使用 DKIM 驗證電子郵件

關於 DKIM

避免外寄電子郵件遭到假冒

採用 DomainKeys Identified Mail (DKIM) 標準有助於防止外寄電子郵件遭到假冒。

「假冒電子郵件」意指變更電子郵件內容,讓郵件顯示非真實寄件來源的寄件者或寄件地址。假冒是在未經授權的情況下使用電子郵件,這種情形十分常見,因此部分電子郵件伺服器會要求設定 DKIM,以免電子郵件遭到假冒。

DKIM 會在所有外寄郵件的標頭加上加密簽名,收到這些郵件的電子郵件伺服器則會使用 DKIM 來解密郵件標頭,驗證郵件寄出後並未遭人竄改。

將 DKIM 與 SPF 和 DMARC 搭配使用

建議您在設定 DKIM 時,一併設定寄件者政策架構 (SPF)網域型郵件驗證、報告與一致性 (DMARC)。DKIM 可驗證郵件內容的真實性以及是否經他人變更,SPF 是用來指定可傳送貴機構郵件的網域,DMARC 則可指定網域處理可疑電子郵件的方式。

如果您未完成 DKIM 設定,Gmail 會使用預設的 DKIM

DKIM 簽署可加強電子郵件的安全性,並有助於防止電子郵件遭到假冒。建議您在所有外寄郵件上都使用自己專屬的 DKIM 金鑰。

如果您尚未使用自家網域的 DKIM 金鑰開啟電子郵件簽署功能,Gmail 會使用預設 DKIM 網域金鑰「d=*.gappssmtp.com」來簽署所有外寄郵件。如果電子郵件是從 mail.google.com 以外的伺服器寄出,則不會以預設 DKIM 金鑰簽署。

設定 DKIM 的步驟

  1. 產生您網域的網域金鑰。
  2. 在網域的 DNS 記錄中加入公開金鑰。電子郵件伺服器會使用這個金鑰來讀取郵件的 DKIM 標頭。
  3. 開啟 DKIM 簽署功能,開始為所有外寄郵件新增 DKIM 簽名。
立即使用

DKIM 的常見問題

DKIM 如何運作?

DKIM 會使用一對金鑰來驗證郵件,分別是不公開的金鑰和公開的金鑰。

不公開的網域金鑰會替所有從您 Gmail 網域寄出的外寄郵件新增加密標頭。

對應的公開金鑰會加入您 Gmail 網域的網域名稱系統 (DNS) 記錄。電子郵件伺服器收到來自您網域的郵件後,就會使用公開金鑰來解密郵件標頭,並驗證郵件的來源。

如果您已在 Gmail 中開啟電子郵件驗證功能,DKIM 就會開始為外寄郵件的標頭進行加密。

如果我的網域已有 DKIM 金鑰該怎麼辦?

如果您已在網域中使用 DKIM (用於其他電子郵件系統),則需產生非重複的全新網域金鑰,專供 Gmail 使用。

網域金鑰包含一組名為「選取器前置字元」的文字字串,您可以在產生金鑰時修改這個字串。G Suite 網域金鑰的預設選取器前置字元是「google」,您可以在產生金鑰後將「google」變更為您喜歡的文字

如何替會修改外寄電子郵件內容的伺服器設定 DKIM?

如果您使用的外寄郵件閘道會修改外寄郵件內容,這些變更會導致 DKIM 簽名失效。舉例來說,如果電子郵件伺服器會在每封外寄郵件中加入註腳,DKIM 簽名就會失效。如要避免發生這個問題,請採取下列其中一種做法:

  • 設定閘道,禁止閘道修改外寄郵件內容。
  • 設定閘道在變更郵件內容「之後」再新增 DKIM 簽名。
如果我網域的電子郵件因未通過 DKIM 而遭拒,該怎麼辦?

如果您網域的郵件遭到拒絕,請與拒絕的電子郵件伺服器管理員聯絡。一般來說,電子郵件伺服器不應因缺少 DKIM 簽名或簽名無法驗證而拒絕郵件 (RFC 4871)。

這篇文章實用嗎?
我們應如何改進呢?