您的 DKIM
配置正确吗?
几秒内检查 DKIM 密钥和签名。验证选择器、密钥长度和 TXT 记录,防止仿冒和投递问题。
输入域名和(可选)选择器以验证您的 DKIM 配置。
几秒内检查 DKIM 密钥和签名。验证选择器、密钥长度和 TXT 记录,防止仿冒和投递问题。
输入域名和(可选)选择器以验证您的 DKIM 配置。
DMARCFlow 的 DKIM 检查工具测试和验证您域名的 DKIM 配置,确保其设置正确。确认邮件已用私钥签名且签名保持完整,保证真实性和消息完整性。
验证公钥是否正确发布在选择器下,在影响投递或安全之前发现问题。
例如:mailo 是选择器,dmarcflow.online 是域名。v=DKIM1 是记录类型,k=rsa 是密钥算法,p=... 包含公钥。
DKIM 为发送邮件添加数字签名。服务器用私钥签名,收件方从 DNS 获取公钥来验证签名。签名匹配则表明真实性,不匹配则标记风险。结果是声誉提升和收件箱投放率改善。
保持认证严格、送达率高的快速检查清单
推荐 2048 位密钥,安全性更强,在主要收件箱中接受度更好。
为每个邮件流(营销、事务性)使用不同选择器,以便安全轮换。
除非服务商需要托管别名,否则直接发布 TXT 记录。
引入新选择器,更新签名者,切换后停用旧密钥。
每种 DKIM 验证状态的含义及应对方法。
DKIM 签名有效。DNS 中的公钥与签名邮件的私钥匹配,邮件内容在传输过程中未被修改。DKIM 配置运行正常。
签名未通过验证。签名后消息被修改、使用了错误的私钥,或 DNS 公钥不匹配。检查邮件正文或头部是否被修改。邮件列表是常见原因。
指定选择器和域名下不存在 DKIM TXT 记录。选择器可能有误、记录未发布或已被删除。请向邮件服务商确认选择器名称,并重新发布记录。
公钥不足 1024 位。现代标准要求至少 2048 位的 RSA 密钥。短密钥被视为脆弱,部分服务商会拒绝用其签名的消息。请立即轮换到 2048 位密钥。
签名存在,但正文哈希不匹配。邮件内容在签名后被修改。这通常发生在中继或邮件列表添加页脚或修改头部时。请确保邮件列表能干净地使 DKIM 签名失效,而不是悄悄破坏它。
DKIM 记录的 DNS 查找超时。这是临时错误,但如果重复发生则表明 DNS 基础设施存在问题。检查您的 DNS 服务商状态,确认记录是否以足够短的 TTL 发布。
DMARC 报告中 DKIM 失败最常见的原因及解决方案。
所有 DKIM 签名都引用选择器。如果不知道选择器,请查看已发送邮件的 DKIM-Signature 头部。s= 标签包含选择器名称。
修复: 使用邮件服务器或服务商文档中的选择器。常见选择器:google、s1、s2、default、mail。
仅 DKIM 通过不足以通过 DMARC。DKIM 的 d= 标签中的域名必须与 From: 头部的域名对齐。如果 ESP 用自己的域名而非您的域名签名,对齐将失败。
修复: 配置 ESP 使用您的域名签名。大多数主要平台(Mailchimp、HubSpot、SendGrid)支持自定义 DKIM 签名。
转发的消息通常正文会被修改(添加页脚、更改编码),破坏 DKIM 正文哈希,导致失败。这是预期行为,不是您的问题。
修复: 使用宽松正则化(c=relaxed/relaxed),允许轻微的空白更改。在转发场景中,如果 SPF 对齐得以维持,DMARC 将会通过。
轮换 DKIM 密钥时,旧选择器在邮件服务器切换到新密钥之前就从 DNS 中删除了,或者新的 DNS 记录尚未生效。
修复: 始终先发布新选择器,等待 DNS 生效(最多 48 小时),然后再切换邮件服务器使用新密钥签名。之后才停用旧选择器。
关于 DKIM 和 DMARCFlow 的常见问题
有问题?我们来解答!selector._domainkey.example.com。