Pull to refresh

Comments 79

Кстати, только у Яндекса видел специальный значок для верных цифровых подписей DKIM — очень удобная вещь. Спасибо за это! :-)

Было бы ещё интересно почитать про DMARC (знаю, он у вас тоже есть).
Да, DMARC у нас есть. В целом мы активно участвуем в разных рабочих группах по улучшению взаимодействия между почтовыми системами и защите от спама и прочей гадости. Подумаем, чтобы написать про это более подробно.
Да, пожалуйста, подумайте, что бы написать про это более подробно.
Кстати, а как обстоит дело с FBL (Feedback loop) в Yandex-почте? Используете эту технологию?
А то судя по комментарию годичной давности — тогда ещё пока е' у вас не было.
только у Яндекса видел специальный значок для верных цифровых подписей DKIM


Gmail тоже показывает:
image
Ага, но только после клика в нужном месте ;-)
Это уже детали, главное, функциональность есть, а кому её надо отображать значком — ну, поставит юзерскрипт.
Для UI эти детали на первом месте. Это удобство для пользователи и информативность интерфейса.
Функционал такой есть у всех. Но у Яндекса он реализован ИМХО лучше других.
Ведь вы не готовы смотреть заголовки каждого сообщения для определения его достоверности, верно же?
Ну, мне как-то и не надо проверять достоверность каждого сообщения, а для тех, которые надо — я обязательно посмотрю ВСЕ заголовки.
Ещё раз — смотрите первый абзац моего ответа)

Дело не в том, что у кого-то нету возможно проверить достоверность сообщения, а в том, что Яндекс показывает это сразу без необходимости что-то кликать.
А если бы он сразу без необходимости кликать показывал погоду на Марсе — тоже было бы клёво? Дай Бог один юзер из сотни понимает к чему этот значок, а интерфейс загромождает всем.
1. Информация о достоверности письма — важная и нужная (особенно для не очень опытных пользователей"), в отличии от погоды на других объектах Солнечной системы!

2. Посмотрите внимательно на скриншот (либо откройте Яндекс-почту, если таковая имеется) и откройте для себя, что значёк занимает не нужное, функциональное пространство, а то место, что у других почтовых провайдеров просто пустует без дела.

image
Да ладно, пусть себе будет. Меня просто позабавила мысль о том, что дизайнерское решение рисовать значок кем-то воспринимается как «у яндекса эта фича есть, а у других — нет». Одно дело наличие\отсутствие фичи, другое дело её визуальное оформление.
Одного позабавило, а миллионам других пользователей поможет понятнее и эффективнее работать с почтой.
Значок очень классный, я бы сказал, гениальный с точки зрения UI.

Кроме того, если уж брать аналогии, то попасть из точки А в точку В вы можете как на Мерседесе, так и на ВАЗ-2101 (одинаковый функционал, правда ведь?). Интерфейс не менее важен, чем функциональность для любого приложения. А DKIM давно уже поддерживается всеми основными почтовыми провайдерами, и не является такой уже и фичей.
А если бы он сразу без необходимости кликать показывал погоду на Марсе — тоже было бы клёво?

Показывает же!

image
У gmail сейчас если подписанное DKIM письмо не прошло проверку, оно попадает в спам.
про DMARC полгода назад mail.ru хорошо написал — если интересно, читайте тут. В посте есть и схема — очень наглядно.
DKIM — безусловно хорошо. Но почините лучше Я.Деньги уже
А что у Вас не работает в Яндекс.Деньгах? Давайте обсудим.
Только я было сел поудобнее для обсуждения, как обнаружил, что уже заработало. Спасибо )
Мы ничего не делали :) Если что, пишите!
*Добавил Kirby в закладки браузера с заголовком «Починить Яндекс.Деньги»
Например, при включенном AdBlock Яндекс.Деньги не дают сделать оплату, потому что после ввода платежного пароля тебе говорят, что счет заблокирован, т.к. ты воспользовался новым устройством. Получаешь SMS, вводишь код разблокировки, пытаешься отправить снова, рекурсия.
Это защита от мошенничества (захода с незнакомых устройств), вероятно, AdBlock каким-то образом Вас анонимизирует :)
Во-первых, в самое ближайшее время Яндекс.Деньги немного изменят настройки, и проблема, скорее всего, решится сама собой. Во-вторых, если Вам удобно получать SMS, и Вы хотите заодно получше защитить счёт, лучше перейти на бесплатные SMS-пароли — если у пользователя включена усиленная авторизация, эта защита с подтверждением по SMS не включается. Предполагается, что Ваш счёт и так неплохо защищён.
AdBlock не анонимизирует, AdBlock режет рекламу и это не должно влиять на работу такой системы как Яндекс.Деньги. Это работает в Chrome + AdBlock, можете проверить сами. Комбинация такая стоит не у такого уж маленького количества людей, но не все могут догадаться с чем связано такое неадекватное поведение системы. Я-то это уже пофиксил, отключив AdBlock на домене Яндекс.Денег, тем не менее вам стоит этот баг рассмотреть и принять какие-то меры по его устранению, имхо.
А Вы не могли бы написать всё про браузер и версию AdBlock'а?
AdBlock v2.6.4, Chrome 28.0.1500.95, хотя последний раз я проверял это на 26 или 27 версии, это было месяц/два назад.

Кроме AdBlock'а стоят также (вдруг важно):
Awesome Screenshot: Capture & Annotate 3.4.4
Disconnect 5.6.0
Discover DevTools Companion 0.2.13
Evernote Web Clipper 5.9.19
Image Properties Context Menu 0.7.6
Magic Actions for YouTube™ 6.0.3
Vimium 1.43
Web Developer 0.4.3
YouTube HQ Thumb 1.3.4
Тогда бы все заработало после отключения Disconnect :) А начинает работать именно после отключения AdBlock, Disconnect при этом не мешает никак.
в случае пересылки (Forward) письма с сервера на сервер проверка SPF на принимающей стороне завершится неудачно

Подозреваю, что в наше время случаи пересылки крайне редки.
Не совсем так. Их, конечно, мало в процентном отношении, но в абсолютных числах все равно получается довольно много.
Спамооборона-1024 1 сентября всё? Понятно что от коробочной версии вы отказались, но оставьте хотя бы платный сервис, ну пожалуйста.
Я тут как-то планировал сделать нормальный сервис для проверки SPF и DKIM, с объяснениями, зачем это нужно и как настроить, но что-то забросил. Часто, в SPF ставят на -all, а ~all, что, я считаю, не всегда верно. Сейчас работает только spf.valdikss.org.ru/
Gmail почему-то игнорирует -all и помещает письмо отправленное с постороннего IP-адреса во входящие даже не помечая.
Насколько я понял, ПДД выдаёт TXT-запись, которая является публичным ключом. А даст ли сервис закрытый ключ, если я захочу с него уйти?
Сгенерируйте новый, делов то.
Разве не получится в таком случае ситуации, что старые, отправленные ещё с серверов «Яндекса» письма будут вызывать предупреждения о несоответствии подписи?
Вообще не получится. Подпись DKIM проверяется в момент получения и дальше сервер следует ранее принятому решению.
По запросу мы отдаем закрытый ключ, конечно же. Это бывает нужно еще и в том случае, если Вы хотите отправлять почту не только с серверов Яндекса.
Про отправку почту «не только с серверов яндекса» — это вы, простите за выражение, загнули немного: в dkim можно много прописывать селекторов, к которым привязывается подпись (у вас селектор s=mail почему-то вместо s=yandex, кстати — возможно, когда делали, не до конца вникли, зачем нужны селекторы). Нужен еще один сервер отправки — нет проблем: он просто подписываетс другим селектором. Так что отдача приватногот ключа с технической точки зрения не нужна (гугл его и не отдает, например, и селектор у него s=google).
Можно так, можно иначе. В целом, конечно, закрытый ключ вряд ли пригодится администратору домена, но мы не делаем из него тайны и можем его отдать, если зачем-то будет нужно.
По запросу мы отдаем...

А принять по запросу можете?
К примеру если я делаю рассылку через Amazon SES как можно правильно настроить dkim на обоих системах?
Как выше уже посоветовали, можно использовать селекторы. В принципе, можем и принять ключ, если это зачем-то нужно.
Дело даже не в уходе. Ситуация — почту надо отправлять с другого хоста и хочется иметь DKIM. Неделю назад обратился в поддержку Яндекс.Почты, обещали помочь с закрытыми ключами (доменов несколько).
Для одного домена пришлось сгенерировать новый (опять же учтите ограничение записи в 256 символов!)
Не в тему, но совсем немного: IPv6 не внедряете в почту для доменов тоже из-за безопасности (неизученности протокола в частности и реальной ситуации с ним в общем)?
$ dig -t AAAA mx.yandex.ru +short $
Постепенно будет поддержка IPv6. Следите за новостями.
А если используем свой почтовый сервер для отправки почты и на нем уже настроен dkim? Как настроить dkim для отправки писем и через интерфейс яндекса? (выше ответили)

upd: Куда написать для получения закрытого ключа?
В службу помощи или на pdd@yandex-team.ru
Выше я написал про селекторы, приватный ключ от яндекса не должен быть нужен.
Можно ли сделать, чтобы при отправке через SMTP тоже была валидная подпись? Это не критично, но если возможно, то хорошо.

И ещё вопрос, не уверен что по адресу, но тоже про яндекс почту. Я пользуюсь списками рассылки (mailing list), и письма, отправленные в них, находятся в собственно «Отправленных», а также во «Входящих», т.к. копия приходит обратно, причём они идентичны. Если создана папка для этого списка рассылки с соответствующим правилом («кому» = адрес рассылки), то эти письма в ней дублируются. Можно ли как-то этого избежать? Например, gmail показывает только одно такое письмо.
UFO landed and left these words here
Если не сложно, напишите побольше подробностей в нашу службу помощи.
Добрый день!

Подскажите как подключить DKIM для домена, если он не делигрован на яндекс?

Есть ли возможность прописать собственный секретный ключ, если у нас почта рассылается одновременно и с собственного сервера и через почту для домена?

Для уведомлений с сайта у нас заведен поддомен, но сотрудникам в некоторых случаях удобнее высылать письма напрямую из CRM системы не заходя в почту. В данный момент такое письмо просто отправляется нашим сервером и оно уходит подписанное DKIM. Можно ли передать яндекс.почте для домена секретный ключ чтобы там тоже письма отправлялись подписанные?
Вы можете использовать 2 подписи, указал разные селекторы (например mail и mail2). Подпись яндекса видна в правой нижней части панели «почта для домена».
Да, точно, использовать другой селектор вариант.
Подпись не вижу:
Скрытый текст

Можно и секретный ключ ваш положить, напишите в службу помощи — поможем.
Яндекс тут хорошо сработали: год назад сами мне написали что желательно включить для нашего домена DKIM и отписаться когда всё сделаем. Я сделал, отписался, и живой человек ответил мне с благодарностью на e-mail.

А вот пробиться в поддержку гугла и попросить объяснить почему письма с регистрацией на форум попадают в спам — почти нерешаемая задача.

Не реклама, просто мысли вслух.
О, теперь можно будет и на Яндексе проверять подлинность писем со взломанных ящиков.
Это и раньше можно было делать. А вот с ПДД доставляемость улучшилась немного.
dkim на прошлой неделе подключал, впечатляет, спасибо! Вопрос есть по «иконкам», для большинства сервисов они от яндекса, а вот для своих ящиков, как понимаю, они с gravatar цепляются, правильно?
Если речь идёт об обычных пользовательских ящиках, то портрет берётся либо из настроек, либо из сети. Год назад мы писали о том, как Яндекс.Почта извлекает информацию об отправителях из социальных сетей и разных хранилищ портретов. Среди таких мест есть и Gravatar.

Но если речь идёт о различных рассылках, то иконки таким письмам присваиваются в зависимости от типа рассылки, персональных иконок крайне мало. Тип письма определяется автоматическими алгоритмами Спамообороны в процессе проверки на спам по совокупности признаков в тексте. Об этом мы тоже рассказывали недавно в отдельном посте.
А не собираетесь ли вы убрать x-originating-ip из заголовков писем на яндексе и доменах?
Современные системы фильтрации спама, по-моему, в этом уже не нуждаются.
В gmail таких заголовков очень давно нет, если отправлять письма через браузер, однако ж в Google Apps for Domain еще есть почему-то.
Вот ведь, а!
Сижу настраиваю DKIM + exim на всех своих серверах и доменах, обновляю ключи, пробую разную длину, играю с NS записями. Тестирую на yandex, (удобно видеть сразу зеленый значок). Дай думаю отвлекусь, хабр почитаю… А тут опять DKIM o_O ) День DKIM какой-то прям.
А вообще не помню точно, но точно еще год назад озадачился этим вопросом на своих серверах, и у вас уже был зеленый значок в ответ на корректный DKIM.

Вопрос Яндекс
Вот тока интересует вопрос. В одном и том же случае, при некорректном DKIM yandex выдавал dkim=neutral, а гугл и yahoo =fail (bad_format).
Не могли бы вы написать, в каком случае вы ставите письмам =neutral?
И плохая, имхо, идея — использовать селектор по-умолчанию mail._domainkey.
Я так подозреваю, очень многие не утруждают себя сменой селектора из копипаста с мануалов, и у многих NS уже будет такой селектор. От недостаточного понимания вопроса, многие просто добавят или перезатрут запись с ключом и у них откажет свой родной DKIM.
Скажите, а как управлять серой иконкой по типу favicon у письма? Такие иконки почему--то есть у твиттера, фэйсбука, вк и у некоторых других популярных сервисов.
Персональные иконки есть только в нескольких самых крупных честных рассыльщиков уведомлений. Для присвоения иконок другим рассылкам Яндекс.Почта использует алгоритмы Спамообороны и технологию «Маркер», которая по различным признакам определяет тип рассылки (социальная сеть, скидочный сервис, авиабилеты и т.п.) и присваивает соответствующую типу иконку. Если Вашей рассылке не присвоена иконка, сообщите об этом в службу поддержки по адресу mail@support.yandex.ru, прислав примеры писем, отправляемых Вашим сервисом, в виде eml-файлов.
Супер. Особенно понравилась иконка — хорошее решение, ИМХО.

Для тех, кто пользуется Thunderbird, есть расширение «DKIM Verifier», позволяющее автоматически проверять подписи приходящих доменов.

Среди самой недавней корреспонденции, DKIM есть у m.bn.com, paypal, steam, Humble Bundle, Facebook.
Удивило отсутствие его у Украинского Альфа-Банка и ODesk.
Коллеги, кто хорошо разобрался с DKIM, помогите настроить для домена на PDD от Яндекс?
Здравствуйте! DKIM настраивается достаточно легко по инструкции на странице help.yandex.ru/pdd/additional/dkim.xml — нужно либо делегировать домен на DNS Яндекса, либо создать на друих DNS, на которые домен делегирован сейчас, TXT запись с содержимым, генерируемым в панели управления доменом.
Решилась проблема, обращением в суппорт.

Есть один ещё вопрос: для каждого сервиса рассылки (epochta/mailchimp/unisender) нужно подписывать письма DKIM?
Каждый отправляющий сервер ставит DKIM самостоятельно в момент отправки письма. Соответственно, при отправке писем со сторонних сервисов нужно договариваться с их системными администраторами о настройке отправляющих серверов.
Вчера пробовал настраивать DKIM с вашим ключом — не получилось. Сегодня решил попробовать еще раз, но ключа в указанном разделе уже нету. Даже упоминания о DKIM нету. Вы прекратили поддержку цифровой подписи?
Поддержка не прекращена, все письма, отправляемые с серверов Яндекса, подписываются DKIM. Увидеть значение нужной записи можно на странице управления доменом pdd.yandex.ru/domain/ИМЯ_ДОМЕНА в правом нижнем углу под ссылкой «Показать содержимое записи».
Василий, вопрос к вам по DKIM.
Хочу подключить «Почтовый офис» Яндекса.
Исходные данные:
MX — Google — входящая почта вся через них
SMTP — Google, Amazon, Timeweb и Яндекс планируется
SPF настроен: v=spf1 include:amazonses.com ip4:92.53.116.0/22 ip4:92.53.96.0/22 ip4:92.53.112.0/22 ip4:92.53.104.0/22 include:_spf.google.com include:_spf.yandex.ru ~all
Нужно DKIM настроить, но не понятно, как правильно записывать несколько ключей DKIM?
Создавать несколько поддоменов и для каждого делать TXT запись в DNS?
В одном поддомене делать несколько TXT записей?
TXT записи с SPF отдельно должны быть или вместе с DKIM писать?
Главное, чтобы сервер, который подписывает письма, в самой подписи указывал тот же поддомен, на котором Вы создадите TXT с ключом. Соответственно, Вам надо подстраиваться под каждую систему, которой Вы пользуетесь для отправки. И если у какой-то из них поддомен для DKIM в требованиях будет совпадать с другой системой, одна из них не будет работать (на Ваш выбор).
А вообще спамить через Яндекс — плохо :)
Вы не поняли вопроса, ну это уже и не актуально — все настроено и работает.
Спамить вообще плохо, а через яндекс и не возможно, т.к. его нельзя использовать в качестве smtp только, нужно еще и почту на него переносить в этом случае, т.е. MX на него должна указывать.
Не ясно, при чем тут вообще спам, вопрос не об этом был.
В Вашем комментарии пишется, что Вы собирались использовать SMTP Яндекса, а ещё ниже в SPF делается include:_spf.yandex.ru, поэтому я и подумал, что Вы собираетесь, как и написали, использовать серверы Яндекса для отправки писем.
Only those users with full accounts are able to leave comments. Log in, please.