使用 DKIM 驗證電子郵件

關於 DKIM

使用 DKIM 標準在外寄郵件的標頭中加入數位簽名有助於防止詐騙。詳細分析而言,也就是首先使用不公開的網域金鑰對您網域的外寄郵件標頭進行加密,然後將該金鑰的公開版本加到網域的 DNS 記錄中。收件者伺服器可擷取公開金鑰,並使用該金鑰為來信標頭解密,藉此確認該郵件的寄件者地址確實屬於您網域中的地址,而且未在寄件途中遭到竄改。

G Suite 的數位簽名完全遵照 DomainKeys Identified Mail (DKIM) 標準

DKIM 的運作方式

如要在外寄郵件中加上數位簽名,請先透過 G Suite 產生一個專屬於您網域的「網域金鑰」,G Suite 會在建立簽名郵件標頭時使用這個網域金鑰。您還需要將公開金鑰加入您網域的網域名稱系統 (DNS) 記錄,收件者便可擷取您的公開金鑰並用於確認您的簽名,藉此驗證郵件的來源。

為進一步確保安全無虞,現在您可以產生 2048 位元網路金鑰來代替 1024 位元網域金鑰。如果您的註冊商支援較長的網域金鑰,我們建議您產生強度較高的 2048 位元金鑰。

如果使用既有的 1024 位元網域金鑰,這項改變不會對您造成任何影響。

步驟總覽

請為與您 G Suite 帳戶相關聯的每個網域重複下列步驟。

  1. 產生您網域的公開網域金鑰
  2. 將該金鑰加入您網域的 DNS 記錄,以便收件者擷取該金鑰並用於讀取 DKIM 標頭。
  3. 開啟電子郵件簽署功能,這樣才能開始將 DKIM 標頭附加到外寄郵件中。

如果您是在申請 G Suite 帳戶時向我們的網域代管商合作夥伴購買網域,請略過步驟 1 和 2。Google 在您開啟驗證功能後,即會自動產生網域金鑰,並加入必要的 DNS 記錄。

下一步:產生網域金鑰

我們的網域已有 DKIM 金鑰

如果您已經擁有網域的 DKIM 網域金鑰 (例如,您舊有的郵件伺服器在外寄郵件中加上簽名),您仍需產生另一個專供 G Suite 使用的金鑰。G Suite 網域金鑰中含有一個專用的「選取器前置字串」,這是其他金鑰中所沒有的字串。G Suite 網域金鑰的預設選取器前置字串是「google」,您也可以在產生金鑰時自行輸入新的選取器前置字串。

設定 DMARC 來處理未通過 DKIM 檢查的郵件

如果郵件未通過 SPF 記錄檢查,這類郵件的處理方式將由您的電子郵件服務決定。您可以為 G Suite 網域建立「以網域為基礎的訊息認證、報告與一致性」(DMARC) 記錄,透過 DMARC 指定不採取任何動作、隔離或拒絕郵件的政策,藉此控制電子郵件服務處理未通過檢查郵件的方式。進一步瞭解 DMARC

使用外寄郵件伺服器

如果您使用的外寄郵件閘道會自動修改外寄郵件內容 (例如加入法規遵循註腳),這些變更會導致 DKIM 簽名失效。因此,您必須禁止閘道伺服器修改郵件,或者讓閘道伺服器事後利用 DKIM 簽署郵件。

如需瞭解 Google 提供的其他防偽措施,請參閱 SPF 記錄瞭解 DMARC
這篇文章實用嗎?
我們應如何改進呢?