Zoho mail Logo

DKIM - 域名密钥识别邮件

DKIM 是一种身份验证方法,它使用带有公钥/私钥的电子邮件加密,以验证电子邮件是否由授权服务器生成,并由发送域的管理员确认和配置。此身份验证方法可实现安全的电子邮件通信并防止垃圾邮件。

目录

为何配置 DKIM?

垃圾邮件发送者常会发出声称来自真实电子邮件发件人的电子邮件。发送这些电子邮件的主要目的是:让收件人查看电子邮件,或者有时假借合法发件人之名向收件人收集敏感信息(密码、电子邮件地址等)。垃圾邮件发送者常用的两种方法包括电子邮件仿冒和反向散射。 

电子邮件仿冒:

电子邮件仿冒是垃圾邮件发送者使用的一种欺骗方法,使电子邮件看似从不属于他们的合法域/电子邮件地址发来的。这是通过伪造电子邮件标题来完成的,发送者会使仿冒的电子邮件看起来合法,博取收件人信任并打开电子邮件。

垃圾邮件发送者采用这种方法来欺骗更多人查看电子邮件,因为发件人似乎是真实的。可有时,如果他们试图从用户那里获取敏感信息,可能会造成严重后果。通过配置 SPF 和 DKIM,可以检测并避免仿冒电子邮件。如果配置了 DKIM,则验证与每个消息关联的域名标识。 

如果此 DKIM 验证失败,则根据关于 DKIM 验证失败情况的设定条件隔离或拒绝此类电子邮件。

电子邮件反向散射:

垃圾邮件发送者仿冒某个域名,并使用被篡改的电子邮件地址发送电子邮件。如果收件人域拒收该电子邮件,它将向被仿冒的域发送退回邮件。 

设想垃圾邮件发送者仿冒您的电子邮件地址并向另一个域发送垃圾邮件。当这些垃圾邮件被发送到无效的电子邮件地址时,收件人域会向仿冒的域发送退回邮件。这封退回邮件并非发送给垃圾邮件发送者,而是被发送到仿冒用户声称用于发送电子邮件的仿冒域名。仿冒的域名也将被收件人域阻止。如果配置了 DKIM,则可以验证您的域的真实性,并避免域名被阻止。如果您处于这些垃圾邮件的接收端,DKIM 可以帮助检测电子邮件的真实性,而不真实的电子邮件不会递送到您的邮箱。

通过为您的域配置 SPF 和 DKIM,可以在一定程度上预防垃圾邮件发送者常用的两种方法:电子邮件仿冒和反向散射。

DKIM 的工作原理

在 DKIM 流程中,公钥将作为域名 DNS 管理器(域名注册商或 DNS 提供商)的 TXT 记录发布。每封传出电子邮件都包含使用特定域的私钥生成的唯一签名。接收端电子邮件服务器使用此私钥-公钥组合来验证电子邮件来源。如果验证失败,收件人服务器可能会根据服务器行为拒绝该电子邮件或将其归类为垃圾邮件/伪造电子邮件。

为您的域启用和使用 DKIM,可以确保使用 Zoho 服务发送的有效电子邮件在收件人端不被归类为垃圾邮件。

DKIM 选择器

选择器用于标识域的公共 DKIM 密钥详细信息。它是 DKIM 签名的一个属性,包含在电子邮件的 DKIM 标头中。如果您需要为不同的用户组提供特殊签名人控制,则可以为单个域使用多个选择器。

添加并验证选择器后,您需要将其设置为默认选择器,然后为域启用它。启用后,所有基于该域的传出电子邮件都将由默认选择器签名,除非用户已与“用户”部分中的其他选择器关联。

为域添加 DKIM 签名的步骤:

在域的 DNS 管理器中创建所需的文本记录后,您可以从 Zoho Mail 的控制面板为域启用 DKIM。DKIM 配置有三个主要步骤:

  1. 使用 Zoho Mail 中的默认选择器生成唯一的公共 DKIM 密钥值。
  2. 在域的 DNS 管理器(域注册商/DNS 提供商)中创建 TXT 记录。
  3. 验证选择器并在 Zoho Mail 中启用 DKIM。

I. 在 Zoho Mail 中生成唯一的域密钥:

  1. 以管理员或超级管理员身份从 https://mailadmin.zoho.com.cn 登录控制面板。
  2. 从左侧菜单中转到,然后选择要为其配置 DKIM 的域。 
  3. 电子邮件配置选项卡中,选择 DKIM
  4. 单击添加为域添加新的选择器。  
  5. 对于与 Zoho Mail 一起使用的域名,提供选择器名称。例如:zoho
  6. 单击添加。此时随之添加选择器,将生成 TXT 记录并在添加的选择器中显示。
  7. 您可以在 TXT 值字段中复制文本。 
  8. 在单击“验证”之前,您需要在 DNS 管理器中创建具有此值的 TXT 记录。

II. 在 DNS 管理器中创建 TXT 记录。

  1. 登录到域的 DNS 管理器。
  2. 在 DNS 中创建 title<selector>._domainkey.<yourdomainname.com>
    的 TXT 记录。例如:如果您选择的选择器是 zoho 且域名是 zylker.org,那么 zoho._domainkey.zylker.org 应该是 TXT 记录的名称。用不带括号的自定义值替换文本。 
    如果您的 DNS 使用 GoDaddy/WIX /Squarespace/ Namecheap 等托管,请提供 TXT 记录名称作为 zoho._domainkey(这些提供商会自动附加域名)
  3. 在 TXT 记录值中,粘贴从 Zoho 内的文本字段“TXT 记录值”中复制的全部内容。
  4. 将 TXT 记录保存在 DNS 管理器中。
  5. 您可以使用此 DKIM 检查器检查 DKIM 的有效性。

注意:

创建 TXT 记录的过程取决于您使用的 DNS 提供商/管理器。

一些 DNS 提供商(如 GoDaddy、Wix、Squarespace、Namecheap 等)会自动附加域名。在这种情况下,您可以提供 <selector>._domainkey 作为 TXT 记录名称。 

某些 DNS 提供商希望创建子域名而不是 TXT 记录。 

在 GoDaddy 域名管理器中添加 TXT 记录的步骤:

  1. 登录您的 DNS 管理器。选择我的帐户菜单,然后选择
  2. 展开域,然后单击要验证的域的管理 DNS 按钮。
  3. 此时将打开“DNS 管理器”页面,其中包含关于现有 DNS 记录的信息。 
  4. 向下滚动至记录部分,然后单击添加按钮以添加 DNS 记录。
  5. 记录类型下拉菜单中选择 TXT
  6. 主机字段中,输入 <selector>._domainkey
  7. TXT 值字段中,输入 Zoho Mail 控制面板中生成的 TXT 记录值。
    在 GoDaddy 域名管理器中添加 TXT 记录
  8. 单击完成

III. 为域启用 DKIM

  1. 如果在第三方网站上成功验证 DKIM,请登录 Zoho Mail 控制面板。
  2. 在特定选择器中单击验证。文本记录将被修改为已验证状态。
  3. 验证后,您将看到立即或稍后启用 DKIM 的提示。您可以立即启用 DKIM 以开始为来自您的域的电子邮件签署 DKIM 签名。  
  4. 启用后,DKIM 签名将被添加到从该域生成的所有电子邮件中。 

多个 DKIM 选择器:

您可以为单个域使用多个选择器,从而为不同位置的多个办公室提供单独的 DKIM 签名,或者为一组帐户提供单独的 DKIM 签名。 

例如:

  • ukoffice._domainkey.zylker.com
  • usoffice._domainkey.zylker.com
  • hrteam._domainkey.zylker.com
  • marketing._domainkey.zylker.com

您可以为不同用户组或不同办公室位置的特定 DKIM 密钥添加更多选择器。

基于用户的域选择器:

当您有多个选择器时,可以根据自己的要求将不同的用户组与选择器关联起来。默认选择器将自动应用于所有用户,因此不会在下拉列表中列出。

添加额外的选择器后,您可以从“用户列表”部分为一组特定的用户关联。 

关于 SPF/DKIM 问题的故障排除

更长的 TTL

TTL(生存时间)是 DNS 中为每次 DNS 更改指定的生效时间。如果您的 TTL 值很大(24 小时/48 小时),那么 TXT/SPF 记录可能需要一段时间才能传播完毕。根据 TTL 设置,DNS 更改可能需要长达 12-24 小时才能生效。

不正确的值

添加 SPF 记录的方式通常因不同的 DNS 提供商而异。  因此,建议查阅注册商的帮助页面或说明手册,或者咨询 DNS 提供商的支持团队,以添加相应的 SPF/DKIM 记录。

错别字/拼写错误

检查是否从 Zoho 设置页面复制并粘贴了正确的信息。对于 DKIM,您需要复制显示的整个密钥并将其作为 TXT 记录的值提供。TXT 记录名称应遵循建议的命名约定

注意:

传输中间电子邮件的电子邮件服务器对电子邮件内容的任何更改都可能改变签名,并使 DKIM 在收件人端验证期间无效。
目前,只有在 Zoho 中生成并直接递送到外部服务器的电子邮件才支持 DKIM。对于配置了电子邮件路由和出站网关的域,如果电子邮件并非直接递送,或者电子邮件是从其他服务器生成的,则不支持 DKIM。

Still can't find what you're looking for?

Write to us: support@zohomail.com