Thiết lập DKIM

DKIM giúp bảo vệ miền của bạn khỏi bị giả mạo bằng cách xác thực email bằng chữ ký DKIM. Thiết lập DKIM bằng cách tạo khoá DKIM công khai rồi thêm vào miền của bạn. Các máy chủ nhận thư sử dụng khoá DKIM công khai của bạn để đọc chữ ký DKIM và xác thực thư họ nhận được từ miền của bạn.

Trước khi bắt đầu

Bạn có thể không cần thiết lập DKIM nếu miền của bạn đã được thiết lập DKIM theo mặc định hoặc nếu bạn mua miền từ một đối tác của Google khi đăng ký Google Workspace. Để kiểm tra xem bạn đã thiết lập DKIM cho miền của mình hay chưa, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet.
Nếu sử dụng cổng gửi đi, bạn phải kiểm tra để đảm bảo chế độ cài đặt không ảnh hưởng đến DKIM. Bạn có thể thiết lập cổng gửi đi để sửa đổi thư gửi đi, chẳng hạn như thêm chân trang vào cuối mỗi thư. Xem bài viết Thiết lập cổng gửi đi để xử lý thư gửi đi.

DKIM hoạt động như thế nào?

Để thiết lập DKIM, bạn tạo một cặp khoá DKIM cho miền của mình:

Một khoá công khai được lưu trữ trong bản ghi TXT DNS của miền dùng cho phương thức DKIM. Đây là khoá mà bạn sẽ thêm vào miền của mình.
Một khoá riêng tư được tải lên máy chủ email của bạn. Khoá này sẽ tạo và thêm chữ ký DKIM vào mỗi thư gửi đi.


	Máy chủ email của người gửi có khoá riêng tư.
	Bản ghi TXT DKIM của người gửi có khoá công khai.
	Khoá riêng tư của người gửi sẽ thêm chữ ký DKIM vào phần đầu của email gửi đi.
	Email được gửi đến miền của người nhận.
	Máy chủ email của người nhận sẽ lấy khoá công khai từ bản ghi TXT DKIM và dùng khoá này để đọc chữ ký DKIM và xác thực email.

Bước 1: Tạo cặp khoá DKIM

Nếu bạn đang sử dụng Google Workspace, hãy làm theo hướng dẫn trong phần này.
Nếu bạn không sử dụng Google Workspace, hãy dùng một công cụ có trên Internet để làm những việc sau:
- Tìm bộ chọn tiền tố DKIM. Bạn có thể gửi email thử nghiệm vào hộp thư đến, xem nguồn thư và xác định giá trị s trong tiêu đề DKIM-Signature.
- Chỉ định tên miền, độ dài khoá và bộ chọn tiền tố DKIM để tạo cặp khoá DKIM.
- Lưu khoá riêng tư trong cấu hình máy chủ thư và thêm khoá công khai vào miền của bạn.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Quan trọng: Trong Google Workspace, sau khi bật Gmail cho tổ chức, bạn phải đợi từ 24 đến 72 giờ mới có thể lấy khoá DKIM trong Bảng điều khiển dành cho quản trị viên. Nếu cố gắng tạo khoá trước thời gian này, bạn có thể gặp lỗi cho biết bản ghi DKIM chưa được tạo.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Google Workspace Gmail.

Truy cập vào Gmail

Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.
Nhấp vào Xác thực email.
Trong trình đơn Miền đã chọn, hãy chọn miền mà bạn muốn thiết lập DKIM.
Nhấp vào nút Tạo bản ghi mới.
Trong hộp Tạo bản ghi mới, hãy chọn chế độ cài đặt khoá DKIM:
- 2048 – Nếu nhà cung cấp miền của bạn hỗ trợ khoá 2048 bit, hãy chọn độ dài này. Khoá càng dài thì càng bảo mật. Nếu trước đây đã sử dụng khoá 1024 bit, bạn có thể chuyển sang khoá 2048 bit nếu nhà cung cấp miền của bạn hỗ trợ khoá này.
- 1024 – Nếu công ty lưu trữ miền của bạn không hỗ trợ khoá 2048 bit, hãy chọn độ dài này.
- Các lựa chọn về bộ chọn tiền tố:
Nhấp vào Tạo. Trên trang Xác thực email, giá trị bản ghi TXT sẽ được cập nhật và thông báo Đã cập nhật chế độ cài đặt xác thực DKIM sẽ xuất hiện.

Quan trọng: Trang Xác thực email trong Bảng điều khiển dành cho quản trị viên của Google có thể vẫn hiện thông báo sau đây trong tối đa 48 giờ: Bạn phải cập nhật bản ghi DNS cho miền này. Nếu đã thêm khoá DKIM đúng cách tại nhà cung cấp miền, bạn có thể bỏ qua thông báo này.

Sao chép các giá trị DKIM xuất hiện trong cửa sổ Xác thực email. Bạn sẽ thêm thông tin này tại nhà cung cấp miền của mình trong bước tiếp theo:

			Tên máy chủ lưu trữ DNS (tên bản ghi TXT) – Văn bản này là tên của bản ghi TXT DKIM. Bạn sẽ thêm tên này vào bản ghi TXT của nhà cung cấp miền trong trường Máy chủ lưu trữ.
			Giá trị bản ghi TXT – Văn bản này là khoá DKIM. Bạn sẽ thêm khoá này vào bản ghi TXT của nhà cung cấp miền trong trường Giá trị TXT.

Quan trọng: Đừng nhấp vào Bắt đầu xác thực ngay. Bạn sẽ làm việc đó sau.

Bước 2: Thêm khoá DKIM vào miền

Sau khi tạo cặp khoá DKIM, hãy thêm khoá DKIM công khai vào miền bằng cách tạo bản ghi TXT DKIM.

Để được trợ giúp về thông tin đăng nhập, chế độ cài đặt hoặc bản ghi TXT của miền, hãy liên hệ với nhà cung cấp miền của bạn. Google không cung cấp dịch vụ hỗ trợ kỹ thuật cho các nhà cung cấp miền bên thứ ba.

Đăng nhập vào công ty lưu trữ miền của bạn, thường là nơi bạn đã mua tên miền. Nếu bạn không biết chắc công ty lưu trữ miền của mình là công ty nào, hãy xem bài viết xác định nhà đăng ký tên miền.
Chuyển đến trang mà bạn cập nhật bản ghi TXT DNS cho miền của mình. Để được trợ giúp tìm trang này, hãy xem tài liệu về miền của bạn.

Thêm hoặc cập nhật bản ghi TXT bằng thông tin này (tham khảo tài liệu về miền của bạn):

Tên trường	Giá trị cần nhập
Loại	Loại bản ghi là TXT.
Máy chủ lưu trữ (Tên, Tên máy chủ, Bí danh)	Chuỗi tạo nên tên bản ghi TXT. Ví dụ: google._domainkey Xem [bước này](#dkim-values) (ở phần trước của trang này).
Giá trị	Chuỗi tạo nên giá trị trong bản ghi TXT. Chuỗi này sẽ bắt đầu bằng nội dung có dạng: v=DKIM1. Xem [bước này](#dkim-values) (ở phần trước của trang này).

Lưu ý: Một số nhà cung cấp miền giới hạn độ dài của bản ghi TXT. Nếu nhà cung cấp của bạn có giới hạn, hãy tham khảo phần Xác minh giới hạn ký tự trong bản ghi TXT của nhà cung cấp miền.

Lưu thay đổi.
Nếu bạn sử dụng miền con, hãy liên hệ với nhà cung cấp miền để tìm hiểu cách thêm bản ghi TXT cho miền con.
Nếu bạn đang thiết lập DKIM cho nhiều miền, hãy hoàn tất các bước này cho từng miền. Bạn phải lấy một khoá DKIM riêng biệt trong Bảng điều khiển dành cho quản trị viên cho từng miền.

Sau khi bạn thêm khoá DKIM, có thể mất đến 48 giờ thì phương thức xác thực DKIM mới bắt đầu hoạt động.

Bước 3: Bật và xác minh DKIM

Nếu bạn đang sử dụng Google Workspace, hãy làm theo hướng dẫn trong phần này.
Nếu bạn không sử dụng Google Workspace, hãy dùng một trong các công cụ có trên Internet.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Ứng dụng Google Workspace Gmail.

Truy cập vào Gmail

Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.
Nhấp vào Xác thực email.
Trong trình đơn Miền đã chọn, hãy chọn miền mà bạn muốn bật DKIM.
Nhấp vào Bắt đầu xác thực. Sau khi hoàn tất thiết lập DKIM và phương thức xác thực này hoạt động bình thường, trạng thái ở đầu trang sẽ thay đổi thành: Đang xác thực email bằng DKIM.
Gửi nội dung email cho người dùng Gmail hoặc Google Workspace. (Bạn không thể xác minh xem DKIM có đang bật hay không bằng cách gửi thư kiểm thử cho chính mình).
Mở thư trong hộp thư đến của người nhận và tìm toàn bộ phần đầu thư.

Lưu ý: Các bước xem phần đầu thư sẽ khác nhau tuỳ theo từng ứng dụng email. Để hiện phần đầu thư trong Gmail, bên cạnh nút Trả lời, hãy nhấp vào Tuỳ chọn khác Hiển thị thư gốc.
Trong phần đầu thư, hãy tìm Authentication-Results. Mỗi dịch vụ nhận thư sử dụng định dạng riêng cho phần đầu thư. Tuy nhiên, kết quả DKIM sẽ có dạng như DKIM=pass hoặc DKIM=OK. Nếu phần đầu thư không có dòng nào về DKIM, thì có nghĩa là thư được gửi từ miền của bạn không được ký bằng DKIM:
- Kiểm tra để đảm bảo bạn đã hoàn thành tất cả các bước trong bài viết này.
- Tham khảo bài viết Khắc phục sự cố về DKIM.

Các bước tiếp theo

Bạn cũng nên thiết lập phương thức xác thực bằng SPF và DMARC cho tổ chức của mình. Người gửi email hàng loạt phải thiết lập DKIM, SPF và DMARC. Để biết thông tin chi tiết, hãy xem bài viết Nguyên tắc dành cho người gửi email.
Nếu bạn không thể xác định xem DKIM có đang hoạt động hay không, hoặc không biết thư được gửi từ miền của bạn có bị chuyển đến thư mục thư rác hay không, hãy xem bài viết Khắc phục sự cố về DKIM.
Bạn có thể cân nhắc thiết lập BIMI để thêm biểu trưng của tổ chức vào các thư được gửi từ miền của bạn.

Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.