Інструменти мережевої діагностики
Знайдіть і перевірте свій відкритий ключ DKIM
DNS та записи
Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNSДоставлюваність пошти
Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLSМережа та веб
Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкритіДомен
Пошук WHOIS Реєстраційні дані для доменів, IP та ASNDKIM додає криптографічний підпис до ваших вихідних листів; отримувачі перевіряють його за відкритим ключем, який ви публікуєте в DNS за адресою selector._domainkey.your-domain. Оскільки DNS не дає способу перелічити селектори, IPeek перевіряє селектори, які використовують Google, Microsoft, Amazon SES та інші великі постачальники.
Коли ви надсилаєте лист, ваш постачальник підписує обрані заголовки й тіло приватним ключем, додаючи до повідомлення заголовок DKIM-Signature. Отримувач читає теги d= (домен) і s= (селектор) із цього заголовка, отримує відповідний відкритий ключ за адресою selector._domainkey.d і перевіряє підпис. Якщо він валідний, вміст не змінювався в дорозі та справді надійшов від власника ключа для цього домену. Приватний ключ залишається на сервері-відправнику; у DNS зберігається лише відкритий ключ.
Селектор дозволяє одному домену публікувати кілька ключів DKIM — це зручно для ротації або для різних сервісів надсилання. Відкритий ключ — це TXT-запис за адресою selector._domainkey.your-domain, наприклад google._domainkey.example.com, що містить v=DKIM1; k=rsa; p=<відкритий ключ у base64>. Оскільки DNS не пропонує каталогу селекторів, ви не можете просто запитати, які з них використовує домен. Саме тому IPeek перевіряє поширені селектори, що їх використовують Google (google), Microsoft, Amazon SES та інші великі постачальники, щоб знайти ваші опубліковані ключі.
DKIM — це рівень автентифікації вмісту серед трьох. Якщо SPF авторизує хости-відправники за IP, то DKIM криптографічно доводить, що заголовки й тіло повідомлення не підроблялися, і прив’язує його до домену, що підписав. Потім DMARC перевіряє, що домен підпису DKIM вирівняний із видимою адресою From. DKIM має ключову перевагу над SPF: оскільки підпис подорожує разом із повідомленням, він переживає пересилання, на якому SPF часто ламається. Для надійної доставлюваності публікуйте DKIM і вирівнюйте його під DMARC.
Селектор — це мітка, що вказує на конкретний відкритий ключ DKIM у DNS, дозволяючи одному домену публікувати кілька ключів для ротації чи різних сервісів надсилання. Він з’являється як тег s= у заголовку DKIM-Signature та формує частину DNS-адреси selector._domainkey.your-domain. Наприклад, Google Workspace зазвичай використовує селектор google.
Записи DKIM розташовані за адресою selector._domainkey.your-domain, а DNS не дає способу перелічити, які селектори використовує домен — тож щоб зробити запит, ви маєте знати селектор. Різні постачальники використовують різні селектори. IPeek розв’язує це, перевіряючи поширені селектори Google, Microsoft, Amazon SES та інших великих постачальників, щоб автоматично знайти ваші опубліковані ключі.
Відкритий ключ DKIM публікується як TXT-запис у DNS за адресою selector._domainkey.your-domain — наприклад, google._domainkey.example.com. Запис містить теги на кшталт v=DKIM1; k=rsa; p=, за якими йде відкритий ключ у кодуванні base64. Відповідний приватний ключ залишається на вашому сервері надсилання й ніколи не публікується. Отримувачі отримують відкритий ключ, щоб перевірити кожен підпис.
Так, у більшості випадків. Оскільки підпис DKIM подорожує всередині заголовків повідомлення, він залишається валідним після пересилання, доки підписані заголовки й тіло не змінюються. Це велика перевага над SPF, який зазвичай ламається при пересиланні, бо IP-адреса відправника змінюється. Саме тому DMARC усе одно може пройти через DKIM, коли SPF на пересланому листі не проходить.
SPF авторизує, яким хостам дозволено надсилати листи від імені вашого домену, перевіряючи IP-адресу відправника, тоді як DKIM криптографічно підписує кожне повідомлення, щоб отримувачі могли переконатися, що його вміст не змінювався і що воно надійшло від вашого домену. SPF перевіряє шлях; DKIM перевіряє повідомлення. Вони доповнюють один одного, а DMARC прив’язує обидва до вашої видимої адреси From.