Thiết lập DKIM

Người dùng Gmail: Nếu bạn nhận được thư rác hoặc thư lừa đảo trong Gmail, hãy truy cập vào đây. Nếu bạn gặp vấn đề khi gửi hoặc nhận email trong Gmail, hãy truy cập vào trang này.

Người gửi email: Nếu gửi email đến tài khoản Gmail cá nhân, bạn phải thiết lập tính năng xác thực email để đảm bảo email được gửi đến như mong đợi. Tất cả người gửi đều phải Thiết lập SPF hoặc Thiết lập DKIM. Người gửi email hàng loạt (hơn 5.000 thư mỗi ngày) phải Thiết lập SPF, Thiết lập DKIMThiết lập DMARC. Tìm hiểu thêm tại Nguyên tắc dành cho người gửi email.

DKIM giúp bảo vệ miền của bạn khỏi bị giả mạo bằng cách xác thực email bằng chữ ký DKIM. Thiết lập DKIM bằng cách tạo khoá DKIM công khai rồi thêm khoá đó vào miền của bạn. Các máy chủ nhận thư dùng khoá DKIM công khai của bạn để đọc chữ ký DKIM và xác thực thư mà họ nhận được từ miền của bạn.

Trên trang này

Trước khi bắt đầu

  • Bạn có thể không cần thiết lập DKIM nếu miền của bạn đã được thiết lập DKIM theo mặc định hoặc nếu bạn mua miền của mình từ một đối tác của Google khi đăng ký Google Workspace. Để kiểm tra xem bạn đã thiết lập DKIM cho miền của mình hay chưa, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet.
  • Nếu sử dụng cổng đi, bạn phải xác minh rằng các chế độ cài đặt không ảnh hưởng đến DKIM. Bạn có thể thiết lập cổng gửi đi để sửa đổi thư gửi đi, chẳng hạn như thêm chân trang vào cuối mỗi thư. Hãy xem bài viết Thiết lập cổng gửi đi để xử lý thư gửi đi.

DKIM hoạt động như thế nào?

Để thiết lập DKIM, bạn tạo một cặp khoá DKIM cho miền của mình:

  • Một khoá công khai được lưu trữ trong bản ghi TXT DNS của miền cho DKIM. Đây là khoá mà bạn thêm vào miền của mình.
  • Một khoá riêng tư được tải lên máy chủ email của bạn. Khoá này tạo và thêm chữ ký DKIM vào mỗi thư gửi đi.
Máy chủ email của người gửi có khoá riêng tư.
Bản ghi DKIM TXT của người gửi có khoá công khai.
Khoá riêng tư của người gửi sẽ thêm chữ ký DKIM vào phần đầu của email gửi đi.
Email được gửi đến miền của người nhận.
Máy chủ email của người nhận sẽ lấy khoá công khai từ bản ghi TXT DKIM và dùng khoá này để đọc chữ ký DKIM và xác thực email.

Bước 1: Tạo một cặp khoá DKIM

  • Nếu bạn đang sử dụng Google Workspace, hãy làm theo hướng dẫn trong phần này.
  • Nếu bạn không sử dụng Google Workspace, hãy dùng một công cụ có trên Internet để làm những việc sau:
    • Tìm bộ chọn tiền tố DKIM. Bạn có thể gửi một email thử nghiệm đến hộp thư đến của mình, xem nguồn thư và xác định giá trị s trong tiêu đề DKIM-Signature.
    • Chỉ định tên miền, độ dài khoá và bộ chọn tiền tố DKIM để tạo cặp khoá DKIM.
    • Lưu khoá riêng tư trong cấu hình máy chủ thư và thêm khoá công khai vào miền của bạn.
Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Quan trọng: Trong Google Workspace, sau khi bật Gmail cho tổ chức, bạn phải đợi từ 24 đến 72 giờ thì mới có thể lấy khoá DKIM trong Bảng điều khiển dành cho quản trị viên. Nếu cố gắng tạo khoá trước thời gian này, bạn có thể gặp lỗi cho biết bản ghi DKIM chưa được tạo.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Google Workspace Gmail.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

  2. Nhấp vào Xác thực email.
  3. Trong trình đơn Miền đã chọn, hãy chọn miền mà bạn muốn thiết lập DKIM.
  4. Nhấp vào nút Generate New Record (Tạo bản ghi mới).
  5. Trong hộp Tạo bản ghi mới, hãy chọn chế độ cài đặt khoá DKIM:
    • 2048 – Nếu nhà cung cấp miền của bạn hỗ trợ khoá 2048 bit, hãy chọn lựa chọn này. Khoá càng dài thì độ bảo mật càng cao. Nếu trước đây đã sử dụng khoá 1024 bit, bạn có thể chuyển sang khoá 2048 bit nếu nhà cung cấp miền của bạn hỗ trợ khoá này.
    • 1024 – Nếu công ty lưu trữ miền của bạn không hỗ trợ khoá 2048 bit, hãy chọn lựa chọn này.
    • Các lựa chọn về bộ chọn tiền tố:

  6. Nhấp vào Tạo. Trên trang Xác thực email, giá trị bản ghi TXT sẽ được cập nhật và thông báo Đã cập nhật chế độ cài đặt xác thực DKIM sẽ xuất hiện.

    Quan trọng: Trang Xác thực email trong Bảng điều khiển dành cho quản trị viên của Google có thể vẫn hiện thông báo này trong tối đa 48 giờ: Bạn phải cập nhật bản ghi DNS cho miền này. Nếu đã thêm khoá DKIM đúng cách tại nhà cung cấp miền, bạn có thể bỏ qua thông báo này.

  7. Sao chép các giá trị DKIM xuất hiện trong cửa sổ Xác thực email. Bạn sẽ thêm bản ghi này tại nhà cung cấp miền của mình trong bước tiếp theo:

    Tên máy chủ DNS (tên bản ghi TXT) –Đây là tên của bản ghi TXT DKIM. Bạn sẽ thêm tên này vào bản ghi TXT của nhà cung cấp miền trong trường Máy chủ.
    Giá trị bản ghi TXT – Văn bản này là khoá DKIM. Bạn sẽ thêm khoá này vào bản ghi TXT của nhà cung cấp miền trong trường Giá trị TXT.

Lưu ý quan trọng: Đừng nhấp vào Bắt đầu xác thực ngay. Bạn sẽ làm việc đó sau.

Bước 2: Thêm khoá DKIM vào miền

Sau khi tạo cặp khoá DKIM, hãy thêm khoá DKIM công khai vào miền bằng cách tạo bản ghi DKIM TXT.

Để được trợ giúp về thông tin đăng nhập, chế độ cài đặt hoặc bản ghi TXT của miền, hãy liên hệ với nhà cung cấp miền của bạn. Google không cung cấp dịch vụ hỗ trợ kỹ thuật cho các nhà cung cấp miền bên thứ ba.
  1. Đăng nhập vào công ty lưu trữ miền của bạn, thường là nơi bạn đã mua tên miền. Nếu bạn không biết chắc công ty lưu trữ miền của mình là công ty nào, hãy xem bài viết xác định nhà đăng ký tên miền.
  2. Chuyển đến trang nơi bạn cập nhật bản ghi TXT DNS cho miền của mình. Để biết cách tìm trang này, hãy xem tài liệu về miền của bạn.

  3. Thêm hoặc cập nhật bản ghi TXT bằng thông tin này (tham khảo tài liệu về miền của bạn):

    Tên trường Giá trị cần nhập
    Loại Loại bản ghi là TXT.
    Máy chủ lưu trữ (Tên, Tên máy chủ, Bí danh) Chuỗi tạo nên tên bản ghi TXT. Ví dụ: google._domainkey Xem [bước này](#dkim-values) (trước đó trên trang này).
    Giá trị Chuỗi tạo nên giá trị bản ghi TXT. Nội dung này phải bắt đầu bằng một nội dung như: v=DKIM1. Xem [bước này](#dkim-values) (trước đó trên trang này).

    Lưu ý: Một số nhà cung cấp miền giới hạn độ dài của bản ghi TXT. Nếu có, hãy đọc bài viết Xác minh giới hạn ký tự của bản ghi TXT của nhà cung cấp miền.

  4. Lưu thay đổi.

  5. Nếu bạn sử dụng miền con, hãy liên hệ với nhà cung cấp miền để tìm hiểu cách thêm bản ghi TXT cho miền con.

  6. Nếu bạn đang thiết lập DKIM cho nhiều miền, hãy hoàn tất các bước này cho từng miền. Bạn phải lấy một khoá DKIM riêng biệt từ Bảng điều khiển dành cho quản trị viên cho từng miền.

    Sau khi bạn thêm khoá DKIM, có thể mất đến 48 giờ thì phương thức xác thực DKIM mới bắt đầu hoạt động.

Bước 3: Bật và xác minh DKIM

  • Nếu bạn đang sử dụng Google Workspace, hãy làm theo hướng dẫn trong phần này.
  • Nếu bạn không sử dụng Google Workspace, hãy dùng một trong các công cụ có trên Internet.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Google Workspace Gmail.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

  2. Nhấp vào Xác thực email.
  3. Trong trình đơn Miền đã chọn, hãy chọn miền mà bạn muốn bật DKIM.
  4. Nhấp vào Bắt đầu xác thực. Sau khi hoàn tất thiết lập DKIM và phương thức xác thực này hoạt động bình thường, trạng thái ở đầu trang sẽ thay đổi thành: Xác thực email bằng DKIM.
  5. Gửi email cho người đang dùng Gmail hoặc Google Workspace. (Bạn không thể xác minh xem DKIM có đang bật hay không bằng cách gửi thư kiểm thử cho chính mình.)

  6. Mở thư trong hộp thư đến của người nhận và tìm toàn bộ phần đầu thư.

    Lưu ý: Các bước xem tiêu đề thư có thể khác nhau tuỳ theo ứng dụng email. Để hiện tiêu đề thư trong Gmail, bên cạnh nút Trả lời, hãy nhấp vào Tuỳ chọn khác Hiển thị thư gốc.

  7. Trong tiêu đề thư, hãy tìm Authentication-Results. Các dịch vụ nhận thư sử dụng nhiều định dạng cho phần đầu thư, tuy nhiên, kết quả DKIM sẽ có dạng như DKIM=pass hoặc DKIM=OK. Nếu tiêu đề thư không có dòng nào về DKIM, thì thư gửi từ miền của bạn sẽ không được ký bằng DKIM:

Các bước tiếp theo

  • Google cũng khuyên bạn nên thiết lập phương thức xác thực SPFDMARC cho tổ chức của mình. Người gửi email hàng loạt phải thiết lập DKIM, SPF và DMARC. Để biết thông tin chi tiết, hãy xem Nguyên tắc dành cho người gửi email.
  • Nếu bạn không biết liệu DKIM có hoạt động hay không, hoặc nếu thư gửi từ miền của bạn bị chuyển vào thư mục thư rác, hãy xem bài viết Khắc phục sự cố về DKIM.
  • Bạn có thể thiết lập BIMI để thêm biểu trưng của tổ chức vào các thư gửi từ miền của bạn (không bắt buộc).


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.