Defaults.Exposed › 设置 › DKIM

如何在 Google Workspace 上配置 DKIM

在 Google 管理控制台中生成 DKIM 密钥并发布到你的 DNS，让你发出的邮件带上无法被篡改的签名。

这件事为什么关系到你的生意

DKIM（域名密钥识别邮件）会给你发出的每一封邮件加上一个看不见的数字签名。收件方的邮件服务商用你发布在 DNS 中的公钥来确认两件事：这封邮件确实来自你的域名，而且在传输途中没有被人改动过。

说得直白些：DKIM 就是给你的邮件盖上一枚真伪防伪章。它让冒充你更难得逞，也让你真正发出的邮件更有机会进入对方收件箱、而不是被丢进垃圾邮件。它是免费的，配置一次即可。

重点：DKIM 分成两半

DKIM 是所有记录里最讲究「谁负责哪一步」的一个：

• 密钥由 Google 生成——在 Google 管理控制台里。 你登录 admin.google.com，让 Google 为你的域名生成 DKIM 密钥。这个值你无法自己编造；它由 Google 替你产生。
• 由你的 DNS 托管商发布。 然后你把这个密钥添加到你域名的 DNS 里——也就是负责管理你域名服务器的那家公司（你的注册商、虚拟主机商、Cloudflare 等）。这家通常不是 Google。

所以：在 Google Workspace 里生成，在你的 DNS 托管处发布。两半缺一不可，而且最后还有额外一步——回到 Google 里把 DKIM 开关打开。

第一步——在 Google 管理控制台里生成密钥

1. 用管理员账户登录 Google 管理控制台 admin.google.com。
2. 进入 Apps → Google Workspace → Gmail，然后打开 Authenticate email（验证电子邮件，这就是 DKIM 区域）。
3. 从列表里选择你的域名。
4. 如有提示，选择密钥长度（默认值——通常是 2048 位——即可），然后点击 Generate new record（生成新记录）。
5. Google 现在会向你显示两段文字：
   • 一个 DNS 主机名/选择符（selector），对 Google 来说通常是 google._domainkey。
   • 一个很长的 TXT 记录值，以 v=DKIM1; k=rsa; p= 开头，后面跟着一长串字符（也就是公钥）。
6. 让这个页面保持打开——你需要把这些复制到 DNS 里，之后再回来开启 DKIM。

第二步——在你的 DNS 托管处发布密钥

首先，确认你是在真正管理你 DNS 的那家公司里操作。DKIM 记录只有添加在你域名的**域名服务器（nameservers）**所指向的地方才会生效。如果不确定，请到你注册商账户里查看 Nameservers 一栏，或者问问替你管理网站的人。

1. 登录你的 DNS 托管商，打开该域名的 DNS 设置（找 DNS / Records / Advanced DNS）。
2. 添加一条新记录，类型选 TXT。
3. 在 Name / Host 一栏，只填选择符部分——对 Google 来说通常是 google._domainkey。不要在末尾加上你的域名；DNS 托管商会自动补全。
4. 在 Value 一栏，把 Google 给你的那段长长的密钥值原样粘贴进去。
5. TTL 保持默认。
6. 保存。

第三步——回到 Google 里开启 DKIM

光发布记录还不够——你得告诉 Google 开始签名。

1. 回到 Google 管理控制台里的 Authenticate email 页面。
2. 点击 Start authentication（开始验证）。
3. Google 会检查这条记录是否在你的 DNS 里可见。如果它暂时还找不到，给 DNS 一点时间传播（几分钟到一两个小时），然后再试一次。

人们常踩的坑

• 两个地方，按顺序来。 在 Google 里生成，到 DNS 里发布，然后再回来点 Start authentication。漏掉最后一步，密钥虽已发布，但 Google 永远不会给你的邮件签名。
• 不要把完整域名填进 Host。 如果说明里显示的是 google._domainkey.yourdomain.com，在你的 DNS 托管处只填 google._domainkey——其余部分系统会替你补上。再次带上域名会生成一个出错的主机名，例如 google._domainkey.yourdomain.com.yourdomain.com。
• 整段密钥都要粘贴——它很长。 DKIM 公钥有数百个字符。有些 DNS 托管商对单个字段有字符上限，会把过长的 TXT 值拆成多个带引号的字符串——这是正常的，Google 能处理，但要确认没有被截断，也没有混进多余的空格或换行。
• 留意引号。 直接粘贴纯值；大多数 DNS 托管商会替你加引号。在此之上再手动加 「”」 会损坏记录。
• 选择符要完全一致。 你 DNS 里的主机名必须和 Google 期望的（google._domainkey）逐字一致——收件方正是靠它找到对应的密钥。
• 给它一点时间。 DNS 改动可能需要几分钟到一两个小时，之后 Google 才能确认、DKIM 才开始验证通过。

验证是否生效

发布好记录、开启验证、并留出一点生效时间之后，用 Defaults.Exposed 上的免费检测跑一下。它会用大白话告诉你：你的 DKIM 记录是否已发布、是否能被读取到。你的数据在欧盟境内处理。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。