隨著垃圾信件越來越多,於是增加了很多驗證協定來驗證電子郵件包含了SPF /DKIM /DMARC等透過可以公開的DNS服務來宣告,以利對方確認電子郵件的來源

使用 DKIM 標準在外寄郵件的標頭中加入數位簽名有助於防止詐騙。詳細分析而言,也就是首先使用不公開的網域金鑰對您網域的外寄郵件標頭進行加密,然後將該金鑰的公開版本加到網域的 DNS 紀錄中。收件者伺服器可擷取公開金鑰,並使用該金鑰為來信標頭解密,藉此確認該郵件的寄件者地址確實屬於您網域中的地址,而且未在寄件途中遭到竄改。

尤其是釣魚詐騙信件等,這不僅僅是保護自己網域避免被偽冒,也保護了對方在收信時,有足夠的資訊來確認是否是貴公司的網域,主機的正確來信。

這些在目前的一般DNS免費服務而言,並不一定有提供相關應用與服務。也要對方是否有建構與驗證這些資訊。但至少自己已經建構正確的相關宣告。

託管網域DNS解析範例說明:

如果有注意到,隨著NS名稱伺服器服務越來越重要,且越來越複雜。所以NS需要支援 IP V4 / V6 外,也要開始增加更多宣告項目。

圖左:是中華電信的服務項目,在原本的免費解析服務外,也增加了 pro 進階版付費託管服務。所以在DNS宣告部分,你需要跟你的NS名稱伺服器確認是否可以有這些功能。

下方為 MX mail 系統V5 NS服務說明設定方式

MXmail V5 DNS服務。可以設定的宣告

請為與您 G Suite 帳戶相關聯的每個網域重複下列步驟

  1. 產生您網域的公開網域金鑰
  2. 將該金鑰加入您網域的 DNS 紀錄,以便收件者擷取該金鑰並用於讀取 DKIM 標頭。
  3. 開啟電子郵件簽署功能,這樣才能開始將 DKIM 標頭附加到外寄郵件中。

如果您是在申請 G Suite 帳戶時向我們的網域代管商合作夥伴購買網域,請略過步驟 1 和 2。Google 在您開啟驗證功能後,即會自動產生網域金鑰,並加入必要的 DNS 紀錄。

如果您已經擁有網域的 DKIM 網域金鑰 (例如,您舊有的郵件伺服器在外寄郵件中加上簽名),您仍需產生另一個專供 G Suite 使用的金鑰。G Suite 網域金鑰中含有一個專用的「選取器前置字串」,這是其他金鑰中所沒有的字串。G Suite 網域金鑰的預設選取器前置字串是「google」,您也可以在產生金鑰時自行輸入新的選取器前置字串。

如果您已經擁有網域的 DKIM 網域金鑰 (例如,您舊有的郵件伺服器在外寄郵件中加上簽名),您仍需產生另一個專供 G Suite 使用的金鑰。G Suite 網域金鑰中含有一個專用的「選取器前置字串」,這是其他金鑰中所沒有的字串。G Suite 網域金鑰的預設選取器前置字串是「google」,您也可以在產生金鑰時自行輸入新的選取器前置字串。

如果郵件未通過 SPF 紀錄檢查,這類郵件的處理方式將由您的電子郵件服務決定。您可以為 G Suite 網域建立「以網域為基礎的訊息認證、報告與一致性」(DMARC) 紀錄,透過 DMARC 指定不採取任何動作、隔離或拒絕郵件的政策,藉此控制電子郵件服務處理未通過檢查郵件的方式。進一步瞭解 DMARC

如果您使用的外寄郵件閘道會自動修改外寄郵件內容 (例如加入法規遵循註腳),這些變更會導致 DKIM 簽名失效。因此,您必須禁止閘道伺服器修改郵件,或者讓閘道伺服器事後利用 DKIM 簽署郵件。

瑞鑫資訊電子報系統如何設定相關宣告

再電子報系統設定項目中,開啟 DKIM內容
將此內容增加到 NS 名稱伺服器主機的 TXT 宣告即可

DKIM電子郵件驗證宣告

加入到各種DNS紀錄圖示

dns txt email
dns txt email
dns txt email

如何確認您已經正確宣告

寄送一封測試信件到:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

DKIM check 檢查驗證

Go to top