นิยาม
DKIM (DomainKeys Identified Mail) is an อีเมล การรับรอง specification that uses public-key cryptography to sign outgoing ข้อความ, enabling receiving mail servers to ยืนยัน that the อีเมล came from the โดเมน it claims to originate from and that the ข้อความ body and selected headers were not modified in transit. The signing โดเมน publishes its public key in DNS; receiving servers retrieve that key and ใช้ it to ยืนยัน the ลายเซ็น embedded in the DKIM-ลายเซ็น อีเมล header.
DKIM was developed from two earlier, overlapping proposals — Yahoo’s DomainKeys and Cisco’s Identified Internet Mail — and was first published as IETF RFC 4871 in 2007. The current authoritative specification is RFC 6376, published in September 2011 and อัปเดต by RFC 8301 (2018) and RFC 8463 (2018) to mandate stronger cryptographic algorithms. DKIM is widely ปรับใช้ across the อีเมล ecosystem and is a required component of a DMARC policy that provides มีความหมาย protection.
How It Works
When an organisation’s mail server sends a ข้อความ, the DKIM signing module (built into MTAs such as Postfix, Exim, and Microsoft Exchange, or provided as a บริการ by transactional ผู้ให้บริการ including SendGrid, Mailgun, Amazon SES, and Postmark) performs the following operations.
The signer selects a subset of headers to include in the ลายเซ็น — typically From, To, Subject, วันที่, and เนื้อหา-Type — and canonicalises them ใช้ one of two defined algorithms: simple (minimal whitespace normalisation) or relaxed (more permissive, tolerating minor header rewrites during transit). The ข้อความ body is similarly canonicalised and hashed ใช้ SHA-256 (the algorithm mandated since RFC 8301 deprecated the older SHA-1). The signer then computes an RSA or Ed25519 digital ลายเซ็น over the header hash plus a structured string of signing metadata, and inserts a DKIM-ลายเซ็น header at the top of the ข้อความ.
The DKIM-ลายเซ็น header contains: v=1 (version), a=rsa-sha256 (algorithm), d=example.com (signing โดเมน, known as the d= tag), s=selector1 (selector, ใช้ to look up the specific public key), h=from:to:subject (signed headers), bh=<body hash>, and b=<base64 ลายเซ็น>.
The โดเมน owner publishes the corresponding public key at <selector>._domainkey.<โดเมน> as a DNS TXT บันทึก. When Gmail, Outlook, Yahoo Mail, or any RFC 6376-compliant MTA receives the ข้อความ, it queries DNS for that บันทึก, retrieves the public key, and verifies the cryptographic ลายเซ็น. A valid ลายเซ็น produces a DKIM result of pass. A missing or invalid ลายเซ็น, or any modification to the signed headers or body in transit, produces a fail or neutral result, which is then passed to the DMARC evaluation engine.
Selectors (s= tag) allow a โดเมน to publish หลายตัว DKIM keys simultaneously — useful for rotating keys without บริการ interruption, or for isolating keys across different sending systems (e.g., marketing._domainkey.example.com versus transactional._domainkey.example.com).
Where You Encounter It
DKIM is a foundational ความสามารถในการจัดส่ง requirement for any อีเมล-dependent บริการ. Transactional อีเมล ผู้ให้บริการ such as Amazon SES, SendGrid (part of Twilio), Mailgun (part of Sinch), Postmark, and SparkPost include DKIM signing as a mandatory configuration step during โดเมน การยืนยัน. The ผู้ให้บริการ generates an RSA-2048 or Ed25519 keypair, displays the public key as a DNS TXT บันทึก, and prompts the โดเมน owner to publish it before enabling sending from that โดเมน.
For ประกวด แพลตฟอร์ม that dispatch การยืนยันอีเมล โหวต, DKIM signing is especially important because การยืนยัน อีเมล must pass the การรับรอง checks applied by major mailbox ผู้ให้บริการ — Google Workspace / Gmail, Microsoft Outlook and Exchange ออนไลน์ Protection, Yahoo Mail, Apple iCloud Mail, and ProtonMail. Unsigned ข้อความ or ข้อความ whose ลายเซ็น fail are far more likely to be delivered to สแปม or blocked entirely, preventing ผู้โหวต from confirming their submissions.
อีเมล testing tools such as Mail-Tester, GlockApps, and MXToolbox DKIM Lookup allow senders to inspect and validate their DKIM configuration before production sending. Google Postmaster Tools and Microsoft SNDS provide aggregate-level ความสามารถในการจัดส่ง ข้อมูล that reflects DKIM pass rates over เวลา.
Practical Examples
A ประกวด แพลตฟอร์ม configured with a DKIM selector s=ประกวด for the โดเมน โหวต.example.com publishes the public key at ประกวด._domainkey.โหวต.example.com. Every outbound การยืนยัน อีเมล carries a DKIM-ลายเซ็น header signed with the corresponding private key. When a ผู้โหวต’s Gmail บัญชี receives the ข้อความ, Gmail’s inbound filter queries DNS, verifies the ลายเซ็น, บันทึก a pass, and forwards the result to its สแปม classifier. The ยืนยัน DKIM pass, combined with SPF การจัดตำแหน่ง, satisfies the conditions for DMARC compliance.
A ประกวด administrator rotates from a 1024-bit RSA key (no longer considered cryptographically adequate) to a 2048-bit RSA key after reading RFC 8301. The old selector is kept active for seven days to cover any ข้อความ in transit, then removed from DNS. All new ข้อความ ใช้ the อัปเดต selector and key.
Related Concepts
DKIM works in concert with SPF บันทึก — which authenticates the sending server’s ที่อยู่ IP — and DMARC — which defines a policy action and reporting mechanism based on SPF and DKIM results. Both สัญญาณ must be understood together; passing DKIM alone does not make a ข้อความ DMARC-compliant if the d= โดเมน does not จัดตำแหน่ง with the RFC5322.From โดเมน. For the ประกวด-operations context, the practical consequences of DKIM failures are explained in การยืนยันอีเมล โหวต, where กล่องขาเข้า placement of the การยืนยัน ข้อความ directly determines whether a แสดง โหวต is นับ.
