи можно сгенерировать при помощи OpenSSL. Генерация приватного ключа:

После генерации приватного ключа необходимо изменить права доступа к нему:

Генерация публичного ключа:

Ключи готовы. Их можно разместить в директории, где хранятся другие ключи. Для Debian’а это директория /etc/ssl/private. Сгенерировать их можно также при помощи программы opendkim-genkey, входящую в пакет opendkim-tools. Теперь надо добавить записи в DNS. Записей будет две.

То, что идет после «p=» – это ключ, содержащийся в файле dkimpublic.key, он записывается в одну строчку. А запись «_adsp._domainkey.domain.ru» определяет, должны ли подписываться письма. Возможные варианты:
«dkim=all» – все письма должны подписываться
«dkim=discardable» – неподписанные письма не должны приниматься
«dkim=unknown» – то же самое, что и отсутствие такой записи.
После создания записей изменяем serial и перезагружаем настройки bind’а, если у вас установлен он. И теперь осталось последнее – настроить почтовый сервер. В качестве почтового сервера возьмем Postfix.

4. Внедрите DKIM

• Убедитесь, что генерируемые серверами письма соответствуют рекомендациям по структуре, кодировкам и количеству заголовков, иначе возможна ситуация, что при передаче почтовым релеем письмо будет изменено для приведения его в соответствие со стандартами (чаще всего происходит разбивка длинных строк), отчего нарушится DKIM-сигнатура.
• Используйте ключ длиной 1024 или 2048 бит.
• Убедитесь что ваш DNS-сервер поддерживает разрешение больших записей. Обычно для этого помимо доступа к серверу по порту UDP/53 необходимо дополнительно разрешить доступ по TCP/53. Убедитесь что TXT-запись с ключом DKIM корректно разрешается из внешних сетей.
• Используйте режим канонизации relaxed/relaxed, он реже приводит к проблемам, связанным с нормализацией письма при передаче.
• Не подписывайте заголовки, которые меняются при доставке письма (такие как Received: и Return-Path:), убедитесь, что обязательные заголовки (Date:, Message-ID:, From:) формируются до наложения DKIM-подписи
• Внедрите DKIM на всех источниках писем для всех поддоменов.
• Используйте отдельные селекторы с отдельными ключами для внешних источников (провайдеров услуг по рассылке почты), чтобы была возможность отозвать ключ при необходимости.
• Для DMARC необходимо, чтобы домен, используемый в DKIM-подписи, совпадал с точностью до организационного домена с доменом из заголовка From. При этом могут присутствовать и другие DKIM-подписи, но они будут игнорироваться.
• Контролируйте внедрение DKIM по статистическим отчетам от внешних сервисов.
• Используйте в политике DMARC, это позволит получать forensic-репорты по всем проблемам с SPF и DKIM, даже для писем, проходящих авторизацию DMARC.

Практика и еще раз практика

В практической части мы рассмотрим конфигурирование описанных выше настроек безопасности на примере двух наиболее популярных почтовых серверов — опенсорсного Postfix на Debian (ну, или Ubuntu Server) и проприетарного Microsoft Exchange Server 2013+. Предполагается, что почтовые серверы у тебя уже установлены и настроены под твой домен, поэтому рассматривать будем только само конфигурирование фич на обезличенных данных.

Настраиваем SPF, DKIM и DMARC на Postfix (Debian)

Общий принцип работы нашего почтового сервера будет таков:

1. Принимающий сервер получает письмо с адреса [email protected], отправленное с сервера mx.example.com.
2. Сервер получателя делает запрос к DNS для домена example.com и ищет записи SPF и DKIM.
3. В случае если записей нет, письму проставляется статус neutral (конкретно по этим проверкам) и письмо проверяется дополнительными фильтрами.
4. В случае если записи обнаружены, проверяется, разрешено ли серверу mx.example.com отправлять почту домена example.com.
5. Если домен mx.example.com не найден в списке разрешенных, то или письмо отбрасывается, или ему устанавливается статус neutral.
6. Если домен mx.example.com таки найден в списке разрешенных, письму устанавливается статус Pass и повышается его рейтинг при прохождении других фильтров.

Ну что, погнали!

WARNING

Перед любыми операциями по конфигурированию системы не забывай сделать бэкап! Даже одна неправильно включенная опция может отрезать всех пользователей от получения и отправки почтовой корреспонденции. И обязательно тестируй все изменения перед переносом в их продакшен!

Настройка SPF-записи

Если ты отправляешь все сообщения только с одного сервера (почтовые клиенты не считаются), то в SPF-записи будет достаточно указать IP-адрес этого сервера:

Описание опций:

• — используемая версия SPF;
• — принимать корреспонденцию (Pass). Этот параметр установлен по умолчанию. То есть, если никаких параметров не установлено, это автоматически ;
• — отклонить (Fail);
• — отклонение (SoftFail). Письмо будет принято, но будет помечено как спам;
• — нейтральное отношение, то есть никаких действий не предпринимать;
• — включает в себя все адреса серверов, указанные в MX-записях домена;
• — опция позволяет указать конкретный IP-адрес или подсеть IP-адресов;
• — указываем поведение в случае получения письма от конкретного домена;
• — включает в себя хосты, разрешенные SPF-записью указанного домена;
• — все остальные серверы, не перечисленные в SPF-записи.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Настройка поддержки DKIM почтовым сервером Postfix.

Последняя и, пожалуй, самая важная часть – включение подписи писем почтовым сервером. Самое первое, что нужно сделать на этом этапе, – это установить opendkim:

Теперь необходимо настроить этот сервис. Первым делом поменяем файл /etc/default/opendkim. Впишем туда следующую строчку:

Теперь наш сервер будет запускаться на порту 10024 на loopback-интерфейсе. Следующий файл, который необходимо изменить, – это /etc/opendkim.conf.

Раскомментируем строчку со словом Domain, вписываем название нашего домена:

Теперь указываем файл с приватным ключом:

После этого указываем селектор, который мы использовали для сгенерированного ранее публичного ключа, указывая его в записи DNS. В нашем случае это «mail»:

Дописываем строчку:

Теперь можно рестартовать opendkim:

И последний шаг – настройка непосредственно Postfix’а. Изменяем файл /etc/postfix/main.cf. Добавим туда следующие строчки:

Теперь перезапускаем postfix и отправляем письмо. После получения смотрим заголовки письма. В них должен присутствовать следующий заголовок:

Если вы видите строчки «spf=pass» и «dkim=pass», значит вы все сделали правильно и ваш почтовый сервер теперь будет значительно лучше восприниматься другими почтовыми серверами, с чем я вас и поздравляю

10 комментариев

Gentleman
19.08.2018 23:43

@microintervals, основатель

Блин, «связанных с почтовыми отправлениями» звучит как-то по медицински :))
Можно было бы написать просто, связанных с отправкой почты. Не сердитесь, я любя :))

Gentleman
19.08.2018 23:58

@microintervals, основатель

А вообще, статья отличная. Я, лично для себя, узнал много нового и юзабельного. Мерси, Кристина)

Кристина Лихова
29.08.2018 13:47

ООО «ТаймВэб», модератор Community

Добрый день!
Спасибо за Ваш комментарий, приятно, что статья оказалась полезной.

Gentleman
20.08.2018 00:11

@microintervals, основатель

А есть разница между phpmail() и mail()? Я использую mail() и письмо в спам попадает однозначно)) Поможете разобраться?

Gentleman
20.08.2018 00:57

@microintervals, основатель

Я разобрался сам В любом случае, эта статья послужила отправной точкой, чтобы мои письма не попадали в мерзкий спам))

Gentleman
20.08.2018 01:28

@microintervals, основатель

А что значит «Подтверждённый домен *****.timeweb.ru не соответствует отправителю»? Жёлтенький перечёркнутый замочек)) а нужен нормальный зелёненький))

Кристина Лихова
29.08.2018 13:51

ООО «ТаймВэб», модератор Community

Уточните, пожалуйста, о чем именно идет речь? Что конкретно Вы настраиваете?

Кристина Лихова
29.08.2018 13:50

ООО «ТаймВэб», модератор Community

Спасибо за вопрос, уточнили у наших специалистов.
mail() — это базовая функция PHP, которая отправляет почту. Функции phpmail() в PHP не существует — вероятно, это какая-то кастомная функция Вашей CMS, которая в итоге все равно обращается к mail().

Константин
05.09.2018 22:37

Тут видимо в тексте самой статьи опечатка: «Обязательно проверьте SPF-запись, если почтовые службы отправляют письма, отправленные с помощью phpmail(), в спам.»
Наверно должно быть «отправленные с помощью PHP mail()»

Кристина Лихова
10.09.2018 12:29

ООО «ТаймВэб», модератор Community

Константин, добрый день.
Опечатку исправили, спасибо за Вашу внимательность и комментарий!

Зачем нужна DKIM подпись?

DKIM защищает от интернет-преступлений

На уровне почтового сервера заменить адрес отправителя – проще пареной репы. Этим часто промышляют мошенники. Выдав себя за компанию с хорошей репутацией, они прикарманивают личные данные и деньги пользователей. Этот процесс называется фишингом, и считается популярным видом интернет-преступления.

DKIM – это часть защитного механизма. Он работает вместе с SPF (позволяет проверить оригинальность домена-отправителя) и DMARC (задает алгоритм проверки входящей почты). Настройка этих параметров – необязательна, рассылка без них будет идти своим чередом. Но никто не гарантирует, что получатели писем вместо предложения не получат вирус. И письмо будет подписано вашим именем. И данные будут в сохранности. В общем, вы поняли — мы за безопасность клиентов и DKIM-подписи.

DKIM улучшает репутацию домена

По подписи сервер-получатель определяет не только подлинность, но и его общий рейтинг отправителя. Если подписи нет – кредит лояльности к домену уменьшается, как и вероятность доставки сообщения.