Defaults.Exposed › Cài đặt › DKIM

Cách thiết lập DKIM trên Google Workspace

Tạo khóa DKIM trong Google Admin console và công bố nó trong DNS để email mang chữ ký chống giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DKIM (DomainKeys Identified Mail) thêm một chữ ký số vô hình vào mỗi email bạn gửi. Nhà cung cấp thư nhận dùng khóa công khai bạn công bố trong DNS để xác nhận hai điều: thư thực sự đến từ tên miền của bạn, và không ai thay đổi nó trên đường truyền.

Nói nôm na: DKIM là con dấu xác thực trên email của bạn. Nó làm khó việc giả mạo và cải thiện cơ hội email hợp lệ đến hộp thư thay vì thư rác. Miễn phí và chỉ cần thiết lập một lần.

Quan trọng: DKIM có hai nửa

DKIM là bản ghi mà vai trò của từng bên thực sự quan trọng:

• Google tạo ra khóa — trong Google Admin console. Bạn đăng nhập vào admin.google.com và để Google tạo khóa DKIM cho tên miền của bạn. Bạn không thể tự tạo giá trị này; Google tạo ra cho bạn.
• Nhà cung cấp DNS của bạn công bố nó. Sau đó bạn thêm khóa đó vào DNS tên miền — tại công ty nào đó đang vận hành nameserver của bạn (registrar, nhà cung cấp hosting, Cloudflare, v.v.). Thường thì không phải Google.

Vậy: tạo trong Google Workspace, công bố trong nhà cung cấp DNS. Cả hai nửa đều cần, và có thêm bước cuối quay lại Google để bật DKIM.

Bước 1 — Tạo khóa trong Google Admin console

1. Đăng nhập vào Google Admin console tại admin.google.com bằng tài khoản quản trị viên.
2. Vào Apps → Google Workspace → Gmail, sau đó mở Authenticate email (đây là phần DKIM).
3. Chọn tên miền của bạn từ danh sách.
4. Nếu được nhắc, chọn độ dài khóa (mặc định, thường 2048-bit, là ổn) và nhấp Generate new record.
5. Google bây giờ hiển thị cho bạn hai đoạn văn bản:
   • Tên DNS host / selector, đối với Google thường là google._domainkey.
   • Một giá trị bản ghi TXT dài bắt đầu bằng v=DKIM1; k=rsa; p= theo sau là chuỗi ký tự rất dài (khóa công khai).
6. Giữ trang này mở — bạn sẽ sao chép những thứ này vào DNS, sau đó quay lại để bật DKIM.

Bước 2 — Công bố khóa trong nhà cung cấp DNS của bạn

Đầu tiên, đảm bảo bạn đang làm việc với công ty thực sự quản lý DNS của bạn. Bản ghi DKIM chỉ hoạt động nếu nó được thêm tại bất cứ đâu nameserver của tên miền trỏ đến. Nếu không chắc, kiểm tra mục Nameservers trong tài khoản registrar, hoặc hỏi người quản lý website của bạn.

1. Đăng nhập vào nhà cung cấp DNS của bạn và mở cài đặt DNS cho tên miền (tìm DNS / Records / Advanced DNS).
2. Thêm bản ghi mới và chọn TXT.
3. Trong trường Name / Host, nhập chỉ phần selector — đối với Google thường là google._domainkey. Không thêm tên miền vào cuối; nhà cung cấp DNS tự động nối.
4. Trong trường Value, dán giá trị khóa dài mà Google cung cấp, chính xác.
5. Để TTL ở mức mặc định.
6. Lưu lại.

Bước 3 — Bật DKIM, quay lại Google

Công bố bản ghi chưa đủ — bạn phải yêu cầu Google bắt đầu ký.

1. Quay lại trang Authenticate email trong Google Admin console.
2. Nhấp Start authentication.
3. Google kiểm tra bản ghi có hiển thị trong DNS của bạn không. Nếu chưa tìm thấy, hãy cho DNS một chút thời gian để lan rộng (vài phút đến vài giờ) và thử lại.

Những lỗi phổ biến

• Hai nơi, theo thứ tự. Tạo trong Google, công bố trong DNS, sau đó quay lại và nhấp Start authentication. Bỏ qua bước cuối có nghĩa là khóa được công bố nhưng Google không bao giờ ký thư của bạn.
• Đừng gõ tên miền đầy đủ trong Host. Nếu hướng dẫn hiển thị google._domainkey.yourdomain.com, bạn chỉ nhập google._domainkey tại nhà cung cấp DNS — phần còn lại được thêm tự động. Thêm tên miền sẽ tạo host bị lỗi như google._domainkey.yourdomain.com.yourdomain.com.
• Dán toàn bộ khóa — nó rất dài. Khóa công khai DKIM có hàng trăm ký tự. Một số nhà cung cấp DNS có giới hạn ký tự cho một trường và tách giá trị TXT dài thành nhiều chuỗi trong ngoặc kép — điều đó bình thường và Google xử lý được, nhưng đảm bảo không bị cắt bớt và không có khoảng trắng hay xuống dòng thừa.
• Chú ý dấu ngoặc kép. Dán giá trị thuần túy; hầu hết nhà cung cấp DNS tự thêm dấu ngoặc. Tự thêm dấu " có thể làm hỏng bản ghi.
• Khớp selector chính xác. Host trong DNS phải khớp với những gì Google kỳ vọng (google._domainkey) từng ký tự — đó là cách người nhận tìm đúng khóa.
• Chờ thêm. Thay đổi DNS có thể mất vài phút đến vài giờ trước khi Google có thể xác nhận và DKIM bắt đầu xác thực.

Xác minh hoạt động

Sau khi công bố bản ghi, bật xác thực, và chờ một chút để lan rộng, chạy kiểm tra miễn phí trên Defaults.Exposed. Nó sẽ xác nhận bằng ngôn ngữ đơn giản liệu bản ghi DKIM của bạn đã được công bố và đọc được chưa. Dữ liệu của bạn được xử lý tại EU.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.