DKIM

DKIM 为何重要

垃圾邮件发送者和钓鱼者最爱冒充合法域名。 他们会发送看起来像来自您的银行、老板或可信服务的邮件。 DKIM 能阻止这种行为。

DKIM 弥补了 SPF 无法填补的空白：SPF 只验证邮件是否来自授权的 IP 地址，但不能判断邮件正文或邮件头是否被篡改。 有人可能在邮件传输途中拦截并修改其内容。 DKIM 能识别这种情况。

像 Spark 这样的邮件客户端在接收邮件时会自动检查 DKIM 签名。 Spark 会从邮件服务商一侧同步这些设置——如果服务商因缺少 DKIM 而将邮件标记并移至垃圾邮件，Spark 也会在垃圾邮件文件夹中显示该邮件。 通过 DKIM 验证，您的邮件就会显得合法可信。 未通过验证，垃圾邮件过滤器会很快产生怀疑。

在大多数情况下，DKIM 签名对最终用户不可见；验证是在邮件服务器层面完成的。 您从未看到它在运作，但它会在您发送和接收的每一封邮件上运行。 

DKIM 如何运作

DKIM 使用公钥加密技术。 您需要生成两把密钥：一把保存在邮件服务器上的私钥，以及一把发布在 DNS 记录中的公钥。

当您发送邮件时，服务器会用私钥对其签名。 接收服务器可以通过在 DNS 中查找发送者的公钥来验证签名。 如果签名匹配，则邮件合法。 如果不匹配或缺少签名，警报就会响起。 

签名会覆盖邮件的特定部分：包括发件人、收件人、主题等邮件头，以及邮件正文。 哪怕被签名内容中只更改了一个字符，签名也会失效。 这就是篡改检测的作用。 

DKIM 选择器允许您为同一个域名使用多把密钥。 选择器是由该域名所用的电子邮件服务提供商签发的专用值。 格式如下：selector._domainkey.yourdomain.com。 不同的发送服务可以使用不同的选择器，您也可以轮换密钥而不会影响整体运作。 

配置 DKIM

您的电子邮件服务提供商通常会处理大部分工作。 Gmail、Outlook、Mailchimp 等主流服务商要么自动启用 DKIM，要么会在其管理后台中引导您完成设置。

对于 Gmail（Google Workspace）：您必须在启用 Gmail 后等待 24 到 72 小时，才能在管理控制台中获取 DKIM 密钥。 进入「应用 > Google Workspace > Gmail > 验证邮件」，生成 DKIM 密钥，然后将 TXT 记录添加到您的 DNS 中。 

对于自定义邮件服务器：生成 2048 位 RSA 密钥对，将公钥发布为 selector._domainkey.yourdomain.com 处的 TXT 记录，并配置邮件服务器使用私钥对外发邮件签名。

新的 DNS 记录需要时间生效，最长可能需要 48 小时。 通常几个小时即可完成。 使用 DKIM 检测工具来验证它是否正常工作。 

常见的 DKIM 问题

DKIM 能保证我的邮件不会进入垃圾邮件吗？ 

不能。 添加 DKIM 签名并不能保证邮件送达，但能显著提升取得理想结果的几率。 DKIM 证明的是真实性，但垃圾邮件过滤器还会检查内容、发件人声誉、互动情况等多种因素。 

如果我的 DKIM 签名验证失败会怎样？ 

签名验证失败并不会强制拒收邮件。 大多数接收服务器会添加一个身份验证邮件头来记录失败信息，并将其纳入垃圾邮件评分。 反复失败会损害您的发件人声誉。 

如果我已经有 SPF，还需要 DKIM 吗？ 

需要。 SPF 和 DKIM 保护的对象不同。 SPF 验证发送服务器的 IP 地址。 DKIM 验证邮件完整性和域名所有权。 两者都要使用。 再加上 DMARC，就能形成完整的保护。

我应该多久轮换一次 DKIM 密钥？ 

DKIM 密钥不会过期，但您应当定期轮换；我们建议每 12 个月轮换一次。 生成一把带有新选择器的新密钥，添加到 DNS 中，将邮件服务器切换到使用新密钥，然后在几天后移除旧密钥。 

我可以为多个域名使用同一把 DKIM 密钥吗？ 

技术上可以，但不建议这样做。 每个域名都应该拥有自己的 DKIM 密钥对。 跨域名共享密钥会削弱安全性，并使密钥轮换变得更加复杂。

什么样的 DKIM 选择器名称比较好？ 任何简短且具有描述性的名称都可以。 常见的选择有：default、mail、s1、google，如果您运行多个发送源，也可以使用类似 marketing2025 的名称。 您的电子邮件服务商可能会自动分配一个。

相关内容

• 如何撰写专业电子邮件
• 在专业电子邮件中绝不应使用的措辞
• 如何创建专业电子邮件地址
• 提升邮件礼仪的 12 条实用规则

相关术语

• 电子邮件身份验证
• 垃圾邮件过滤器
• 钓鱼邮件
• 电子邮件黑名单