К содержанию
D1
RU

Аутентификация почты

Проверка и валидация DKIM-записи

Найдите TXT-запись selector._domainkey для любого домена и проверьте теги DKIM, тип и длину ключа.

Форма вызывает относительный endpoint: /site-api/tools/dkim

Что проверяет DKIM валидатор?

  1. Введите DKIM-селектор (например google, default или k1) и домен. Инструмент запрашивает TXT-запись {selector}._domainkey.{domain} через публичный DNS.
  2. Запись разбирается по тегам: версия v=DKIM1, тип ключа k=, публичный ключ p=, алгоритмы h=, типы сервисов s= и флаги t=, плюс вычисляется длина ключа.
  3. Смотрите вердикт и предупреждения: отсутствующая запись, пустой тег p= (отозванный ключ), слабый ключ 1024 бита или флаг t=y — каждая проблема объясняется отдельно.

Теги DKIM, на которые стоит смотреть

Валидатор проверяет DNS-часть DKIM: опубликованную запись с публичным ключом. Он подтверждает существование записи, разбирает каждый тег и помечает слабые или отозванные ключи — но не подписывает и не принимает почту за вас.

ТегПочему это важноПример
v=DKIM1Тег версии, с которого должна начинаться корректная DKIM-записьv=DKIM1
k / pТип ключа и публичный ключ в Base64 для проверки подписейk=rsa; p=MIIBIjANBg…
Длина ключаРазмер RSA-ключа — 1024 бита сегодня считается слабым2048 бит
t=yТестовый флаг: получатели обрабатывают подписи как будто домен не подписывает почтуt=y

Когда проверять DKIM-запись

Проверяйте сразу после добавления или изменения DNS-записи почтового провайдера. Google Workspace обычно использует селектор google, Microsoft 365 — selector1 и selector2, Amazon SES выдаёт три случайных CNAME-селектора, Mailchimp — k1 (и k2/k3), SendGrid — чаще всего s1 и s2.

Проверяйте DKIM, когда письма попадают в спам или в DMARC-отчётах видно dkim=fail. Отсутствующая или битая запись — одна из самых частых причин.

При ротации ключей проверяйте оба селектора: провайдеры публикуют новый ключ на втором селекторе до отключения старого, и оба должны резолвиться, пока старые подписи ещё в пути.

Как исправить отсутствующую или некорректную запись

Если запись не найдена, проверьте точное написание селектора и что TXT (или CNAME) опубликован на selector._domainkey.вашдомен.com — частая ошибка: запись на apex-домене или задвоенный домен в поле host.

Если запись найдена, но некорректна, смотрите разбор тегов: отсутствующий v=DKIM1, обрезанное значение p= (DNS-панели часто режут длинные ключи на несколько строк в кавычках) или лишние пробелы ломают проверку.

Пустой тег p= означает, что ключ намеренно отозван. Флаг t=y — домен в тестовом режиме: получатели проверяют подпись, но не применяют её строго; уберите флаг после подтверждения rollout.

Селекторы, ключи и ротация DKIM

DKIM позволяет отправляющему серверу подписывать каждое письмо приватным ключом; получатели берут публичный ключ из DNS по селектору из заголовка DKIM-Signature (тег s=). Селекторы дают домену возможность публиковать несколько ключей одновременно.

Длина ключа важна: RSA 1024 бита ещё принимается, но считается слабым, и большинство провайдеров выдают ключи 2048 бит. Некоторым DNS-панелям нужно разбивать длинную Base64-строку на две части в кавычках.

Ротируйте ключи так: опубликуйте новый ключ под новым селектором, переключите подпись на него и только потом удаляйте или отзывайте старую запись. Проверка каждого селектора отдельно подтверждает каждый шаг.

Порядок проверки почтовой аутентификации

  1. Проверьте MX и SPF в DNS Checker.
  2. Провалидируйте каждый DKIM-селектор ваших провайдеров.
  3. Проверьте TXT-запись _dmarc и её политику.
  4. Повторите проверку после миграции провайдера или ротации ключей.

DKIM валидатор vs dig и заголовки писем

Запись можно получить через dig TXT selector._domainkey.example.com, но теги и длину ключа придётся разбирать вручную. Валидатор делает это автоматически и объясняет каждую находку.

Заголовки Authentication-Results в полученном письме показывают, прошло ли конкретное сообщение. Валидатор отвечает на более ранний вопрос: опубликована ли сама запись и корректна ли она?

Полные deliverability-сервисы тестируют seed-ящики и репутацию. Этот инструмент закрывает DNS-фундамент, от которого зависит всё остальное — быстро, бесплатно и с доступом через API.

Почему DN01 DKIM Validator

  • Поиск по селектору с разбором всех тегов DKIM, типом и длиной ключа — а не просто сырой TXT-вывод.
  • Понятные предупреждения об отозванных ключах (пустой p=), тестовом режиме (t=y) и слабых ключах 1024 бита.
  • Встроен в общий workflow DN01 рядом с DNS, SPF/TXT и blacklist-проверками, интерфейс на 8 языках.

FAQ

FAQ по DKIM валидатору

Селекторы, DNS TXT-записи, длина ключа и что значат тестовый режим и отзыв ключа.

Что такое DKIM-селектор?

Селектор — это метка из тега s= заголовка DKIM-Signature письма. Получатель объединяет её с доменом и запрашивает TXT-запись selector._domainkey.вашдомен.com, поэтому один домен может публиковать несколько ключей подписи одновременно.

Как узнать свой DKIM-селектор?

Откройте отправленное письмо и посмотрите заголовок DKIM-Signature: тег s= и есть селектор. Частые значения: google у Google Workspace, selector1/selector2 у Microsoft 365, k1 у Mailchimp, s1/s2 у SendGrid. Наличие TXT-записи можно подтвердить в DNS Checker.

Почему моя DKIM-запись некорректна?

Частые причины: отсутствует тег v=DKIM1, значение p= обрезано после неправильного разбиения длинного ключа в DNS-панели, лишние кавычки или пробелы, либо запись опубликована не на том hostname. Валидатор разбирает каждый тег и показывает конкретную проблему.

Что значит t=y в DKIM-записи?

Это тестовый флаг: получатели проверяют подпись, но при ошибке обрабатывают письмо как неподписанное. На этапе внедрения это нормально, но уберите флаг, когда DMARC-отчёты стабильно показывают dkim=pass.

Какой ключ выбрать: 1024 или 2048 бит?

2048 бит. Ключи RSA 1024 бита ещё проверяются, но считаются слабыми, и крупные провайдеры по умолчанию выдают 2048 бит. Если DNS-панель не принимает длинное значение, разбейте Base64-строку на две части в кавычках.

Может ли у домена быть несколько селекторов?

Да, и обычно так и должно быть. Каждый почтовый провайдер подписывает своим селектором, а ротация ключей строится на публикации нового ключа под новым селектором до отзыва старого. Проверяйте каждый селектор отдельно.

Соседние инструменты

Выберите следующий шаг в цепочке проверки домена или безопасности.

Весь каталог инструментов

Гайды

Практические руководства по DKIM валидатор: DNS-записи, типичные ошибки и ссылки на бесплатные инструменты DN01.

Вернуться к DKIM валидатор