IT Blog. Code Inside. Яндекс пдд dkim


DKIM-подпись

С помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя.

Вы можете установить DKIM-подпись для писем, отправляемых с вашего домена: достаточно создать для вашего домена TXT-запись с публичным ключом подписи. Чтобы подписывать письма, которые вы отправляете не через серверы Яндекса, необходима также TXT-запись с секретным ключом. Настраивать её нужно на том сервере, с помощью которого производится отправление писем.

Если вы делегировали домен на Яндекс, DKIM-подпись с публичным ключом будет настроена автоматически. Вы можете просмотреть и отредактировать ее параметры в DNS-редакторе Почты для домена.

Значения публичного и приватного ключей можно получить с помощью API (в интерфейсе Почты для домена доступен только публичный ключ). Управлять TXT-записями обычно можно на странице управления DNS на сайте компании, предоставляющей вам услуги DNS-хостинга.

  1. Получите TXT-запись с публичным ключом в Почте для домена:

    1. Откройте страницу Мои домены. Нажмите ссылку с именем нужного домена. Владение доменом должно быть подтверждено.

    2. В правой колонке страницы найдите раздел Цифровая подпись DKIM и нажмите ссылку Показать содержимое записи. Этого раздела может не быть, если DKIM-подпись уже была настроена ранее. В этом случае публичный ключ можно увидеть в значении записи в DNS-редакторе.

      Запись состоит из трех частей:
      • Имя записи («mail._domainkey»). В некоторых панелях управления нужно указывать полное имя поддомена, например, «mail._domainkey.yourdomain.tld».

      • Параметры DKIM:

        v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteh5EBqJlKpe...

        Параметр p содержит публичный ключ DKIM.

      • Указание на домен («DKIM key mail for yourdomain.tld»).

  2. Скопируйте содержимое записи.

  3. Откройте страницу редактирования DNS в панели управления на сайте компании, предоставляющей вам услуги DNS-хостинга.

  4. Создайте TXT-запись со следующими значениями полей:

    • Имя — «mail._domainkey». В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, «mail._domainkey.yourdomain.tld».

    • Значение — параметры DKIM с публичным ключом, полученные в Почте для домена.

      Например, «v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteh5EBqJlKpe...».

    Чтобы подписывать письма, отправляемые с серверов, не принадлежащих Яндексу, нужно также получить приватный ключ (в рамках нашего сервиса это можно сделать только с помощью API Почты для домена). Полученный ключ нужно указать на том сервере, с помощью которого производится отправление писем.

  5. Подождите, пока изменения в DNS вступят в силу. Этот процесс может длиться до 72 часов.

yandex.ru

DKIM-подпись

С помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя.

Вы можете установить DKIM-подпись для писем, отправляемых с вашего домена: достаточно создать для вашего домена TXT-запись с публичным ключом подписи. Чтобы подписывать письма, которые вы отправляете не через серверы Яндекса, необходима также TXT-запись с секретным ключом. Настраивать её нужно на том сервере, с помощью которого производится отправление писем.

Если вы делегировали домен на Яндекс, DKIM-подпись с публичным ключом будет настроена автоматически. Вы можете просмотреть и отредактировать ее параметры в DNS-редакторе Почты для домена.

Значения публичного и приватного ключей можно получить с помощью API (в интерфейсе доступен только публичный ключ). Управлять TXT-записями обычно можно на странице управления DNS на сайте компании, предоставляющей вам услуги DNS-хостинга.

  1. Получите TXT-запись с публичным ключом в Почте для домена:

    1. Откройте страницу Мои домены. Нажмите ссылку с именем нужного домена. Владение доменом должно быть подтверждено.

    2. В правой колонке страницы найдите раздел Цифровая подпись DKIM и нажмите ссылку Показать содержимое записи. Этого раздела может не быть, если DKIM-подпись уже была настроена ранее. В этом случае публичный ключ можно увидеть в значении записи в DNS-редакторе.

      Запись состоит из трех частей:
      • Имя записи («mail._domainkey»). В некоторых панелях управления нужно указывать полное имя поддомена, например, «mail._domainkey.yourdomain.tld».

      • Параметры DKIM:

        v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteh5EBqJlKpe...

        Параметр p содержит публичный ключ DKIM.

      • Указание на домен («DKIM key mail for yourdomain.tld»).

  2. Скопируйте содержимое записи.

  3. Откройте страницу редактирования DNS в панели управления на сайте компании, предоставляющей вам услуги DNS-хостинга.

  4. Создайте TXT-запись со следующими значениями полей:

    • Имя — «mail._domainkey». В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, «mail._domainkey.yourdomain.tld».

    • Значение — параметры DKIM с публичным ключом, полученные в Почте для домена.

      Например, «v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSEBtaCOteh5EBqJlKpe...».

    Чтобы подписывать письма, отправляемые с серверов, не принадлежащих Яндексу, нужно также получить приватный ключ (в рамках нашего сервиса это можно сделать только с помощью API Почты для домена). Полученный ключ нужно указать на том сервере, с помощью которого производится отправление писем.

  5. Подождите, пока изменения в DNS вступят в силу. Этот процесс может длиться до 72 часов.

yandex.ua

DKIM-подпись

С помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя.

Вы можете установить DKIM-подпись для писем, отправляемых с вашего домена: достаточно создать для вашего домена TXT-запись с публичным ключом подписи. Чтобы подписывать письма, которые вы отправляете не через серверы Яндекса, необходима также TXT-запись с секретным ключом. Настраивать её нужно на том сервере, с помощью которого производится отправление писем.

Если вы делегировали домен на Яндекс, DKIM-подпись с публичным ключом будет настроена автоматически. Вы можете просмотреть и отредактировать ее параметры в DNS-редакторе Коннекта.

  1. Получите TXT-запись с публичным ключом в настройках Почты:

    1. Откройте страницу администрирования Почты.

    2. Перейдите в раздел Почта, затем выберите пункт DKIM-подпись.

    3. Нажмите на имя нужного домена (чтобы домен был виден в этом списке, он должен быть подтвержден). В правой колонке будет показано значение DNS-записи для публичного ключа DKIM, а также секретный ключ.

      С помощью секретного ключа вы можете подписывать письма, которые вы отправляете с серверов, не принадлежащих Яндексу.

  2. Скопируйте содержимое поля Публичный ключ.

  3. Откройте панель управления на сайте компании, предоставляющей вам услуги DNS-хостинга.

  4. Создайте TXT-запись со следующими значениями полей:

    • Имя — «mail._domainkey». В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, «mail._domainkey.yourdomain.tld».

    • Значение — блок текста «Публичный ключ», ранее скопированный из настроек Коннекта .

  5. Подождите, пока изменения в DNS вступят в силу. Этот процесс может занять до 72 часов.

yandex.ru

DKIM в Яндекс.Почте для доменов — как развивается безопасность электронной почты

Недавно и в Яндекс.Почте для доменов у писем появилась цифровая подпись DKIM — DomainKeys Identified Mail.

DKIM — это технология, которая удостоверяет подлинность отправителя письма с помощью добавления цифровой подписи, связанной с именем домена. По статистике Яндекс.Спамообороны, в настоящее время уже половина приходящих на сервера Яндекс.Почты писем содержат верную цифровую подпись. И постепенно их становится всё больше — два года назад такие письма составляли 35% ото всех.

В Яндекс.Почте цифровая подпись служит для борьбы со спамом и фишингом. До появления DKIM одним из факторов, с помощью которых Спамооборона понимала нежелательность письма, была верификация отправителя при помощи SPF — Sender Policy Framefork, над которым за время его существования успело поработать множество рабочих групп, включая рабочую группу MARID в IETF.

Для того чтобы определить подлинность письма, DKIM весьма элегантно использует современные криптографические достижения. Под катом — о том, как реализована DKIM в Почте для доменов, какие недостатки есть у SPF и почему, несмотря на них, мы продолжим использовать обе технологии. Для формирования и проверки подписи DKIM используется классическая асимметричная криптографическая схема проверки электронной цифровой подписи.

Закрытая часть доменного ключа размещается на сервере и применяется для формирования цифровой подписи. В неё при этом может включаться не только само тело письма, но и некоторые заголовки. Сама подпись также добавляется к письму в виде заголовка.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1369929893; bh=1W1A4HZDXIEhbsNkODdvI9WBtkyimVpsrgS/eXcB4yo=; h=From:To:Subject:Date; b=JjGcbyC2qfrh5Fs8IsyvOOoxHt7hc5GYdESJ7RCoiBo899c/pvSXu2sCA30HvHGi/ x4v06f8bq6vOxDptBQ+8xZkbWoZbQ1EQOH0Q5Ntl9QnwFVUY9E18ZxG2xlTEFqbhNm aJcsWkHPWIIg+vfHfwmJMFsaSwuEeioBvDUPTbeg=

Открытая часть ключа загружается в виде TXT-записи в DNS-зону домена и служит для проверки сгенерированной подписи. Её результат может использоваться, когда примается решение о дальнейшей судьбе письма: невалидная подпись говорит о том, что оно либо было отправлено с другого домена, либо было изменено в процессе пересылки. В любом случае это тревожный знак.

Валидная подпись позволяет гарантировать соответствие домена-отправителя и домена, указанного в письме, и, таким образом, формировать репутацию доменов в интернете. В общем случае включение DKIM на домене позволяет улучшить «доставляемость» писем.

Мы постарались сделать так, чтобы включение DKIM происходило с минимальным участием администратора. Для доменов, делегированных на Яндекс, DKIM включается автоматически. Для всех остальных достаточно добавить соответствующую TXT запись с открытым ключом в DNS зону.

На стороне Яндекс.Почты при подтверждении нового домена для него сразу же создается пара ключей, необходимых для формирования DKIM подписи. Если домен делегирован на DNS сервера Яндекса, то в зоне автоматически создается TXT-запись, содержащая открытый ключ. Если домен делегирован на другие сервера, в интерфейсе его администратора отображается подсказка с текстом записи, которую необходимо добавить в зону домена.

При очередной проверке статуса домена, которые происходят каждый час, сервера ПДД получают информацию о наличии в зоне записи о DKIM, либо о том, что существовавшая запись из зоны пропала. Список этих изменений распространяется на кластер отправки писем вместе с закрытыми ключами. После распространения новые домены начинают подписываться DKIM подписью так же, как это происходит со всеми письмами Яндекс.Почты.

Большинство современных систем антиспама срабатывают по репутационным критериям и критериям массовости. Например, сервис Яндекса Спамооборона-1024 (бесплатное решение для фильтрации корпоративной почты от спама), который прекращает свою работу с 1 сентября этого года, использует такие критерии. Довольно удобно иметь гарантию того, что письмо было отправлено именно с указанного домена.

В технологии SPF проверка подлинности осуществляется также при помощи внесения специальной записи в DNS-зону администратором домена, но не требует проставления специальных заголовков в самом письме. Если в домене присутствует SPF-запись, принимающий сервер может сделать вывод о соответствии адреса источника письма списку хостов, для которых разрешена отправка почты для этого домена.

Этот механизм имеет один большой недостаток: в случае пересылки (Forward) письма с сервера на сервер проверка SPF на принимающей стороне завершится неудачно. Кроме того, SPF не позволяет однозначно сказать, было ли письмо отправлено с указанного в нем домена. DKIM решает эту проблему, добавляя криптографическую подпись на тело письма и заголовки.

Тем не менее, возможны ситуации, когда часть хороших писем от домена приходит вовсе без подписи, то есть, ориентироваться только на DKIM не получится, равно как и выстраивать репутацию для таких доменов.

В будущем, вероятно, помимо SPF и DKIM более широкое распространение получит сравнительно новая технология DMARC — Domain-based Message Authentication, Reporting & Conformance, которая объединяет в себе не только средства проверки происхождения письма, но и средства обмена информацией о спаме между почтовыми системами. Яндекс.Почта уже более года использует DMARC в качестве дополнительной защиты ящиков от спама и фишинга.

habrahabr.ru

IT Blog. Code Inside » Корректная настройка почты для домена под управлением Google и Яндекс

Как почтовые серверы воспринимают письма с ваших ящиков? Не попадают ли отправленные письма в спам? Проверить это можно с помощью  специальных сервисов, например Mail-Tester. Общая суть проверки следующая:

  • Вы получаете одноразовый почтовый адрес
  • отправляете на этот адрес письмо со своего домена
  • через примерно 10 секунд  сервис проводит анализ полученного письма, настроек почты и т. д. и выдает оценку.

Если Ваша оценка мельше 7 из 10 - это очень плохо. Возможно ваши письма  попадают в спам и не достигают получателей. Почтовый сервис i.ua, например, даже не показывает адресату, что было получено подозрительное письмо, блокируя его где-то на подходе.

Если проблемы возникли на этапе проверки подлинности - попробуем это исправить, добавив пару записей типа TXT в DNS домена.

Статья применима к двум популярным провайдерам почты: Google Apps и Яндекс почта для домена.

1. Настройка SPF

Структура политики отправителя (Sender Policy Framework - SPF)  - это система проверки электронной почты предназначенная для блокировки спама, путем обнаружения подмены и общей уязвимости электронной почты, путем проверки IP-адреса отправителя.

Настройка SPF в редакторе DNS зон:

  • в поле Host Record впишите @ либо ваш домен с точкой в конце
  • TTL оставьте по умолчанию либо впишите 14400
  • Type обязательно должен быть TXT
  • TXT Value выберите из приведенных ниже согласно вашему провайдеру почты.

Корректный SPF для Google Apps  (Google for Work)

v=spf1 a mx include:_spf.google.com ~all

v=spf1 a mx include:_spf.google.com ~all

Корректный SPF для Яндекс  ПДД (Почта для домена)

v=spf1 redirect=_spf.yandex.net

v=spf1 redirect=_spf.yandex.net

2. Подпись исходящих писем цифровым ключом DKIM

DomainKeys Identified Mail (DKIM) представляет собой метод создания соответствия доменного имени в сообщении электронной почты, что позволяет человеку, роли или организации требовать определенную ответственность за это сообщение.

Генерация DKIM для Google Apps  (Google for Work)

1. Зайдите в консоль Администратора Google Apps

2. Перейдите в раздел Google Apps (Приложения) > Gmail  и выберите раздел  "Authenticate email"

      

3. В открывшейся справа панели выберите нужный домен и нажмите Generate key. Предложенный префикс "google" оставьте без изменения.

4. Сгенерированные данные скопируйте в настройки DNS своего домена (изменяйте их на том сервере, чьи NS-сервера вы используете, у регистратора либо у хостера) в новое поле типа TXT.

  • в поле Host Record впишите google._domainkey
  • TTL оставьте по умолчанию либо впишите 14400
  • Type обязательно должен быть TXT
  • В TXT Value впишите всю сгенерированную запись от v=DKIM1 и до конца

5. Вернитесь в настройки Google Apps, где вы получали ключ, и нажмите "Authenticate". Применение DNS записей может происходить до 48 часов, но обычно происходит в течение нескольких минут.

Генерация DKIM для Яндекс  ПДД (Почта для домена)

1. Перейдите к списку ваших доменов

2. Выберите нужный домен и перейдите на его страницу настроек

 

3. В правой колонке со списком опций нажмите на "Показать содержимое записи" в разделе "Цифровая подпись DKIM"

В редакторе DNS зон:

  • в поле Host Record впишите mail._domainkey
  • TTL оставьте по умолчанию либо впишите 14400
  • Type обязательно должен быть TXT
  • TXT Value вставьте ключ, сгенерированный для вас Яндексом.

Через некоторое время Яндекс автоматически проверит, что вы добавили ключ в настройки, и скроет этот блок из настроек.

Проверить, что настройки DKIM корректно применились, можно здесь.

Другие интересные статьи:

| Web | Опубликовано: 22.01.2015 00:20 | 1

code-inside.com


Смотрите также