Defaults.Exposed › 修復 › DKIM
如何修復 DKIM
DKIM 是你公司每一封外發郵件上那枚看不見的防篡改封印。它讓收件的郵件服務商能夠確認郵件確實出自你手、且抵達時分毫未改。沒有它,你的郵件更易被偽造、更易被篡改,也更容易落進垃圾箱。
對您業務的關鍵影響: 沒有 DKIM,你發出的郵件可能在傳輸途中被篡改,更容易被罪犯冒充,也更可能被過濾進垃圾箱或乾脆被拒收——在你毫不知情的情況下,悄悄讓你失去生意、款項和信任。
這會讓您付出什麼代價
- 你發給客戶的發票在抵達前被攔截,銀行帳戶被改掉。郵件看上去仍然來自你,客戶把錢付給了罪犯,等事情敗露時,挨罵的是你。
- 你正經的報價、合約和發票總是落進客戶的垃圾箱。你以為客戶沒了下文或選了別人——其實他們根本沒看到你的郵件。
- 一個大客戶的安全或採購團隊在簽約前對你的網域快速檢查一下,發現沒有 DKIM,要麼把單子推後好幾週等你修好,要麼悄悄選了通過檢查的競爭對手。
- 罪犯「冒充你公司」給你自己的客戶發去以假亂真的郵件。因為沒有任何東西能證明哪些郵件真的是你發的,假的和真的一樣可信——而受損的是你的名字。
- 主流郵箱服務商和銀行越來越把未簽名的郵件當作可疑。久而久之,你越來越多的日常商務郵件被限速、丟棄或退回,你的對外聯絡慢慢就不靈了。
為什麼它重要。 郵件從設計之初就無法證明發件人是誰,偽造發件人輕而易舉。DKIM 加上一個加密簽名,由收件服務商自動校驗——確認郵件確實來自你的網域、且途中沒被改動。它是每一家現代郵件服務商都會查的三件事之一,直接影響你的郵件是被信任還是被丟棄,而且修復免費。
這是什麼,大白話版
你公司發出的每一封郵件,在抵達收件匣前都要經手好幾道環節。郵件本身並不攜帶任何證據證明它真正出自誰手、途中是否被人改過——「發件人」那一行只是誰都能打上去的文字。
DKIM 修好了這件事。它在你公司發出的每封郵件上蓋一枚看不見的、防篡改的封印。郵件抵達時,收件郵件服務商會拿這枚封印去對照你發布在網域上的一把金鑰。如果對得上,服務商就確定了兩件事:郵件確實來自你的網域,且途中一個字元都沒改。如果對不上——因為郵件是偽造或被改過的——封印就失敗,服務商會帶著懷疑對待這封郵件。
這一切你都不用手動管理。一旦打開,簽名和校驗就在每封郵件上自動進行,永久有效。DKIM 的全部意義在於:讓你真實的郵件可被證明為真——於是它被信任,而假的則一眼可辨。
這會讓你付出什麼代價
這不抽象。下面是缺失或孱弱的 DKIM 封印對一家中小企業而言在現實中長什麼樣。
- 被篡改的發票。 你給客戶發了一張發票。在你的伺服器和客戶之間的某處,攻擊者攔下它,把你的銀行帳戶換成了他自己的。郵件看上去仍然來自你,客戶付了款——進了罪犯的帳戶。沒有 DKIM,就沒有任何東西能標示這封郵件被篡改過。有了它,這種悄無聲息的改動會破壞封印、被當場抓住。
- 死在垃圾箱裡的生意。 你的報價、提案和跟進總是溜進客戶的垃圾箱。你遲遲收不到回覆,就以為對方沒興趣。實際上,未簽名的郵件是個強烈的垃圾郵件信號——你正經的商務郵件壓根沒被看到。
- 丟掉的合約。 一個大客戶的採購或安全團隊在簽約前審你的網域。他們看到沒有 DKIM,把它當成紅旗——要麼把單子拖延數週等你修好,要麼悄悄選了郵件安全過關的供應商。
- 你的名字被用來對付你自己的客戶。 騙子向你的客戶群「冒充你公司」群發以假亂真的郵件。因為沒有任何東西能證明哪些郵件真是你發的,假的和真的一樣合法可信——而人們上當時,受損的是你的名聲。
- 對你郵件的緩慢絞殺。 銀行、大型郵箱服務商和企業過濾器越來越不信任未簽名的郵件。這種影響隨時間悄悄滲入:更多限速、更多丟棄、更多退回——直到你的日常對外聯絡悄悄不再落地。
它到底是什麼
DKIM 是 DomainKeys Identified Mail(網域金鑰識別郵件)的縮寫。撇開行話,封印是這樣運作的:
- 你在網域上(在 DNS 設定裡)發布一把公鑰。任何人都能讀到它——這正是要點。
- 你的郵件服務商持有配對的私鑰,用它給你發出的每封郵件簽名,添加一個隱藏的標頭。
- 郵件抵達時,收件方的服務商取來你的公鑰,拿簽名對照郵件,確認它真實且未被改動。
幾個你可能從 IT 人員那裡聽到的術語:
- 選擇器——一個指向某一把特定金鑰的標籤,例如
selector1._domainkey.你的網域。它讓你能乾淨地運行並輪換多把金鑰。由你的服務商設定。 - 金鑰強度——DKIM 金鑰有不同尺寸。現代基準是 2048 位元 RSA;4096 位元 RSA 或 Ed25519 金鑰更強。較舊的 1024 位元金鑰仍能用,但按今天的標準被視為偏弱(NIST SP 800-131A / RFC 8301)。
「好」長什麼樣: 你的網域在某個選擇器上發布了一把有效的 DKIM 金鑰,你的外發郵件正在用它簽名,且金鑰為 2048 位元或更強。這就是完整通過。
關於評分的說明。這項檢查會在郵件服務商常用的那些選擇器上尋找一把真實、格式良好的 DKIM 金鑰。已發布的有效金鑰是正面信號——第三方掃描器無法重放你的即時簽名,所以衡量的是一把正確金鑰的存在與否。未找到金鑰則不通過(這是高嚴重度的缺口)。**有效但偏弱的金鑰(1024 位元 RSA)**約得半分——它在工作,但應當升級。**強金鑰(2048 位元 RSA 或更高,或 Ed25519)**拿滿分。這是計入你評分的郵件安全檢查之一,佔有可觀的份額。
如何修復(免費,約 15 分鐘)
這部分是給管你郵件或網域的人看的——如果那不是你,就把這一節交給他們。修復免費。 我們只對長期監控你的防護是否持續健康收費,而不對設定它收費。
各處的總體套路都一樣:在你的郵件服務商裡打開 DKIM,拿它產生的金鑰,發布到你的 DNS 裡,然後確認它已生效。具體步驟取決於誰在運營你的郵件——下面是常見的幾種。
Google Workspace(Gmail)
- 管理控制台 → 應用程式 → Google Workspace → Gmail → 驗證電子郵件。
- 選中你的網域,點擊產生新記錄(選 2048 位元金鑰長度)。
- Google 會給你一條 DNS 記錄。在你的 DNS 主機上把它加為一條 TXT 記錄,host 填
google._domainkey.你的網域,值填 Google 提供的內容。 - 等它生效(幾分鐘到幾小時),再回到同一介面點擊開始驗證。
Microsoft 365(Outlook / Exchange Online)
- 前往 Microsoft Defender 入口 → 電子郵件和協作 → 策略和規則 → 威脅策略 → 電子郵件身份驗證設定 → DKIM。
- 選中你的網域。Microsoft 會給你兩條 CNAME 記錄要發布(selector1 和 selector2)。
- 在你的 DNS 主機上原樣添加兩條 CNAME 記錄。
- 回到 DKIM 介面,把該網域的 DKIM 簽名切換為已啟用。
Zoho Mail
- 控制台 → 電子郵件身份驗證 → DKIM。
- 產生一把金鑰(用
zoho之類的選擇器),然後在你的 DNS 裡把提供的 TXT 記錄加到zoho._domainkey.你的網域。 - 記錄生效後在 Zoho 面板裡驗證。
其他服務商 / 你自己的郵件伺服器 套路完全相同:服務商(或你的郵件軟體)產生一對金鑰,用私鑰給你的外發郵件簽名,並給你一條要發布的公開記錄。它通常長這樣:
Host: selector1._domainkey.你的網域
Type: TXT(或 CNAME,取決於服務商)
Value:(你的服務商給你的那串很長的金鑰字串)
DNS 記錄在哪裡添加: 在你網域的 DNS 設定裡——通常是在你的網域註冊商或 DNS 主機(如 Cloudflare、GoDaddy、你的主機控制面板)。如果你的郵件服務商給的是 CNAME,它指向的是他們托管的一條記錄,所以你永遠看不到原始金鑰——這很正常,沒問題。
確認它生效: 給一個 Gmail 帳戶發一封測試郵件,打開它,選擇顯示原始郵件,檢查是否出現 DKIM: PASS。然後回到這裡重新檢測你的網域,確認金鑰是以 2048 位元或更強傳過來的,而不是孱弱的 1024 位元。
常見錯誤
- 以為大服務商預設就開著。 大量用 Google 或 Microsoft 的網域仍需把 DKIM 打開並發布一條記錄。「我們用 Microsoft 365」不等於「DKIM 已啟用」。
- 產生孱弱的 1024 位元金鑰。 有些服務商仍預設或提供 1024 位元。在有選擇時選 2048 位元——弱金鑰只得半分,且會被更嚴格的收件方標記。
- 發布了記錄卻從未啟用簽名。 加上 DNS 記錄只是一半的活儿。如果你不在服務商裡打開簽名(最後那個開關),你的郵件仍然不帶簽名地發出去。
- 金鑰打錯或被截斷。 DKIM 金鑰很長。複製貼上時掉了一個字元或錯誤地拆分了值,會產生一枚每封郵件都失敗的損壞封印。原封不動地貼上那個值。
- 忘了你的其他發件方。 如果你透過郵件行銷工具、CRM、開票應用或電商平台發信,每一個都可能需要它自己的 DKIM 金鑰和選擇器。要給所有代你發信的服務簽名,而不只是你的郵箱。
關於 DKIM、SPF 和 DMARC 的說明
DKIM 很少單打獨斗。它是合在一起讓你郵件可信的三個設定之一:
- SPF 聲明哪些伺服器獲准代你的網域發信。
- DKIM(本頁)是那枚防篡改封印,證明郵件確實是你的、且未被改動。
- DMARC 是那句指令,告訴服務商對任何未通過檢查的郵件該怎麼辦——它要靠 DKIM 和 SPF 來做這個判斷。
如果你正在修 DKIM,值得同時把 SPF 和 DMARC 一起檢查。它們合起來,正是阻止你公司被冒充、並讓你真實郵件落到該落之處的東西。
在您的託管服務商上完成設置
熱門服務商的分步指引:
- 在 GoDaddy 上設置 DKIM
- 在 Namecheap 上設置 DKIM
- 在 Cloudflare 上設置 DKIM
- 在 Google Workspace 上設置 DKIM
- 在 Microsoft 365 上設置 DKIM
- 在 Squarespace 上設置 DKIM
- 在 Wix 上設置 DKIM
- 在 AWS Route 53 上設置 DKIM
- 在 Hostinger 上設置 DKIM
- 在 Porkbun 上設置 DKIM
- 在 IONOS 上設置 DKIM
- 在 Bluehost 上設置 DKIM
常見情況
- 'DKIM signature not valid'
- 'Body hash did not verify'
- 'No key for signature'
- DKIM passes, DMARC fails: default signatures
- DKIM broke after switching tools
常見問題
我不懂技術——這個我自己能搞定嗎?
你不需要懂加密學。多數情況下,這是在你的郵件服務商(Google Workspace、Microsoft 365、Zoho 等)內部打開的一個開關,它隨後會給你一兩條要加到網域裡的記錄。把「如何修復」一節交給管你郵件或網域的人——這是個快速、免費的活儿,通常 15 分鐘左右。
打開 DKIM 會不會有搞壞郵件的風險?
正確添加 DKIM 是安全的——它不改變你的郵件怎麼發,只是加上一個收件方可校驗的簽名。唯一要做對的是:把服務商產生的金鑰原封不動地發布,並且只在記錄已在 DNS 中生效後才啟用簽名。按這個順序來,對你和你的客戶都不會造成任何中斷。
我們已經在用 Google 或 Microsoft 這樣的大服務商——不是自動就有了嗎?
並非總是。大服務商讓 DKIM 變得容易,但對許多網域來說,它仍需被打開、並往 DNS 裡加一條記錄——預設未必開啟。這正是為什麼一個用著大服務商的網域仍可能未通過這項檢查。花幾分鐘確認並啟用即可。
DKIM、SPF 和 DMARC 有什麼區別?這三個我都需要嗎?
把它們當成一套。SPF 列出哪些伺服器獲准代你發信。DKIM 是那枚防篡改封印,證明郵件確實是你的、且未被改動。DMARC 是那句指令,告訴服務商把沒通過這些檢查的郵件攔下。它們配合起來最有效——尤其 DMARC 要靠 DKIM 才能完成本職——所以是的,三個你都需要。
我的 IT 人員說 DKIM「開著」——我怎麼知道它真的在生效、且足夠強?
兩件事要緊:你的網域在某個選擇器上發布了有效簽名,以及它背後的金鑰足夠強(2048 位元 RSA 或更高)。較舊的 1024 位元金鑰仍能用,但按現代標準被視為偏弱,這裡判為部分通過。重新檢測一次你的網域,就能一次確認這兩點。
什麼是「選擇器」,為什麼它重要?
選擇器只是一個標籤,指向你 DNS 裡某一把特定的 DKIM 金鑰——它讓你能同時運行多把金鑰(比如郵箱一把、郵件行銷工具一把)並安全地輪換。你不用手動管理它;服務商會建立選擇器並告訴你要發布的記錄。它在這裡之所以重要,只是因為檢查會在郵件服務商常用的那些選擇器上尋找有效金鑰。