查詢域名的 DKIM(域名金鑰標識郵件)簽名記錄
• 域名:輸入不含 https:// 的裸域名(如 example.com)
• Selector:DKIM 選擇器,常見值有 default、google、mail 等
• DKIM 記錄包含公鑰,用於驗證郵件簽名
DKIM(DomainKeys Identified Mail,域名金鑰標識郵件)記錄查詢通過 DNS TXT 記錄獲取指定域名和選擇器(selector)對應的 DKIM 公鑰,驗證記錄語法是否正確,並展示金鑰演算法型別和長度。郵件發件伺服器使用對應私鑰對郵件頭進行簽名,收件方通過 DNS 查詢公鑰來驗證簽名完整性。
它常用於:配置郵件服務商後驗證 DKIM 公鑰已正確釋出到 DNS、排查郵件簽名驗證失敗時檢視當前公鑰狀態、確認 DKIM 金鑰輪換後新選擇器記錄已生效、結合 SPF 和 DMARC 全面檢查郵件域名安全配置。
是的。DKIM DNS 記錄的格式為 selector._domainkey.domain,selector 由郵件服務提供商指定,如 Google Workspace 預設為 google,SendGrid 使用自定義 selector。可在郵件服務商後臺或發出的郵件頭 DKIM-Signature 中找到。
推薦使用 2048 位及以上的 RSA 金鑰,1024 位已被認為安全性不足。現代郵件服務提供商預設生成 2048 位金鑰。支援 Ed25519 的服務商也在逐步普及。
生成新金鑰對,以新 selector 名釋出公鑰到 DNS,待 DNS 生效後將發件伺服器切換到新私鑰,確認簽名正常後再刪除舊 selector 的 DNS 記錄。輪換期間新舊記錄可共存。
DKIM 只驗證郵件內容的完整性和簽名來源,不直接決定投遞路徑。收件方還會綜合考慮發件 IP 信譽、SPF 驗證結果、DMARC 策略和郵件內容評分。DKIM 是重要加分項,但不是唯一因素。