Defaults.Exposed

Defaults.Exposedการแก้ไข › DKIM

วิธีแก้ไข DKIM

DKIM คือตราประทับป้องกันการดัดแปลงล่องหนบนอีเมลทุกฉบับที่ธุรกิจของคุณส่ง มันช่วยให้ผู้ให้บริการเมลรับยืนยันว่าอีเมลมาจากคุณจริงๆ และมาถึงโดยไม่เปลี่ยนแปลง หากไม่มี เมลของคุณง่ายต่อการปลอมแปลง ง่ายต่อการเปลี่ยนแปลง และมีแนวโน้มมากกว่าที่จะตกอยู่ใน spam

สรุปสำหรับธุรกิจของคุณ: โดยไม่มี DKIM อีเมลที่คุณส่งสามารถถูกดัดแปลงในระหว่างการส่ง ง่ายกว่าสำหรับอาชญากรในการแอบอ้าง และมีแนวโน้มมากกว่าที่จะถูกกรองเข้า spam หรือถูกปฏิเสธทันที — ค่อยๆ ทำให้คุณสูญเสียดีล การชำระเงิน และความไว้วางใจที่คุณไม่เคยรู้ว่าสูญเสียไป

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ อีเมลไม่ถูกสร้างมาเพื่อพิสูจน์ว่าใครส่ง และการปลอมแปลง sender ทำได้ง่าย DKIM เพิ่มลายเซ็นการเข้ารหัสที่ผู้ให้บริการรับตรวจสอบโดยอัตโนมัติ — ยืนยันว่าข้อความมาจากโดเมนของคุณจริงๆ และไม่ถูกเปลี่ยนแปลงในระหว่างทาง มันเป็นหนึ่งในสามสิ่งที่ผู้ให้บริการเมลสมัยใหม่ทุกรายมองหา มันส่งผลต่อว่าอีเมลของคุณได้รับความไว้วางใจหรือ junk โดยตรง และการแก้ไขฟรี

วิธีแก้ไข ทีละขั้นตอน

  1. เปิด DKIM ที่ mail provider ของคุณ. เปิด DKIM ใน email platform ของคุณ มันสร้าง public key และ selector
  2. เผยแพร่ key ใน DNS. เพิ่ม CNAME หรือ TXT record(s) ที่ผู้ให้บริการของคุณให้คุณ ตามที่แสดง (Microsoft 365 ใช้ CNAME selector สอง)
  3. เปิด signing. เปิด DKIM signing เพื่อให้เมลขาออกถูก signed
  4. ครอบคลุมทุก sender. ทำซ้ำสำหรับแต่ละ tool ที่ส่งในนามของคุณ เพื่อไม่มีอันใดทำลาย DMARC alignment
  5. ยืนยันว่ามันทำงาน. ส่งการทดสอบและตรวจสอบใหม่เพื่อยืนยันว่าลายเซ็นถูกต้อง

มันคืออะไร เป็นคำพูดง่ายๆ

อีเมลทุกฉบับที่ธุรกิจของคุณส่งเดินทางผ่านมือหลายคู่ก่อนที่มันจะถึง inbox โดยตัวเอง อีเมลไม่มีหลักฐานว่าใครส่งจริงหรือว่าใครเปลี่ยนแปลงมันระหว่างทาง — บรรทัด “from” เป็นเพียงข้อความที่ใครก็ตามสามารถพิมพ์

DKIM แก้ไขสิ่งนั้น มันใส่ตราประทับล่องหนที่ป้องกันการดัดแปลงบนข้อความแต่ละฉบับที่ธุรกิจของคุณส่ง เมื่ออีเมลมาถึง ผู้ให้บริการเมลรับตรวจสอบตราประทับกับ key ที่คุณเผยแพร่บนโดเมนของคุณ ถ้ามันตรงกัน ผู้ให้บริการรู้สองสิ่งอย่างแน่ชัด: อีเมลมาจากโดเมนของคุณจริงๆ และไม่มีตัวอักษรเดียวที่เปลี่ยนแปลงในระหว่างการส่ง ถ้ามันไม่ตรงกัน — เพราะข้อความถูกปลอมแปลงหรือเปลี่ยนแปลง — ตราประทับล้มเหลว และผู้ให้บริการปฏิบัติต่อเมลด้วยความสงสัย

คุณไม่จัดการสิ่งนี้ด้วยมือ เมื่อเปิดแล้ว การ sign และตรวจสอบเกิดขึ้นโดยอัตโนมัติบนอีเมลทุกฉบับ ตลอดไป จุดทั้งหมดของ DKIM คือเพื่อทำให้เมลจริงของคุณพิสูจน์ว่าเป็นจริง — เพื่อให้มันได้รับความไว้วางใจ และเพื่อให้ของปลอมโดดเด่น

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ

DKIM ย่อมาจาก DomainKeys Identified Mail นี่คือวิธีที่ตราประทับทำงานโดยไม่มีศัพท์เทคนิค:

คำบางคำที่คุณอาจได้ยินจากผู้ดูแล IT ของคุณ:

สิ่งที่ “ดี” ดูเหมือน: DKIM key ที่ถูกต้องเผยแพร่ที่ selector สำหรับโดเมนของคุณ เมลขาออกของคุณถูก signed ด้วย และ key นั้น2048 บิตหรือแข็งแกร่งกว่า นั่นคือ pass เต็ม

วิธีแก้ไข (ฟรี ~15 นาที)

ส่วนนี้สำหรับผู้ที่จัดการอีเมลหรือโดเมนของคุณ การแก้ไขฟรี

รูปร่างทั่วไปเหมือนกันทุกที่: เปิด DKIM ใน email provider ของคุณ นำ key ที่มันสร้าง เผยแพร่ใน DNS ของคุณ จากนั้นยืนยันว่ามีชีวิต

Google Workspace (Gmail)

  1. Admin Console → Apps → Google Workspace → Gmail → Authenticate email
  2. เลือกโดเมนของคุณและคลิก Generate new record (เลือกความยาว key 2048 บิต)
  3. Google ให้คุณ DNS record เพิ่มมันที่ DNS host ของคุณเป็น TXT record, host google._domainkey.yourdomain
  4. รอให้มัน propagate (นาทีถึงไม่กี่ชั่วโมง) จากนั้นกลับไปที่หน้าเดิมและคลิก Start authentication

Microsoft 365 (Outlook / Exchange Online)

  1. ไปที่ portal Microsoft DefenderEmail & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM
  2. เลือกโดเมนของคุณ Microsoft แสดงคุณ CNAME record สอง เพื่อเผยแพร่ (selector1 และ selector2)
  3. เพิ่มทั้งสอง CNAME records ที่ DNS host ของคุณตามที่แสดง
  4. กลับใน DKIM screen, toggle DKIM signing เป็น Enabled สำหรับโดเมน

Zoho Mail

  1. Control Panel → Email Authentication → DKIM
  2. สร้าง key (ใช้ selector เช่น zoho) จากนั้นเพิ่ม TXT record ที่ให้ไว้ที่ zoho._domainkey.yourdomain ใน DNS ของคุณ
  3. ยืนยันใน Zoho panel เมื่อระเบียนมีชีวิต

ผู้ให้บริการอื่น / mail server ของคุณเอง Pattern เหมือนกัน: ผู้ให้บริการ (หรือ mail software) สร้าง key pair, sign เมลขาออกด้วย private key และให้คุณ public record เพื่อเผยแพร่ มักมีลักษณะเช่น:

Host:  selector1._domainkey.yourdomain
Type:  TXT (หรือ CNAME ขึ้นอยู่กับผู้ให้บริการ)
Value: (string key ยาวที่ผู้ให้บริการของคุณให้)

ยืนยันว่ามันทำงาน: ส่งอีเมลทดสอบตัวเองไปยังบัญชี Gmail เปิดมัน เลือก Show original และตรวจสอบว่า DKIM: PASS ปรากฏ จากนั้นตรวจสอบโดเมนของคุณที่นี่ใหม่เพื่อยืนยันว่า key ผ่านมาเป็น 2048 บิตหรือแข็งแกร่งกว่า ไม่ใช่ 1024 บิตที่อ่อนแอ

ข้อผิดพลาดทั่วไป

หมายเหตุเกี่ยวกับ DKIM, SPF และ DMARC

DKIM ไม่ค่อยทำงานคนเดียว มันเป็นหนึ่งในสามการตั้งค่าที่ร่วมกันทำให้อีเมลของคุณน่าเชื่อถือ:

ถ้าคุณแก้ไข DKIM คุ้มค่าที่จะตรวจสอบ SPF และ DMARC ในเวลาเดียวกัน ร่วมกันพวกมันเป็นสิ่งที่หยุดธุรกิจของคุณจากการถูกแอบอ้างและสิ่งที่ทำให้อีเมลจริงของคุณตกในที่ที่ควร

ตั้งค่าบนโฮสต์ของคุณ

ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:

สถานการณ์ทั่วไป

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิค — นี่เป็นสิ่งที่ฉันสามารถจัดการเองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจการเข้ารหัส ในกรณีส่วนใหญ่มันเป็นการตั้งค่าที่คุณเปิดใน email provider (Google Workspace, Microsoft 365, Zoho ฯลฯ) ซึ่งจากนั้นให้คุณระเบียนหนึ่งหรือสองอันเพื่อเพิ่มในโดเมนของคุณ ส่งส่วน 'วิธีแก้ไข' ให้ผู้ที่จัดการอีเมลหรือโดเมนของคุณ — มันเป็นงานฟรีและรวดเร็ว มักประมาณ 15 นาที

การเปิด DKIM จะเสี่ยงทำให้อีเมลของฉันเสียหายไหม?

การเพิ่ม DKIM อย่างถูกต้องปลอดภัย — มันไม่เปลี่ยนวิธีที่เมลของคุณถูกส่ง มันเพียงเพิ่มลายเซ็นที่ผู้รับสามารถยืนยัน สิ่งที่ต้องทำถูกต้องคือเผยแพร่ key ที่ผู้ให้บริการของคุณสร้างอย่างแน่นอนตามที่ให้ไว้ และเปิด signing หลังจากที่ระเบียนมีชีวิตอยู่ใน DNS ทำในลำดับนั้น ไม่มีการรบกวนต่อคุณหรือลูกค้าของคุณ

เราใช้ผู้ให้บริการรายใหญ่อย่าง Google หรือ Microsoft — เราได้รับความคุ้มครองโดยอัตโนมัติไหม?

ไม่เสมอ ผู้ให้บริการรายใหญ่ทำให้ DKIM ง่าย แต่สำหรับโดเมนหลายโดเมนมันยังต้องเปิดและเพิ่มระเบียนในนามโดเมนของคุณ — มันไม่ใช่ตามค่าเริ่มต้นเสมอ นั่นคือเหตุผลที่โดเมนบนผู้ให้บริการรายใหญ่ยังสามารถล้มเหลวการตรวจสอบนี้ได้ ใช้เวลาไม่กี่นาทีในการยืนยันและเปิด

อะไรคือความแตกต่างระหว่าง DKIM, SPF และ DMARC? ฉันต้องการทั้งสามไหม?

คิดว่าพวกมันเป็นชุด SPF แสดงรายการเซิร์ฟเวอร์ใดที่ได้รับอนุญาตให้ส่งเมลสำหรับคุณ DKIM เป็นตราประทับป้องกันการดัดแปลงที่พิสูจน์ว่าข้อความเป็นของคุณจริงๆ และไม่เปลี่ยนแปลง DMARC เป็นคำสั่งที่บอกผู้ให้บริการว่าจะบล็อกสิ่งที่ล้มเหลวในการตรวจสอบเหล่านั้น พวกมันทำงานร่วมกันได้ดีที่สุด — DMARC โดยเฉพาะพึ่ง DKIM ในการทำงาน — ดังนั้นใช่ คุณต้องการทั้งสาม

ผู้ดูแล IT ของฉันบอกว่า DKIM 'เปิด' — ฉันรู้ได้อย่างไรว่ามันทำงานจริงและแข็งแกร่งพอ?

สองสิ่งที่สำคัญ: ว่ามีลายเซ็นที่ถูกต้องถูกเผยแพร่ที่ selector สำหรับโดเมนของคุณ และว่า key เบื้องหลังนั้นแข็งแกร่ง (RSA 2048 บิตหรือดีกว่า) key RSA 1024 บิตที่เก่ากว่ายังทำงานได้แต่ถือว่าอ่อนแอตามมาตรฐานสมัยใหม่ การรันการตรวจสอบโดเมนของคุณใหม่ยืนยันทั้งสองพร้อมกัน

'selector' คืออะไร และทำไมมันถึงสำคัญ?

selector เป็นเพียง label ที่ชี้ไปยัง DKIM key เฉพาะหนึ่งใน DNS ของคุณ — มันช่วยให้คุณรัน key มากกว่าหนึ่งอันพร้อมกัน (เช่น หนึ่งสำหรับกล่องรับจดหมายและหนึ่งสำหรับเครื่องมือจดหมายข่าวของคุณ) และ rotate key ได้อย่างปลอดภัย ผู้ให้บริการของคุณสร้าง selector และบอกคุณระเบียนที่ต้องเผยแพร่