2check.click

3 мин. чтения Обновлено: июнь 2026 г.

DKIM: цифровая подпись электронного письма

DKIM (DomainKeys Identified Mail) — механизм аутентификации email, при котором отправитель добавляет к письму цифровую подпись, а получатель может проверить её подлинность. Это позволяет убедиться, что письмо действительно отправлено владельцем указанного домена и не было изменено в пути.

Как работает DKIM

Процесс состоит из двух частей: подписание и проверка.

Подписание (на стороне отправителя)

  1. Отправляющий сервер вычисляет криптографический хэш некоторых заголовков и тела письма.
  2. Хэш шифруется приватным ключом домена.
  3. Зашифрованная подпись добавляется в заголовок письма DKIM-Signature.
  4. Публичный ключ для проверки публикуется в DNS домена (TXT-запись).

Проверка (на стороне получателя)

  1. Получатель читает заголовок DKIM-Signature и извлекает домен подписи (d=).
  2. Запрашивает публичный ключ из DNS этого домена.
  3. Расшифровывает подпись и сравнивает с хэшем полученного письма.
  4. Если совпадает — письмо подлинное и не изменялось после подписания.

Что DKIM доказывает

  • Письмо было подписано владельцем домена, указанного в d= параметре DKIM-Signature.
  • Подписанные части письма не были изменены после подписания.

Что DKIM не доказывает

  • Что домен в DKIM совпадает с доменом в From:. Письмо может быть подписано phishing-service.com, но From: содержит @sberbank.ru. DKIM пройдёт для phishing-service.com.
  • Что содержимое письма безопасно. Фишинговое письмо с корректной DKIM-подписью своего домена пройдёт проверку DKIM.
  • Что отправитель — тот, за кого себя выдаёт. DKIM подтверждает домен подписи, а не личность человека.

Именно поэтому DKIM имеет смысл только в связке с DMARC, который требует, чтобы домен DKIM-подписи совпадал с доменом в From:.

Взаимодействие с пересылкой писем

DKIM имеет известную слабость: пересылка (forwarding) может «ломать» подпись. Когда письмо пересылается, промежуточный сервер может изменить тело письма (добавить footer «Forwarded by...») или заголовки. В результате хэш не совпадает, и DKIM fail.

По этой причине многие почтовые системы не отклоняют письма при DKIM fail сразу, а рассматривают его в контексте DMARC. ARC (Authenticated Received Chain) — стандарт, позволяющий сохранять аутентификационную цепочку при пересылке.

Почему DKIM важен для защиты от фишинга

Совместная работа SPF + DKIM + DMARC создаёт систему, при которой подделать письмо от защищённого домена становится крайне сложно. Если крупный банк настроил DMARC p=reject и корректные DKIM-подписи, мошенник не сможет отправить письмо с поддельным @bank.ru — оно будет отклонено.

Это не устраняет проблему domain-lookalike атак (sber-bank.ru вместо sberbank.ru), но значительно усложняет прямую подмену домена.

Как проверить DKIM в полученном письме

В Gmail: нажмите три точки → «Показать оригинал» → ищите Authentication-Results. Там будут строки типа:

  • dkim=pass (домен подписи совпадает)
  • dkim=fail (подпись не прошла)
  • dkim=none (DKIM не настроен отправителем)

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

DKIM pass гарантирует, что письмо от Сбербанка?

Нет. DKIM pass означает, что подпись корректна для домена в d= параметре. Этот домен может быть sberbank.ru (хорошо) или sber-alert.com (плохо). Нужно проверить, что домен в DKIM совпадает с официальным доменом организации.

Что делать, если письмо от банка имеет DKIM fail?

DKIM fail может быть признаком подделки или результатом пересылки. Если письмо пришло напрямую (не переслано) и имеет DKIM fail — это серьёзный повод для подозрений. Не переходите по ссылкам и свяжитесь с банком напрямую.

Обязателен ли DKIM для всех доменов?

Нет, DKIM не обязателен технически. Но рекомендуется для всех, особенно для доменов, от имени которых отправляются официальные письма. Без DKIM почтовые провайдеры могут снижать репутацию таких писем.

Как DKIM защищает от man-in-the-middle атак?

Если злоумышленник перехватывает письмо и изменяет его содержимое, хэш становится неверным и DKIM fail. Получатель может заметить это. Однако на практике SMTP-соединения должны быть защищены TLS, что делает перехват затруднительным.

Что такое DKIM selector?

Selector (s=) в DKIM-заголовке указывает, какую конкретно DNS-запись использовать для проверки. Одна организация может иметь несколько ключей DKIM для разных сервисов.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи