設定 DKIM

Gmail 使用者:如果您在 Gmail 中收到垃圾郵件或網路釣魚郵件,請改為前往這裡。如果無法透過 Gmail 收發電子郵件,請按這裡

電子郵件寄件者:如要傳送電子郵件至個人 Gmail 帳戶,請務必設定電子郵件驗證,以確保郵件順利送達。所有寄件者皆須設定 SPF設定 DKIM;大量寄件者 (每天超過 5,000 封郵件) 則須設定 SPF設定 DKIM設定 DMARC。詳情請參閱「電子郵件寄件者指南」。

DKIM 會使用 DKIM 簽名驗證電子郵件,有助於防範網域遭到假冒。只要產生公開 DKIM 金鑰並新增至網域,即可設定 DKIM。收件伺服器會使用該金鑰讀取 DKIM 簽名,並驗證來自您網域的郵件。

本頁內容

事前準備

  • 如果您的網域已預設 DKIM,或者您在申請 Google Workspace 時已向 Google 合作夥伴購買網域,可能就不需要設定 DKIM。如要檢查網域是否已設定 DKIM,請使用網路上提供的任一免費工具。
  • 如果您使用外送閘道,請務必確認相關設定不會干擾 DKIM。外送閘道可用於修改外寄郵件,例如在每封郵件底部加上註腳。如要瞭解如何設定外送閘道來處理外寄郵件,請參閱這篇文章

DKIM 如何運作?

如要設定 DKIM,請為您的網域產生一組 DKIM 金鑰:

  • 儲存在網域 DKIM DNS TXT 記錄中的「公開」金鑰。這是您新增至網域的金鑰。
  • 會上傳至您電子郵件伺服器的「私密」金鑰。這個金鑰會產生 DKIM 簽名,並將其加入所有外寄郵件。
含有私密金鑰的寄件者電子郵件伺服器。
含有公開金鑰的寄件者 DKIM TXT 記錄。
寄件者的私密金鑰會在外寄電子郵件的標頭中加入 DKIM 簽名。
電子郵件會傳送至收件者的網域。
收件者的電子郵件伺服器會從 DKIM TXT 記錄取得公開金鑰,並使用該金鑰讀取 DKIM 簽名和驗證電子郵件。

步驟 1:產生 DKIM 金鑰組

  • 如果您使用 Google Workspace,請按照本節中的操作說明進行。
  • 如果您沒有使用 Google Workspace,請使用網路上的工具執行以下操作:
    • 找出 DKIM 前置字元選取器。您可以傳送測試電子郵件至收件匣、查看郵件來源,並在 DKIM 簽名標頭中找出 s 值。
    • 指定網域名稱、金鑰長度和 DKIM 前置字元選取器,以產生 DKIM 金鑰組。
    • 將私密金鑰儲存在郵件伺服器設定中,並將公開金鑰新增至網域。
您必須以超級管理員身分登入,才能執行這項工作。

重要事項:在 Google Workspace 中,為貴機構啟用 Gmail 後,您必須等候 24 至 72 小時,才能在管理控制台中取得 DKIM 金鑰。如果您嘗試在這個時間點前產生金鑰,可能會看到未建立 DKIM 記錄的錯誤訊息。

  1. 在 Google 管理控制台中,依序點選「選單」 「應用程式」 「Google Workspace」 「Gmail」

    必須具備 Gmail 設定管理員權限

  2. 按一下「驗證電子郵件」
  3. 在「所選網域」選單中,選取要設定 DKIM 的網域。
  4. 按一下「產生新記錄」按鈕。
  5. 在「產生新記錄」方塊中,選取您的 DKIM 金鑰設定:
    • 2048:如果您的網域供應商支援 2048 位元金鑰,請選取這個選項。長的金鑰比短的金鑰更安全。如果您先前使用的是 1024 位元的金鑰,但網域供應商支援 2048 位元金鑰,可以改用 2048 位元的金鑰。
    • 1024:如果您的網域代管商不支援 2048 位元金鑰,請選取這個選項。
    • 前置字元選取器選項:

  6. 點選「產生」,在「驗證電子郵件」頁面上,系統會更新「TXT 記錄值」,並顯示以下訊息:「DKIM 驗證設定已更新」

    重要事項:Google 管理控制台的「驗證電子郵件」頁面可能會持續顯示「您必須更新此網域的 DNS 記錄」訊息,顯示時間最長為 48 小時。。如果您已在網域供應商網站正確新增 DKIM 金鑰,可以忽略這則訊息。

  7. 複製「驗證電子郵件」視窗中顯示的 DKIM 值。您將在下一個步驟中透過網域供應商頁面新增這項資訊:

    DNS 主機名稱 (TXT 記錄名稱):這段文字是 DKIM TXT 記錄的名稱。請將這個名稱新增到網域供應商的 TXT 記錄,並填入「Host」欄位。
    TXT 記錄值:這段文字是 DKIM 金鑰。請將這個金鑰新增至網域供應商的 TXT 記錄,並填入「TXT Value」欄位。

重要事項:請勿點選「開始驗證」,之後再執行這項操作。

步驟 2:將 DKIM 金鑰新增至網域

產生 DKIM 金鑰組之後,請建立 DKIM TXT 記錄,將公開 DKIM 金鑰新增至您的網域。

如需網域登入資訊、設定或 TXT 記錄的相關協助,請與您的網域供應商聯絡。Google 不為第三方網域供應商提供技術支援。
  1. 登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司,請參閱「找出網域註冊商」一文。
  2. 前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面,請參閱網域的說明文件。

  3. 使用這項資訊新增或更新 TXT 記錄 (請參閱網域文件):

    欄位名稱 應輸入的值
    類型 記錄類型為 TXT
    主機 (名稱、主機名稱、別名) 這是組成 TXT 記錄名稱的字串,例如:google._domainkey 請參閱本頁上方的 [這個步驟](#dkim-values)。
    這是組成 TXT 記錄值的字串,開頭應為 v=DKIM1 或類似內容。請參閱 [這個步驟](#dkim-values) (本頁上方的步驟)。

    注意:部分網域供應商會限制 TXT 記錄長度。如果您的 TXT 記錄受到限制,請參閱「確認網域供應商的 TXT 記錄字元限制」。

  4. 儲存變更。

  5. 如果您使用子網域,請詢問網域供應商如何為子網域新增 TXT 記錄。

  6. 如要為多個網域設定 DKIM,請為每個網域完成下列步驟。您必須從管理控制台取得每個網域的不重複 DKIM 金鑰。

    新增 DKIM 金鑰後,DKIM 驗證功能最多可能要 48 小時才會開始運作。

步驟 3:開啟並驗證 DKIM

  • 如果您使用 Google Workspace,請按照本節中的操作說明進行。
  • 如果您使用 Google Workspace,請使用網路上的工具。

  1. 在 Google 管理控制台中,依序點選「選單」 「應用程式」 「Google Workspace」 「Gmail」

    必須具備 Gmail 設定管理員權限

  2. 按一下「驗證電子郵件」
  3. 在「所選網域」選單中,選取要開啟 DKIM 的網域。
  4. 按一下「開始驗證」。如果 DKIM 已設定完成且可正常運作,頁面頂端的狀態就會變更為「正在使用 DKIM 驗證電子郵件」
  5. 傳送電子郵件給 Gmail 或 Google Workspace 使用者。(您無法透過傳送測試郵件給自己來驗證 DKIM 功能是否已開啟)。

  6. 在收件者的收件匣中開啟郵件,找出完整的郵件標頭。

    注意:查看郵件標頭的步驟會因電子郵件應用程式而有所不同。如要在 Gmail 中顯示郵件標頭,請依序按一下「回覆」旁邊的「更多」圖示 「顯示原始郵件」

  7. 在郵件標頭中尋找 Authentication-Results。收件服務會對郵件標頭使用不同的格式,但 DKIM 結果應顯示類似於 DKIM=passDKIM=OK 的內容。 如果郵件標頭中沒有 DKIM 相關的資料行,從您網域寄出的郵件就沒有經 DKIM 簽署:

    • 請確認您已完成本文中的所有步驟。
    • 請參閱「排解 DKIM 問題」一文。

後續步驟

  • Google 建議您一併為貴機構設定 SPFDMARC 驗證。大量寄件者必須設定 DKIM、SPF 和 DMARC。詳情請參閱「電子郵件寄件者指南」。
  • 如果您無法確認 DKIM 是否正常運作,或是從您網域寄出的郵件是否會被歸類為垃圾郵件,請參閱「排解 DKIM 問題」。
  • 您可以視需要設定 BIMI,在從組織網域寄出的郵件中加入組織標誌。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。