在 Google Workspace 上启用 DKIM 是 两步过程 但大多数人只完成第一个就停下来了。如果您也这样做了，请注意，在这种情况下，DKIM 和 DMARC 将正常工作，并且不会影响企业邮箱传送，不完成第二步将危及您企业邮箱的安全。 但是，DKIM 将无法使用您的自定义域对企业邮箱进行身份验证，从而导致多个级别的通信问题。。

本博客分享了避免中断 Google Workspace DKIM 设置的正确步骤。

设置 Google Workspace DKIM 的第一步

首先生成一对受加密保护的 DKIM 公钥和私钥。接下来，使用您的 DKIM 记录并配置域的 DNS 以在 google._domainkeys.example.com 下提供记录。不要忘记将 example.com 替换为您的 Google Workspace 域名。

大多数人关闭了 Google Workspace DKIM配置过程 这里。 这是一个糟糕的方法，因为仅此一步无法允许 Google 使用您的域作为签名域来签署企业邮箱。您需要完成另一个步骤才能执行此操作。

设置 Google Workspace DKIM 的第二步

使用在线工具生成 DKIM 记录，然后将其添加到您域的 DNS。等待 24 到 48 小时，以使更改在 Internet 上传播。之后，访问 Google Workspace，点击“按钮”启用 DKIM开始验证按钮。

DMARC 运行良好吗？

许多域名所有者或管理员不知道 Google 并不 签署企业邮箱 及其域，因为 DMARC 仍然可以正常工作。通常，DMARC 出现故障是 DKIM 和 SPF 设置出现问题的征兆，但 Google Workspace 的情况并非如此。

DMARC 在这种情况下继续发挥作用的两个原因是：

1. SPF 记录通常包括 _域名 spf.google.com允许企业邮箱通过 SPF 身份验证检查。
2. 默认情况下，Gmail 在“信封发件人”标头中使用发件人地址，确保“域 Envelope-From’ 和“From”对应。

由于这些因素，即使 DKIM 未对齐，SPF 对齐也能保持，并且由于 DMARC 仅需要一个 要通过的协议检查通过了。

以正确的方式解决问题

某些 Google 应用不使用您的域 ‘从您的域发送的企业邮箱的信封-发件人标头。相反，他们在“发件人”标头中使用您的域名，并在“发件人”标头中使用 Google 域名。信封发送地址。

在这种情况下，SPF 对齐会失败。从这些应用程序发送的企业邮箱无法通过 DMARC 检查，除非 DKIM 已配置 并在 Google Workspace 中启用。

想想 谷歌日历邀请 举个例子。尽管企业邮箱在“发件人”地址中显示您的域名，但“信封发件人”指向 日历服务器.bounces.google.com。

在这种情况下， SPF 对齐 总是会失败，因此 DMARC 仅依靠 DKIM 才能成功。 但如果不使用DKIM，也会失败，导致DMARC失败。还。如果您有严格的 DMARC 政策（例如 p=reject），这些确认企业邮箱将被拒绝。

在现有域上启用 DKIM 身份验证时会发生什么？

如果您在执行时非常小心谨慎 上面提到的两个步骤不会有问题的。但为了更加安全，请将您的 DMARC 政策从“拒绝”更改为“隔离”。我们建议这样做，以便您的企业邮箱在出现误报时不会被退回。