Defaults.Exposed › Pembaikan › DKIM
Cara memperbaiki DKIM
DKIM ialah meterai kalis gangguan yang tidak kelihatan pada setiap e-mel yang dihantar oleh perniagaan anda. Ia membolehkan pembekal mel penerima mengesahkan bahawa e-mel itu benar-benar datang dari anda dan tiba tanpa sebarang perubahan. Tanpanya, mel anda lebih mudah dipalsukan, lebih mudah diubah, dan jauh lebih berkemungkinan mendarat dalam spam atau ditolak terus.
Kesimpulan untuk perniagaan anda: Tanpa DKIM, e-mel yang anda hantar boleh diubah semasa dalam transit, lebih mudah disasar oleh penjenayah, dan lebih berkemungkinan ditapis ke dalam spam atau ditolak sepenuhnya — secara senyap merugikan anda dalam urusan perniagaan, pembayaran, dan kepercayaan yang tidak pernah anda sedari hilang.
Apakah kos yang boleh timbul
- Invois yang anda e-melkan dipintas dan butiran bank ditukar sebelum sampai kepada pelanggan anda. E-mel itu masih kelihatan datang dari anda, pelanggan membayar kepada penjenayah, dan apabila semuanya terbongkar andalah yang disalahkan.
- Sebut harga, kontrak dan invois tulen anda terus mendarat di folder spam pelanggan. Anda menganggap klien menjadi senyap atau memilih orang lain — tetapi mereka sebenarnya tidak pernah melihat e-mel anda.
- Pasukan keselamatan atau perolehan klien yang lebih besar menjalankan semakan pantas ke atas domain anda sebelum menandatangani, melihat tiada DKIM, dan sama ada menunda urusan perniagaan selama berminggu-minggu sehingga anda membetulkannya atau secara senyap memilih pembekal yang lulus semakan.
- Penjenayah menghantar e-mel palsu yang meyakinkan 'dari syarikat anda' kepada pelanggan anda sendiri. Kerana tiada yang membuktikan mesej mana yang benar-benar milik anda, yang palsu kelihatan sama sahnya dengan yang tulen — dan nama anda yang menanggung kerosakan apabila orang tertipu.
- Pembekal peti mel besar dan bank semakin menganggap mel tidak bertandatangan sebagai mencurigakan. Lama-kelamaan lebih banyak e-mel perniagaan harian anda dilambatkan, dijunk, atau dilantun, dan jangkauan anda secara perlahan berhenti berfungsi.
Mengapa ia penting. E-mel tidak pernah dibina untuk membuktikan siapa yang menghantarnya, dan memalsukan penghantar adalah sangat mudah. DKIM menambah tandatangan kriptografi yang pembekal penerima semak secara automatik — mengesahkan bahawa mesej itu benar-benar dari domain anda dan tidak diubah dalam perjalanan. Ia adalah salah satu daripada tiga perkara yang setiap pembekal mel moden mencari, ia secara langsung mempengaruhi sama ada e-mel anda dipercayai atau dijunk, dan pembetulannya adalah percuma.
Apa ini, dalam bahasa mudah
Setiap e-mel yang dihantar oleh perniagaan anda melalui beberapa tangan sebelum sampai ke peti masuk. Dengan sendirinya, e-mel tidak membawa bukti siapa yang sebenarnya menghantarnya atau sama ada seseorang mengubahnya dalam perjalanan — baris “dari” hanyalah teks yang sesiapa boleh taip.
DKIM membetulkan perkara itu. Ia meletakkan meterai tidak kelihatan dan kalis gangguan pada setiap mesej yang dihantar oleh perniagaan anda. Apabila e-mel tiba, pembekal mel penerima menyemak meterai terhadap kunci yang anda terbitkan pada domain anda. Jika ia sepadan, pembekal mengetahui dua perkara dengan pasti: e-mel itu benar-benar datang dari domain anda, dan tidak satu pun aksara diubah semasa transit. Jika ia tidak sepadan — kerana mesej dipalsukan atau diubah — meterai gagal, dan pembekal menganggap mel itu dengan syak wasangka.
Anda tidak menguruskan mana-mana perkara ini dengan tangan. Setelah ia dihidupkan, penandatanganan dan semakan berlaku secara automatik pada setiap e-mel, selama-lamanya. Keseluruhan tujuan DKIM adalah untuk menjadikan mel tulen anda boleh dibuktikan tulen — supaya ia dipercayai, dan supaya yang palsu menonjol.
Apa yang ini boleh koskan anda
Ini bukan abstrak. Begini rupa meterai DKIM yang hilang atau lemah dalam amalan untuk perniagaan kecil atau sederhana.
- Invois yang diubah. Anda menghantar e-mel invois kepada pelanggan. Di suatu tempat antara pelayan anda dan pelayan mereka, penyerang memintas dan menukar butiran bank anda dengan milik mereka sendiri. E-mel masih kelihatan datang dari anda, pelanggan membayar — ke akaun penjenayah. Tanpa DKIM, tiada apa yang menandakan bahawa mesej telah diubah. Dengannya, perubahan senyap itu memecahkan meterai dan dikesan.
- Urusan perniagaan yang mati dalam spam. Sebut harga, cadangan dan susulan anda terus tergelincir ke folder sampah pelanggan. Anda tidak pernah mendapat maklum balas dan menganggap mereka tidak berminat. Pada hakikatnya, mel tidak bertandatangan adalah isyarat spam yang kuat — e-mel perniagaan tulen anda sekadar tidak dilihat.
- Kontrak yang hilang. Pasukan perolehan atau keselamatan klien yang lebih besar menilai domain anda sebelum mereka menandatangani. Mereka melihat tiada DKIM dan menganggapnya sebagai bendera merah — sama ada melambatkan urusan perniagaan selama berminggu-minggu semasa anda membetulkannya, atau secara senyap memilih pembekal yang keselamatan e-melnya lulus semakan.
- Nama anda digunakan terhadap pelanggan anda sendiri. Penipu menghantar e-mel palsu yang meyakinkan “dari syarikat anda” kepada pangkalan pelanggan anda. Kerana tiada yang membuktikan mesej mana yang benar-benar milik anda, yang palsu kelihatan sama sahnya dengan yang tulen — dan reputasi andalah yang terjejas apabila orang tertipu.
- Pencekikan perlahan e-mel anda. Bank, pembekal peti mel besar dan penapis korporat semakin tidak mempercayai mel tidak bertandatangan. Kesannya merayap masuk lama-kelamaan: lebih banyak pelambatan, lebih banyak penjunkan, lebih banyak lantunan — sehingga jangkauan harian anda secara senyap berhenti mendarat.
Apa yang ia sebenarnya
DKIM bermaksud DomainKeys Identified Mail. Begini cara meterai berfungsi, tanpa jargon:
- Anda menerbitkan kunci awam pada domain anda (dalam tetapan DNS anda). Sesiapa boleh membacanya — itulah intinya.
- Pembekal mel anda memegang kunci persendirian yang sepadan dan menggunakannya untuk menandatangani setiap e-mel yang anda hantar, menambah pengepala tersembunyi.
- Apabila e-mel tiba, pembekal penerima mengambil kunci awam anda, menyemak tandatangan terhadap mesej, dan mengesahkan ia tulen dan tidak diubah.
Beberapa istilah yang mungkin anda dengar dari orang IT anda:
- Selector — label yang menunjuk kepada satu kunci tertentu, cth.
selector1._domainkey.yourdomain. Ia membolehkan anda menjalankan dan memutar pelbagai kunci dengan bersih. Pembekal anda menyediakan ini. - Kekuatan kunci — kunci DKIM datang dalam pelbagai saiz. Garis dasar moden ialah 2048-bit RSA; kunci 4096-bit RSA atau Ed25519 adalah lebih kuat lagi. Kunci 1024-bit yang lebih lama masih berfungsi tetapi dianggap lemah mengikut standard hari ini (NIST SP 800-131A / RFC 8301).
Apa yang “baik” kelihatan: kunci DKIM yang sah diterbitkan pada selector untuk domain anda, mel keluar anda ditandatangani dengannya, dan kuncinya adalah 2048-bit atau lebih kuat. Itulah lulus penuh.
Nota tentang cara ini dinilai. Semakan ini mencari kunci DKIM yang tulen dan berformat baik yang diterbitkan pada selector yang biasa digunakan oleh pembekal mel. Kunci yang diterbitkan yang sah adalah isyarat positif — pengimbas pihak ketiga tidak boleh memainkan semula tandatangan langsung anda, jadi kehadiran kunci yang betul adalah yang diukur. Tiada kunci ditemui gagal semakan (jurang keparahan tinggi). Kunci sah yang lemah (1024-bit RSA) memperolehi kira-kira separuh markah — ia berfungsi tetapi perlu dinaik taraf. Kunci kuat (2048-bit RSA atau lebih baik, atau Ed25519) memperolehi markah penuh. Ini adalah salah satu semakan keselamatan e-mel yang dikira terhadap gred anda, bernilai bahagian yang bermakna daripadanya.
Cara membetulkannya (percuma, ~15 minit)
Bahagian ini adalah untuk sesiapa yang menguruskan e-mel atau domain anda — jika itu bukan anda, berikan mereka bahagian ini. Pembetulan adalah percuma. Kami hanya mengenakan bayaran untuk memantau bahawa perlindungan anda kekal sihat dari masa ke masa, bukan untuk menyediakan.
Bentuk umum adalah sama di mana-mana sahaja: hidupkan DKIM dalam pembekal e-mel anda, ambil kunci yang ia hasilkan, terbitkan dalam DNS anda, kemudian sahkan ia aktif. Langkah tepat bergantung pada siapa yang mengendalikan e-mel anda — inilah yang biasa.
Google Workspace (Gmail)
- Konsol Admin → Apps → Google Workspace → Gmail → Authenticate email.
- Pilih domain anda dan klik Generate new record (pilih panjang kunci 2048-bit).
- Google memberikan anda rekod DNS. Tambahnya pada hos DNS anda sebagai rekod TXT, hos
google._domainkey.yourdomain, dengan nilai yang Google berikan. - Tunggu ia merebak (minit hingga beberapa jam), kemudian kembali ke skrin yang sama dan klik Start authentication.
Microsoft 365 (Outlook / Exchange Online)
- Pergi ke portal Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
- Pilih domain anda. Microsoft menunjukkan anda dua rekod CNAME untuk diterbitkan (selector1 dan selector2).
- Tambah kedua-dua rekod CNAME pada hos DNS anda tepat seperti ditunjukkan.
- Kembali ke skrin DKIM, togol penandatanganan DKIM kepada Enabled untuk domain.
Zoho Mail
- Panel Kawalan → Email Authentication → DKIM.
- Jana kunci (gunakan selector seperti
zoho), kemudian tambah rekod TXT yang disediakan dizoho._domainkey.yourdomaindalam DNS anda. - Sahkan dalam panel Zoho setelah rekod aktif.
Pembekal lain / pelayan mel anda sendiri Polanya adalah sama: pembekal (atau perisian mel anda) menjana pasangan kunci, menandatangani mel keluar anda dengan kunci persendirian, dan memberikan anda rekod awam untuk diterbitkan. Ia biasanya kelihatan seperti:
Host: selector1._domainkey.yourdomain
Type: TXT (atau CNAME, bergantung pada pembekal)
Value: (rentetan kunci panjang yang pembekal anda berikan)
Di mana rekod DNS ditambah: dalam tetapan DNS domain anda — biasanya pada pendaftar domain atau hos DNS anda (cth. Cloudflare, GoDaddy, panel kawalan pengehosan anda). Jika pembekal e-mel anda membekalkan CNAME, ia menunjuk kepada rekod yang mereka hos, jadi anda tidak pernah melihat kunci mentah — itu normal dan baik.
Sahkan ia berfungsi: hantar e-mel ujian kepada akaun Gmail, buka, pilih Show original, dan semak bahawa DKIM: PASS muncul. Kemudian semak semula domain anda di sini untuk mengesahkan kunci datang melalui sebagai 2048-bit atau lebih kuat, bukan kunci 1024-bit yang lemah.
Kesilapan biasa
- Menganggap pembekal besar sudah aktif secara lalai. Banyak domain pada Google atau Microsoft masih perlu DKIM dihidupkan dan rekod diterbitkan. “Kami menggunakan Microsoft 365” adalah bukan sama dengan “DKIM diaktifkan.”
- Menjana kunci 1024-bit yang lemah. Sesetengah pembekal masih lalai kepada atau menawarkan 1024-bit. Pilih 2048-bit apabila diberi pilihan — kunci lemah hanya memperolehi separuh markah dan ditandakan oleh penerima yang lebih ketat.
- Menerbitkan rekod tetapi tidak pernah menghidupkan penandatanganan. Menambah rekod DNS adalah separuh kerja sahaja. Jika anda tidak menghidupkan penandatanganan dalam pembekal (togol akhir), mel anda masih keluar tanpa tandatangan.
- Menaip dengan salah atau memotong kunci. Kunci DKIM adalah panjang. Salin-tampal yang menggugurkan aksara atau membahagikan nilai secara salah menghasilkan meterai rosak yang gagal pada setiap e-mel. Tampalkan nilai tepat seperti yang diberikan.
- Terlupa penghantar lain anda. Jika anda menghantar mel melalui alat surat berita, CRM, aplikasi invois atau platform e-dagang, setiap satu mungkin memerlukan kunci DKIM dan selector tersendiri. Tandatangani mel dari semua perkhidmatan yang menghantar bagi pihak anda, bukan hanya peti mel anda.
Nota tentang DKIM, SPF dan DMARC
DKIM jarang berfungsi bersendirian. Ia adalah salah satu daripada tiga tetapan yang bersama-sama menjadikan e-mel anda dipercayai:
- SPF menyatakan pelayan mana yang dibenarkan menghantar mel untuk domain anda.
- DKIM (halaman ini) adalah meterai kalis gangguan yang membuktikan mesej benar-benar milik anda dan tidak berubah.
- DMARC adalah arahan yang memberitahu pembekal apa yang perlu dilakukan dengan apa-apa yang gagal — dan ia bergantung pada DKIM dan SPF untuk membuat keputusan itu.
Jika anda membetulkan DKIM, ada baiknya menyemak SPF dan DMARC pada masa yang sama. Bersama-sama mereka adalah apa yang menghalang perniagaan anda daripada disasar dan memastikan e-mel tulen anda mendarat di tempat yang sepatutnya.
Sediakan pada hos anda
Langkah demi langkah untuk pembekal popular:
- Sediakan DKIM pada GoDaddy
- Sediakan DKIM pada Namecheap
- Sediakan DKIM pada Cloudflare
- Sediakan DKIM pada Google Workspace
- Sediakan DKIM pada Microsoft 365
- Sediakan DKIM pada Squarespace
- Sediakan DKIM pada Wix
- Sediakan DKIM pada AWS Route 53
- Sediakan DKIM pada Hostinger
- Sediakan DKIM pada Porkbun
- Sediakan DKIM pada IONOS
- Sediakan DKIM pada Bluehost
Soalan Lazim
Saya bukan orang teknikal — adakah ini sesuatu yang boleh saya selesaikan sendiri?
Anda tidak perlu memahami kriptografi. Dalam kebanyakan kes ia adalah tetapan yang anda hidupkan dalam pembekal e-mel anda (Google Workspace, Microsoft 365, Zoho, dll.), yang kemudian memberikan anda satu atau dua rekod untuk ditambah pada domain anda. Berikan bahagian 'Cara membetulkannya' kepada sesiapa yang menguruskan e-mel atau domain anda — ia adalah kerja pantas dan percuma, biasanya sekitar 15 minit.
Adakah menghidupkan DKIM berisiko memutuskan e-mel saya?
Menambah DKIM dengan betul adalah selamat — ia tidak mengubah cara mel anda dihantar, ia hanya menambah tandatangan yang penerima boleh sahkan. Satu perkara yang perlu betul ialah menerbitkan kunci yang dijana oleh pembekal anda tepat seperti yang diberikan, dan menghidupkan penandatanganan hanya selepas rekod sudah hidup dalam DNS. Dilakukan mengikut urutan itu, tiada gangguan kepada anda atau pelanggan anda.
Kami sudah menggunakan pembekal besar seperti Google atau Microsoft — bukankah kami dilindungi secara automatik?
Tidak selalu. Pembekal besar memudahkan DKIM, tetapi bagi banyak domain ia masih perlu dihidupkan dan rekod ditambah ke DNS anda — ia tidak selalu aktif secara lalai. Itulah sebabnya domain pada pembekal utama masih boleh gagal semakan ini. Ia mengambil masa beberapa minit untuk mengesahkan dan mengaktifkan.
Apakah perbezaan antara DKIM, SPF dan DMARC? Adakah saya perlukan ketiga-tiganya?
Fikirkan mereka sebagai satu set. SPF menyenaraikan pelayan mana yang dibenarkan menghantar mel untuk anda. DKIM adalah meterai kalis gangguan yang membuktikan mesej benar-benar milik anda dan tidak berubah. DMARC adalah arahan yang memberitahu pembekal untuk menyekat apa-apa yang gagal semakan itu. Mereka berfungsi paling baik bersama-sama — DMARC khususnya bergantung pada DKIM untuk melakukan tugasnya — jadi ya, anda mahukan ketiga-tiganya.
Orang IT saya berkata DKIM sudah 'aktif' — bagaimana saya tahu ia benar-benar berfungsi dan cukup kuat?
Dua perkara penting: bahawa tandatangan sah diterbitkan pada selector untuk domain anda, dan bahawa kunci di sebaliknya adalah kuat (2048-bit RSA atau lebih baik). Kunci 1024-bit yang lebih lama masih berfungsi tetapi dianggap lemah mengikut standard moden dan dilayan sebagai lulus separa di sini. Menjalankan semakan ke atas domain anda mengesahkan kedua-duanya sekaligus.
Apakah itu 'selector' dan mengapa ia penting?
Selector hanyalah label yang menunjuk kepada satu kunci DKIM tertentu dalam DNS anda — ia membolehkan anda menjalankan lebih daripada satu kunci pada satu masa (contohnya, satu untuk peti mel dan satu untuk alat surat berita anda) dan memutar kunci dengan selamat. Anda tidak mengurusnya dengan tangan; pembekal anda mencipta selector dan memberitahu anda rekod untuk diterbitkan. Ia hanya penting di sini kerana semakan mencari kunci sah pada selector yang biasa digunakan oleh pembekal mel.