採用 DomainKeys Identified Mail (DKIM) 標準有助於防止您網域的外寄郵件遭到假冒。
「假冒電子郵件」意指變更電子郵件內容,讓郵件顯示非真實寄件來源的寄件者或寄件地址。假冒是在未經授權的情況下使用電子郵件,這種情形十分常見,因此部分電子郵件伺服器會要求設定 DKIM,以免電子郵件遭到假冒。
DKIM 會在所有外寄郵件的標頭加上加密簽名,收到簽名郵件的電子郵件伺服器則會使用 DKIM 來解密郵件標頭,驗證郵件寄出後並未遭人竄改。
如果希望電子郵件的安全性更加完善,除了 DKIM 外,我們也建議您設定下列安全防護機制:
- 寄件者政策架構 (SPF):SPF 會指定可傳送貴機構郵件的網域。
- 網域型郵件驗證、報告與一致性 (DMARC):DMARC 會指定網域處理可疑電子郵件的方式。
Why set up email Authentication?
電子郵件驗證有助於避免系統將貴機構寄出的郵件標記為垃圾郵件。
SPF 和 DKIM 有助於防止垃圾訊息散布者冒充貴機構。
如果您未完成 DKIM 設定,Gmail 會使用預設的 DKIM
DKIM 簽署可加強電子郵件的安全性,並有助於防止電子郵件遭到假冒。建議您在所有外寄郵件上都使用自己專屬的 DKIM 金鑰。
如果您尚未產生您專屬的 DKIM 網域金鑰,Gmail 會使用預設 DKIM 網域金鑰「d=*.gappssmtp.com」來簽署所有外寄郵件。
如果電子郵件是從 mail.google.com 以外的伺服器寄出,則不會以預設 DKIM 金鑰簽署。
設定 DKIM 的步驟
- 產生您網域的網域金鑰。
- 在網域的 DNS 記錄中加入公開金鑰。電子郵件伺服器會使用這個金鑰來驗證郵件的 DKIM 簽名。
- 開啟 DKIM 簽署功能,開始為所有外寄郵件新增 DKIM 簽名。
DKIM 的常見問題
DKIM 如何運作?DKIM 會使用一對金鑰來驗證郵件,分別是私密金鑰和公開金鑰。
私密的網域金鑰會替所有從您 Gmail 網域寄出的外寄郵件新增加密的簽名標頭。
對應的公開金鑰則須加入您 Gmail 網域的網域名稱系統 (DNS) 記錄中。電子郵件伺服器收到來自您網域的郵件後,就會使用公開金鑰來解密郵件簽名,並驗證簽署郵件的來源。
如果您已在 Gmail 中開啟電子郵件驗證功能,DKIM 就會開始為外寄郵件的標頭進行簽署。
如果您已在網域中將 DKIM 用於其他電子郵件系統,則需產生全新的專屬網域金鑰供 Gmail 使用。
網域金鑰包含一組名為「選取器前置字元」的文字字串,您可以在產生金鑰時修改這個字串。Google Workspace 網域金鑰的預設選取器前置字元是「google」。產生金鑰後,您可以將預設選取器前置字元「google」改成需要的文字,並同時使用新的選取器與網域既有的 DKIM 金鑰設定。
如果您使用的外寄郵件閘道會修改外寄郵件內容,這些變更會導致 DKIM 簽名失效。舉例來說,如果電子郵件伺服器會在每封外寄郵件中加入註腳,DKIM 簽名就會失效。如要避免發生這個問題,請採取下列其中一種做法:
- 設定閘道,禁止閘道修改外寄郵件內容。
- 設定閘道在變更郵件內容「之後」再新增 DKIM 簽名。
如果您網域的郵件遭到拒絕,請與拒絕的電子郵件伺服器管理員聯絡。一般來說,電子郵件伺服器不應因缺少 DKIM 簽名或簽名無法驗證而拒絕郵件 (RFC 4871)。
