为您的网域启用 DKIM

防范仿冒邮件和钓鱼邮件，帮助避免邮件被标记为垃圾邮件

请按照本文中的步骤获取域名密钥识别邮件 (DKIM) 密钥、在域名提供商处添加密钥，然后为网域启用 DKIM 身份验证。

如果您的域名提供商是 Google Domains，则 Google 会在您设置 Google Workspace 时自动创建 DKIM 密钥，并将其添加到网域的 DNS 记录。请直接参阅在管理控制台中启用 DKIM 签名。

我们建议您始终按照本文中的步骤为网域设置 DKIM 密钥。如果您未设置自己的 DKIM 密钥，Gmail 会使用以下默认 DKIM 密钥为所有外发邮件签名：d=*.gappssmtp.com。通过非 Google 服务器发送的邮件不会使用默认 DKIM 密钥签名。

第 1 步：在管理控制台中获取 DKIM 密钥

您必须以超级用户身份登录，才能执行此任务。

重要提示：为贵组织启用 Gmail 后，您必须等待 24 到 72 小时，才能在管理控制台中获取 DKIM 密钥。如果您在等待期内尝试生成密钥，则可能会遇到以下错误：DKIM record not created（未创建 DKIM 记录）。使用已注册的域名启用 Gmail 后，您必须等待 24 到 72 小时才能创建 DKIM 记录。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Gmail。
点击对电子邮件进行身份验证。
在所选网域菜单中，选择您要设置 DKIM 的网域。
点击生成新记录按钮。

在生成新记录方框中，选择您的 DKIM 密钥设置：

设置	选项
	DKIM 密钥的位长度	2048 - 如果您的域名提供商支持 2048 位密钥，请选择此选项。长密钥比短密钥更安全。如果您之前使用的是 1024 位密钥，则只要域名提供商支持，就可以切换到 2048 位密钥。详细了解网域密钥和 TXT 记录限制。 1024 - 如果您的域名托管服务商不支持 2048 位密钥，请选择此选项。
前缀选择器	默认选择器前缀是 google。我们建议您使用默认值。如果您的网域已在使用前缀为 google 的 DKIM 密钥，请在此字段输入其他前缀。详细了解 DKIM 选择器。

设置

选项

DKIM 密钥的位长度

2048 - 如果您的域名提供商支持 2048 位密钥，请选择此选项。长密钥比短密钥更安全。如果您之前使用的是 1024 位密钥，则只要域名提供商支持，就可以切换到 2048 位密钥。详细了解网域密钥和 TXT 记录限制。

1024 - 如果您的域名托管服务商不支持 2048 位密钥，请选择此选项。

前缀选择器

默认选择器前缀是 google。我们建议您使用默认值。

如果您的网域已在使用前缀为 google 的 DKIM 密钥，请在此字段输入其他前缀。详细了解 DKIM 选择器。

在生成新记录方框的底部，点击生成。在设置页面上，TXT 记录值下方的文本字符串会变为新值，并显示以下消息：DKIM authentication settings updated（已更新 DKIM 身份验证设置）。

复制对电子邮件进行身份验证窗口中显示的 DKIM 值。您需要在接下来的步骤中将其添加到域名提供商处：

			DNS 主机名（TXT 记录名称）：此文本即为您要添加到域名提供商的 DNS 记录中的 DKIM TXT 记录名称。请在“Host”（主机）字段中输入此名称。
			TXT 记录值：此文本即 DKIM 密钥。您需要将此密钥添加到 DKIM TXT 记录中。请在“TXT Value”（TXT 值）字段中输入该密钥。

请登录您的域名提供商网站，以执行下一步。

第 2 步：为您的网域添加 TXT 记录名称和 DKIM 密钥

登录域名提供商网站，然后添加您在第 1 步中获得的 DKIM 信息。

请记住以下提示：

TXT 记录限制：某些域名提供商会限制 TXT 记录长度。如果您属于此情况，请参阅 TXT 记录限制和 DKIM 密钥。
DKIM 最多可能需要 48 小时才能启用 ：添加 DKIM 密钥后，DKIM 身份验证最多可能需要 48 小时才能开始生效。
多个网域：如果您要为多个网域设置 DKIM，请为每个网域完成以下步骤。您必须从管理控制台中获取每个网域唯一的 DKIM 密钥。
子网域：如果您需要为子网域设置 DKIM，请参阅为子网域添加 DKIM 密钥。
请勿使用 DKIM 长度标记 (l=)：如果您为 Google Workspace 以外的电子邮件系统设置 DKIM，请勿在外发邮件中使用 DKIM 长度标记。使用此标记的邮件容易遭到滥用。如需了解详情，请参阅 RFC 6376 第 8.2 节。

如需网域登录信息、设置或 TXT 记录方面的帮助，请与您的域名提供商联系。例如，如果您的域名提供商是 Google Domains，则请在此处获取帮助。Google 不会针对第三方域名提供商提供技术支持服务。

登录域名提供商的管理控制台。
找到更新网域 DNS 设置的页面。
为 DKIM 添加 TXT 记录：
- 在第一个字段中，输入管理控制台中显示的 DNS 主机名（TXT 记录名称）。
- 在第二个字段中，输入管理控制台中显示的 TXT 记录值（DKIM 密钥）。
保存更改。

返回管理控制台以执行下一步。

第 3 步：启用 DKIM 签名

重要提示：对电子邮件进行身份验证页面可能会继续显示以下消息（最长不超过 48 小时）：您必须更新此网域的 DNS 记录。如果您已在域名提供商处正确添加 DKIM 密钥，则可以忽略此消息。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Gmail。
点击对电子邮件进行身份验证。
在所选网域菜单中，选择要启用 DKIM 的网域。
点击启动身份验证按钮。如果 DKIM 已设置完毕且运作正常，那么页面顶部的状态会更改为：通过 DKIM 对电子邮件进行身份验证。

停用 DKIM

我们不建议您为网域停用 DKIM。如果没有 DKIM 的保护，黑客和其他恶意用户可能会仿冒您的网域，发送伪装成来自贵组织或网域的邮件。来自您网域的邮件也更有可能被列为垃圾邮件。如果您必须停用 DKIM，请按照停用 DKIM 中的步骤操作。

第 4 步：验证是否已启用 DKIM 身份验证

向一名 Gmail 或 Google Workspace 用户发送一封电子邮件。（您无法通过向自己发送测试邮件来验证是否已启用 DKIM。）
在收件人的收件箱中打开相应邮件，找到完整的邮件标头。
注意：查看邮件标头的步骤因电子邮件应用而异。如需在 Gmail 中显示邮件标头，请点击回复旁边的更多图标 显示原始邮件。
在邮件标头中，查找 Authentication-Results。接收邮件的服务会对传入邮件标头采用不同的格式，但 DKIM 结果应如下所示：DKIM=pass 或 DKIM=OK。

如果邮件标头没有包含 DKIM 信息的行，则说明从您的网域发送的邮件未使用 DKIM 签名：

确认您已完成本文中的所有步骤。
转到排查 DKIM 问题。

该内容对您有帮助吗？

您有什么改进建议？