Проблема DKIM-селектора, на которой все спотыкаются#

Вы только что настроили email-аутентификацию для домена. SPF — настроили (просто). DMARC — настроили (заняло час, но получилось). Теперь нужно добавить DKIM.

Email-провайдер говорит: «Добавьте DKIM-записи для селектора [что-то]». Но не говорит явно, какой это селектор. Вам надо:

Копать их документацию (которой может не быть)
Проверять админ-панель (где может не быть видно)
Гуглить «What is my DKIM selector?»
Перебирать частые: default, google, selector1, s1, k1, mandrill...
Проверять DNS на каждый: default._domainkey.yourdomain.com, google._domainkey.yourdomain.com и т. д.
Надеяться угадать прежде, чем сдадитесь

У некоторых на это уходит 3–8 часов. Другие так и не разбираются — и DKIM остаётся ненастроенным.

Три часа на поиск одной DNS-записи. Это не должно быть так сложно.

Этот гайд объясняет, что такое DKIM-селекторы, почему email-провайдеры делают это запутанным и как современные инструменты вроде DKIM-сканера Nova Uptime находят ваши записи за секунды.

Что такое DKIM-селектор и зачем он нужен?#

DKIM-селекторы простыми словами#

DKIM-селектор — метка, идентифицирующая, какой подписывающий DKIM-ключ использовать.

Представьте: у домена может быть несколько email-сервисов, у каждого свой подписывающий ключ. DKIM-селекторы позволяют иметь несколько ключей одновременно:

default._domainkey.yourdomain.com  → Ключ A (ваш почтовый сервер)
google._domainkey.yourdomain.com   → Ключ B (Google Workspace)
sendgrid._domainkey.yourdomain.com → Ключ C (SendGrid)
mailgun._domainkey.yourdomain.com  → Ключ D (Mailgun)

Каждый сервис подписывает письма своим закрытым ключом. Принимающие серверы проверяют каждую подпись по соответствующему открытому ключу в DNS.

Зачем несколько селекторов?

Допустим, мигрируете с SendGrid на Mailgun. Если сразу удалить DKIM-селектор SendGrid, письма «в пути», подписанные ключом SendGrid, не пройдут проверку. Держа оба селектора активными во время миграции, и старые, и новые письма аутентифицируются корректно.

Как работают DKIM-селекторы: полный поток#

Email-провайдер генерирует пару ключей:
- Закрытый ключ (хранится у них на сервере)
- Открытый ключ (вы публикуете в DNS)
Они говорят имя селектора (надеемся, ясно — часто нет)
Вы публикуете открытый ключ в DNS по адресу selector._domainkey.yourdomain.com
Когда отправляете письмо:
- Сервер провайдера подписывает письмо закрытым ключом
- Подпись добавляется в заголовки: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=yourdomain.com; bh=...
- Письмо отправляется
Когда принимающий сервер получает письмо:
- Извлекает селектор из заголовка подписи: s=google
- Запрашивает открытый ключ: google._domainkey.yourdomain.com
- Проверяет подпись этим открытым ключом
- Если подпись валидна — DKIM проходит

Критичная деталь: Селектор в заголовке письма (s=google) ДОЛЖЕН совпадать с селектором в DNS (google._domainkey.yourdomain.com). Даже отличие в один символ ломает аутентификацию.

Почему email-провайдеры делают это таким запутанным#

Казалось бы, провайдеры должны чётко сказать: «Ваш DKIM-селектор — sendgrid». Обычно они этого не делают. Вот почему:

Причина 1: разные селекторы для разных ситуаций#

Некоторые провайдеры используют разные селекторы в зависимости от конфигурации:

SendGrid:

Дефолтный селектор: sendgrid
Но при использовании branded sender domain — случайный селектор вроде s1234567890
Пользователи настраивают один селектор, потом добавляют другой sending domain и не знают, что у него другой селектор

Google Workspace:

Селектор зашит: google
Но некоторые видят s0, s1, s2 в зависимости от способа настройки

Zoho Mail:

Селектор зависит от настройки: zl1234567 (где числа уникальны на домен)
Не задокументировано на видном месте

Mailgun:

Селектор выбираете сами при создании DKIM-записи
По умолчанию k1, но можете назвать как угодно: mail, bounce, my-custom-key
Пользователи забывают, что выбрали

Причина 2: документация скрыта или устарела#

Поиск «SendGrid DKIM selector» даёт:

Документацию 2015 года (устаревшие скриншоты UI)
Help-статью про «branded links», а не DKIM-селекторы
Форумные посты 2018 года с разными ответами
Официальные доки, говорящие «Settings > API Keys > DKIM» (а это не там)

Причина 3: админ-панели не показывают это явно#

Логинитесь в админ-панель Gmail и ищете DKIM:

Status: Not set up
[Set up DKIM]

Жмёте «Set up DKIM» — и видите:

DKIM is enabled for your domain.
[Show DNS records]

Селектор зарыт в DNS-записи, которую они показывают — извлекать самим. Большинство не извлекает.

Причина 4: несколько селекторов запутывают ещё больше#

Если вы со временем использовали несколько провайдеров:

Старый SendGrid: sendgrid (в DNS, но уже не используется)
Текущий Mailgun: k1 (активен)
Резервный почтовый ящик: mail (в DNS на случай DR)

Пользователи не помнят, что есть что. Запуская DKIM-проверку, видят три селектора и думают, что что-то не так.

Традиционный процесс поиска DKIM-селектора (часы боли)#

Ручной метод: гадание и проверка

Большинство ищут DKIM-селекторы так:

Шаг 1: читают документацию

Поиск в доках провайдера: «DKIM selector»
30 минут чтения
Находят одну фразу: «DKIM-записи хранятся по s._domainkey.domain.com»
Никакой ясности, что такое s на самом деле

Шаг 2: проверяют админ-панель

Идут в настройки email-провайдера
Ищут «DKIM» или «DNS records»
Если находят DNS-записи — скриншотят
Пытаются найти селектор там

Шаг 3: пробуют частые селекторы вручную

Проверяют DNS на default._domainkey.yourdomain.com
На selector1._domainkey.yourdomain.com
На google._domainkey.yourdomain.com
На s1._domainkey.yourdomain.com
На mail._domainkey.yourdomain.com

Шаг 4: спрашивают на форумах

Поиск на StackOverflow: «How do I find my DKIM selector?»
Находят противоречивые ответы
Тратят ещё 2 часа на каждый

Итого: 3–8 часов вместо 30 секунд.

Почему ручной процесс провален

Опечатки: пропустили селектор из-за неправильного написания
DNS-кеш: не видите результатов, потому что TTL не истёк
Несколько селекторов: нашли селектор 1 и решили, что это всё, упустив селектор 2
Не тот уровень домена: проверяете _domainkey.yourdomain.com вместо selector._domainkey.yourdomain.com
Провайдер сменил селектор: нашли старую документацию с устаревшим селектором

Современное решение: автоматическое обнаружение DKIM-селекторов#

Email Health Checker от Nova Uptime решает это автоматическим обнаружением DKIM-селекторов:

Как Nova Uptime обнаруживает DKIM-селекторы#

Вместо последовательного перебора 50 селекторов Nova Uptime:

Сканирует 50 распространённых селекторов параллельно
- Частые для основных провайдеров: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun и т. д.
- Результаты возвращаются за 2–3 секунды (параллельные DNS-запросы куда быстрее последовательных)
Валидирует соответствие RFC 6376
- Проверяет наличие v=DKIM1 (рекомендован, но не обязателен) И наличие p= (открытый ключ)
- Причина: некоторые провайдеры (Zoho) автогенерят селекторы без v=DKIM1, и они тоже работают
Сообщает, настроен ли DKIM
- Показывает «Configured», если найден хотя бы один валидный селектор
- Показывает «Not Found», если ни один из 50 не совпал
Предотвращает ложные срабатывания
- Проверяет форматирование DNS
- Валидирует наличие ключа
- Сообщает только о селекторах с реальными открытыми ключами

Результаты: что вы видите

Когда вы запускаете Email Health Checker от Nova Uptime:

Если DKIM найден:

DKIM Status: Configured
Status: Valid

Если не найден:

DKIM Status: Not Configured

Просканировано 50 распространённых селекторов. DKIM-записи не найдены.

Следующие шаги:
1. Проверьте документацию email-провайдера для точного селектора
2. Попросите провайдера сгенерировать DKIM-записи
3. Добавьте записи к DNS-провайдеру
4. Перезапустите проверку через 24 часа (DNS требует времени на распространение)

Понимаем 50 селекторов, которые сканирует Nova Uptime#

Селекторы основных email-провайдеров#

Эти используются чаще всего:

Google Workspace

Селектор: google
Почему: Google использует единое имя у всех клиентов

SendGrid

Селекторы: sendgrid, s1234567890 (для branded domain)
Почему: дефолт sendgrid, но кастомные sending domain получают автогенерируемые селекторы

Mailgun

Селекторы: k1, k2 или кастомный (вы выбираете)
Почему: вы сами настраиваете селектор; дефолты k1 и k2

Klaviyo

Селектор: mailgun-key
Почему: Klaviyo использует Mailgun-бэкенд

HubSpot

Селектор: hubspot
Почему: единое имя как у Google

Zendesk

Селекторы: zendesk1, zendesk2
Почему: Zendesk допускает несколько sending domain

Amazon SES

Селектор: разный (зависит от региона и настройки)
Частые: amazonses или автогенерируемый

Postmark

Селектор: postmark
Почему: фиксированное имя

Mandrill

Селектор: mandrill
Почему: фиксированное имя

Zoho Mail

Селектор: zl1234567 (уникален на домен)
Почему: автогенерируемый идентификатор

Microsoft 365 / Outlook

Селекторы: selector1, selector2
Почему: два дефолтных под ротацию ключей

Brevo (бывший Sendinblue)

Селекторы: brevo, brevo1
Почему: несколько под ротацию

Ваш собственный mail-сервер#

Если вы хостите почту сами:

Селектор: тот, что настроили
Частые: default, mail, dkim, main или кастомные имена

Полный список из 50 селекторов#

Nova Uptime сканирует эти 50 селекторов:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Если вашего селектора в этом списке нет — можно проверить его, посмотрев DNS напрямую.

Пошагово: использование автообнаружения DKIM#

Шаг 1: зайдите в Email Health Checker#

Откройте Email Health Checker от Nova Uptime

Шаг 2: введите домен#

Введите домен (например, yourdomain.com) без протокола и субдоменов.

Шаг 3: посмотрите результат DKIM#

За секунды увидите, настроен ли DKIM для домена.

Шаг 4: следующие шаги по результату#

Если найден: ничего не нужно. DKIM настроен правильно. Переходите к проверке DMARC-выравнивания.

Если не найден:

Посмотрите документацию email-провайдера на точное имя селектора
Свяжитесь с саппортом: «Какой DKIM-селектор у моего домена?»
Получив имя селектора, попросите DNS-запись
Добавьте её к DNS-провайдеру
Перезапустите проверку через 24 часа (DNS-распространение)

Частые ошибки с DKIM-селекторами#

Ошибка 1: проверяете не на том уровне домена#

Неверно:

Проверка: dkim._domainkey.com (нет вашего домена!)
Должно быть: dkim._domainkey.yourdomain.com

DKIM-записи специфичны для каждого домена. Проверка .com или .org ваших не найдёт.

Ошибка 2: опечатки в имени селектора#

Провайдер говорит: selector Вы проверяете: selectors (лишняя 's') Результат: не найден, делаете вывод, что DKIM нет

Nova Uptime проверяет правильные написания для основных провайдеров, избегая этой проблемы.

Ошибка 3: забыли суффикс `._domainkey`

Неверно:

Проверка DNS на: sendgrid.yourdomain.com
Должно быть: sendgrid._domainkey.yourdomain.com

DKIM-записи ОБЯЗАТЕЛЬНО содержат ._domainkey в имени. Без него DNS-запросы возвращают пусто.

Ошибка 4: не дождались распространения DNS#

Добавили DKIM-запись в DNS, сразу проверили — «не найдено».

DNS-изменения требуют времени (обычно 1–2 часа, максимум 24–48). Проверьте позже.

Ошибка 5: используете неправильный DNS-инструмент#

Некоторые DNS-инструменты (вроде базовых MX-чекеров) не поддерживают TXT-запросы. Используйте Nova Uptime, который явно проверяет TXT-записи DKIM.

Почему DKIM-обнаружение Nova Uptime лучше ручной проверки#

Фактор	Ручная проверка	Автообнаружение Nova Uptime
Время	3–8 часов	2–3 секунды
Точность	Подвержена опечаткам и недопониманию	Точная проверка 50 распространённых селекторов
Покрытие	Можно упустить менее известные	Все основные провайдеры
Ложные срабатывания	Легко неправильно интерпретировать	Чёткое pass/fail с пояснением
Постоянный мониторинг	Ручной запуск когда хочется	Квартальная проверка изменений
Документация	Нужно читать доки провайдера	Понятные объяснения на простом языке

Что если вашего DKIM-селектора нет в 50 сканируемых?#

Если используете нишевого провайдера или собственный почтовик с кастомным селектором:

Знаете имя селектора → Nova Uptime поможет проверить, что он работает (используйте основной чекер)
Не знаете имя селектора → свяжитесь с провайдером или посмотрите доки

Если провайдер совсем неизвестный, 50 распространённых селекторов всё равно его поймают (большинство провайдеров используют один из этих стандартов).

Если нет:

Проверьте DNS напрямую: dig selector._domainkey.yourdomain.com TXT
Свяжитесь с саппортом email-провайдера: «Какой у меня DKIM-селектор?»
Узнав, перезапустите Nova Uptime, чтобы убедиться, что всё корректно

Бизнес-эффект автоматического обнаружения DKIM#

До (ручная проверка):

3 часа: ресёрч и угадывание DKIM-селекторов
30 минут: проверка каждого варианта DNS-запросами
Email health остаётся сломанным, потому что настройка слишком утомительна
Итог: письма уходят в спам неделями

После (автоматическое обнаружение Nova Uptime):

2 минуты: запуск Nova Uptime health check
30 секунд: чтение результатов и понимание, что именно настроено
5 минут: связь с провайдером или добавление недостающих записей по чёткому руководству
Итог: проблемы выявлены и исправлены сегодня

Эффект для организации:

Быстрее настройка email-аутентификации для новых доменов
Меньше тикетов саппорта «почему мы не получаем письма»
Уверенность, что аутентификация корректна
Квартальные аудиты для отслеживания изменений DNS или миграций провайдера

Поддержание DKIM: постоянные практики#

Ежемесячно

Ничего не нужно. DKIM стабилен после правильной настройки.

Ежеквартально

Запустите Nova Uptime Email Health Checker, чтобы убедиться:

DKIM-селекторы всё ещё активны
Нет неожиданных добавленных селекторов (признак неправильной конфигурации или атаки)

После смен email-провайдера#

Если вы:

Перешли с SendGrid на Mailgun
Добавили второй email-сервис
Мигрировали почтовые серверы

Сразу запустите health checker:

Убедитесь, что старые селекторы ещё работают (если нужно для перехода)
Подтвердите, что новый селектор активен
Удалите старые селекторы после завершения перехода

Красные флаги

Если квартальная проверка показывает:

Селектор пропал: возможна неправильная конфигурация DNS или проблема у провайдера
Новый неизвестный селектор: возможна компрометация аккаунта (кто-то добавил DKIM-ключ)
Несколько неожиданных селекторов: возможные остатки от старого провайдера (надо чистить)

Резюме: DKIM-селекторы демистифицированы#

DKIM-селекторы — просто метки разных подписывающих ключей. Запутанность идёт от:

Email-провайдеров, не документирующих чётко, какой селектор использовать
Пользователей, вынужденных угадывать из 50+ вариантов
Селекторов, разных у провайдеров и конфигураций

Автоматическое обнаружение DKIM Nova Uptime решает это:

Сканирует 50 распространённых селекторов параллельно
Возвращает результаты за 2–3 секунды
Валидирует соответствие RFC
Даёт чёткие следующие шаги

Вместо 3–8 часов ручной проверки — мгновенная ясность:

«DKIM настроен, работает идеально» → ничего не делать
«DKIM не найден» → вот что делать дальше