為網域開啟 DKIM 功能

防範假冒郵件和網路詐騙郵件，並避免系統將郵件標示為垃圾郵件

請按照本文的步驟取得 DomainKeys Identified Mail (DKIM) 金鑰，並將其新增到網域供應商網站，然後為網域開啟 DKIM 驗證功能。

如果您的網域供應商是 Google Domains，Google 會在您設定 Google Workspace 時自動建立 DKIM 金鑰，並將金鑰加入您網域的 DNS 記錄中。請直接參閱「在管理控制台中開啟 DKIM」。

建議您根據本文中的步驟，一律為您的網域設定 DKIM 金鑰。如果您沒有設定自己的 DKIM 金鑰，Gmail 會使用預設 DKIM 金鑰簽署所有外寄郵件：d=*.digitalsmtp.com。如果郵件是從非 Google 伺服器傳送，系統不會使用預設 DKIM 金鑰簽署郵件。

步驟 1：在管理控制台中取得 DKIM 金鑰

您必須以超級管理員的身分登入才能執行這項工作。

重要事項：為貴機構啟用 Gmail 後，您必須等候 24 至 72 小時才能在管理控制台中取得 DKIM 金鑰。如果您嘗試在等待期結束前產生金鑰，可能會看到以下錯誤訊息：DKIM 記錄未建立。透過已註冊的網域啟用 Gmail 後，您必須等待 24 至 72 小時才能建立 DKIM 記錄。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「應用程式」「Google Workspace」「Gmail」。
按一下 [驗證電子郵件]。
在「所選網域」選單中，選取您要設定 DKIM 的網域。
按一下「產生新記錄」按鈕。

在「產生新記錄」方塊中，選取您的 DKIM 金鑰設定：

設定	選項
	DKIM 金鑰位元長度	2048：如果您的網域供應商支援 2048 位元金鑰，請選取這個選項。長的金鑰比短的金鑰更安全。如果您先前使用的是 1024 位元的金鑰，但網域供應商支援 2048 位元金鑰，可以改用 2048 位元的金鑰。進一步瞭解「網域金鑰和 TXT 記錄限制」。 1024：如果您的網域代管商不支援 2048 位元金鑰，請選取這個選項。
前置字元選取器	預設的選取器前置字元是 google。建議您使用預設值。如果您的網域已經使用 DKIM 金鑰，且前置字元為 google，請在這個欄位中輸入其他前置字元。進一步瞭解 DKIM 選取器。

設定

選項

DKIM 金鑰位元長度

2048：如果您的網域供應商支援 2048 位元金鑰，請選取這個選項。長的金鑰比短的金鑰更安全。如果您先前使用的是 1024 位元的金鑰，但網域供應商支援 2048 位元金鑰，可以改用 2048 位元的金鑰。進一步瞭解「網域金鑰和 TXT 記錄限制」。

1024：如果您的網域代管商不支援 2048 位元金鑰，請選取這個選項。

前置字元選取器

預設的選取器前置字元是 google。建議您使用預設值。

如果您的網域已經使用 DKIM 金鑰，且前置字元為 google，請在這個欄位中輸入其他前置字元。進一步瞭解 DKIM 選取器。

按一下「產生新記錄」方塊底部的「產生」。在「設定」頁面中，「TXT 記錄值」下方的文字字串會變更為新的值，並顯示以下訊息：DKIM 驗證設定已更新。

複製「驗證電子郵件」視窗中顯示的 DKIM 值。您將在下一個步驟中透過網域供應商頁面新增這項資訊：

			DNS 主機名稱 (TXT 記錄名稱)：這段文字是 DKIM TXT 記錄的名稱 (您會將這份記錄新增到網域供應商的 DNS 記錄中)。請在「Host」欄位中輸入這個名稱。
			TXT 記錄值：這段文字是 DKIM 金鑰。您會將這段文字新增至 DKIM TXT 記錄中。請在「TXT Value」欄位中輸入金鑰。

登入網域供應商網站執行後續步驟。

步驟 2：將 TXT 記錄名稱和 DKIM 金鑰新增至您的網域

登入網域供應商網站，新增您在步驟 1 取得的 DKIM 資訊。

請記住下列提示：

TXT 記錄限制：部分網域供應商會限制 TXT 記錄長度。如果您的 TXT 記錄受到限制，請參閱「TXT 記錄限制和 DKIM 金鑰」。
DKIM 最多可能需要 48 小時才能啟動：新增 DKIM 金鑰後，DKIM 驗證功能最多可能要 48 小時才會開始運作。
多個網域：如要為多個網域設定 DKIM，請為每個網域完成下列步驟。您必須從管理控制台取得每個網域的不重複 DKIM 金鑰。
子網域：如需為子網域設定 DKIM，請參閱「為子網域新增 DKIM 金鑰」。

如需網域登入資訊、設定或 TXT 記錄的相關協助，請與您的網域供應商聯絡。舉例來說，如果您的網域供應商是 Google Domains，請參閱這裡的說明。Google 不為第三方網域供應商提供技術支援。

登入網域供應商提供的管理控制台。
找到更新網域 DNS 設定的頁面。
新增 DKIM 的 TXT 記錄：
- 在第一個欄位中輸入管理控制台顯示的「DNS 主機名稱 (TXT 記錄名稱)」。
- 在第二個欄位中輸入管理控制台中顯示的「TXT 記錄值」(DKIM 金鑰)。
儲存變更。

返回管理控制台進行下一步。

步驟 3：開啟 DKIM 簽署功能

重要事項：Google 管理控制台的「驗證電子郵件」頁面可能會持續顯示「您必須更新此網域的 DNS 記錄」訊息，顯示時間最長為 48 小時。。如果您已在網域供應商網站正確新增 DKIM 金鑰，可以忽略這則訊息。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「應用程式」「Google Workspace」「Gmail」。
按一下「驗證電子郵件」。
在「所選網域」選單中，選取您要開啟 DKIM 的網域。
按一下「開始驗證」按鈕。如果 DKIM 已設定完成且可正常運作，頁面頂端的狀態就會變更為「正在使用 DKIM 驗證電子郵件」。

停用 DKIM

建議您不要為網域停用 DKIM。如果沒有 DKIM，駭客和其他惡意使用者就可能假冒您的網域，並傳送看似從貴機構或網域寄出的郵件；您網域寄出的郵件也更有可能被歸類為垃圾郵件。如果您必須停用 DKIM，請按照「停用 DKIM」中的步驟操作。

步驟 4：確認 DKIM 驗證功能已開啟

傳送電子郵件給 Gmail 或 Google Workspace 使用者 (您無法透過傳送測試郵件給自己來驗證 DKIM 功能是否已開啟)。
在收件者的收件匣中開啟郵件，找出完整的郵件標頭。
注意：查看郵件標頭的步驟會因電子郵件應用程式而有所不同。如要在 Gmail 中顯示郵件標頭，請依序按一下「回覆」旁邊的「更多」圖示「顯示原始郵件」。
在郵件標頭中尋找 Authentication-Results。收件服務會對內送郵件標頭使用不同的格式，但 DKIM 結果應顯示類似於 DKIM=pass 或 DKIM=OK 的內容。

如果郵件標頭中沒有 DKIM 相關的資料行，從您網域寄出的郵件就沒有經 DKIM 簽署：

請確認您已完成本文中的所有步驟。
請參閱「排解 DKIM 問題」一文。

這對您有幫助嗎？

我們應如何改進呢？