Defaults.Exposed › Nastavení › DKIM

Jak nastavit DKIM na AWS Route 53

Zveřejněte DKIM klíč svého poskytovatele e-mailu ve své hostované zóně Route 53, aby vaše e-maily nesly ověřitelný podpis.

Proč na tom záleží pro vaši firmu

DKIM (DomainKeys Identified Mail) přidává neviditelný digitální podpis ke každému e-mailu, který odešlete. Přijímající poštovní poskytovatel používá veřejný klíč, který jste zveřejnili ve svém DNS, k potvrzení dvou věcí: zpráva skutečně pochází z vaší domény a nikdo ji cestou nepozměnil.

Jednoduše řečeno: DKIM je pečeť pravosti na vašich e-mailech. Ztěžuje vydávání se za vás a zvyšuje pravděpodobnost, že vaše legitimní pošta dorazí do schránky místo do spamu. Stejně jako ostatní opatření je zdarma a nastaví se jednou.

Důležité: DKIM má dvě části

DKIM je ten záznam, kde skutečně záleží na tom, kdo co dělá:

• Váš poskytovatel e-mailu generuje klíč. Google Workspace, Microsoft 365, Amazon SES nebo kdokoli, kdo zpracovává vaše odesílání, vytvoří DKIM klíč pro vás uvnitř jejich administrátorské konzole. Tuto hodnotu si nemůžete vymyslet — musíte získat přesný název hostitele a hodnotu od nich. Route 53 DKIM klíče negeneruje; je vaším DNS hostitelem, ne poskytovatelem schránek.
• Route 53 ho zveřejňuje. Pak tento klíč přidáte do DNS vaší domény v Route 53 (za předpokladu, že Route 53 spravuje vaše DNS — viz níže).

Tedy: vygenerujte v e-mailové platformě, zveřejněte v DNS hostiteli.

Nejprve potvrďte, že Route 53 spravuje vaše DNS

DKIM záznam funguje pouze tehdy, pokud Route 53 odpovídá na DNS dotazy pro vaši doménu. V konzoli Route 53 otevřete Hosted zones, vyberte svou doménu a poznamenejte si čtyři hodnoty NS (nameserver). Ty musí odpovídat nameserverům nastaveným u vašeho registrátora. Pokud jste doménu zaregistrovali přes Route 53, obvykle již odpovídají; pokud jste ji zaregistrovali jinde — nebo máte více než jednu hostovanou zónu pro doménu — zkontrolujte to pečlivě. Pokud živé nameservery ukazují na jiného poskytovatele, přidejte DKIM záznam tam místo toho; na Route 53 nebude mít účinek.

Získejte klíč od svého poskytovatele e-mailu

V administrátorské oblasti svého poskytovatele e-mailu najděte nastavení DKIM nebo ověřování e-mailu a vygenerujte/povolte klíč. Co dostanete zpět závisí na poskytovateli a mění to způsob zadání v Route 53:

• Google Workspace vám dá TXT záznam: název selektoru jako google._domainkey a dlouhou hodnotu začínající v=DKIM1; k=rsa; p= s velmi dlouhým řetězcem.
• Microsoft 365 vám dá dva CNAME záznamy se selektory jako selector1._domainkey a selector2._domainkey, každý ukazující na hostitele Microsoftu.
• Amazon SES vám dá tři CNAME záznamy (jeho funkce „Easy DKIM”). Pokud je vaše doména v Route 53, SES může często nabídnout jejich automatické přidání za vás — ale můžete je přidat i ručně.

Názvy hostitelů a hodnoty zkopírujte přesně.

Krok za krokem na Route 53

1. Přihlaste se do AWS konzole a otevřete Route 53.
2. V levém menu vyberte Hosted zones, pak klikněte na název své domény.
3. Klikněte na Create record.
4. Pokud se zobrazí průvodce s možnostmi směrování, přepněte na jednoduchý formulář (hledejte Quick create record).
5. Do Record name zadejte pouze část selektoru — například google._domainkey nebo selector1._domainkey. Nepřidávejte na konec název své domény; Route 53 připojuje zónu automaticky (zobrazuje vaši doménu vedle pole).
6. Nastavte Record type na TXT nebo CNAME, aby přesně odpovídalo tomu, co vám dal váš poskytovatel (Google = TXT; Microsoft 365 a Amazon SES = CNAME).
7. Do Value:
   • Pro TXT klíč vložte dlouhou hodnotu zabalenou do dvojitých uvozovek: "v=DKIM1; k=rsa; p=...".
   • Pro CNAME vložte cílového hostitele, který vám poskytovatel dal, bez uvozovek (např. selector1-vasadomena._domainkey.vasadomena.onmicrosoft.com).
8. Hodnotu TTL ponechte na výchozí.
9. Klikněte na Create records. Opakujte pro každý záznam (Microsoft 365 potřebuje dva; Amazon SES potřebuje tři).

Chyby, které lidé na Route 53 dělají

• TXT klíče potřebují dvojité uvozovky; CNAME ne. To lidi neustále mate. Hodnota TXT DKIM se zadává jako "v=DKIM1; ... p=..." s uvozovkami. Hodnota CNAME je jen prostý cílový host, bez uvozovek. Záměna to rozbije.
• Nezadávejte plnou doménu do Record name. Pokud pokyny vašeho poskytovatele ukazují selector1._domainkey.vasadomena.com, do Route 53 zadáte pouze selector1._domainkey — zbytek se přidá automaticky. Zahrnutí domény znovu vytvoří poškozený host selector1._domainkey.vasadomena.com.vasadomena.com.
• Vložte celý klíč — je dlouhý. TXT DKIM veřejné klíče mají stovky znaků. Ujistěte se, že nic není oříznuté a při kopírování nevnikly nadbytečné mezery nebo konce řádků.
• Přidejte všechny záznamy, které váš poskytovatel požadoval. Microsoft 365 nebude validovat pouze s jedním ze dvou CNAME záznamů; Amazon SES potřebuje všechny tři. Neúplná sada znamená tiché selhání DKIM.
• TXT vs CNAME — řiďte se pokyny poskytovatele. Nepřevádějte CNAME na TXT nebo naopak. Použijte typ, který specifikují.
• Správná hostovaná zóna, správný účet. S více zónami nebo AWS účty je snadné upravit nesprávnou. Ujistěte se, že čtyři NS hodnoty zóny odpovídají vašim živým nameserverům.
• Dejte mu čas. DNS změny mohou trvat minuty až pár hodin, než se rozšíří předtím, než DKIM začne ověřovat.

Ověřte, zda to funguje

Po uložení a po malém čase na šíření spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce potvrdí, zda je váš DKIM záznam zveřejněn a čitelný.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.