設定 DKIM

Gmail 使用者:如果您在 Gmail 中收到垃圾郵件或網路釣魚郵件,請改為前往這裡。如果您在 Gmail 中遇到收發電子郵件的問題,請按這裡

您可以設定 DKIM (也稱為 DKIM 簽名),驗證電子郵件並防範網域遭到假冒。

如果沒有 DKIM,收件伺服器便較有可能將您機構或網域寄出的郵件標示為垃圾郵件。

本頁面提供下列資源說明:

DKIM 如何運作?

如要設定 DKIM,請為您的網域產生一組 DKIM 金鑰:

  • 儲存在網域 DKIM DNS TXT 記錄中的「公開」金鑰。這是您新增至網域的金鑰。
  • 會上傳至您電子郵件伺服器的「私密」金鑰。這個金鑰會產生 DKIM 簽名,並將其加入所有外寄電子郵件。
1. 含有私密金鑰的傳送者電子郵件伺服器。
2. 含有公開金鑰的寄件者 DKIM TXT 記錄。
3. 寄件者的私密金鑰會在外寄電子郵件的標頭中加入 DKIM 簽名。
4. 電子郵件會傳送至收件者的網域。
5. 收件者的電子郵件伺服器會從 DKIM TXT 記錄取得公開金鑰,並使用該金鑰讀取 DKIM 簽名和驗證電子郵件。

如果使用外寄郵件閘道

您可以設定外送閘道來修改外寄郵件。舉例來說,某些外送閘道會在每封外寄郵件的底部加上註腳,導致郵件無法通過 DKIM 驗證,這是因為郵件內容在寄出後有所變更。

請確認您的外送閘道設定不會對 DKIM 造成干擾:設定 DKIM 之前,請先設定閘道,禁止閘道修改外寄郵件內容;或先設定閘道來變更郵件內容。請參閱「設定外寄郵件閘道以處理外寄郵件」。

步驟 1:確認是否已設定 DKIM

這項檢查作業的執行方式取決於您是否使用 Google Workspace:

  • 如果您使用 Google Workspace,請按照本節中的操作說明進行。
  • 如果您使用 Google Workspace,請向電子郵件服務供應商和/或網際網路服務供應商 (ISP) (如果 ISP 是傳送電子郵件的網域) 查詢。如果您自行管理電子郵件,請使用網路上的其中一個工具。
如果您的網域供應商是 Google Domains 或 Squarespace,Google 會自動建立 DKIM 金鑰,並將金鑰加入您網域的 DNS 記錄中。請略過此步驟,直接參閱「開啟並驗證 DKIM」一文。
  1. 登入您的 Google 管理控制台

    使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。

  2. 前往 Google Admin Toolbox
  3. 在「網域名稱」欄位中輸入您的網域名稱。

    注意:在某些情況下,您可能需要輸入 DKIM 前置字元選取器,以便識別 DKIM 金鑰。預設為 google

  4. 按一下「執行檢查」
  5. 測試完成後,請檢查是否出現下列任一訊息:
  • 使用 DKIM 驗證 DNS 設定:已為網域和選取器設定 DKIM 金鑰。 建議您一併設定 DMARC
  • 尚未設定 DKIM:您的網域沒有與您輸入的前置字元選取器相符的 DKIM 金鑰。請使用提供的選取器設定新的金鑰 接下來產生 DKIM 金鑰組

步驟 2:產生 DKIM 金鑰組

  • 如果您使用 Google Workspace,請按照本節中的操作說明進行。
  • 如果您沒有使用 Google Workspace,請使用網路上的工具執行以下操作:
    • 找出 DKIM 前置字元選取器。您可以傳送測試電子郵件至收件匣、查看郵件來源,並在 DKIM 簽名標頭中找出 s 值。
    • 指定網域名稱、金鑰長度和 DKIM 前置字元選取器,以產生 DKIM 金鑰組。
    • 將私密金鑰儲存在郵件伺服器設定中,並將公開金鑰新增至網域。

Generate a DKIM key for your domain

您必須以超級管理員的身分登入才能執行這項工作。

重要事項:在 Google Workspace 中,為貴機構啟用 Gmail 後,您必須等候 24 至 72 小時,才能在管理控制台中取得 DKIM 金鑰。如果您嘗試在這個時間點前產生金鑰,可能會看到未建立 DKIM 記錄的錯誤訊息。

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「應用程式」接下來「Google Workspace」接下來「Gmail」
  3. 按一下 [驗證電子郵件]。
  4. 在「所選網域」選單中,選取您要設定 DKIM 的網域。
  5. 按一下「產生新記錄」按鈕。
  6. 在「產生新記錄」方塊中,選取您的 DKIM 金鑰設定:
    • DKIM 金鑰位元長度選項:
      • 2048:如果您的網域供應商支援 2048 位元金鑰,請選取這個選項。長的金鑰比短的金鑰更安全。如果您先前使用的是 1024 位元的金鑰,但網域供應商支援 2048 位元金鑰,可以改用 2048 位元的金鑰。
      • 1024:如果您的網域代管商不支援 2048 位元金鑰,請選取這個選項。
    • 前置字元選取器選項:
      • 預設的前置字元選取器是 google。如果您使用 Google Workspace,建議採用這個選項。
      • 如果您的網域已經使用 DKIM 金鑰,且前置字元為 google,請在這個欄位中輸入其他前置字元。進一步瞭解 DKIM 選取器。
  7. 按一下 [產生]。 在「驗證電子郵件」頁面上,系統會更新「TXT 記錄值」,並顯示以下訊息:「DKIM 驗證設定已更新」

    重要事項:Google 管理控制台的「驗證電子郵件」頁面可能會持續顯示「您必須更新此網域的 DNS 記錄」訊息,顯示時間最長為 48 小時。。如果您已在網域供應商網站正確新增 DKIM 金鑰,可以忽略這則訊息。

  8. 複製「驗證電子郵件」視窗中顯示的 DKIM 值。您將在下一個步驟中透過網域供應商頁面新增這項資訊:
      1. DNS 主機名稱 (TXT 記錄名稱):這段文字是 DKIM TXT 記錄的名稱 (您會將這份記錄新增到網域供應商的 DNS 記錄中)。請在「Host」欄位中輸入這個名稱。
      2. TXT 記錄值:這段文字是 DKIM 金鑰。您會將這段文字新增至 DKIM TXT 記錄中。請在「TXT Value」欄位中輸入金鑰。
         
         
         
         

步驟 3:將 DKIM 金鑰新增至網域

產生 DKIM 金鑰組之後,請建立 DKIM TXT 記錄,將公開 DKIM 金鑰新增至您的網域。

如需網域登入資訊、設定或 TXT 記錄的相關協助,請與您的網域供應商聯絡。Google 不為第三方網域供應商提供技術支援。

Add DKIM domain key to domain DNS records

透過 Google 管理控制台將 DKIM 金鑰新增至您網域供應商的 DNS 記錄。

  1. 登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司,請參閱「找出網域註冊商」一文。
  2. 前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面,請參閱網域的說明文件。
  3. 新增或更新 TXT 記錄,並加入以下資訊 (請參閱網域的說明文件):

    欄位名稱 應輸入的值
    類型 記錄類型為 TXT
    Host 網域 (或子網域),也稱為名稱、主機名稱或別名。如果主機是您要新增 TXT 記錄的網域 (而非子網域),請指定 @ 符號。

    組成 TXT 記錄的字串:

    TTL (僅限 SPF 和 BIMI)

    存留時間 (TTL) 值是用來定義記錄的後續變更生效前的秒數。

    您可以將這個值設為 1 小時或 3600 秒。

    如果網域不允許您修改這個欄位的值,請使用目前的值。

    注意:部分網域供應商會限制 TXT 記錄長度。如果您的 TXT 記錄受到限制,請參閱「確認網域供應商的 TXT 記錄字元限制」。
  4. 儲存變更。
  5. 如果您使用子網域,請詢問網域供應商如何為子網域新增 TXT 記錄。
  6. 如要為多個網域設定 DKIM,請為每個網域完成下列步驟。您必須從管理控制台取得每個網域的不重複 DKIM 金鑰。

新增 DKIM 金鑰後,DKIM 驗證功能最多可能要 48 小時才會開始運作。

步驟 4:開啟並驗證 DKIM

  • 如果您使用 Google Workspace,請按照本節中的操作說明進行。
  • 如果您使用 Google Workspace,請使用網路上的工具。

Turn on DKIM signing

在您網域供應商的網站新增 DKIM 金鑰後,前往 Google 管理控制台開啟 DKIM 簽署功能。

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「應用程式」接下來「Google Workspace」接下來「Gmail」
  3. 按一下「驗證電子郵件」。
  4. 在「所選網域」選單中,選取您要開啟 DKIM 的網域。
  5. 按一下 [開始驗證]。如果 DKIM 已設定完成且可正常運作,頁面頂端的狀態就會變更為「正在使用 DKIM 驗證電子郵件」
  6. 傳送電子郵件給 Gmail 或 Google Workspace 使用者 (您無法透過傳送測試郵件給自己來驗證 DKIM 功能是否已開啟)。
  7. 在收件者的收件匣中開啟郵件,找出完整的郵件標頭。

    注意:查看郵件標頭的步驟會因電子郵件應用程式而有所不同。如要在 Gmail 中顯示郵件標頭,請依序按一下「回覆」旁邊的「更多」圖示 接下來「顯示原始郵件」

  8. 在郵件標頭中尋找 Authentication-Results。收件服務會對內送郵件標頭使用不同的格式,但 DKIM 結果應顯示類似於 DKIM=passDKIM=pass 的內容。

    如果郵件標頭中沒有 DKIM 相關的資料行,從您網域寄出的郵件就沒有經 DKIM 簽署:

    • 請確認您已完成本文中的所有步驟。
    • 請參閱「排解 DKIM 問題」一文。

後續步驟

  • Google 建議您一併為貴機構設定 DMARC 驗證機制。
  • 如果您無法確認 DKIM 是否正常運作,或是從您網域寄出的郵件是否會被歸類為垃圾郵件,請參閱「排解 DKIM 相關問題」。
  • 您可以視需要設定 BIMI,在外寄郵件中加入貴機構的標誌。

相關主題


Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

這對您有幫助嗎?

我們應如何改進呢?
true
立即開始 14 天免費試用

享盡公司專用電子郵件帳戶、線上儲存空間、共用日曆、視訊會議等好處。立即開始免費試用 G Suite

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單