Что такое DKIM и почему это критично#

DKIM (DomainKeys Identified Mail) — это цифровая подпись для ваших писем. Он доказывает, что письмо, заявляющее, что оно с вашего домена, действительно отправлено из вашего почтового ящика, — а не от атакующего, который что-то взломал.

В феврале 2026: Gmail и Yahoo требуют DKIM для доставки. Письма без него отклоняются.

Этот гайд проводит через настройку DKIM за 20 минут.

Как работает DKIM#

DKIM использует криптографию открытого/закрытого ключа:

Ваш почтовый сервер подписывает исходящие письма закрытым ключом (секретным)
Подпись прикрепляется в заголовок каждого письма
Получатели проверяют подпись с помощью вашего открытого ключа (в DNS)
Если подпись валидна: письмо не было изменено ✅
Если подпись не проходит: письмо подделано или изменено ❌

Что такое селектор DKIM#

Здесь большинство и путается.

DKIM-записи живут по конкретному DNS-адресу: [selector]._domainkey.yourdomain.com

Примеры:

default._domainkey.yourdomain.com
google._domainkey.yourdomain.com
s1._domainkey.yourdomain.com
sendgrid._domainkey.yourdomain.com

Селектор — это просто метка. Её выбирает ваш почтовый провайдер. Частые селекторы:

Сервис	Селектор
Google Workspace	google, default
Microsoft 365	selector1, selector2
SendGrid	default, sendgrid
Mailgun	default, k1
Zoho	s1, s2, s3

Селектор нельзя угадать. Его нужно найти в инструкциях по настройке вашего email-провайдера.

Шаг 1: Найдите свой селектор DKIM#

Для Google Workspace:

Зайдите на admin.google.com
Перейдите в Security → Authentication → Domain management
Найдите DKIM-селектор (обычно «google» или «default»)

Для Microsoft 365:

Зайдите на admin.microsoft.com
Перейдите в Settings → Domains
Найдите DKIM-секцию (обычно «selector1»)

Для SendGrid:

Зайдите в настройки SendGrid
Найдите API keys и DKIM config
Селектор обычно «default» или «sendgrid»

Для Mailgun:

Зайдите в дашборд Mailgun
Найдите Domain settings
Селектор — в DKIM-конфигурации

Не используете сторонний сервис? Значит, у вас свой почтовый сервер. Свяжитесь с хостинг-провайдером по поводу DKIM-селектора.

Шаг 2: Сгенерируйте или получите открытый ключ DKIM#

Открытый ключ генерирует ваш email-провайдер. Вы его не создаёте — они создают, вы копируете.

Ключ выглядит так:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...

Где его искать:

Google Workspace: скопируйте из admin-консоли
Microsoft 365: скопируйте из Exchange admin center
SendGrid: Dashboard → DKIM settings
Mailgun: Domain settings → DKIM
Другие провайдеры: смотрите их документацию

Шаг 3: Опубликуйте DKIM-запись в DNS#

Когда у вас есть открытый ключ, добавьте его в DNS:

Зайдите к своему DNS-провайдеру (Cloudflare, Route 53, GoDaddy и т. д.)
Добавьте TXT-запись со значением:
- Имя: [selector]._domainkey (например, google._domainkey)
- Значение: открытый ключ из шага 2
- TTL: 3600 (или по умолчанию)
Сохраните и подождите 5–15 минут

Шаг 4: Проверьте конфигурацию DKIM#

Используйте эти бесплатные инструменты для проверки:

Вариант 1: Nova Uptime Email Health Checker

Зайдите на /tools/email-health
Введите домен
Проверьте статус DKIM

Вариант 2: MXToolbox

Зайдите на mxtoolbox.com
Используйте DKIM checker
Введите селектор и домен

Вариант 3: Mail-tester

Зайдите на mail-tester.com
Отправьте тестовое письмо со своего домена
Проверьте DKIM-подпись в заголовках

Частые ошибки в DKIM#

Ошибка 1: Неправильный селектор#

Если почтовый сервер подписывает с селектором google, а в DNS селектор default, валидация DKIM не пройдёт.

Исправление: убедитесь, что селектор точно совпадает с тем, который использует почтовый сервер.

Ошибка 2: Открытый ключ обрезан в DNS#

Некоторые DNS-провайдеры обрезают длинные TXT-записи. Если ключ обрезан — DKIM не пройдёт.

Исправление: используйте DNS-провайдера, поддерживающего полнодлинные TXT, или разбейте ключ через кавычки.

Ошибка 3: Несколько DKIM-записей (старая и новая)#

При миграции между email-провайдерами в DNS могут остаться старые DKIM-ключи.

Хорошо: разные селекторы от разных провайдеров

google._domainkey  → открытый ключ Google
s1._domainkey      → открытый ключ SendGrid

Плохо: несколько записей с одним селектором (DNS возьмёт только первую)

Исправление: удалите старые селекторы, оставьте только активные.

Ошибка 4: Не ротировать ключи#

Если ваш закрытый ключ скомпрометирован, а вы продолжаете его использовать, атакующие могут подделывать письма.

Исправление: ротируйте ключи минимум раз в год. Отключайте старые ключи в DNS после того, как убедились, что новые работают.

Ошибка 5: Использование слабых ключей (1024 бит)#

1024-битные DKIM-ключи криптографически слабы. Атакующие могут подделать подпись.

Исправление: используйте минимум 2048-битные ключи. Проверьте у провайдера, что он поддерживает.

Несколько email-провайдеров? Вам нужно несколько селекторов#

Если вы используете и Google Workspace, и SendGrid:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → публикуется на google._domainkey
v=DKIM1; k=rsa; p=... (другой) ...   → публикуется на sendgrid._domainkey

Они работают независимо. Письма из Google проверяются ключом Google. Письма из SendGrid — ключом SendGrid.

DKIM + SPF + DMARC#

DKIM — часть тройки аутентификации:

SPF: «авторизован ли сервер?»
DKIM: «подлинно ли сообщение?»
DMARC: «оба прошли и совпадают?»

Настраивайте все три. Nova Uptime проверяет все три автоматически — запустите первую проверку email health.

После публикации: мониторинг

Неделя 1: следите за доставкой, проверяйте спам-папку Еженедельно: используйте Nova Uptime Email Health Checker для контроля статуса DKIM Ежемесячно: проверяйте, не остались ли в DNS старые селекторы

Краткое резюме

Найдите свой DKIM-селектор (у email-провайдера)
Получите открытый ключ (у email-провайдера)
Опубликуйте в DNS по адресу [selector]._domainkey.yourdomain.com
Проверьте инструментами валидации
Подождите неделю, отслеживайте доставку
Держите записи в чистоте (удаляйте старые селекторы)

DKIM обязателен в 2026. Настройка занимает 20 минут. Отсутствие стоит выручки.

Мониторьте все три протокола аутентификации автоматически: Nova Uptime Email Health Checker. Бесплатно.

Гайд по настройке DKIM: пошаговая конфигурация