Defaults.Exposed › 修复 › DKIM
如何修复 DKIM
DKIM 是你公司每一封外发邮件上那枚看不见的防篡改封印。它让收件的邮件服务商能够确认邮件确实出自你手、且抵达时分毫未改。没有它,你的邮件更易被伪造、更易被篡改,也更容易落进垃圾箱。
对您业务的关键影响: 没有 DKIM,你发出的邮件可能在传输途中被篡改,更容易被罪犯冒充,也更可能被过滤进垃圾箱或干脆被拒收——在你毫不知情的情况下,悄悄让你失去生意、款项和信任。
这会让您付出什么代价
- 你发给客户的发票在抵达前被拦截,银行账户被改掉。邮件看上去仍然来自你,客户把钱付给了罪犯,等事情败露时,挨骂的是你。
- 你正经的报价、合同和发票总是落进客户的垃圾箱。你以为客户没了下文或选了别人——其实他们根本没看到你的邮件。
- 一个大客户的安全或采购团队在签约前对你的域名快速检查一下,发现没有 DKIM,要么把单子推后好几周等你修好,要么悄悄选了通过检查的竞争对手。
- 罪犯「冒充你公司」给你自己的客户发去以假乱真的邮件。因为没有任何东西能证明哪些邮件真的是你发的,假的和真的一样可信——而受损的是你的名字。
- 主流邮箱服务商和银行越来越把未签名的邮件当作可疑。久而久之,你越来越多的日常商务邮件被限速、丢弃或退回,你的对外联络慢慢就不灵了。
为什么它重要。 邮件从设计之初就无法证明发件人是谁,伪造发件人轻而易举。DKIM 加上一个加密签名,由收件服务商自动校验——确认邮件确实来自你的域名、且途中没被改动。它是每一家现代邮件服务商都会查的三件事之一,直接影响你的邮件是被信任还是被丢弃,而且修复免费。
这是什么,大白话版
你公司发出的每一封邮件,在抵达收件箱前都要经手好几道环节。邮件本身并不携带任何证据证明它真正出自谁手、途中是否被人改过——「发件人」那一行只是谁都能打上去的文字。
DKIM 修好了这件事。它在你公司发出的每封邮件上盖一枚看不见的、防篡改的封印。邮件抵达时,收件邮件服务商会拿这枚封印去对照你发布在域名上的一把密钥。如果对得上,服务商就确定了两件事:邮件确实来自你的域名,且途中一个字符都没改。如果对不上——因为邮件是伪造或被改过的——封印就失败,服务商会带着怀疑对待这封邮件。
这一切你都不用手动管理。一旦打开,签名和校验就在每封邮件上自动进行,永久有效。DKIM 的全部意义在于:让你真实的邮件可被证明为真——于是它被信任,而假的则一眼可辨。
这会让你付出什么代价
这不抽象。下面是缺失或孱弱的 DKIM 封印对一家中小企业而言在现实中长什么样。
- 被篡改的发票。 你给客户发了一张发票。在你的服务器和客户之间的某处,攻击者拦下它,把你的银行账户换成了他自己的。邮件看上去仍然来自你,客户付了款——进了罪犯的账户。没有 DKIM,就没有任何东西能标示这封邮件被篡改过。有了它,这种悄无声息的改动会破坏封印、被当场抓住。
- 死在垃圾箱里的生意。 你的报价、提案和跟进总是溜进客户的垃圾箱。你迟迟收不到回复,就以为对方没兴趣。实际上,未签名的邮件是个强烈的垃圾邮件信号——你正经的商务邮件压根没被看到。
- 丢掉的合同。 一个大客户的采购或安全团队在签约前审你的域名。他们看到没有 DKIM,把它当成红旗——要么把单子拖延数周等你修好,要么悄悄选了邮件安全过关的供应商。
- 你的名字被用来对付你自己的客户。 骗子向你的客户群「冒充你公司」群发以假乱真的邮件。因为没有任何东西能证明哪些邮件真是你发的,假的和真的一样合法可信——而人们上当时,受损的是你的名声。
- 对你邮件的缓慢绞杀。 银行、大型邮箱服务商和企业过滤器越来越不信任未签名的邮件。这种影响随时间悄悄渗入:更多限速、更多丢弃、更多退回——直到你的日常对外联络悄悄不再落地。
它到底是什么
DKIM 是 DomainKeys Identified Mail(域名密钥识别邮件)的缩写。撇开行话,封印是这样运作的:
- 你在域名上(在 DNS 设置里)发布一把公钥。任何人都能读到它——这正是要点。
- 你的邮件服务商持有配对的私钥,用它给你发出的每封邮件签名,添加一个隐藏的头部。
- 邮件抵达时,收件方的服务商取来你的公钥,拿签名对照邮件,确认它真实且未被改动。
几个你可能从 IT 人员那里听到的术语:
- 选择器——一个指向某一把特定密钥的标签,例如
selector1._domainkey.你的域名。它让你能干净地运行并轮换多把密钥。由你的服务商配置。 - 密钥强度——DKIM 密钥有不同尺寸。现代基准是 2048 位 RSA;4096 位 RSA 或 Ed25519 密钥更强。较旧的 1024 位密钥仍能用,但按今天的标准被视为偏弱(NIST SP 800-131A / RFC 8301)。
「好」长什么样: 你的域名在某个选择器上发布了一把有效的 DKIM 密钥,你的外发邮件正在用它签名,且密钥为 2048 位或更强。这就是完整通过。
关于评分的说明。这项检查会在邮件服务商常用的那些选择器上寻找一把真实、格式良好的 DKIM 密钥。已发布的有效密钥是正面信号——第三方扫描器无法重放你的实时签名,所以衡量的是一把正确密钥的存在与否。未找到密钥则不通过(这是高严重度的缺口)。**有效但偏弱的密钥(1024 位 RSA)**约得半分——它在工作,但应当升级。**强密钥(2048 位 RSA 或更高,或 Ed25519)**拿满分。这是计入你评分的邮件安全检查之一,占有可观的份额。
如何修复(免费,约 15 分钟)
这部分是给管你邮件或域名的人看的——如果那不是你,就把这一节交给他们。修复免费。 我们只对长期监控你的防护是否持续健康收费,而不对配置它收费。
各处的总体套路都一样:在你的邮件服务商里打开 DKIM,拿它生成的密钥,发布到你的 DNS 里,然后确认它已生效。具体步骤取决于谁在运营你的邮件——下面是常见的几种。
Google Workspace(Gmail)
- 管理控制台 → 应用 → Google Workspace → Gmail → 验证电子邮件。
- 选中你的域名,点击生成新记录(选 2048 位密钥长度)。
- Google 会给你一条 DNS 记录。在你的 DNS 主机上把它加为一条 TXT 记录,host 填
google._domainkey.你的域名,值填 Google 提供的内容。 - 等它生效(几分钟到几小时),再回到同一界面点击开始验证。
Microsoft 365(Outlook / Exchange Online)
- 前往 Microsoft Defender 门户 → 电子邮件和协作 → 策略和规则 → 威胁策略 → 电子邮件身份验证设置 → DKIM。
- 选中你的域名。Microsoft 会给你两条 CNAME 记录要发布(selector1 和 selector2)。
- 在你的 DNS 主机上原样添加两条 CNAME 记录。
- 回到 DKIM 界面,把该域名的 DKIM 签名切换为已启用。
Zoho Mail
- 控制面板 → 电子邮件身份验证 → DKIM。
- 生成一把密钥(用
zoho之类的选择器),然后在你的 DNS 里把提供的 TXT 记录加到zoho._domainkey.你的域名。 - 记录生效后在 Zoho 面板里验证。
其他服务商 / 你自己的邮件服务器 套路完全相同:服务商(或你的邮件软件)生成一对密钥,用私钥给你的外发邮件签名,并给你一条要发布的公开记录。它通常长这样:
Host: selector1._domainkey.你的域名
Type: TXT(或 CNAME,取决于服务商)
Value:(你的服务商给你的那串很长的密钥字符串)
DNS 记录在哪里添加: 在你域名的 DNS 设置里——通常是在你的域名注册商或 DNS 主机(如 Cloudflare、GoDaddy、你的主机控制面板)。如果你的邮件服务商给的是 CNAME,它指向的是他们托管的一条记录,所以你永远看不到原始密钥——这很正常,没问题。
确认它生效: 给一个 Gmail 账户发一封测试邮件,打开它,选择显示原始邮件,检查是否出现 DKIM: PASS。然后回到这里重新检测你的域名,确认密钥是以 2048 位或更强传过来的,而不是孱弱的 1024 位。
常见错误
- 以为大服务商默认就开着。 大量用 Google 或 Microsoft 的域名仍需把 DKIM 打开并发布一条记录。「我们用 Microsoft 365」不等于「DKIM 已启用」。
- 生成孱弱的 1024 位密钥。 有些服务商仍默认或提供 1024 位。在有选择时选 2048 位——弱密钥只得半分,且会被更严格的收件方标记。
- 发布了记录却从未启用签名。 加上 DNS 记录只是一半的活儿。如果你不在服务商里打开签名(最后那个开关),你的邮件仍然不带签名地发出去。
- 密钥打错或被截断。 DKIM 密钥很长。复制粘贴时掉了一个字符或错误地拆分了值,会产生一枚每封邮件都失败的损坏封印。原封不动地粘贴那个值。
- 忘了你的其他发件方。 如果你通过邮件营销工具、CRM、开票应用或电商平台发信,每一个都可能需要它自己的 DKIM 密钥和选择器。要给所有代你发信的服务签名,而不只是你的邮箱。
关于 DKIM、SPF 和 DMARC 的说明
DKIM 很少单打独斗。它是合在一起让你邮件可信的三个设置之一:
- SPF 声明哪些服务器获准代你的域名发信。
- DKIM(本页)是那枚防篡改封印,证明邮件确实是你的、且未被改动。
- DMARC 是那句指令,告诉服务商对任何未通过检查的邮件该怎么办——它要靠 DKIM 和 SPF 来做这个判断。
如果你正在修 DKIM,值得同时把 SPF 和 DMARC 一起检查。它们合起来,正是阻止你公司被冒充、并让你真实邮件落到该落之处的东西。
在您的托管服务商上完成设置
热门服务商的分步指引:
- 在 GoDaddy 上设置 DKIM
- 在 Namecheap 上设置 DKIM
- 在 Cloudflare 上设置 DKIM
- 在 Google Workspace 上设置 DKIM
- 在 Microsoft 365 上设置 DKIM
- 在 Squarespace 上设置 DKIM
- 在 Wix 上设置 DKIM
- 在 AWS Route 53 上设置 DKIM
- 在 Hostinger 上设置 DKIM
- 在 Porkbun 上设置 DKIM
- 在 IONOS 上设置 DKIM
- 在 Bluehost 上设置 DKIM
常见问题
我不懂技术——这个我自己能搞定吗?
你不需要懂加密学。多数情况下,这是在你的邮件服务商(Google Workspace、Microsoft 365、Zoho 等)内部打开的一个开关,它随后会给你一两条要加到域名里的记录。把「如何修复」一节交给管你邮件或域名的人——这是个快速、免费的活儿,通常 15 分钟左右。
打开 DKIM 会不会有搞坏邮件的风险?
正确添加 DKIM 是安全的——它不改变你的邮件怎么发,只是加上一个收件方可校验的签名。唯一要做对的是:把服务商生成的密钥原封不动地发布,并且只在记录已在 DNS 中生效后才启用签名。按这个顺序来,对你和你的客户都不会造成任何中断。
我们已经在用 Google 或 Microsoft 这样的大服务商——不是自动就有了吗?
并非总是。大服务商让 DKIM 变得容易,但对许多域名来说,它仍需被打开、并往 DNS 里加一条记录——默认未必开启。这正是为什么一个用着大服务商的域名仍可能未通过这项检查。花几分钟确认并启用即可。
DKIM、SPF 和 DMARC 有什么区别?这三个我都需要吗?
把它们当成一套。SPF 列出哪些服务器获准代你发信。DKIM 是那枚防篡改封印,证明邮件确实是你的、且未被改动。DMARC 是那句指令,告诉服务商把没通过这些检查的邮件拦下。它们配合起来最有效——尤其 DMARC 要靠 DKIM 才能完成本职——所以是的,三个你都需要。
我的 IT 人员说 DKIM「开着」——我怎么知道它真的在生效、且足够强?
两件事要紧:你的域名在某个选择器上发布了有效签名,以及它背后的密钥足够强(2048 位 RSA 或更高)。较旧的 1024 位密钥仍能用,但按现代标准被视为偏弱,这里判为部分通过。重新检测一次你的域名,就能一次确认这两点。
什么是「选择器」,为什么它重要?
选择器只是一个标签,指向你 DNS 里某一把特定的 DKIM 密钥——它让你能同时运行多把密钥(比如邮箱一把、邮件营销工具一把)并安全地轮换。你不用手动管理它;服务商会创建选择器并告诉你要发布的记录。它在这里之所以重要,只是因为检查会在邮件服务商常用的那些选择器上寻找有效密钥。