對象
- Email DLP 中使用 DKIM 功能的管理者
目的
- 說明如何在 Email DLP 中設定 DKIM 功能的步驟。
注意事項
- 本文章內容以 2025 年 12 月時產品內容為基礎,日後可能會在未經預告的情況下變更。
- 如需存取 Email DLP 管理介面的方法,請參考以下文章。
[Email DLP] 登入管理介面的方法
概要
什麼是 DKIM?為什麼要註冊?
DKIM 是一種寄件網域驗證方式,用於偵測郵件是否遭到竄改。
將 DKIM 記錄註冊到 DNS 並在寄件郵件伺服器啟用 DKIM 簽章後,寄送郵件時,郵件標頭會加上 DKIM 驗證所需的電子簽章。
收件郵件伺服器會驗證這個電子簽章,以確認郵件未被竄改。
在 DKIM 驗證中,收件郵件伺服器會查詢寄件者地址網域所管理的 DNS,以確認 DKIM 簽章是否正確、是否有冒用的可能。
此時會利用 DKIM 簽章與 DNS 上公開的 DKIM 記錄,確認郵件未被竄改。
透過 DKIM,可以防止郵件冒用,提升郵件安全性。
近年來,Google 等大型郵件服務業者基於安全考量,強烈建議通過 DKIM 驗證。
若 DKIM 驗證未通過,郵件可能會被收件伺服器拒收或被判定為垃圾郵件,導致無法正確送達。
什麼是 DKIM 選擇器?
DKIM 選擇器是在進行 DKIM 驗證時,指示郵件伺服器認證所需公開金鑰存放位置的資訊。
會與 DKIM 記錄綁定使用。
已在 Google Workspace / Microsoft 365 啟用 DKIM 設定,是否還需要在 Email DLP 設定?
您的理解正確。
建議所有寄件郵件伺服器都要進行 DKIM 簽章。
一般來說,各寄件郵件伺服器會在收到郵件時,將 SPF、DKIM、DMARC 的結果記錄在 ARC(Authenticated Received Chain)標頭中。
部分收件郵件伺服器會檢查這個 ARC 標頭的歷史紀錄,並用於判斷是否允許或拒收郵件。
因此,於各寄件郵件伺服器設定 DKIM,並讓 DKIM 驗證成功的紀錄寫入 ARC 標頭,可提升郵件被正常接收的機率。
※ Email DLP 已如以下文章所述支援 ARC。
發佈資訊:[Email DLP] 2023年8月(支援 ARC)
另外,若未在 Email DLP 設定 DKIM 簽章,當 Google Workspace / Microsoft 365 已加上 DKIM 簽章的附檔郵件經由 Email DLP 自動 ZIP 加密或以 Secure Download 轉為 URL 時,收件郵件伺服器在 DKIM 驗證時可能會判定郵件已被竄改。
設定 DKIM 記錄後,是否會影響所有郵件寄送?
DKIM 設定通常不會導致現有郵件寄送突然中斷或無法送達等不良影響。
DKIM 設定的影響範圍僅限於已導入 DKIM 驗證的收件環境。一般的垃圾郵件檢查會綜合考量 SPF、內容、信譽等多項指標,因此請注意,評價不會僅因 DKIM 設定而決定。
DKIM 設定是否為必要作業?
雖然 DKIM 驗證並非嚴格的網際網路規範強制要求,但 Google、Yahoo! 等郵件服務的寄件者指引已宣布 SPF 及 DKIM 簽章為必備,因此實務上視為必要作業。此外,導入 Email DLP 時也請務必完成相關設定。
是否可以同時在 Microsoft 365 / Google Workspace 與 Email DLP 設定 DKIM 記錄?
可以。
透過分別設定 DKIM 選擇器,可在 TXT 記錄中設定多組公開金鑰。
若使用多個網域,是否需將 DKIM 公開金鑰註冊於所有網域?
若要在多個網域(包含子網域,如 sub.example.com)啟用 DKIM 記錄,需於各對象網域的 DNS 新增此 TXT 記錄。
也可將主網域註冊的 TXT 記錄以 CNAME 記錄方式參照。
詳細請參考下方文章。
[Email DLP] 若使用多個網域,是否需將 DKIM 公開金鑰註冊於所有網域?
步驟
啟用 DKIM
1. 於 Email DLP 管理介面選擇 [用戶群一般設定] - [DKIM 設定],點選 [+ 建立新選擇器] 按鈕。
2. 顯示 [建立 DKIM 選擇器] 視窗後,請輸入以下資訊。
- 選擇器名稱:請輸入符合下列條件的任意值。
※ 可用字元:a-z、0-9 的英數字、點(.)、連字號(-)
※ 最多 63 個字元
※ 其他條件:必須以小寫字母開頭。 - 密鑰長度:請從 [1024 位元] 或 [2048 位元] 選擇。
※ 為提升安全性,建議使用 2048 位元密鑰長度。
※ 若因 DNS 字串長度限制無法設定 2048 位元密鑰,請使用 1024 位元密鑰。
3. 選取已建立的選擇器後,將顯示的值加入 DNS 的 TXT 記錄。
將游標移至 TXT 記錄名稱或值即可複製。
※ 預設 TXT 記錄值會顯示 [t=y;](測試模式)標籤,若為正式使用,請刪除 [t=y;]。
※ 若要在多個網域(包含子網域,如 sub.example.com)啟用 DKIM 記錄,需於各對象網域的 DNS 新增此 TXT 記錄。
※ DNS 伺服器上新增 TXT 記錄的方法依各伺服器而異,請洽詢 DNS 伺服器業者。
4. 開啟命令提示字元(Windows)或終端機(Mac OS),執行指令,確認設定的 TXT 記錄值是否正確顯示。
nslookup -type=TXT <選擇器名稱>._domainkey.<加入新網域> 8.8.8.8
C:\Windows\system32>nslookup -type=TXT <選擇器名稱>._domainkey.<加入新網域> 8.8.8.8
伺服器: dns.google
Address: 8.8.8.8
非權威性解答:
<選擇器名稱>._domainkey.<加入新網域>. text =
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
dig +short @8.8.8.8 <選擇器名稱>._domainkey.<加入新網域> txt
dig +short @8.8.8.8 <選擇器名稱>._domainkey.<加入新網域> txt
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
5. 將 TXT 記錄註冊到 DNS 後,選擇 [啟用]。
6. 在 [網域名稱] 輸入要註冊 DKIM 的網域,點選 [啟用] 按鈕。
若要註冊多個網域,請選擇 [+ 加入新網域] 以新增欄位。
※ 關於將網域加入現有選擇器的方法,請參考下方文章。
將網域加入現有 DKIM
確認 DKIM 啟用狀態
請於所有已啟用 DKIM 的網域執行下列步驟。
-
於 Email DLP 管理介面進入[用戶群一般設定]-[DMARC 涵蓋範圍介面]。
-
點選已啟用 DKIM 的網域以開啟詳細資訊。
-
確認「DKIM」狀態為「已啟用」。
DKIM 驗證
若已在運用 Email DLP,並新註冊 DKIM,請依下列任一文章進行解除測試模式及動作測試。
※ 若為新導入 Email DLP,請於全部設定完成後再進行解除測試模式及動作測試。
解除測試模式
請確認 DNS 伺服器上的 TXT 記錄,並從 DKIM 值中刪除 “t=y”。
※Email DLP 無需進行任何操作(Email DLP 顯示的 TXT 記錄僅為範例)。
刪除記錄後,請再次於 確認 DKIM 啟用狀態 檢查狀況。
動作測試
- [Email DLP] 動作測試(Microsoft 365) - [Email DLP DKIM 設定確認]
- [Email DLP] 動作測試(Google Workspace) - [Email DLP DKIM 設定確認]