使用 DKIM 对电子邮件进行身份验证

设置 DKIM 以防止电子邮件遭到假冒

提高电子邮件的安全性,保护您的网域

使用域名密钥识别邮件 (DKIM) 标准有助于防止您网域的外发邮件遭到假冒。

电子邮件遭到假冒是指电子邮件内容遭到更改,使邮件显示为非真实来源的发件人或发件地址。这是对电子邮件进行未经授权的利用的常见手法,因此有些电子邮件服务器要求使用 DKIM 来防止电子邮件遭到假冒。

DKIM 会将加密签名添加到所有外发邮件的标头中。收到已签署邮件的电子邮件服务器会使用 DKIM 解密邮件标头,并验证邮件发送后是否遭到更改。

提高电子邮件安全性

除 DKIM 外,我们还建议您设置以下安全防护机制:

如果您未设置 DKIM,则 Gmail 会使用默认的 DKIM 设置

DKIM 签名可提高电子邮件安全性,并有助于防止电子邮件遭到假冒。我们建议您对所有外发邮件使用自己的 DKIM 密钥。

如果您未生成自己的 DKIM 域名密钥,则 Gmail 会使用以下默认的 DKIM 域名密钥签署所有外发邮件:d=*.gappssmtp.com。

系统不会使用默认 DKIM 密钥为 mail.google.com 以外的服务器发送的邮件签名。

设置 DKIM 的步骤

  1. 为您的网域生成域名密钥。
  2. 向网域的 DNS 记录添加公钥。电子邮件服务器可使用此密钥读取邮件 DKIM 标头。
  3. 开启 DKIM 签名功能以开始将 DKIM 签名添加到所有外发邮件中。
立即开始设置

有关 DKIM 的常见问题

DKIM 如何运作?

DKIM 使用一对密钥(一个私钥和一个公钥)来验证邮件。

私有域名密钥会向所有来自您 Gmail 网域的外发邮件添加加密标头。

系统会将匹配的公钥添加到您 Gmail 网域的域名系统 (DNS) 记录中。收到来自您网域的邮件的电子邮件服务器会使用此公钥解密邮件标头,来验证邮件来源。

当您在 Gmail 中启用电子邮件身份验证时,DKIM 就会开始加密外发邮件的标头。

如果我的网域已拥有 DKIM 密钥,该怎么办?

如果您已在网域中使用 DKIM(通过其他电子邮件系统),则必须生成一个新的唯一域名密钥用于 Gmail。

域名密钥包含一个名为选择器前缀的文本字符串,您可以在生成密钥时更改该前缀。默认情况下,G Suite 网域域名密钥的选择器前缀是“google”。生成密钥时,您可以将默认选择器前缀从 google 更改为您自选的文本。

如何为修改外发电子邮件内容的服务器设置 DKIM?

如果您使用修改外发邮件的出站邮件网关,那么 DKIM 签名则会失效。例如,为所有外发邮件添加页脚的电子邮件服务器。要避免此问题,请采取以下其中一种做法:

  • 设置网关,使其不会修改外发邮件的内容。
  • 将网关设置为先更改邮件内容,再添加 DKIM 签名。
如果来自我网域的电子邮件因为未通过 DKIM 而遭到拒绝,我该怎么办?

如果来自您网域的邮件遭拒,请与执行拒绝操作的电子邮件服务器的管理员联系。电子邮件服务器不应拒绝由于缺少或无法验证 DKIM 签名 (RFC 4871) 的邮件。

该内容对您有帮助吗?
您有什么改进建议?