使用 DKIM 驗證電子郵件
關於 DKIM
採用 DomainKeys Identified Mail (DKIM) 標準有助於防止外寄電子郵件遭到假冒。
「假冒電子郵件」意指變更電子郵件內容,讓郵件顯示非真實寄件來源的寄件者或寄件地址。假冒是在未經授權的情況下使用電子郵件,這種情形十分常見,因此部分電子郵件伺服器會要求設定 DKIM,以免電子郵件遭到假冒。
DKIM 會在所有外寄郵件的標頭加上加密簽名,收到這些郵件的電子郵件伺服器則會使用 DKIM 來解密郵件標頭,驗證郵件寄出後並未遭人竄改。
將 DKIM 與 SPF 和 DMARC 搭配使用
建議您在設定 DKIM 時,一併設定寄件者政策架構 (SPF) 和 網域型郵件驗證、報告與一致性 (DMARC)。DKIM 可驗證郵件內容的真實性以及是否經他人變更,SPF 是用來指定可傳送貴機構郵件的網域,DMARC 則可指定網域處理可疑電子郵件的方式。
如果您未完成 DKIM 設定,Gmail 會使用預設的 DKIM
DKIM 簽署可加強電子郵件的安全性,並有助於防止電子郵件遭到假冒。建議您在所有外寄郵件上都使用自己專屬的 DKIM 金鑰。
如果您尚未使用自家網域的 DKIM 金鑰開啟電子郵件簽署功能,Gmail 會使用預設 DKIM 網域金鑰「d=*.gappssmtp.com」來簽署所有外寄郵件。如果電子郵件是從 mail.google.com 以外的伺服器寄出,則不會以預設 DKIM 金鑰簽署。
設定 DKIM 的步驟
- 產生您網域的網域金鑰。
- 在網域的 DNS 記錄中加入公開金鑰。電子郵件伺服器會使用這個金鑰來讀取郵件的 DKIM 標頭。
- 開啟 DKIM 簽署功能,開始為所有外寄郵件新增 DKIM 簽名。
DKIM 的常見問題
DKIM 如何運作?DKIM 會使用一對金鑰來驗證郵件,分別是不公開的金鑰和公開的金鑰。
不公開的網域金鑰會替所有從您 Gmail 網域寄出的外寄郵件新增加密標頭。
對應的公開金鑰會加入您 Gmail 網域的網域名稱系統 (DNS) 記錄。電子郵件伺服器收到來自您網域的郵件後,就會使用公開金鑰來解密郵件標頭,並驗證郵件的來源。
如果您已在 Gmail 中開啟電子郵件驗證功能,DKIM 就會開始為外寄郵件的標頭進行加密。
如果您已在網域中使用 DKIM (用於其他電子郵件系統),則需產生非重複的全新網域金鑰,專供 Gmail 使用。
網域金鑰包含一組名為「選取器前置字元」的文字字串,您可以在產生金鑰時修改這個字串。G Suite 網域金鑰的預設選取器前置字元是「google」,您可以在產生金鑰後將「google」變更為您喜歡的文字。
如果您使用的外寄郵件閘道會修改外寄郵件內容,這些變更會導致 DKIM 簽名失效。舉例來說,如果電子郵件伺服器會在每封外寄郵件中加入註腳,DKIM 簽名就會失效。如要避免發生這個問題,請採取下列其中一種做法:
- 設定閘道,禁止閘道修改外寄郵件內容。
- 設定閘道在變更郵件內容「之後」再新增 DKIM 簽名。
如果您網域的郵件遭到拒絕,請與拒絕的電子郵件伺服器管理員聯絡。一般來說,電子郵件伺服器不應因缺少 DKIM 簽名或簽名無法驗證而拒絕郵件 (RFC 4871)。
