Defaults.Exposed › Opsætning › DKIM
Sådan opsætter du DKIM på AWS Route 53
Publicer din mailudbyders DKIM-nøgle i din Route 53-hosted zone, så dine e-mails bærer en manipulationssikker signatur.
Hvad det betyder for din virksomhed
DKIM (DomainKeys Identified Mail) tilføjer en usynlig digital signatur til hver eneste e-mail, du sender. Den modtagende mailudbyder bruger en offentlig nøgle, du har publiceret i din DNS, til at bekræfte to ting: beskeden kom virkelig fra dit domæne, og ingen har ændret den undervejs.
Konkret: DKIM er et autenticitetssægl på din e-mail. Det gør det sværere at udgive sig for at være dig og øger chancen for, at din ægte e-mail når indbakken frem for spam. Ligesom de andre tiltag er det gratis og en engangskonfiguration.
Vigtigt: DKIM har to halvdele
DKIM er den post, hvor det virkelig betyder noget, hvem der gør hvad:
- Din mailudbyder genererer nøglen. Google Workspace, Microsoft 365, Amazon SES eller den, der kører din afsendelse, genererer DKIM-nøglen for dig — inde i deres adminkonsol. Du kan ikke opfinde den — du skal have det præcise værtsnavn og den præcise værdi fra dem. Route 53 genererer ikke DKIM-nøgler; det er din DNS-host, ikke din postkasseudbyder.
- Route 53 publicerer den. Derefter tilføjer du nøglen til dit domænes DNS i Route 53 (forudsat at Route 53 kører din DNS — se nedenfor).
Med andre ord: generer i mailplatformen, publicer i DNS-hosten.
Først: bekræft at Route 53 kører din DNS
En DKIM-post virker kun, hvis Route 53 besvarer DNS for dit domæne. Åbn Hosted zones i Route 53-konsollen, vælg dit domæne, og notér de fire NS-værdier (navneservere). De skal matche de navneservere, der er sat hos din registrar. Har du registreret domænet via Route 53, er de som regel allerede på linje; er det registreret et andet sted — eller har du mere end én hosted zone for domænet — tjekker du omhyggeligt. Peger de aktive navneservere på en anden udbyder, tilføjer du DKIM-posten der i stedet; den vil ikke træde i kraft hos Route 53.
Hent nøglen fra din mailudbyder
I din mailudbyders adminområde finder du DKIM- eller e-mailautentificeringsindstillingen og genererer/aktiverer en nøgle. Det, du modtager, afhænger af udbyderen — og det påvirker, hvordan du indtaster det i Route 53:
- Google Workspace giver dig en TXT-post: et selektornavn som
google._domainkeyog en lang værdi, der begynder medv=DKIM1; k=rsa; p=efterfulgt af en meget lang streng. - Microsoft 365 giver dig to CNAME-poster, med selektorer som
selector1._domainkeyogselector2._domainkey, der hver peger på et Microsoft-vært. - Amazon SES giver dig tre CNAME-poster (dens “Easy DKIM”-funktion). Er dit domæne i Route 53, kan SES ofte tilbyde at tilføje disse automatisk for dig — men du kan også tilføje dem manuelt.
Kopiér værtsnavn og værdier nøjagtigt.
Trin for trin på Route 53
- Log ind på AWS-konsollen og åbn Route 53.
- Vælg Hosted zones i venstremenuen, og klik derefter på dit domænes navn.
- Klik på Create record.
- Vises der en guide med routingmuligheder, skifter du til den simple formular (kig efter Quick create record).
- I Record name skriver du kun selektordelen — f.eks.
google._domainkeyellerselector1._domainkey. Tilføj ikke dit domænenavn i slutningen; Route 53 tilføjer zonen automatisk (den viser dit domæne ved siden af feltet). - Sæt Record type til TXT eller CNAME for at matche præcis det, din udbyder gav dig (Google = TXT; Microsoft 365 og Amazon SES = CNAME).
- I Value:
- For en TXT-nøgle indsætter du den lange værdi omsluttet af dobbelte anførselstegn:
"v=DKIM1; k=rsa; p=...". - For en CNAME indsætter du det målvært, din udbyder gav dig, uden anførselstegn (f.eks.
selector1-ditdomæne._domainkey.ditdomæne.onmicrosoft.com).
- For en TXT-nøgle indsætter du den lange værdi omsluttet af dobbelte anførselstegn:
- Lad TTL stå på standardværdien.
- Klik på Create records. Gentag for hver post (Microsoft 365 kræver to; Amazon SES kræver tre).
Route 53-faldgruber, som folk rammer
- TXT-nøgler skal have dobbelte anførselstegn; CNAMEs skal ikke. Det snubler folk konstant over. En TXT DKIM-værdi skrives som
"v=DKIM1; ... p=..."med anførselstegn. En CNAME-værdi er blot det almindelige målvært, uden anførselstegn. At blande disse ødelægger posten. - Skriv ikke det fulde domæne i Record name. Viser din udbyders instruktioner
selector1._domainkey.ditdomæne.com, skriver du kunselector1._domainkeyi Route 53 — resten tilføjes for dig. At inkludere domænet igen skaber et fejlbehæftetselector1._domainkey.ditdomæne.com.ditdomæne.com-vært. - Indsæt hele nøglen — den er lang. TXT DKIM-offentlige nøgler er hundredvis af tegn. Sørg for, at intet er skåret af og at der ikke er sneget sig mellemrum eller linjeskift ind under kopiering.
- Tilføj alle poster, din udbyder bad om. Microsoft 365 validerer ikke med kun én af sine to CNAMEs; Amazon SES kræver alle tre. Et ufuldstændigt sæt lader DKIM fejle lydløst.
- TXT vs. CNAME — følg din udbyder. Konvertér ikke en CNAME til en TXT eller omvendt. Brug den type, de angiver.
- Rigtig hosted zone, rigtig konto. Med flere zoner eller AWS-konti er det nemt at redigere den forkerte. Sørg for, at zonens fire NS-værdier matcher dine aktive navneservere.
- Giv det tid. DNS-ændringer kan tage minutter til et par timer om at propagere, inden DKIM begynder at validere.
Bekræft, at det virkede
Når du har gemt og givet det lidt tid til at propagere, kan du køre den gratis kontrol på dette site. Den bekræfter med klare ord, om din DKIM-post er publiceret og kan læses.
Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.