查找并验证您的 DKIM 公钥
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据DKIM 为你的外发邮件添加一个加密签名;接收方用你发布在 DNS 中 selector._domainkey.your-domain 的公钥来验证它。由于 DNS 无法列出有哪些选择器,IPeek 会探测 Google、Microsoft、Amazon SES 等主流服务商所使用的选择器。
当你发送邮件时,你的服务商会用私钥对选定的邮件头和正文进行签名,并在邮件中添加一个 DKIM-Signature 头。接收方从该头读取 d=(域名)和 s=(选择器)标签,到 selector._domainkey.d 取对应的公钥,并验证签名。如果验证通过,说明内容在传输中未被篡改,且确实来自该域名的密钥持有者。私钥始终保留在发送服务器上,只有公钥存放在 DNS 中。
选择器让一个域名能够发布多个 DKIM 密钥——便于密钥轮换或区分不同的发送服务。公钥是位于 selector._domainkey.your-domain 的一条 TXT 记录,例如 google._domainkey.example.com,内容为 v=DKIM1; k=rsa; p=<base64 公钥>。由于 DNS 没有提供选择器目录,你无法直接查询某域名使用了哪些选择器。正因如此,IPeek 会探测 Google(google)、Microsoft、Amazon SES 等主流服务商常用的选择器,来定位你已发布的密钥。
在三者中,DKIM 是内容验证层。SPF 按 IP 授权发送主机,而 DKIM 通过加密手段证明邮件的头和正文未被篡改,并将其与一个签名域名绑定。随后 DMARC 检查 DKIM 签名域名是否与可见的 From 地址对齐。DKIM 相比 SPF 有一个关键优势:由于签名随邮件一同传递,它在转发后依然有效,而转发往往会破坏 SPF。要获得强送达率,请发布 DKIM 并在 DMARC 下让它对齐。
选择器是一个标签,指向 DNS 中某个特定的 DKIM 公钥,让单个域名能为密钥轮换或不同发送服务发布多个密钥。它以 DKIM-Signature 头中的 s= 标签出现,并构成 DNS 位置 selector._domainkey.your-domain 的一部分。例如,Google Workspace 常用选择器 google。
DKIM 记录位于 selector._domainkey.your-domain,而 DNS 无法列出某域名使用了哪些选择器——所以你必须知道选择器才能查询。不同服务商使用不同的选择器。IPeek 通过探测 Google、Microsoft、Amazon SES 等主流服务商常用的选择器来解决这一问题,自动定位你已发布的密钥。
DKIM 公钥作为 TXT 记录发布在 DNS 中的 selector._domainkey.your-domain——例如 google._domainkey.example.com。记录中包含 v=DKIM1; k=rsa; p= 等标签,后面跟着 base64 编码的公钥。对应的私钥保留在你的发送邮件服务器上,从不发布。接收方取用公钥来验证每个签名。
大多数情况下有效。由于 DKIM 签名随邮件头一同传递,只要被签名的头和正文未被修改,转发后它依然有效。这是相对 SPF 的一大优势——SPF 通常在转发时失效,因为发送 IP 会改变。这也是为什么在转发邮件上 SPF 失败时,DMARC 仍能通过 DKIM 通过验证。
SPF 通过检查发送 IP 来授权哪些主机可以代表你的域名发件,而 DKIM 对每封邮件进行加密签名,让接收方能验证其内容未被篡改且确实来自你的域名。SPF 验证路径,DKIM 验证邮件本身。二者互补,DMARC 再把两者都与你的可见 From 地址绑定。