Defaults.Exposed › 设置 › DKIM

如何在 Cloudflare 上配置 DKIM

在 Cloudflare DNS 中发布邮件服务商的 DKIM 密钥，让你发出的邮件带上无法被篡改的签名。

这件事为什么关系到你的生意

DKIM（域名密钥识别邮件）会给你发出的每一封邮件加上一个看不见的数字签名。收件方的邮件服务商用你发布在 DNS 中的公钥来确认两件事：这封邮件确实来自你的域名，而且在传输途中没有被人改动过。

说得直白些：DKIM 就是给你的邮件盖上一枚真伪防伪章。它让冒充你更难得逞，也让你真正发出的邮件更有机会进入对方收件箱、而不是被丢进垃圾邮件。和其他记录一样，它是免费的，配置一次即可。

重点：DKIM 分成两半

DKIM 是所有记录里最讲究「谁负责哪一步」的一个：

• 密钥由你的邮件服务商生成。 Google Workspace、Microsoft 365，或者其他替你托管邮箱的服务商，会在它们自己的管理后台里为你生成 DKIM 密钥。这个值你无法自己编造，必须从它们那里拿到准确的主机名和值。Cloudflare 不生成 DKIM 密钥；它是你的 DNS 托管商，不是你的邮箱服务商。
• 由 Cloudflare 来发布。 然后你把这个密钥添加到你域名在 Cloudflare 的 DNS 里（前提是 Cloudflare 负责管理你的 DNS——见下文）。

所以：在邮件平台里生成，在 DNS 托管处发布。

第一步，确认 DNS 由 Cloudflare 管理

DKIM 记录只有在 Cloudflare 负责解析你域名的 DNS 时才会生效。只有当你域名的域名服务器（nameservers）（在你的注册商处设置）指向 Cloudflare 控制台里显示的那几个 Cloudflare 域名服务器时，Cloudflare 的 DNS 才是生效状态。在 Cloudflare 里打开你的域名，查看 Overview（概览）页——它会告诉你 Cloudflare 是否处于激活状态。如果你的域名服务器指向另一家服务商，请到那家去添加 DKIM 记录；加在 Cloudflare 这里不会生效。

从邮件服务商处获取密钥

在你邮件服务商的管理后台里，找到 DKIM 或邮件身份验证设置，生成/启用一个密钥。它会给你两段文字：

• 一个主机名/选择符（selector），类似 google._domainkey 或 selector1._domainkey。
• 一个很长的值，以 v=DKIM1; 开头，后面跟着 k=rsa; p= 以及一长串字符（也就是公钥）。

把两者一字不差地复制下来。

在 Cloudflare 上的分步操作

1. 登录 Cloudflare，选中你的域名。
2. 在左侧菜单进入 DNS 设置（找 DNS / Records）。
3. 点击 Add record（添加记录）。
4. 大多数 DKIM 密钥把 Type 设为 TXT。只有在服务商特别要求时才用 CNAME——部分服务商，包括 Microsoft 365，使用指向其服务器的 CNAME 记录。
5. 在 Name 一栏，只填选择符部分——例如 google._domainkey 或 selector1._domainkey。不要在末尾加上你的域名；Cloudflare 会自动补全。
6. 在 Content 一栏，把那段长长的密钥值原样粘贴进去。（如果是 CNAME，则改为粘贴它给你的目标主机。）
7. TTL 保持 Auto（自动）。
8. 点击 Save（保存）。

Cloudflare 上人们常踩的坑

• 不要把完整域名填进 Name。 如果服务商的说明显示的是 selector1._domainkey.yourdomain.com，在 Cloudflare 里你只填 selector1._domainkey——其余部分系统会替你补上。再次带上域名会生成一个出错的主机名 ..yourdomain.com.yourdomain.com。
• 整段密钥都要粘贴——它很长。 DKIM 公钥有数百个字符。务必确认没有被截断，复制粘贴时也没有混进多余的空格或换行。Cloudflare 会在后台把过长的 TXT 值拆成多段——这是正常现象，没有问题。
• 不要自己加引号。 直接粘贴纯值；引号由 Cloudflare 处理。手动加上的 「”」 会损坏这条记录。
• TXT 还是 CNAME——以服务商为准。 如果它说用 CNAME，就选 CNAME，把它给的目标主机粘进 Content 里，别擅自改成 TXT。
• 如果你加的是 CNAME，请设为「仅 DNS」（灰色云朵）。 身份验证类记录绝不能走代理——务必确认代理状态显示的是灰色云朵而非橙色，这样记录才会解析到你邮件服务商的值，而不是 Cloudflare 的代理。
• 选择符要完全一致。 Name 一栏里的选择符必须和服务商要求的逐字一致——收件方正是靠它找到对应的密钥。
• 给它一点时间。 DNS 改动可能需要几分钟到一两个小时才能生效，之后 DKIM 才开始验证通过。

验证是否生效

保存之后，留出一点生效时间，再用本站的免费检测跑一下。它会用大白话告诉你：你的 DKIM 记录是否已发布、是否能被读取到。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。