设置 DKIM

Gmail 用户:如果您在 Gmail 中收到垃圾邮件或钓鱼式攻击邮件,请改为点击此处。如果您在 Gmail 中收发电子邮件时遇到问题,请改为点击此处

电子邮件发件人:如果您向个人 Gmail 账号发送电子邮件,则必须设置电子邮件身份验证,以确保电子邮件能够正常送达。所有发件人都必须设置 SPF设置 DKIM。群发邮件发件人(每天发送超过 5,000 封邮件)必须设置 SPF设置 DKIM设置 DMARC。如需了解详情,请参阅电子邮件发件人指南

DKIM 可通过 DKIM 签名对电子邮件进行身份验证,帮助保护您的网域免遭仿冒。如需设置 DKIM,请生成一个 DKIM 公钥并将其添加到您的网域。接收服务器会使用您的 DKIM 公钥读取 DKIM 签名,并对从您的网域收到的邮件进行身份验证。

本页内容

准备工作

  • 如果您的网域已默认设置 DKIM,或者您在注册 Google Workspace 时向 Google 合作伙伴购买了网域,则可能无需设置 DKIM。如需检查您的网域是否已设置 DKIM,您可以使用互联网上的各种免费工具之一。
  • 如果您使用出站网关,则必须验证设置不会干扰 DKIM。出站网关可设置为修改外发邮件的内容,例如在每封邮件的底部添加页脚。请参阅设置出站网关以处理外发邮件

DKIM 的运作方式

如需设置 DKIM,您需要为网域生成一对 DKIM 密钥:

  • 存储在网域的 DKIM DNS TXT 记录中的公钥。这是您添加到域名中的密钥。
  • 上传到电子邮件服务器的私钥。此密钥会生成 DKIM 签名并将其添加到每封外发邮件中。
包含私钥的发件人电子邮件服务器。
包含公钥的发件人 DKIM TXT 记录。
发件人的私钥会将 DKIM 签名添加到外发电子邮件的标头中。
电子邮件会发送到接收者的域名。
接收者的电子邮件服务器从 DKIM TXT 记录中获取公钥,并使用该公钥读取 DKIM 签名并对电子邮件进行身份验证。

第 1 步:生成 DKIM 密钥对

  • 如果您正在使用 Google Workspace,请按照本部分中的说明操作。
  • 如果您未在使用 Google Workspace,请使用互联网上提供的工具执行以下操作:
    • 找到您的 DKIM 前缀选择器。您可以向收件箱发送测试电子邮件,查看邮件源代码,然后在 DKIM-Signature 标头中找到 s 值。
    • 指定您的域名、密钥长度和 DKIM 前缀选择器,以生成 DKIM 密钥对。
    • 将私钥存储在邮件服务器配置中,并将公钥添加到您的网域。
您必须以超级用户身份登录,才能执行此任务。

重要提示:在 Google Workspace 中,为贵组织启用 Gmail 后,您必须等待 24 到 72 小时,才能在管理控制台中获取 DKIM 密钥。如果您在此时间之前尝试生成密钥,则可能会收到 DKIM 记录未创建的错误消息。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 应用 Google Workspace Gmail

    需要拥有“Gmail 设置”管理员权限

  2. 点击对电子邮件进行身份验证
  3. 所选网域菜单中,选择您要设置 DKIM 的网域。
  4. 点击生成新记录按钮。
  5. 生成新记录方框中,选择您的 DKIM 密钥设置:
    • 2048 - 如果您的域名提供商支持 2048 位密钥,请选择此选项。长密钥比短密钥更安全。如果您之前使用的是 1024 位密钥,则只要域名提供商支持,就可以切换到 2048 位密钥。
    • 1024 - 如果您的域名托管服务商不支持 2048 位密钥,请选择此选项。
    • 前缀选择器选项:

  6. 点击生成。在“对电子邮件进行身份验证”页面上,TXT 记录值会更新,并显示以下消息:已更新 DKIM 身份验证设置

    重要提示:Google 管理控制台中的“对电子邮件进行身份验证”页面可能会继续显示以下消息(最长不超过 48 小时):您必须更新此网域的 DNS 记录。如果您已在域名提供商处正确添加 DKIM 密钥,则可以忽略此消息。

  7. 复制对电子邮件进行身份验证窗口中显示的 DKIM 值。您需要在接下来的步骤中将其添加到域名提供商处:

    DNS 主机名(TXT 记录名称):此文本即为 DKIM TXT 记录的名称。您需要将此名称添加到域名提供商的 TXT 记录的“Host”(主机)字段中。
    TXT 记录值:此文本即 DKIM 密钥。您需要将此密钥添加到域名提供商的 TXT 记录的“TXT Value”(TXT 值)字段中。

重要提示:请勿点击启动身份验证。您稍后可以执行此操作。

第 2 步:为您的网域添加 DKIM 密钥

生成 DKIM 密钥对后,请通过创建 DKIM TXT 记录将公用 DKIM 密钥添加到您的网域。

如需网域登录信息、设置或 TXT 记录方面的帮助,请与您的域名提供商联系。Google 不会针对第三方域名提供商提供技术支持服务。
  1. 登录您的域名托管服务商(通常是您购买域名的公司)。如果您不确定自己的域名托管服务商是谁,请参阅确定您的域名注册商
  2. 前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助,请查看您网域的相关文档。

  3. 使用以下信息添加或更新 TXT 记录(请参阅您域名的相关文档):

    字段名称 输入的值
    类型 记录类型为 TXT
    主机(名称、主机名、别名) 构成 TXT 记录名称的字符串。例如:google._domainkey 请参阅 [此步骤](#dkim-values)(本页面上文)。
    构成 TXT 记录值的字符串。该值应以类似于 v=DKIM1 这样的内容开头。请参阅 [此步骤](#dkim-values)(本页面上文)。

    注意:某些域名提供商会限制 TXT 记录长度。如果您属于此情况,请参阅验证域名提供商的 TXT 记录字符数限制

  4. 保存更改。

  5. 如果您使用子网域,请咨询您的域名提供商,了解如何为子网域添加 TXT 记录。

  6. 如果您要为多个网域设置 DKIM,请为每个网域完成以下步骤。您必须从管理控制台中获取每个网域唯一的 DKIM 密钥。

    添加 DKIM 密钥后,DKIM 身份验证最多可能需要 48 小时才能开始生效。

第 3 步:启用并验证 DKIM

  • 如果您正在使用 Google Workspace,请按照本部分中的说明操作。
  • 如果您未在使用 Google Workspace,请使用互联网上提供的工具之一。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 应用 Google Workspace Gmail

    需要拥有“Gmail 设置”管理员权限

  2. 点击对电子邮件进行身份验证
  3. 所选网域菜单中,选择要启用 DKIM 的网域。
  4. 点击启动身份验证。如果 DKIM 已设置完毕且运作正常,那么页面顶部的状态会更改为:通过 DKIM 对电子邮件进行身份验证
  5. 向一名 Gmail 或 Google Workspace 用户发送一封电子邮件。(您无法通过向自己发送测试邮件来验证是否已启用 DKIM。)

  6. 在收件人的收件箱中打开相应邮件,找到完整的邮件标头。

    注意:查看邮件标头的步骤因电子邮件应用而异。如需在 Gmail 中显示邮件标头,请点击回复旁边的更多图标 显示原始邮件

  7. 在邮件标头中,查找 Authentication-Results。接收邮件的服务会对邮件标头采用不同的格式,但 DKIM 结果应如下所示:DKIM=passDKIM=OK。 如果邮件标头没有包含 DKIM 信息的行,则说明从您的网域发送的邮件未使用 DKIM 签名:

后续步骤

  • Google 建议您还为组织设置 SPFDMARC 身份验证。群发邮件发件人必须设置 DKIM、SPF 和 DMARC。有关详情,请参阅电子邮件发件人指南
  • 如果您无法确定 DKIM 是否正常运作,或者来自您网域的邮件是否会被归类为垃圾邮件,请参阅排查 DKIM 问题
  • 您可以选择设置 BIMI,以将贵组织的徽标添加到从您网域发送的邮件中。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。