设置 DKIM

Gmail 用户:如果您在 Gmail 中收到垃圾邮件或钓鱼式攻击邮件,请改为点击此处。如果您在 Gmail 中收发电子邮件时遇到问题,请改为点击此处

作为管理员,您可以设置 DKIM(也称为 DKIM 签名)来验证电子邮件,并帮助保护您的网域免遭仿冒。

如果不使用 DKIM,邮件接收服务器将贵单位或网域发出的邮件标记为垃圾邮件的可能性会增高。

本页内容

DKIM 如何运作?

如需设置 DKIM,您需要为网域生成一对 DKIM 密钥:

  • 存储在网域的 DKIM DNS TXT 记录中的公钥。这是您添加到域名中的密钥。
  • 上传到电子邮件服务器的私钥。此密钥会生成 DKIM 签名并将其添加到您发出的所有电子邮件中。
1. 包含私钥的发件人电子邮件服务器。
2. 包含公钥的发件人 DKIM TXT 记录。
3. 发件人的私钥会将 DKIM 签名添加到外发电子邮件的标头中。
4. 电子邮件会发送到接收者的域名。
5. 接收者的电子邮件服务器从 DKIM TXT 记录中获取公钥,并使用该公钥读取 DKIM 签名并对电子邮件进行身份验证。

如果您使用出站邮件网关

出站网关可设置为修改外发邮件的内容。例如,部分出站网关会在每封外发邮件底部添加页脚。这会导致邮件无法通过 DKIM 检查,因为邮件内容在发送后发生了变化。

确保出站网关设置不会干扰 DKIM:在设置 DKIM 之前,请先设置网关,使其不会修改外发邮件的内容,或者设置网关,使其先更改邮件内容。请参阅设置出站网关以处理外发邮件

第 1 步:检查是否已设置 DKIM

您执行此检查的方式取决于您是否使用 Google Workspace: 

  • 如果您正在使用 Google Workspace,请按照本部分中的说明操作。
  • 如果您未在使用 Google Workspace,请联系您的电子邮件服务提供商和/或 ISP(如果您的 ISP 是发送电子邮件的域名)。如果您自己管理电子邮件,请使用互联网上提供的工具之一。
如果您的域名提供商是 Google Domains 或 Squarespace,则 Google 会自动创建 DKIM 密钥,并将其添加到网域的 DNS 记录。请跳至启用并验证 DKIM

Before your start: Check your current SPF and DKIM

在设置电子邮件身份验证之前,请使用 Google 管理员工具箱检查是否已设置 SPF 和 DKIM。

  1. 登录您的 Google 管理控制台

    请使用拥有超级用户权限的帐号(不是以 @gmail.com 结尾)登录。

  2. 转到 Google 管理员工具箱
  3. 域名字段中输入域名。

    注意:在某些情况下,您可能需要输入 DKIM 前缀选择器,该选择器可唯一标识 DKIM 密钥。默认值为 google

  4. 点击执行检查
  5. 测试完成后,请检查是否出现以下消息之一:
  • DKIM 身份验证 DNS 设置:系统已为该网域和选择器设置 DKIM 密钥。 我们建议您也设置 DMARC
  • 尚未设置 DKIM:您的网域没有与所输入的前缀选择器对应的 DKIM 密钥。请使用所提供的选择器设置新密钥。继续生成 DKIM 密钥对

第 2 步:生成 DKIM 密钥对

  • 如果您正在使用 Google Workspace,请按照本部分中的说明操作。
  • 如果您未在使用 Google Workspace,请使用互联网上提供的工具执行以下操作:
    • 找到您的 DKIM 前缀选择器。您可以向收件箱发送测试电子邮件,查看邮件源代码,然后在 DKIM-Signature 标头中找到 s 值。
    • 指定您的域名、密钥长度和 DKIM 前缀选择器,以生成 DKIM 密钥对。
    • 将私钥存储在邮件服务器配置中,并将公钥添加到您的网域。

Generate a DKIM key for your domain

您必须以超级用户身份登录,才能执行此任务。

重要提示:在 Google Workspace 中,为贵组织启用 Gmail 后,您必须等待 24 到 72 小时,才能在管理控制台中获取 DKIM 密钥。如果您在此时间之前尝试生成密钥,则可能会收到 DKIM 记录未创建的错误消息。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 应用 接着点击 Google Workspace 接着点击 Gmail
  3. 点击对电子邮件进行身份验证
  4. 所选网域菜单中,选择您要设置 DKIM 的网域。
  5. 点击生成新记录按钮。
  6. 生成新记录方框中,选择您的 DKIM 密钥设置:
    • DKIM 密钥位长度选项:
      • 2048 - 如果您的域名提供商支持 2048 位密钥,请选择此选项。长密钥比短密钥更安全。如果您之前使用的是 1024 位密钥,则只要域名提供商支持,就可以切换到 2048 位密钥。
      • 1024 - 如果您的域名托管服务商不支持 2048 位密钥,请选择此选项。
    • 前缀选择器选项:
      • 默认前缀选择器是 google。如果您使用的是 Google Workspace,建议您选择此选项。
      • 如果您的网域已在使用前缀为 google 的 DKIM 密钥,请在此字段输入其他前缀。详细了解 DKIM 选择器。
  7. 点击生成。 在“对电子邮件进行身份验证”页面上,TXT 记录值会更新,并显示以下消息:已更新 DKIM 身份验证设置

    重要提示:对电子邮件进行身份验证页面可能会继续显示以下消息(最长不超过 48 小时):您必须更新此网域的 DNS 记录。如果您已在域名提供商处正确添加 DKIM 密钥,则可以忽略此消息。

  8. 复制对电子邮件进行身份验证窗口中显示的 DKIM 值。您需要在接下来的步骤中将其添加到域名提供商处:
      1. DNS 主机名(TXT 记录名称):此文本即为您要添加到域名提供商的 DNS 记录中的 DKIM TXT 记录名称。请在“Host”(主机)字段中输入此名称。
      2. TXT 记录值:此文本即 DKIM 密钥。您需要将此密钥添加到 DKIM TXT 记录中。请在“TXT Value”(TXT 值)字段中输入该密钥。
         
         
         
         

第 3 步:为您的网域添加 DKIM 密钥

生成 DKIM 密钥对后,请通过创建 DKIM TXT 记录将公用 DKIM 密钥添加到您的网域。

如需网域登录信息、设置或 TXT 记录方面的帮助,请与您的域名提供商联系。Google 不会针对第三方域名提供商提供技术支持服务。

Add DKIM domain key to domain DNS records

将 Google 管理控制台中的 DKIM 密钥添加到您域名提供商的 DNS 记录中。

  1. 登录您的域名托管服务商(通常是您购买域名的公司)。如果您不确定自己的域名托管服务商是谁,请参阅确定您的域名注册商
  2. 前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助,请查看您域名的相关文档。
  3. 使用以下信息添加或更新 TXT 记录:

    字段名称 输入的值
    类型 记录类型为 TXT
    Host(主机) 网域(或子网域),也称为名称、主机名或别名。如果主机与您要将 TXT 记录添加到的网域(而非子网域)相同,请指定 @ 符号。

    构成 TXT 记录的字符串:

    TTL(仅限 SPF 和 BIMI)

    存留时间 (TTL) 值决定了对记录所做的后续更改需要多少秒才会生效。

    您可以将此值设置为 1 小时或 3600 秒。

    如果您的网域不允许修改此字段的值,请使用当前值。

    注意:某些域名提供商会限制 TXT 记录长度。如果您属于此情况,请参阅验证域名提供商的 TXT 记录字符数限制
  4. 保存更改。
  5. 如果您使用子网域,请联系您的域名提供商,了解如何为子网域添加 TXT 记录。
  6. 如果您要为多个网域设置 DKIM,请为每个网域完成以下步骤。您必须从管理控制台中获取每个网域唯一的 DKIM 密钥。

添加 DKIM 密钥后,DKIM 身份验证最多可能需要 48 小时才能开始生效。

第 4 步:启用并验证 DKIM

  • 如果您正在使用 Google Workspace,请按照本部分中的说明操作。
  • 如果您未在使用 Google Workspace,请使用互联网上提供的工具之一。

Turn on DKIM signing

在域名提供商处添加 DKIM 密钥后,请在 Google 管理控制台中启用 DKIM 签名。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 应用 接着点击 Google Workspace 接着点击 Gmail
  3. 点击对电子邮件进行身份验证
  4. 所选网域菜单中,选择要启用 DKIM 的网域。
  5. 点击启动身份验证。如果 DKIM 已设置完毕且运作正常,那么页面顶部的状态会更改为:通过 DKIM 对电子邮件进行身份验证
  6. 向一名 Gmail 或 Google Workspace 用户发送一封电子邮件。(您无法通过向自己发送测试邮件来验证是否已启用 DKIM。)
  7. 在收件人的收件箱中打开相应邮件,找到完整的邮件标头。

    注意:查看邮件标头的步骤因电子邮件应用而异。如需在 Gmail 中显示邮件标头,请点击回复旁边的更多图标 接着点击 显示原始邮件

  8. 在邮件标头中,查找 Authentication-Results。接收邮件的服务会对传入邮件标头采用不同的格式,但 DKIM 结果应如下所示:DKIM=pass 或 DKIM=pass

    如果邮件标头没有包含 DKIM 信息的行,则说明从您的网域发送的邮件未使用 DKIM 签名:

后续步骤

  • Google 建议您还为贵组织设置 DMARC 身份验证。
  • 如果您无法确定 DKIM 是否正常运作,或者来自您网域的邮件是否会被归类为垃圾邮件,请参阅排查 DKIM 问题
  • 您可以选择设置 BIMI,以将贵组织的徽标添加到外发邮件中。

相关主题


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单