搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单

使用 DKIM 对电子邮件进行身份验证

关于 DKIM

您可以使用 DKIM 标准向外发邮件标头添加数字签名,从而帮助防止欺骗。这包括使用网域私钥来加密您所在网域的外发邮件标头,以及在该网域的 DNS 记录中添加该密钥的公共版本。然后,收件人服务器就可以检索公钥以解密收到的邮件的标头,并验证相应邮件是否确实来自您的网域且中途未经更改。

G Suite 的数字签名符合域名密钥识别邮件 (DKIM) 标准

DKIM 的工作原理

要在外发邮件中添加电子签名,您需要生成网域密钥,供 G Suite 用于创建您网域专属的签名邮件标头。您需要将公钥添加到网域的域名系统 (DNS) 记录中。然后,收件人可以检索您的公钥并使用它来确认您的签名,从而验证邮件消息的来源。

为了增强安全性,您现在可以生成 2048 位网域密钥,取代 1024 位网域密钥。如果您的注册商支持较长的密钥,我们建议您生成安全性更高的 2048 位密钥。

如果您此前生成了 1024 位的网域密钥,则此密钥不会受此更改的影响。

步骤概述

请为与您 G Suite 帐号关联的各个网域重复以下步骤。

  1. 为您的网域生成公共网域密钥
  2. 向您网域的 DNS 记录添加密钥,这样收件人可以检索它,以读取 DKIM 标头。
  3. 启用电子邮件签名功能,开始将 DKIM 标头添加到外发邮件中。

如果您是在注册 G Suite 时通过我们的域名托管服务商合作伙伴购买的域名,请跳过前两部。当您启用身份验证后,Google 就会自动生成网域密钥并添加所需的 DNS 记录。

下一步:生成网域密钥

网域已经拥有 DKIM 密钥

如果您的网域已经有 DKIM 网域密钥(例如,如果旧邮件服务器签署外发邮件),您仍然需要生成一个单独的密钥供 G Suite 使用。G Suite 网域密钥与其他任何密钥的区别在于,它拥有一个称为“选择器前缀”的字符串。默认情况下,G Suite 网域密钥的选择器前缀是“google”,但您可以在生成密钥时输入新的选择器前缀。

设置 DMARC 以处理未通过 DKIM 检查的邮件

如果某封邮件未能通过 SPF 记录检查,您的电子邮件服务提供商会决定如何处理这类邮件。要控制电子邮件服务提供商的处理方式,您可以为 G Suite 网域创建基于网域的邮件身份验证、报告和一致性 (DMARC) 记录。借助 DMARC,您可以设置相关政策以指定是要不执行任何操作、隔离邮件还是拒绝邮件。详细了解 DMARC

使用出站邮件服务器

如果您使用修改外发邮件的出站邮件网关(如添加合规性页脚),那么该更改会使 DKIM 签名失效。您需要阻止网关服务器修改邮件,或者让网关服务器随后为邮件添加 DKIM 签名。

有关 Google 提供的其他防欺骗措施,请参阅 SPF 记录了解 DMARC
本文是否对您有帮助?
您有什么改进建议?
登录您的帐户

使用您的 G Suite 帐户电子邮件地址登录,以获取针对帐户的帮助,或了解如何开始使用 G Suite