Defaults.Exposed › การแก้ไข › DKIM
วิธีแก้ไข DKIM
DKIM คือตราประทับป้องกันการดัดแปลงล่องหนบนอีเมลทุกฉบับที่ธุรกิจของคุณส่ง มันช่วยให้ผู้ให้บริการเมลรับยืนยันว่าอีเมลมาจากคุณจริงๆ และมาถึงโดยไม่เปลี่ยนแปลง หากไม่มี เมลของคุณง่ายต่อการปลอมแปลง ง่ายต่อการเปลี่ยนแปลง และมีแนวโน้มมากกว่าที่จะตกอยู่ใน spam
สรุปสำหรับธุรกิจของคุณ: โดยไม่มี DKIM อีเมลที่คุณส่งสามารถถูกดัดแปลงในระหว่างการส่ง ง่ายกว่าสำหรับอาชญากรในการแอบอ้าง และมีแนวโน้มมากกว่าที่จะถูกกรองเข้า spam หรือถูกปฏิเสธทันที — ค่อยๆ ทำให้คุณสูญเสียดีล การชำระเงิน และความไว้วางใจที่คุณไม่เคยรู้ว่าสูญเสียไป
สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย
- ใบแจ้งหนี้ที่คุณส่งอีเมลถูกดักจับและรายละเอียดธนาคารถูกเปลี่ยนก่อนที่มันจะถึงลูกค้าของคุณ อีเมลยังดูเหมือนมาจากคุณ ลูกค้าจ่ายเงินให้อาชญากร และเมื่อมันไม่ได้ผล คุณคือผู้ที่ถูกโทษ
- ใบเสนอราคา สัญญา และใบแจ้งหนี้แท้จริงของคุณยังคงตกอยู่ใน spam ของลูกค้า คุณคิดว่าลูกค้าเงียบหรือเลือกคนอื่น — แต่พวกมันไม่เคยเห็นอีเมลของคุณ
- ทีมความปลอดภัยหรือการจัดซื้อของลูกค้าที่ใหญ่กว่ารันการตรวจสอบโดเมนของคุณอย่างรวดเร็วก่อนลงนาม เห็นว่าไม่มี DKIM และถือมันเป็นสัญญาณอันตราย — ทำให้ดีลล่าช้าหลายสัปดาห์หรือเลือกซัพพลายเออร์ที่ตรวจสอบอีเมลความปลอดภัยผ่านอย่างเงียบๆ
- อาชญากรส่งอีเมลปลอมที่น่าเชื่อ 'จากบริษัทของคุณ' ไปยังฐานลูกค้าของคุณ เพราะไม่มีอะไรพิสูจน์ว่าอีเมลใดเป็นของคุณจริงๆ ของปลอมดูน่าเชื่อเท่ากับของจริง — และชื่อเสียงของคุณรับความเสียหาย
- ผู้ให้บริการกล่องรับจดหมายรายใหญ่และธนาคารมากขึ้นไม่ไว้วางใจเมลที่ไม่ลงนาม ผลกระทบค่อยๆ คืบเข้า: throttling มากขึ้น junk มากขึ้น bounce มากขึ้น — จนกระทั่ง outreach ประจำวันของคุณค่อยๆ หยุดตก
เหตุใดจึงสำคัญ อีเมลไม่ถูกสร้างมาเพื่อพิสูจน์ว่าใครส่ง และการปลอมแปลง sender ทำได้ง่าย DKIM เพิ่มลายเซ็นการเข้ารหัสที่ผู้ให้บริการรับตรวจสอบโดยอัตโนมัติ — ยืนยันว่าข้อความมาจากโดเมนของคุณจริงๆ และไม่ถูกเปลี่ยนแปลงในระหว่างทาง มันเป็นหนึ่งในสามสิ่งที่ผู้ให้บริการเมลสมัยใหม่ทุกรายมองหา มันส่งผลต่อว่าอีเมลของคุณได้รับความไว้วางใจหรือ junk โดยตรง และการแก้ไขฟรี
วิธีแก้ไข ทีละขั้นตอน
- เปิด DKIM ที่ mail provider ของคุณ. เปิด DKIM ใน email platform ของคุณ มันสร้าง public key และ selector
- เผยแพร่ key ใน DNS. เพิ่ม CNAME หรือ TXT record(s) ที่ผู้ให้บริการของคุณให้คุณ ตามที่แสดง (Microsoft 365 ใช้ CNAME selector สอง)
- เปิด signing. เปิด DKIM signing เพื่อให้เมลขาออกถูก signed
- ครอบคลุมทุก sender. ทำซ้ำสำหรับแต่ละ tool ที่ส่งในนามของคุณ เพื่อไม่มีอันใดทำลาย DMARC alignment
- ยืนยันว่ามันทำงาน. ส่งการทดสอบและตรวจสอบใหม่เพื่อยืนยันว่าลายเซ็นถูกต้อง
มันคืออะไร เป็นคำพูดง่ายๆ
อีเมลทุกฉบับที่ธุรกิจของคุณส่งเดินทางผ่านมือหลายคู่ก่อนที่มันจะถึง inbox โดยตัวเอง อีเมลไม่มีหลักฐานว่าใครส่งจริงหรือว่าใครเปลี่ยนแปลงมันระหว่างทาง — บรรทัด “from” เป็นเพียงข้อความที่ใครก็ตามสามารถพิมพ์
DKIM แก้ไขสิ่งนั้น มันใส่ตราประทับล่องหนที่ป้องกันการดัดแปลงบนข้อความแต่ละฉบับที่ธุรกิจของคุณส่ง เมื่ออีเมลมาถึง ผู้ให้บริการเมลรับตรวจสอบตราประทับกับ key ที่คุณเผยแพร่บนโดเมนของคุณ ถ้ามันตรงกัน ผู้ให้บริการรู้สองสิ่งอย่างแน่ชัด: อีเมลมาจากโดเมนของคุณจริงๆ และไม่มีตัวอักษรเดียวที่เปลี่ยนแปลงในระหว่างการส่ง ถ้ามันไม่ตรงกัน — เพราะข้อความถูกปลอมแปลงหรือเปลี่ยนแปลง — ตราประทับล้มเหลว และผู้ให้บริการปฏิบัติต่อเมลด้วยความสงสัย
คุณไม่จัดการสิ่งนี้ด้วยมือ เมื่อเปิดแล้ว การ sign และตรวจสอบเกิดขึ้นโดยอัตโนมัติบนอีเมลทุกฉบับ ตลอดไป จุดทั้งหมดของ DKIM คือเพื่อทำให้เมลจริงของคุณพิสูจน์ว่าเป็นจริง — เพื่อให้มันได้รับความไว้วางใจ และเพื่อให้ของปลอมโดดเด่น
สิ่งนี้อาจทำให้คุณสูญเสียอะไร
- ใบแจ้งหนี้ที่ถูกเปลี่ยนแปลง คุณส่งอีเมลใบแจ้งหนี้ให้ลูกค้า ที่ไหนสักแห่งระหว่างเซิร์ฟเวอร์ของคุณและของมัน ผู้โจมตีดักจับมันและสลับรายละเอียดธนาคารของคุณเป็นของพวกมันเอง อีเมลยังปรากฏว่ามาจากคุณ ลูกค้าจ่าย — เข้าบัญชีของอาชญากร โดยไม่มี DKIM ไม่มีอะไรทำเครื่องหมายว่าข้อความถูกดัดแปลง ด้วยมัน การเปลี่ยนแปลงที่เงียบนั้นทำลายตราประทับและถูกจับ
- ดีลที่ตายใน spam ใบเสนอราคา ข้อเสนอ และการติดตามของคุณยังคงหลุดเข้า junk ของลูกค้า คุณไม่เคยได้ยินกลับมาและสมมติว่าพวกมันไม่สนใจ ในความเป็นจริง เมลที่ไม่ signed เป็นสัญญาณ spam ที่แข็งแกร่ง — อีเมลธุรกิจแท้จริงของคุณแค่ไม่ถูกเห็น
- ชื่อเสียงของคุณที่ถูกใช้ต่อต้านลูกค้าของคุณเอง นักต้มตุ๋นระเบิดอีเมลที่น่าเชื่อ “จากบริษัทของคุณ” ไปยังฐานลูกค้าของคุณ เพราะไม่มีอะไรพิสูจน์ว่าข้อความใดเป็นของคุณจริงๆ ของปลอมดูน่าเชื่อเท่ากับของจริง — และมันคือชื่อเสียงของคุณที่รับความเสียหายเมื่อผู้คนถูกเผา
- การบีบคอช้าของอีเมลของคุณ ธนาคาร ผู้ให้บริการกล่องรับจดหมายรายใหญ่ และ corporate filter มากขึ้นไม่ไว้วางใจเมลที่ไม่ signed ผลกระทบค่อยๆ คืบเข้าตลอดเวลา: throttling มากขึ้น junk มากขึ้น bounce มากขึ้น — จนกระทั่ง outreach ประจำวันของคุณค่อยๆ หยุดตก
มันคืออะไรจริงๆ
DKIM ย่อมาจาก DomainKeys Identified Mail นี่คือวิธีที่ตราประทับทำงานโดยไม่มีศัพท์เทคนิค:
- คุณเผยแพร่ public key บนโดเมนของคุณ (ในการตั้งค่า DNS) ใครก็ตามสามารถอ่านมันได้ — นั่นคือจุดประสงค์
- mail provider ของคุณเก็บ private key ที่ตรงกันและใช้มันในการ sign ทุกอีเมลที่คุณส่ง เพิ่ม hidden header
- เมื่ออีเมลมาถึง ผู้ให้บริการของผู้รับดึง public key ของคุณ ตรวจสอบลายเซ็นกับข้อความ และยืนยันว่ามันเป็นของแท้และไม่เปลี่ยนแปลง
คำบางคำที่คุณอาจได้ยินจากผู้ดูแล IT ของคุณ:
- Selector — label ที่ชี้ไปยัง key เฉพาะหนึ่ง เช่น
selector1._domainkey.yourdomainผู้ให้บริการของคุณตั้งสิ่งนี้ขึ้น - Key strength — DKIM keys มาในขนาดต่างๆ มาตรฐานพื้นฐานสมัยใหม่คือ RSA 2048 บิต keys RSA 4096 บิต หรือ Ed25519 แข็งแกร่งกว่า keys 1024 บิต เก่ากว่ายังทำงานแต่ถือว่าอ่อนแอตามมาตรฐานวันนี้
สิ่งที่ “ดี” ดูเหมือน: DKIM key ที่ถูกต้องเผยแพร่ที่ selector สำหรับโดเมนของคุณ เมลขาออกของคุณถูก signed ด้วย และ key นั้น2048 บิตหรือแข็งแกร่งกว่า นั่นคือ pass เต็ม
วิธีแก้ไข (ฟรี ~15 นาที)
ส่วนนี้สำหรับผู้ที่จัดการอีเมลหรือโดเมนของคุณ การแก้ไขฟรี
รูปร่างทั่วไปเหมือนกันทุกที่: เปิด DKIM ใน email provider ของคุณ นำ key ที่มันสร้าง เผยแพร่ใน DNS ของคุณ จากนั้นยืนยันว่ามีชีวิต
Google Workspace (Gmail)
- Admin Console → Apps → Google Workspace → Gmail → Authenticate email
- เลือกโดเมนของคุณและคลิก Generate new record (เลือกความยาว key 2048 บิต)
- Google ให้คุณ DNS record เพิ่มมันที่ DNS host ของคุณเป็น TXT record, host
google._domainkey.yourdomain - รอให้มัน propagate (นาทีถึงไม่กี่ชั่วโมง) จากนั้นกลับไปที่หน้าเดิมและคลิก Start authentication
Microsoft 365 (Outlook / Exchange Online)
- ไปที่ portal Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM
- เลือกโดเมนของคุณ Microsoft แสดงคุณ CNAME record สอง เพื่อเผยแพร่ (selector1 และ selector2)
- เพิ่มทั้งสอง CNAME records ที่ DNS host ของคุณตามที่แสดง
- กลับใน DKIM screen, toggle DKIM signing เป็น Enabled สำหรับโดเมน
Zoho Mail
- Control Panel → Email Authentication → DKIM
- สร้าง key (ใช้ selector เช่น
zoho) จากนั้นเพิ่ม TXT record ที่ให้ไว้ที่zoho._domainkey.yourdomainใน DNS ของคุณ - ยืนยันใน Zoho panel เมื่อระเบียนมีชีวิต
ผู้ให้บริการอื่น / mail server ของคุณเอง Pattern เหมือนกัน: ผู้ให้บริการ (หรือ mail software) สร้าง key pair, sign เมลขาออกด้วย private key และให้คุณ public record เพื่อเผยแพร่ มักมีลักษณะเช่น:
Host: selector1._domainkey.yourdomain
Type: TXT (หรือ CNAME ขึ้นอยู่กับผู้ให้บริการ)
Value: (string key ยาวที่ผู้ให้บริการของคุณให้)
ยืนยันว่ามันทำงาน: ส่งอีเมลทดสอบตัวเองไปยังบัญชี Gmail เปิดมัน เลือก Show original และตรวจสอบว่า DKIM: PASS ปรากฏ จากนั้นตรวจสอบโดเมนของคุณที่นี่ใหม่เพื่อยืนยันว่า key ผ่านมาเป็น 2048 บิตหรือแข็งแกร่งกว่า ไม่ใช่ 1024 บิตที่อ่อนแอ
ข้อผิดพลาดทั่วไป
- สมมติว่าผู้ให้บริการรายใหญ่มีมันเปิดตามค่าเริ่มต้น โดเมนจำนวนมากบน Google หรือ Microsoft ยังต้องการ DKIM เปิดและเผยแพร่ระเบียน “เราใช้ Microsoft 365” ไม่ใช่สิ่งเดียวกับ “DKIM เปิดใช้”
- สร้าง key 1024 บิตที่อ่อนแอ ผู้ให้บริการบางรายยังค่าเริ่มต้นหรือเสนอ 1024 บิต เลือก 2048 บิต เมื่อมีตัวเลือก — key ที่อ่อนแอได้เพียงครึ่งคะแนน
- เผยแพร่ระเบียนแต่ไม่เปิด signing การเพิ่ม DNS record เป็นเพียงครึ่งงาน ถ้าคุณไม่เปิด signing ใน provider (toggle สุดท้าย) เมลของคุณยังออกไปโดยไม่ signed
- พิมพ์ผิดหรือตัด key DKIM keys ยาว การ copy-paste ที่ตัดตัวอักษรหรือแบ่งค่าผิดสร้างตราประทับที่เสียหายที่ล้มเหลวบนทุกอีเมล
- ลืม sender อื่น ถ้าคุณส่งเมลผ่านเครื่องมือจดหมายข่าว CRM app ออกใบแจ้งหนี้ หรือแพลตฟอร์ม e-commerce แต่ละอันอาจต้องการ DKIM key และ selector ของมันเอง Sign เมลจากทุกบริการที่ส่งในนามของคุณ ไม่ใช่แค่กล่องรับจดหมาย
หมายเหตุเกี่ยวกับ DKIM, SPF และ DMARC
DKIM ไม่ค่อยทำงานคนเดียว มันเป็นหนึ่งในสามการตั้งค่าที่ร่วมกันทำให้อีเมลของคุณน่าเชื่อถือ:
- SPF บอกเซิร์ฟเวอร์ใดที่ได้รับอนุญาตให้ส่งเมลสำหรับโดเมนของคุณ
- DKIM (หน้านี้) เป็นตราประทับป้องกันการดัดแปลงที่พิสูจน์ว่าข้อความเป็นของคุณจริงๆ และไม่เปลี่ยนแปลง
- DMARC เป็นคำสั่งที่บอกผู้ให้บริการว่าจะทำอะไรกับสิ่งที่ล้มเหลว — และมันพึ่ง DKIM และ SPF ในการตัดสินใจนั้น
ถ้าคุณแก้ไข DKIM คุ้มค่าที่จะตรวจสอบ SPF และ DMARC ในเวลาเดียวกัน ร่วมกันพวกมันเป็นสิ่งที่หยุดธุรกิจของคุณจากการถูกแอบอ้างและสิ่งที่ทำให้อีเมลจริงของคุณตกในที่ที่ควร
ตั้งค่าบนโฮสต์ของคุณ
ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:
- ตั้งค่า DKIM บน GoDaddy
- ตั้งค่า DKIM บน Namecheap
- ตั้งค่า DKIM บน Cloudflare
- ตั้งค่า DKIM บน Google Workspace
- ตั้งค่า DKIM บน Microsoft 365
- ตั้งค่า DKIM บน Squarespace
- ตั้งค่า DKIM บน Wix
- ตั้งค่า DKIM บน AWS Route 53
- ตั้งค่า DKIM บน Hostinger
- ตั้งค่า DKIM บน Porkbun
- ตั้งค่า DKIM บน IONOS
- ตั้งค่า DKIM บน Bluehost
สถานการณ์ทั่วไป
- 'DKIM signature not valid'
- 'Body hash did not verify'
- 'No key for signature'
- DKIM passes, DMARC fails: default signatures
- DKIM broke after switching tools
คำถามที่พบบ่อย
ฉันไม่ใช่คนเทคนิค — นี่เป็นสิ่งที่ฉันสามารถจัดการเองได้ไหม?
คุณไม่จำเป็นต้องเข้าใจการเข้ารหัส ในกรณีส่วนใหญ่มันเป็นการตั้งค่าที่คุณเปิดใน email provider (Google Workspace, Microsoft 365, Zoho ฯลฯ) ซึ่งจากนั้นให้คุณระเบียนหนึ่งหรือสองอันเพื่อเพิ่มในโดเมนของคุณ ส่งส่วน 'วิธีแก้ไข' ให้ผู้ที่จัดการอีเมลหรือโดเมนของคุณ — มันเป็นงานฟรีและรวดเร็ว มักประมาณ 15 นาที
การเปิด DKIM จะเสี่ยงทำให้อีเมลของฉันเสียหายไหม?
การเพิ่ม DKIM อย่างถูกต้องปลอดภัย — มันไม่เปลี่ยนวิธีที่เมลของคุณถูกส่ง มันเพียงเพิ่มลายเซ็นที่ผู้รับสามารถยืนยัน สิ่งที่ต้องทำถูกต้องคือเผยแพร่ key ที่ผู้ให้บริการของคุณสร้างอย่างแน่นอนตามที่ให้ไว้ และเปิด signing หลังจากที่ระเบียนมีชีวิตอยู่ใน DNS ทำในลำดับนั้น ไม่มีการรบกวนต่อคุณหรือลูกค้าของคุณ
เราใช้ผู้ให้บริการรายใหญ่อย่าง Google หรือ Microsoft — เราได้รับความคุ้มครองโดยอัตโนมัติไหม?
ไม่เสมอ ผู้ให้บริการรายใหญ่ทำให้ DKIM ง่าย แต่สำหรับโดเมนหลายโดเมนมันยังต้องเปิดและเพิ่มระเบียนในนามโดเมนของคุณ — มันไม่ใช่ตามค่าเริ่มต้นเสมอ นั่นคือเหตุผลที่โดเมนบนผู้ให้บริการรายใหญ่ยังสามารถล้มเหลวการตรวจสอบนี้ได้ ใช้เวลาไม่กี่นาทีในการยืนยันและเปิด
อะไรคือความแตกต่างระหว่าง DKIM, SPF และ DMARC? ฉันต้องการทั้งสามไหม?
คิดว่าพวกมันเป็นชุด SPF แสดงรายการเซิร์ฟเวอร์ใดที่ได้รับอนุญาตให้ส่งเมลสำหรับคุณ DKIM เป็นตราประทับป้องกันการดัดแปลงที่พิสูจน์ว่าข้อความเป็นของคุณจริงๆ และไม่เปลี่ยนแปลง DMARC เป็นคำสั่งที่บอกผู้ให้บริการว่าจะบล็อกสิ่งที่ล้มเหลวในการตรวจสอบเหล่านั้น พวกมันทำงานร่วมกันได้ดีที่สุด — DMARC โดยเฉพาะพึ่ง DKIM ในการทำงาน — ดังนั้นใช่ คุณต้องการทั้งสาม
ผู้ดูแล IT ของฉันบอกว่า DKIM 'เปิด' — ฉันรู้ได้อย่างไรว่ามันทำงานจริงและแข็งแกร่งพอ?
สองสิ่งที่สำคัญ: ว่ามีลายเซ็นที่ถูกต้องถูกเผยแพร่ที่ selector สำหรับโดเมนของคุณ และว่า key เบื้องหลังนั้นแข็งแกร่ง (RSA 2048 บิตหรือดีกว่า) key RSA 1024 บิตที่เก่ากว่ายังทำงานได้แต่ถือว่าอ่อนแอตามมาตรฐานสมัยใหม่ การรันการตรวจสอบโดเมนของคุณใหม่ยืนยันทั้งสองพร้อมกัน
'selector' คืออะไร และทำไมมันถึงสำคัญ?
selector เป็นเพียง label ที่ชี้ไปยัง DKIM key เฉพาะหนึ่งใน DNS ของคุณ — มันช่วยให้คุณรัน key มากกว่าหนึ่งอันพร้อมกัน (เช่น หนึ่งสำหรับกล่องรับจดหมายและหนึ่งสำหรับเครื่องมือจดหมายข่าวของคุณ) และ rotate key ได้อย่างปลอดภัย ผู้ให้บริการของคุณสร้าง selector และบอกคุณระเบียนที่ต้องเผยแพร่