Defaults.Exposed

Defaults.Exposed › 設置 › DKIM

如何在 Google Workspace 上設定 DKIM

在 Google 管理主控台中產生 DKIM 金鑰並發布到你的 DNS,讓你發出的郵件帶上無法被篡改的簽章。

這件事為什麼關係到你的業務

DKIM(網域金鑰識別郵件)會給你發出的每一封郵件加上一個看不見的數位簽章。收件方的郵件服務商用你發布在 DNS 中的公鑰來確認兩件事:這封郵件確實來自你的網域,而且在傳輸途中沒有被人改動過。

說得直白些:DKIM 就是給你的郵件蓋上一枚真偽防偽章。它讓假冒你更難得逞,也讓你真正發出的郵件更有機會進入對方收件匣、而不是被丟進垃圾郵件。它是免費的,設定一次即可。

重點:DKIM 分成兩半

DKIM 是所有記錄裡最講究「誰負責哪一步」的一個:

所以:在 Google Workspace 裡產生,在你的 DNS 託管處發布。兩半缺一不可,而且最後還有額外一步——回到 Google 裡把 DKIM 開關打開。

第一步——在 Google 管理主控台裡產生金鑰

  1. 用管理員帳戶登入 Google 管理主控台 admin.google.com
  2. 進入 Apps → Google Workspace → Gmail,然後開啟 Authenticate email(驗證電子郵件,這就是 DKIM 區域)。
  3. 從列表裡選擇你的網域。
  4. 如有提示,選擇金鑰長度(預設值——通常是 2048 位——即可),然後點擊 Generate new record(產生新記錄)。
  5. Google 現在會向你顯示兩段文字:
    • 一個 DNS 主機名稱/選擇器(selector),對 Google 來說通常是 google._domainkey
    • 一個很長的 TXT 記錄值,以 v=DKIM1; k=rsa; p= 開頭,後面跟著一長串字元(也就是公鑰)。
  6. 讓這個頁面保持開啟——你需要把這些複製到 DNS 裡,之後再回來開啟 DKIM。

第二步——在你的 DNS 託管處發布金鑰

首先,確認你是在真正管理你 DNS 的那家公司裡操作。DKIM 記錄只有新增在你網域的**網域伺服器(nameservers)**所指向的地方才會生效。如果不確定,請到你註冊商帳戶裡查看 Nameservers 一欄,或者問問替你管理網站的人。

  1. 登入你的 DNS 託管商,開啟該網域的 DNS 設定(找 DNS / Records / Advanced DNS)。
  2. 新增一條新記錄,類型選 TXT
  3. Name / Host 一欄,只填選擇器部分——對 Google 來說通常是 google._domainkey不要在末尾加上你的網域;DNS 託管商會自動補全。
  4. Value 一欄,把 Google 給你的那段長長的金鑰值原樣貼上去。
  5. TTL 保持預設。
  6. 儲存。

第三步——回到 Google 裡開啟 DKIM

光發布記錄還不夠——你得告訴 Google 開始簽章。

  1. 回到 Google 管理主控台裡的 Authenticate email 頁面。
  2. 點擊 Start authentication(開始驗證)。
  3. Google 會檢查這條記錄是否在你的 DNS 裡可見。如果它暫時還找不到,給 DNS 一點時間傳播(幾分鐘到一兩個小時),然後再試一次。

人們常踩的坑

驗證是否生效

發布好記錄、開啟驗證、並留出一點生效時間之後,用 Defaults.Exposed 上的免費檢測跑一下。它會用大白話告訴你:你的 DKIM 記錄是否已發布、是否能被讀取到。你的資料在歐盟境內處理。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。