Инструменты сетевой диагностики
Найдите и проверьте ваш открытый ключ DKIM
DNS и записи
Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNSДоставляемость почты
Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLSСеть и веб
Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открытыДомен
Поиск WHOIS Регистрационные данные для доменов, IP и ASNDKIM добавляет к исходящей почте криптографическую подпись; получатели проверяют её по открытому ключу, который вы публикуете в DNS по адресу selector._domainkey.your-domain. Поскольку DNS не позволяет перечислить селекторы, IPeek проверяет селекторы, используемые Google, Microsoft, Amazon SES и другими крупными провайдерами.
Когда вы отправляете письмо, ваш провайдер подписывает выбранные заголовки и тело сообщения закрытым ключом, добавляя в сообщение заголовок DKIM-Signature. Получатель считывает теги d= (домен) и s= (селектор) из этого заголовка, извлекает соответствующий открытый ключ по адресу selector._domainkey.d и проверяет подпись. Если она валидна, содержимое не было изменено в пути и действительно отправлено владельцем ключа для этого домена. Закрытый ключ остаётся на отправляющем сервере; в DNS хранится только открытый ключ.
Селектор позволяет одному домену публиковать несколько ключей DKIM — это удобно для ротации или для разных служб отправки. Открытый ключ — это TXT-запись по адресу selector._domainkey.your-domain, например google._domainkey.example.com, содержащая v=DKIM1; k=rsa; p=<открытый ключ в base64>. Поскольку DNS не предоставляет каталога селекторов, нельзя просто спросить, какие из них использует домен. Именно поэтому IPeek проверяет распространённые селекторы, используемые Google (google), Microsoft, Amazon SES и другими крупными провайдерами, чтобы найти ваши опубликованные ключи.
DKIM — это уровень аутентификации содержимого из трёх. Если SPF авторизует отправляющие хосты по IP, DKIM криптографически доказывает, что заголовки и тело сообщения не были подделаны, и привязывает его к подписывающему домену. DMARC затем проверяет, что подписывающий домен DKIM согласуется с видимым адресом From. У DKIM есть важное преимущество перед SPF: поскольку подпись путешествует вместе с сообщением, она переживает пересылку, на которой SPF часто ломается. Для надёжной доставляемости публикуйте DKIM и согласуйте его в рамках DMARC.
Селектор — это метка, указывающая на конкретный открытый ключ DKIM в DNS и позволяющая одному домену публиковать несколько ключей для ротации или разных служб отправки. Он отображается как тег s= в заголовке DKIM-Signature и составляет часть DNS-адреса selector._domainkey.your-domain. Например, Google Workspace обычно использует селектор google.
Записи DKIM находятся по адресу selector._domainkey.your-domain, а DNS не позволяет перечислить, какие селекторы использует домен, — поэтому, чтобы запросить запись, нужно знать селектор. Разные провайдеры используют разные селекторы. IPeek решает это, проверяя распространённые селекторы Google, Microsoft, Amazon SES и других крупных провайдеров, чтобы автоматически найти ваши опубликованные ключи.
Открытый ключ DKIM публикуется как TXT-запись в DNS по адресу selector._domainkey.your-domain, например google._domainkey.example.com. Запись содержит теги вида v=DKIM1; k=rsa; p=, за которыми следует открытый ключ в кодировке base64. Соответствующий закрытый ключ остаётся на вашем отправляющем почтовом сервере и никогда не публикуется. Получатели извлекают открытый ключ, чтобы проверить каждую подпись.
Да, в большинстве случаев. Поскольку подпись DKIM путешествует внутри заголовков сообщения, она остаётся валидной после пересылки, пока подписанные заголовки и тело не изменяются. Это серьёзное преимущество перед SPF, который при пересылке обычно ломается из-за смены отправляющего IP. Именно поэтому DMARC может пройти через DKIM, когда SPF проваливается на пересланной почте.
SPF авторизует, какие хосты могут отправлять почту от имени вашего домена, проверяя отправляющий IP, тогда как DKIM криптографически подписывает каждое сообщение, чтобы получатели могли убедиться, что его содержимое не изменено и оно пришло с вашего домена. SPF проверяет путь; DKIM проверяет само сообщение. Они дополняют друг друга, а DMARC привязывает оба к вашему видимому адресу From.