概要
本文將為使用 Email DLP 的管理員說明 DKIM(寄件網域驗證)的描述及常見問題。
注意事項
- 本文內容係根據 2026 年 6 月時的產品規格所撰寫,日後可能會在未經預告的情況下變更。
什麼是 DKIM?為什麼需要註冊?
DKIM 是一種寄件網域驗證方式,用於偵測郵件是否遭到竄改。
將 DKIM 記錄註冊於 DNS,並於寄件郵件伺服器啟用 DKIM 簽章後,寄送郵件時,會於郵件標頭加上 DKIM 驗證所需的電子簽章。
收件郵件伺服器會驗證此電子簽章,以確認郵件未遭竄改。
在 DKIM 驗證中,收件郵件伺服器會查詢寄件者郵件地址網域所管理的 DNS,以確認 DKIM 簽章是否合法、是否有冒用的可能。
此時會利用 DKIM 簽章與公開於 DNS 的 DKIM 記錄,確認郵件未遭竄改。
透過 DKIM,可防止郵件遭冒用,提升郵件安全性。
近年來,Google 等大型郵件服務業者,基於安全考量,強烈建議通過 DKIM 驗證。
若未通過 DKIM 驗證,郵件可能會被收件郵件伺服器拒收或判定為垃圾郵件,導致無法正確送達。
DKIM 相關常見問題
什麼是 DKIM 選擇器?
DKIM 選擇器是在進行 DKIM 驗證時,用來指示驗證所需公開金鑰存放位置的資訊,讓欲進行驗證的郵件伺服器能正確取得金鑰。DKIM 選擇器會與 DKIM 記錄搭配使用。
若已於 Google Workspace / Microsoft 365 啟用 DKIM 設定,是否仍需於 Email DLP 進行設定?
是,仍需設定。
建議於所有寄件郵件伺服器皆進行 DKIM 簽章。
一般來說,各寄件郵件伺服器會將收到郵件時的 SPF、DKIM、DMARC 結果記錄於 ARC(Authenticated Received Chain)郵件標頭。
部分收件郵件伺服器會參考此 ARC 標頭的歷史紀錄,作為允許或拒收郵件的判斷依據。
因此,於各寄件郵件伺服器設定 DKIM,並讓 DKIM 驗證成功的紀錄寫入 ARC 標頭,可提升郵件正常接收的機率。
※關於 Email DLP,請參閱下方文章,Email DLP 已支援 ARC。
發佈資訊:[Email DLP] 2023 年 8 月(支援 ARC)
另外,若未於 Email DLP 設定 DKIM 簽章,且 Google Workspace / Microsoft 365 已加上 DKIM 簽章的附檔郵件經由 Email DLP 進行自動 ZIP 加密或 Secure Download 產生 URL,則收件郵件伺服器於 DKIM 驗證時,可能會判定郵件已遭竄改。
設定 DKIM 記錄後,是否會影響所有郵件寄送?
DKIM 設定通常不會導致現有郵件寄送突然中斷或無法送達等不良影響。
DKIM 設定的影響範圍僅限於已導入 DKIM 驗證的收件環境。一般垃圾郵件檢查會綜合考量 SPF、內容、信譽等多項指標,因此,僅憑 DKIM 設定並不會決定所有評價,請特別留意。
DKIM 設定是否為必要作業?
雖然 DKIM 驗證並非嚴格的網際網路規範,但 Google、Yahoo! 等郵件服務的寄件者指引已宣布 SPF 與 DKIM 簽章為必須,因此在實務上視為必要作業。此外,導入 Email DLP 時也請務必進行設定。
是否可同時於 Microsoft 365 / Google Workspace 與 Email DLP 設定 DKIM 記錄?
可以。
透過區分 DKIM 選擇器,可於 TXT 記錄中設定多組公開金鑰。
若使用多個網域,是否需於所有網域註冊 DKIM 公開金鑰?
若需於多個網域(包含子網域,例如:sub.example.com)啟用 DKIM 記錄,則需於各對象網域的 DNS 新增此 TXT 記錄。
亦可於主網域註冊 TXT 記錄後,透過 CNAME 記錄進行參照。
詳細資訊請參閱下方文章。
[Email DLP] 若使用多個網域,是否需於所有網域註冊 DKIM 公開金鑰?