設定 DKIM 以防止電子郵件遭到假冒

為您的電子郵件及網域提供更完善的安全保障

採用 DomainKeys Identified Mail (DKIM) 標準有助於防止您網域的外寄郵件遭到假冒。

「假冒電子郵件」意指變更電子郵件內容,讓郵件顯示非真實寄件來源的寄件者或寄件地址。假冒是在未經授權的情況下使用電子郵件,這種情形十分常見,因此部分電子郵件伺服器會要求設定 DKIM,以免電子郵件遭到假冒。

DKIM 會在所有外寄郵件的標頭加上加密簽名,收到簽名郵件的電子郵件伺服器則會使用 DKIM 來解密郵件標頭,驗證郵件寄出後並未遭人竄改。

更多電子郵件安全性設定

除了 DKIM,我們也建議您設定下列安全防護機制:

如果您未完成 DKIM 設定,Gmail 會使用預設的 DKIM

DKIM 簽署可加強電子郵件的安全性,並有助於防止電子郵件遭到假冒。建議您在所有外寄郵件上都使用自己專屬的 DKIM 金鑰。

如果您尚未產生您專屬的 DKIM 網域金鑰,Gmail 會使用預設 DKIM 網域金鑰「d=*.gappssmtp.com」來簽署所有外寄郵件。

如果電子郵件是從 mail.google.com 以外的伺服器寄出,則不會以預設 DKIM 金鑰簽署。

為外寄電子郵件產生網域金鑰

您必須以超級管理員的身分登入才能執行這項工作。


  1. 按一下 [驗證電子郵件]。
  2. 根據預設,系統會選取您的主網域。按一下主網域名稱,然後選取要使用 DKIM 的另一個網域。
  3. 按一下 [產生新記錄],之後您將看到下列選項:
    • 選取 DKIM 金鑰位元長度- 如果您的網域代管商支援 2048 位元金鑰,我們會建議使用這種更安全的金鑰。如果您先前使用的是 1024 位元的金鑰,改用 2048 位元並不會有任何影響。

      如果您的網域代管商不支援 2048 位元金鑰,請將金鑰長度變更為 1024。

    • 前置字元選取器 - 網域金鑰包含一組名為「前置字元選取器」的文字字串,您可以在產生金鑰時修改這個字串。Gmail 網域金鑰的預設前置字元選取器是「google」。只有當您的網域已經使用 DKIM 金鑰,且前置字元選取器為「google」時,才需要變更前置字元。
  4. 按一下 [產生]。

    使用「TXT 記錄值」之下的文字來更新網域代管商的 DNS 記錄。遠端郵件伺服器會從 DNS 記錄擷取這個公開金鑰,藉此驗證您的網域所傳送的郵件。

    重要事項:如果您最近才設定 Google Workspace 或 Gmail,可能會看到以下錯誤訊息:「我們目前無法處理您的要求,請稍後再試 (錯誤代碼 1000)。」

    在您開啟 Gmail 後,必須等待 24 至 72 小時才能產生 DKIM 金鑰。


將網域金鑰加入您網域的 DNS 記錄

請使用您於管理控制台產生的 DKIM 網域金鑰操作下列步驟。

重要事項:如果您擁有多個網域,請分別為每個網域完成下列步驟,且務必使用不重複的 DKIM 金鑰。

  1. 登入網域代管商的管理控制台。
  2. 找出更新 DNS 記錄的網頁。

    子網域:如果網域代管商不支援更新子網域的 DNS 記錄,請將記錄新增至上層網域。瞭解如何更新子網域的 DNS 記錄

  3. 新增 TXT 記錄:

    注意:如果您的網域供應商對 TXT 記錄的長度有所限制,請參閱網域金鑰和 TXT 記錄限制

    • 在第一個欄位內,輸入管理控制台中「DNS 主機名稱 (TXT 記錄名稱)」下方顯示的文字。
    • 在第二個欄位內,輸入管理控制台中「TXT 記錄值」下方顯示的文字字串。
  4. 儲存變更。

重要事項:您將 TXT 記錄加到網域的 DNS 記錄後,Google 管理控制台的 DKIM 頁面會持續顯示以下訊息:您必須更新此網域的 DNS 記錄。如果您已在網域的 DNS 記錄中正確加入 TXT 記錄,請忽略這則訊息。電子郵件驗證作業最多可能需要 48 小時才會開始。

網域金鑰和 TXT 記錄限制

DNS TXT 記錄的單一字串長度上限為 255 個字元。如有超過 255 個字元的 TXT 記錄,DNS 則會將多個文字字串連結成同一筆記錄。

2048 位元的網域金鑰超過 255 個字元的長度限制,因此必須透過鏈結文字字串建立 TXT 記錄。

如要瞭解網域代管商是否支援超過 255 個字元的 TXT 記錄,請與您的網域代管商聯絡

  • 支援:請找出使用網域金鑰更新 DNS 記錄所需的步驟,相關步驟會因網域代管服務而異。  
  • 不支援:請在 DKIM 中使用 1024 位元的網域金鑰,以避免超過 255 個字元的長度限制。