Defaults.Exposed › Cài đặt › DKIM

Cách thiết lập DKIM trên Cloudflare

Công bố khóa DKIM từ nhà cung cấp thư của bạn trong DNS Cloudflare để email mang chữ ký chống giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DKIM (DomainKeys Identified Mail) thêm một chữ ký số vô hình vào mỗi email bạn gửi. Nhà cung cấp thư nhận dùng khóa công khai bạn công bố trong DNS để xác nhận hai điều: thư thực sự đến từ tên miền của bạn, và không ai thay đổi nó trên đường truyền.

Nói nôm na: DKIM là con dấu xác thực trên email của bạn. Nó làm khó việc giả mạo và cải thiện cơ hội email hợp lệ đến hộp thư thay vì thư rác. Giống như các biện pháp khác, miễn phí và chỉ cần thiết lập một lần.

Quan trọng: DKIM có hai nửa

DKIM là bản ghi mà vai trò của từng bên thực sự quan trọng:

• Nhà cung cấp thư của bạn tạo ra khóa. Google Workspace, Microsoft 365, hoặc ai đó vận hành hộp thư của bạn tạo khóa DKIM cho bạn, trong bảng điều khiển admin của họ. Bạn không thể tự tạo giá trị này — phải lấy chính xác tên host và giá trị từ họ. Cloudflare không tạo khóa DKIM; nó là nhà cung cấp DNS, không phải nhà cung cấp hộp thư.
• Cloudflare công bố nó. Sau đó bạn thêm khóa đó vào DNS tên miền trong Cloudflare (giả sử Cloudflare quản lý DNS của bạn — xem bên dưới).

Vậy: tạo tại nền tảng thư, công bố tại nhà cung cấp DNS.

Đầu tiên, xác nhận Cloudflare quản lý DNS của bạn

Bản ghi DKIM chỉ hoạt động nếu Cloudflare đang trả lời DNS cho tên miền của bạn. DNS của Cloudflare chỉ hoạt động khi nameserver của tên miền (đặt tại registrar) trỏ đến nameserver Cloudflare hiển thị trong bảng điều khiển. Mở tên miền trong Cloudflare và kiểm tra trang Overview — nó sẽ xác nhận Cloudflare có đang hoạt động hay không. Nếu nameserver trỏ đến nhà cung cấp khác, hãy thêm bản ghi DKIM ở đó thay vào; sẽ không có hiệu lực tại Cloudflare.

Lấy khóa từ nhà cung cấp thư của bạn

Trong khu vực admin của nhà cung cấp thư, tìm phần cài đặt DKIM hoặc xác thực email và tạo/bật khóa. Nó sẽ cung cấp cho bạn hai đoạn văn bản:

• Tên host/selector, ví dụ google._domainkey hoặc selector1._domainkey.
• Một giá trị dài bắt đầu bằng v=DKIM1; theo sau là k=rsa; p= và một chuỗi ký tự rất dài (khóa công khai).

Sao chép cả hai chính xác.

Hướng dẫn từng bước trên Cloudflare

1. Đăng nhập vào Cloudflare và chọn tên miền của bạn.
2. Trong menu bên trái, vào cài đặt DNS (tìm DNS / Records).
3. Nhấp Add record.
4. Đặt Type thành TXT cho hầu hết khóa DKIM. Dùng CNAME chỉ khi nhà cung cấp cụ thể nói vậy — một số nhà cung cấp, bao gồm Microsoft 365, dùng bản ghi CNAME trỏ về máy chủ của họ.
5. Trong trường Name, nhập chỉ phần selector — ví dụ google._domainkey hoặc selector1._domainkey. Không thêm tên miền vào cuối; Cloudflare tự động nối.
6. Trong trường Content, dán giá trị khóa dài chính xác như nhà cung cấp cung cấp. (Cho CNAME, hãy dán hostname đích họ cung cấp thay vào.)
7. Để TTL ở Auto.
8. Nhấp Save.

Những lỗi phổ biến trên Cloudflare

• Đừng gõ tên miền đầy đủ trong Name. Nếu hướng dẫn nhà cung cấp hiển thị selector1._domainkey.yourdomain.com, bạn nhập chỉ selector1._domainkey trong Cloudflare — phần còn lại được thêm tự động. Thêm tên miền sẽ tạo host bị lỗi dạng ..yourdomain.com.yourdomain.com.
• Dán toàn bộ khóa — nó rất dài. Khóa công khai DKIM có hàng trăm ký tự. Đảm bảo không bị cắt bớt và không có khoảng trắng hay xuống dòng thừa khi copy-paste. Cloudflare sẽ tách giá trị TXT dài thành nhiều đoạn phía sau — điều đó bình thường.
• Đừng tự thêm dấu ngoặc kép. Dán giá trị thuần túy; Cloudflare tự xử lý việc đặt dấu ngoặc. Tự thêm dấu " có thể làm hỏng bản ghi.
• TXT so với CNAME — làm theo nhà cung cấp. Nếu họ nói CNAME, hãy chọn CNAME và dán hostname đích của họ làm content; đừng chuyển thành TXT.
• Nếu thêm CNAME, đặt thành DNS only (đám mây xám). Bản ghi xác thực không được proxy — đảm bảo trạng thái proxy hiển thị đám mây xám, không phải cam, để bản ghi phân giải đến giá trị của nhà cung cấp thư thay vì proxy của Cloudflare.
• Khớp selector chính xác. Selector trong trường Name phải khớp với những gì nhà cung cấp kỳ vọng, từng ký tự một — đó là cách người nhận tìm đúng khóa.
• Chờ thêm. Thay đổi DNS có thể mất vài phút đến vài giờ để lan rộng trước khi DKIM bắt đầu xác thực.

Xác minh hoạt động

Sau khi lưu và chờ một chút để lan rộng, chạy kiểm tra miễn phí trên trang này. Nó sẽ xác nhận bằng ngôn ngữ đơn giản liệu bản ghi DKIM của bạn đã được công bố và đọc được chưa.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.