DKIM 实施指南：常见陷阱及避免方法

域密钥识别邮件 (DKIM) 是一项重要的电子邮件验证协议，可验证邮件的完整性和发件人的合法性。DKIM 对于 BIMI（信息识别品牌指标）至关重要，因为只有经过正确验证的电子邮件才能在收件箱中显示您的品牌徽标。但是，DKIM 设置容易出现几个常见的错误，从而破坏安全性和可送达性。

• DNS 中缺少或不正确的公钥：如果 DNS 中未发布 DKIM 公钥或公钥格式不正确，身份验证就会失败。请务必使用 DKIM 记录生成器，并验证 DNS 条目是否存在语法错误。
• 密钥长度不足或过时：使用短于 1024 位（如 512 位）的密钥会使您的 DKIM 容易受到攻击。至少使用 1024 位密钥，建议使用 2048 位密钥，并每 6-12 个月轮换一次。
• 对齐问题：DKIM 签名（d= 值）中的域名必须与 "发件人 "地址中的域名一致。对齐错误会导致验证失败，并破坏 DMARC 合规性。
• 选择器不匹配：DNS 记录中的选择器必须与电子邮件标题中的选择器相匹配。即使是单字符不匹配也会导致失败。
• 格式不正确：DNS 中的 DKIM 记录必须是一个完整的字符串。换行、未缩写的分号或缺少字段（如 v=DKIM1 或 k=rsa）都会导致记录无效。
• 忘记启用 DKIM 签名：仅发布 DNS 记录是不够的--确保邮件服务器或电子邮件提供商已启用 DKIM 签名。
• 忽略子域和第三方供应商：如果您从子域发送邮件或使用第三方服务，则每个子域都必须正确配置 DKIM，以避免身份验证出现漏洞。
• 未进行监控或测试：定期测试 DKIM 设置并监控 DMARC 报告，以便及早发现问题。在进行任何更改后，发送测试邮件并验证 DKIM 是否通过。

• 使用强力、定期旋转的密钥：1024-2048 位。
• 仔细检查 DNS 格式和选择器对齐情况：确保正确的语法和匹配的选择器。
• 对齐 DKIM 域：DKIM 签名中的域应与您的 "发件人 "地址一致。
• 每次更新后进行测试：使用 DMARC 报告监控验证结果。
• 与第三方发件人协调：确保所有供应商正确实施 DKIM。
• 撤销旧的或已损坏的密钥：并将其从 DNS 中删除，以防止滥用。

• 检查 DNS 传播延迟：更改可能需要 48 小时。
• 查看 DMARC 和 DKIM 失败报告：查找有关失败内容和原因的线索。
• 确认签署后邮件内容未被更改：确保转发或安全工具没有修改邮件内容。
• 查阅电子邮件服务提供商的文档：按照特定平台的指导排除身份验证问题。