設定 DKIM

Gmail 使用者：如果您在 Gmail 中收到垃圾郵件或網路釣魚郵件，請改為前往這裡。如果您在 Gmail 中遇到收發電子郵件的問題，請按這裡。

DKIM 會透過 DKIM 簽名驗證電子郵件，有助於防範網域遭到假冒。如要設定 DKIM，請產生公開 DKIM 金鑰並新增至您的網域。收件伺服器取得您的公開 DKIM 金鑰後，就會使用該金鑰讀取 DKIM 簽名並驗證電子郵件。

本頁面提供下列資源說明：

事前準備
步驟 1：產生 DKIM 金鑰組
步驟 2：將 DKIM 金鑰新增至網域
步驟 3：開啟並驗證 DKIM
後續步驟
相關主題

事前準備

如果您的網域供應商是 Google Domains 或 Squarespace，Google 會自動建立 DKIM 金鑰，並將金鑰加入您網域的 DNS 記錄中。請略過此步驟，直接參閱「開啟並驗證 DKIM」一文。

如果您的網域已預設 DKIM，或者您在申請 Google Workspace 時已向 Google 合作夥伴購買網域，可能就不需要設定 DKIM。如要檢查網域是否已設定 DKIM，請使用網際網路上提供的任一免費工具。
如果您使用外送閘道，請務必確認相關設定不會干擾 DKIM。外送閘道可用於修改外寄郵件，例如在每封郵件底部加上註腳。如要瞭解如何設定外送閘道來處理外寄郵件，請參閱這篇文章。

DKIM 如何運作？

如要設定 DKIM，請為您的網域產生一組 DKIM 金鑰：

儲存在網域 DKIM DNS TXT 記錄中的「公開」金鑰。這是您新增至網域的金鑰。
會上傳至您電子郵件伺服器的「私密」金鑰。這個金鑰會產生 DKIM 簽名，並將其加入所有外寄電子郵件。


	含有私密金鑰的傳送者電子郵件伺服器。
	含有公開金鑰的寄件者 DKIM TXT 記錄。
	寄件者的私密金鑰會在外寄電子郵件的標頭中加入 DKIM 簽名。
	電子郵件會傳送至收件者的網域。
	收件者的電子郵件伺服器會從 DKIM TXT 記錄取得公開金鑰，並使用該金鑰讀取 DKIM 簽名和驗證電子郵件。

步驟 1：產生 DKIM 金鑰組

如果您使用 Google Workspace，請按照本節中的操作說明進行。
如果您沒有使用 Google Workspace，請使用網路上的工具執行以下操作：
- 找出 DKIM 前置字元選取器。您可以傳送測試電子郵件至收件匣、查看郵件來源，並在 DKIM 簽名標頭中找出 s 值。
- 指定網域名稱、金鑰長度和 DKIM 前置字元選取器，以產生 DKIM 金鑰組。
- 將私密金鑰儲存在郵件伺服器設定中，並將公開金鑰新增至網域。

Generate a DKIM key for your domain

您必須以超級管理員的身分登入才能執行這項工作。

重要事項：在 Google Workspace 中，為貴機構啟用 Gmail 後，您必須等候 24 至 72 小時，才能在管理控制台中取得 DKIM 金鑰。如果您嘗試在這個時間點前產生金鑰，可能會看到未建立 DKIM 記錄的錯誤訊息。

請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶，就無法存取管理控制台。
依序點選「選單」圖示「應用程式」>「Google Workspace」>「Gmail」。
須具備 Gmail 設定管理員權限。
按一下 [驗證電子郵件]。
在「所選網域」選單中，選取您要設定 DKIM 的網域。
按一下「產生新記錄」按鈕。
在「產生新記錄」方塊中，選取您的 DKIM 金鑰設定：
- DKIM 金鑰位元長度選項：
  - 2048：如果您的網域供應商支援 2048 位元金鑰，請選取這個選項。長的金鑰比短的金鑰更安全。如果您先前使用的是 1024 位元的金鑰，但網域供應商支援 2048 位元金鑰，可以改用 2048 位元的金鑰。
  - 1024：如果您的網域代管商不支援 2048 位元金鑰，請選取這個選項。
- 前置字元選取器選項：
  - 預設的前置字元選取器是 google。如果您使用 Google Workspace，建議採用這個選項。
  - 如果您的網域已經使用 DKIM 金鑰，且前置字元為 google，請在這個欄位中輸入其他前置字元。進一步瞭解 DKIM 選取器。
按一下 [產生]。在「驗證電子郵件」頁面上，系統會更新「TXT 記錄值」，並顯示以下訊息：「DKIM 驗證設定已更新」。
重要事項：Google 管理控制台的「驗證電子郵件」頁面可能會持續顯示「您必須更新此網域的 DNS 記錄」訊息，顯示時間最長為 48 小時。。如果您已在網域供應商網站正確新增 DKIM 金鑰，可以忽略這則訊息。

複製「驗證電子郵件」視窗中顯示的 DKIM 值。您將在下一個步驟中透過網域供應商頁面新增這項資訊：

			DNS 主機名稱 (TXT 記錄名稱)：這段文字是 DKIM TXT 記錄的名稱。請將這個名稱新增到網域供應商的 TXT 記錄，並填入「Host」欄位。
			TXT 記錄值：這段文字是 DKIM 金鑰。請將這個金鑰新增至網域供應商的 TXT 記錄，並填入「TXT Value」欄位。

重要事項：請勿點選「開始驗證」，之後再執行這項操作。

步驟 2：將 DKIM 金鑰新增至網域

產生 DKIM 金鑰組之後，請建立 DKIM TXT 記錄，將公開 DKIM 金鑰新增至您的網域。

如需網域登入資訊、設定或 TXT 記錄的相關協助，請與您的網域供應商聯絡。Google 不為第三方網域供應商提供技術支援。

Add DKIM domain key to domain DNS records

透過 Google 管理控制台將 DKIM 金鑰新增至您網域供應商的 DNS 記錄。

登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司，請參閱「找出網域註冊商」一文。
前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面，請參閱網域的說明文件。

新增或更新 TXT 記錄，並加入以下資訊 (請參閱網域的說明文件)：

欄位名稱	應輸入的值
Type	記錄類型為 TXT。
Host (Name, Hostname, Alias)	這是組成 TXT 記錄名稱的字串，例如：google._domainkey 請參閱本頁上方的這個步驟。
Value	這是組成 TXT 記錄值的字串，開頭應為 v=DKIM1 或類似內容。請參閱本頁上方的這個步驟。

注意：部分網域供應商會限制 TXT 記錄長度。如果您的 TXT 記錄受到限制，請參閱「確認網域供應商的 TXT 記錄字元限制」。

儲存變更。
如果您使用子網域，請詢問網域供應商如何為子網域新增 TXT 記錄。
如要為多個網域設定 DKIM，請為每個網域完成下列步驟。您必須從管理控制台取得每個網域的不重複 DKIM 金鑰。

新增 DKIM 金鑰後，DKIM 驗證功能最多可能要 48 小時才會開始運作。

步驟 3：開啟並驗證 DKIM

如果您使用 Google Workspace，請按照本節中的操作說明進行。
如果您未使用 Google Workspace，請使用網路上的工具。

Turn on DKIM signing

在您網域供應商的網站新增 DKIM 金鑰後，前往 Google 管理控制台開啟 DKIM 簽署功能。

請使用「管理員」帳戶登入 Google 管理控制台。
如果您不是使用管理員帳戶，就無法存取管理控制台。
依序點選「選單」圖示「應用程式」>「Google Workspace」>「Gmail」。
須具備 Gmail 設定管理員權限。
按一下「驗證電子郵件」。
在「所選網域」選單中，選取您要開啟 DKIM 的網域。
按一下 [開始驗證]。如果 DKIM 已設定完成且可正常運作，頁面頂端的狀態就會變更為「正在使用 DKIM 驗證電子郵件」。
傳送電子郵件給 Gmail 或 Google Workspace 使用者 (您無法透過傳送測試郵件給自己來驗證 DKIM 功能是否已開啟)。
在收件者的收件匣中開啟郵件，找出完整的郵件標頭。
注意：查看郵件標頭的步驟會因電子郵件應用程式而有所不同。如要在 Gmail 中顯示郵件標頭，請依序按一下「回覆」旁邊的「更多」圖示「顯示原始郵件」。
在郵件標頭中尋找 Authentication-Results。收件服務會對內送郵件標頭使用不同的格式，但 DKIM 結果應顯示類似於 DKIM=pass 或 DKIM=OK 的內容。
如果郵件標頭中沒有 DKIM 相關的資料行，從您網域寄出的郵件就沒有經 DKIM 簽署：
- 請確認您已完成本文中的所有步驟。
- 請參閱「排解 DKIM 問題」一文。

後續步驟

Google 建議您一併為貴機構設定 SPF 和 DMARC 驗證。大量寄件者必須設定 DKIM、SPF 和 DMARC。詳情請參閱「電子郵件寄件者指南」。
如果您無法確認 DKIM 是否正常運作，或是從您網域寄出的郵件是否會被歸類為垃圾郵件，請參閱「排解 DKIM 相關問題」。
您可以視需要設定 BIMI，在外寄郵件中加入貴機構的標誌。

這對您有幫助嗎？

我們應如何改進呢？