Автор: Рубрики: cPanel Просмотрено: 160
Защита веб-почты от спуфинга. Генерация и добавление подписи DKIM в панелях ISPmanager и cPanel
20Ноя2019

После добавления SPF записи следующим не менее важным шагом, чтобы обезопасить свою почту, есть использования технологии DKIM.

DKIM (DomainKeys Identified Mail) – это зашифровафрованная скрытая подпись, которая служит для предотвращения спуфинга и исполняет следующие проверки:

  • отправитель электронной почты действительно владеет доменом; 
  • содержание сообщения и его заголовки не изменялись после отправления.

В основе технологии DKIM лежит использования механизма шифрования для создания пары электронных ключей: открытого и закрытого ключа. Закрытый ключ хранится на сервере, на котором и был создан. Этот сервер является почтовым сервером для домена. Закрытый ключ нужен для создания специальной зашифрованной подписи.  Эта подпись помещается в служебные заголовки каждого отправленного письма и является незаметной для глаза пользователя. В свою очередь, открытый ключ прописывается в значение тега p TXT записи.

Два ключа работают в паре. Проверка  DKIM идет на стороне получателя, и повышает доверие между почтовыми серверами отправителя и получателя. Когда сервер получателя видит письмо, он автоматически  запрашивает публичный ключ почтового домена отправителя, с его помощью он расшифровывает добавленную скрытую подпись, которая подтверждает, что письмо пришло с сервера, который действительно имеет право отправлять письма от Вашего домена.

Соответственно, если DKIM не корректно настроена, многие почтовые сервера могут  видеть и помечать Ваши письма как подозрительны, при этом отклонять прием или же отправлять их в спам. 

Увидеть наличие  публичного ключа, Вы можете с помощью разных сервисов (DNS Checker).  Сама запись имеет следующую структуру:

dkim._domainkey.mydomain.com. TXT “v=DKIM1; k=rsa; s=email;p= “

Где:

mydomain.com. – доменное имя; 

TXT – тип записи;

v –  версия протокола DKIM, на сегодняшнее время устанавливается всегда как DKIM1;

k тип ключа, также всегда принимает значение rsa

sтип сервиса, использующего технологию DKIM, для почты s=email, для всех сервисов  s=* ( установлено по-умолчанию);

p – закодированный публичный ключ;

; – используется в записи как разделитель.

kgjvkcfl

Перейдем к добавлению DKIM в панелях управления хостингом. Начнем с панели ISPmanager. Для этого нужно выполнить несколько простых шагов (при добавлении домена, панель автоматически формирует и добавляет ключ в TXT запись, если этого не произошло, нужно включить защиту DKIM вручную):

  1. Заходим в панель ISPmanager
  2. С блока “Почта” переходим в “Почтовые домены”, выбираем домен для которого будет сформированы ключи.

dkimkeyisp

     3. Для возможности редактирования настроек почтового домена сверху над списком доменов жмем на иконку “Изменить”.

jkkdslk

4.Напротив пункта “Включить DKIM для домена” жмем на галочку, также ниже можно выбрать длину ключа. Для сохранения изменений в конце жмем на кнопку “Ok”.

ISPMANAGERDKIMKEY

После чего ключи должны быть созданы, а публичный ключ быть добавленным в TXT запись. В результате имеем сформированную DNS запись.

fghds,dddd

Далее рассмотрим технологию DKIM в cPanel.

  1. Логинимся в панель cPanel.
  2. С главной страницы блока “Электронная почта” , выбираем “Проверка подлинности”.

dkimcpanel

Здесь мы можем отключать или включать защиту DKIM.

adddkim

На скриншоте данная функция включена, чтобы отключить просто жмем на кнопку “Отключить”. Аналогично и включаем обратно, при этом ключи формируется и добавляются в запись заново.

deleteddkimcpanel

В результате также должно быть видно TXT запись с добавленным публичным ключом.

txtrecordcordkimimcpanel

Команда ГиперХост желает Вам приятной и главное безопасной работы с почтой.

161 раз(а) 2 Сегодня просмотрено раз(а)
  • Владимир Дот

    Думаю, что надо пояснить что такое “спуфинг” – это подмена чего-либо с целью обмануть человека. В данном случае речь идёт о том, что ваше письмо, после исполнения инструкции, будет сложнее поменить, как и тот сайт, который будет осуществлять пересылку.

    • Семён Семёныч

      Не понимаю, ты же указываешь программе-почтовику куда подключаться? А если через сайт заходишь, то если сайт подделка, то там видно что что-то не то.

      • Владимир Дот

        Да, указываешь, но без данной настройки нельзя будет удостовериться, что центр подключения тот, за кого себя выдаёт. После неё происходит сверка ключей центра и получателя. Я сам не программист, мне сложно полностью разобраться, но суть уловил. А внешний вид сайта при желании можно спарсить или вручную довести до состояния клона.

        • Марина Семёнова

          Я не поняла, сколько всего ключей надо создавать, один – публичный и ещё один – для всех кто заходит, или каждому пользователю по новому ключу??