您可以設定 DKIM (也稱為 DKIM 簽名),驗證電子郵件並防範網域遭到假冒。
如果沒有 DKIM,收件伺服器便較有可能將您機構或網域寄出的郵件標示為垃圾郵件。
本頁面提供下列資源說明:
- DKIM 如何運作?
- 如果使用外寄郵件閘道
- 步驟 1:確認是否已設定 DKIM
- 步驟 2:產生 DKIM 金鑰組
- 步驟 3:將 DKIM 金鑰新增至網域
- 步驟 4:開啟並驗證 DKIM
- 後續步驟
- 相關主題
DKIM 如何運作?
如要設定 DKIM,請為您的網域產生一組 DKIM 金鑰:
- 儲存在網域 DKIM DNS TXT 記錄中的「公開」金鑰。這是您新增至網域的金鑰。
- 會上傳至您電子郵件伺服器的「私密」金鑰。這個金鑰會產生 DKIM 簽名,並將其加入所有外寄電子郵件。
含有私密金鑰的傳送者電子郵件伺服器。 | |
含有公開金鑰的寄件者 DKIM TXT 記錄。 | |
寄件者的私密金鑰會在外寄電子郵件的標頭中加入 DKIM 簽名。 | |
電子郵件會傳送至收件者的網域。 | |
收件者的電子郵件伺服器會從 DKIM TXT 記錄取得公開金鑰,並使用該金鑰讀取 DKIM 簽名和驗證電子郵件。 |
如果使用外寄郵件閘道
您可以設定外送閘道來修改外寄郵件。舉例來說,某些外送閘道會在每封外寄郵件的底部加上註腳,導致郵件無法通過 DKIM 驗證,這是因為郵件內容在寄出後有所變更。
請確認您的外送閘道設定不會對 DKIM 造成干擾:設定 DKIM 之前,請先設定閘道,禁止閘道修改外寄郵件內容;或先設定閘道來變更郵件內容。請參閱「設定外寄郵件閘道以處理外寄郵件」。
步驟 1:確認是否已設定 DKIM
這項檢查作業的執行方式取決於您是否使用 Google Workspace:
- 如果您使用 Google Workspace,請按照本節中的操作說明進行。
- 如果您未使用 Google Workspace,請向電子郵件服務供應商和/或網際網路服務供應商 (ISP) (如果 ISP 是傳送電子郵件的網域) 查詢。如果您自行管理電子郵件,請使用網路上的其中一個工具。
-
- 前往 Google Admin Toolbox。
- 在「網域名稱」欄位中輸入您的網域名稱。
注意:在某些情況下,您可能需要輸入 DKIM 前置字元選取器,以便識別 DKIM 金鑰。預設為 google。
- 按一下「執行檢查」。
- 測試完成後,請檢查是否出現下列任一訊息:
- 使用 DKIM 驗證 DNS 設定:已為網域和選取器設定 DKIM 金鑰。 建議您一併設定 DMARC。
- 尚未設定 DKIM:您的網域沒有與您輸入的前置字元選取器相符的 DKIM 金鑰。請使用提供的選取器設定新的金鑰 接下來產生 DKIM 金鑰組。
步驟 2:產生 DKIM 金鑰組
- 如果您使用 Google Workspace,請按照本節中的操作說明進行。
- 如果您沒有使用 Google Workspace,請使用網路上的工具執行以下操作:
- 找出 DKIM 前置字元選取器。您可以傳送測試電子郵件至收件匣、查看郵件來源,並在 DKIM 簽名標頭中找出 s 值。
- 指定網域名稱、金鑰長度和 DKIM 前置字元選取器,以產生 DKIM 金鑰組。
- 將私密金鑰儲存在郵件伺服器設定中,並將公開金鑰新增至網域。
Generate a DKIM key for your domain
您必須以超級管理員的身分登入才能執行這項工作。
重要事項:在 Google Workspace 中,為貴機構啟用 Gmail 後,您必須等候 24 至 72 小時,才能在管理控制台中取得 DKIM 金鑰。如果您嘗試在這個時間點前產生金鑰,可能會看到未建立 DKIM 記錄的錯誤訊息。
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「Google Workspace」「Gmail」。
- 按一下 [驗證電子郵件]。
- 在「所選網域」選單中,選取您要設定 DKIM 的網域。
- 按一下「產生新記錄」按鈕。
- 在「產生新記錄」方塊中,選取您的 DKIM 金鑰設定:
- 按一下 [產生]。 在「驗證電子郵件」頁面上,系統會更新「TXT 記錄值」,並顯示以下訊息:「DKIM 驗證設定已更新」。
重要事項:Google 管理控制台的「驗證電子郵件」頁面可能會持續顯示「您必須更新此網域的 DNS 記錄」訊息,顯示時間最長為 48 小時。。如果您已在網域供應商網站正確新增 DKIM 金鑰,可以忽略這則訊息。
- 複製「驗證電子郵件」視窗中顯示的 DKIM 值。您將在下一個步驟中透過網域供應商頁面新增這項資訊:
DNS 主機名稱 (TXT 記錄名稱):這段文字是 DKIM TXT 記錄的名稱 (您會將這份記錄新增到網域供應商的 DNS 記錄中)。請在「Host」欄位中輸入這個名稱。 TXT 記錄值:這段文字是 DKIM 金鑰。您會將這段文字新增至 DKIM TXT 記錄中。請在「TXT Value」欄位中輸入金鑰。
步驟 3:將 DKIM 金鑰新增至網域
產生 DKIM 金鑰組之後,請建立 DKIM TXT 記錄,將公開 DKIM 金鑰新增至您的網域。
如需網域登入資訊、設定或 TXT 記錄的相關協助,請與您的網域供應商聯絡。Google 不為第三方網域供應商提供技術支援。
Add DKIM domain key to domain DNS records
透過 Google 管理控制台將 DKIM 金鑰新增至您網域供應商的 DNS 記錄。
- 登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司,請參閱「找出網域註冊商」一文。
- 前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面,請參閱網域的說明文件。
-
新增或更新 TXT 記錄,並加入以下資訊 (請參閱網域的說明文件):
注意:部分網域供應商會限制 TXT 記錄長度。如果您的 TXT 記錄受到限制,請參閱「確認網域供應商的 TXT 記錄字元限制」。欄位名稱 應輸入的值 類型 記錄類型為 TXT。 Host 網域 (或子網域),也稱為名稱、主機名稱或別名。如果主機是您要新增 TXT 記錄的網域 (而非子網域),請指定 @ 符號。 值 組成 TXT 記錄的字串:
- 如要瞭解 SPF,請參閱「準備 SPF 記錄」
- 如要瞭解 DKIM,請參閱「產生 DKIM 金鑰組」
- 如要瞭解 DMARC,請參閱「準備 DMARC 記錄」
- 如要瞭解 BIMI,請參閱「新增 BIMI TXT 記錄」
TTL (僅限 SPF 和 BIMI) 存留時間 (TTL) 值是用來定義記錄的後續變更生效前的秒數。
您可以將這個值設為 1 小時或 3600 秒。
如果網域不允許您修改這個欄位的值,請使用目前的值。
- 儲存變更。
- 如果您使用子網域,請詢問網域供應商如何為子網域新增 TXT 記錄。
- 如要為多個網域設定 DKIM,請為每個網域完成下列步驟。您必須從管理控制台取得每個網域的不重複 DKIM 金鑰。
新增 DKIM 金鑰後,DKIM 驗證功能最多可能要 48 小時才會開始運作。
步驟 4:開啟並驗證 DKIM
- 如果您使用 Google Workspace,請按照本節中的操作說明進行。
- 如果您未使用 Google Workspace,請使用網路上的工具。
在您網域供應商的網站新增 DKIM 金鑰後,前往 Google 管理控制台開啟 DKIM 簽署功能。
-
-
在管理控制台中,依序點選「選單」圖示 「應用程式」「Google Workspace」「Gmail」。
- 按一下「驗證電子郵件」。
- 在「所選網域」選單中,選取您要開啟 DKIM 的網域。
- 按一下 [開始驗證]。如果 DKIM 已設定完成且可正常運作,頁面頂端的狀態就會變更為「正在使用 DKIM 驗證電子郵件」。
- 傳送電子郵件給 Gmail 或 Google Workspace 使用者 (您無法透過傳送測試郵件給自己來驗證 DKIM 功能是否已開啟)。
- 在收件者的收件匣中開啟郵件,找出完整的郵件標頭。
注意:查看郵件標頭的步驟會因電子郵件應用程式而有所不同。如要在 Gmail 中顯示郵件標頭,請依序按一下「回覆」旁邊的「更多」圖示 「顯示原始郵件」。
- 在郵件標頭中尋找 Authentication-Results。收件服務會對內送郵件標頭使用不同的格式,但 DKIM 結果應顯示類似於 DKIM=pass 或 DKIM=pass 的內容。
如果郵件標頭中沒有 DKIM 相關的資料行,從您網域寄出的郵件就沒有經 DKIM 簽署:
- 請確認您已完成本文中的所有步驟。
- 請參閱「排解 DKIM 問題」一文。
後續步驟
- Google 建議您一併為貴機構設定 DMARC 驗證機制。
- 如果您無法確認 DKIM 是否正常運作,或是從您網域寄出的郵件是否會被歸類為垃圾郵件,請參閱「排解 DKIM 相關問題」。
- 您可以視需要設定 BIMI,在外寄郵件中加入貴機構的標誌。
相關主題
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。