Defaults.Exposed

Defaults.Exposed修復 › DKIM

如何修復 DKIM

DKIM 是你公司每一封外發郵件上那枚看不見的防篡改封印。它讓收件的郵件服務商能夠確認郵件確實出自你手、且抵達時分毫未改。沒有它,你的郵件更易被偽造、更易被篡改,也更容易落進垃圾箱。

對您業務的關鍵影響: 沒有 DKIM,你發出的郵件可能在傳輸途中被篡改,更容易被罪犯冒充,也更可能被過濾進垃圾箱或乾脆被拒收——在你毫不知情的情況下,悄悄讓你失去生意、款項和信任。

這會讓您付出什麼代價

為什麼它重要。 郵件從設計之初就無法證明發件人是誰,偽造發件人輕而易舉。DKIM 加上一個加密簽名,由收件服務商自動校驗——確認郵件確實來自你的網域、且途中沒被改動。它是每一家現代郵件服務商都會查的三件事之一,直接影響你的郵件是被信任還是被丟棄,而且修復免費。

這是什麼,大白話版

你公司發出的每一封郵件,在抵達收件匣前都要經手好幾道環節。郵件本身並不攜帶任何證據證明它真正出自誰手、途中是否被人改過——「發件人」那一行只是誰都能打上去的文字。

DKIM 修好了這件事。它在你公司發出的每封郵件上蓋一枚看不見的、防篡改的封印。郵件抵達時,收件郵件服務商會拿這枚封印去對照你發布在網域上的一把金鑰。如果對得上,服務商就確定了兩件事:郵件確實來自你的網域,且途中一個字元都沒改。如果對不上——因為郵件是偽造或被改過的——封印就失敗,服務商會帶著懷疑對待這封郵件。

這一切你都不用手動管理。一旦打開,簽名和校驗就在每封郵件上自動進行,永久有效。DKIM 的全部意義在於:讓你真實的郵件可被證明為真——於是它被信任,而假的則一眼可辨。

這會讓你付出什麼代價

這不抽象。下面是缺失或孱弱的 DKIM 封印對一家中小企業而言在現實中長什麼樣。

它到底是什麼

DKIM 是 DomainKeys Identified Mail(網域金鑰識別郵件)的縮寫。撇開行話,封印是這樣運作的:

幾個你可能從 IT 人員那裡聽到的術語:

「好」長什麼樣: 你的網域在某個選擇器上發布了一把有效的 DKIM 金鑰,你的外發郵件正在用它簽名,且金鑰為 2048 位元或更強。這就是完整通過。

關於評分的說明。這項檢查會在郵件服務商常用的那些選擇器上尋找一把真實、格式良好的 DKIM 金鑰。已發布的有效金鑰是正面信號——第三方掃描器無法重放你的即時簽名,所以衡量的是一把正確金鑰的存在與否。未找到金鑰則不通過(這是高嚴重度的缺口)。**有效但偏弱的金鑰(1024 位元 RSA)**約得半分——它在工作,但應當升級。**強金鑰(2048 位元 RSA 或更高,或 Ed25519)**拿滿分。這是計入你評分的郵件安全檢查之一,佔有可觀的份額。

如何修復(免費,約 15 分鐘)

這部分是給管你郵件或網域的人看的——如果那不是你,就把這一節交給他們。修復免費。 我們只對長期監控你的防護是否持續健康收費,而不對設定它收費。

各處的總體套路都一樣:在你的郵件服務商裡打開 DKIM,拿它產生的金鑰,發布到你的 DNS 裡,然後確認它已生效。具體步驟取決於誰在運營你的郵件——下面是常見的幾種。

Google Workspace(Gmail)

  1. 管理控制台 → 應用程式 → Google Workspace → Gmail → 驗證電子郵件
  2. 選中你的網域,點擊產生新記錄(選 2048 位元金鑰長度)。
  3. Google 會給你一條 DNS 記錄。在你的 DNS 主機上把它加為一條 TXT 記錄,host 填 google._domainkey.你的網域,值填 Google 提供的內容。
  4. 等它生效(幾分鐘到幾小時),再回到同一介面點擊開始驗證

Microsoft 365(Outlook / Exchange Online)

  1. 前往 Microsoft Defender 入口 → 電子郵件和協作 → 策略和規則 → 威脅策略 → 電子郵件身份驗證設定 → DKIM
  2. 選中你的網域。Microsoft 會給你兩條 CNAME 記錄要發布(selector1 和 selector2)。
  3. 在你的 DNS 主機上原樣添加兩條 CNAME 記錄。
  4. 回到 DKIM 介面,把該網域的 DKIM 簽名切換為已啟用

Zoho Mail

  1. 控制台 → 電子郵件身份驗證 → DKIM
  2. 產生一把金鑰(用 zoho 之類的選擇器),然後在你的 DNS 裡把提供的 TXT 記錄加到 zoho._domainkey.你的網域
  3. 記錄生效後在 Zoho 面板裡驗證。

其他服務商 / 你自己的郵件伺服器 套路完全相同:服務商(或你的郵件軟體)產生一對金鑰,用私鑰給你的外發郵件簽名,並給你一條要發布的公開記錄。它通常長這樣:

Host:  selector1._domainkey.你的網域
Type:  TXT(或 CNAME,取決於服務商)
Value:(你的服務商給你的那串很長的金鑰字串)

DNS 記錄在哪裡添加: 在你網域的 DNS 設定裡——通常是在你的網域註冊商或 DNS 主機(如 Cloudflare、GoDaddy、你的主機控制面板)。如果你的郵件服務商給的是 CNAME,它指向的是他們托管的一條記錄,所以你永遠看不到原始金鑰——這很正常,沒問題。

確認它生效: 給一個 Gmail 帳戶發一封測試郵件,打開它,選擇顯示原始郵件,檢查是否出現 DKIM: PASS。然後回到這裡重新檢測你的網域,確認金鑰是以 2048 位元或更強傳過來的,而不是孱弱的 1024 位元。

常見錯誤

關於 DKIM、SPF 和 DMARC 的說明

DKIM 很少單打獨斗。它是合在一起讓你郵件可信的三個設定之一:

如果你正在修 DKIM,值得同時把 SPF 和 DMARC 一起檢查。它們合起來,正是阻止你公司被冒充、並讓你真實郵件落到該落之處的東西。

在您的託管服務商上完成設置

熱門服務商的分步指引:

常見情況

常見問題

我不懂技術——這個我自己能搞定嗎?

你不需要懂加密學。多數情況下,這是在你的郵件服務商(Google Workspace、Microsoft 365、Zoho 等)內部打開的一個開關,它隨後會給你一兩條要加到網域裡的記錄。把「如何修復」一節交給管你郵件或網域的人——這是個快速、免費的活儿,通常 15 分鐘左右。

打開 DKIM 會不會有搞壞郵件的風險?

正確添加 DKIM 是安全的——它不改變你的郵件怎麼發,只是加上一個收件方可校驗的簽名。唯一要做對的是:把服務商產生的金鑰原封不動地發布,並且只在記錄已在 DNS 中生效後才啟用簽名。按這個順序來,對你和你的客戶都不會造成任何中斷。

我們已經在用 Google 或 Microsoft 這樣的大服務商——不是自動就有了嗎?

並非總是。大服務商讓 DKIM 變得容易,但對許多網域來說,它仍需被打開、並往 DNS 裡加一條記錄——預設未必開啟。這正是為什麼一個用著大服務商的網域仍可能未通過這項檢查。花幾分鐘確認並啟用即可。

DKIM、SPF 和 DMARC 有什麼區別?這三個我都需要嗎?

把它們當成一套。SPF 列出哪些伺服器獲准代你發信。DKIM 是那枚防篡改封印,證明郵件確實是你的、且未被改動。DMARC 是那句指令,告訴服務商把沒通過這些檢查的郵件攔下。它們配合起來最有效——尤其 DMARC 要靠 DKIM 才能完成本職——所以是的,三個你都需要。

我的 IT 人員說 DKIM「開著」——我怎麼知道它真的在生效、且足夠強?

兩件事要緊:你的網域在某個選擇器上發布了有效簽名,以及它背後的金鑰足夠強(2048 位元 RSA 或更高)。較舊的 1024 位元金鑰仍能用,但按現代標準被視為偏弱,這裡判為部分通過。重新檢測一次你的網域,就能一次確認這兩點。

什麼是「選擇器」,為什麼它重要?

選擇器只是一個標籤,指向你 DNS 裡某一把特定的 DKIM 金鑰——它讓你能同時運行多把金鑰(比如郵箱一把、郵件行銷工具一把)並安全地輪換。你不用手動管理它;服務商會建立選擇器並告訴你要發布的記錄。它在這裡之所以重要,只是因為檢查會在郵件服務商常用的那些選擇器上尋找有效金鑰。