Defaults.Exposed › Seadistamine › DKIM

Kuidas seadistada DKIM AWS Route 53-s

Avaldage oma meiliteenuse pakkuja DKIM-võti oma Route 53 hostitud tsoonis, et teie kirjad kannaksid rikkumiskindlat allkirja.

Miks see teie ettevõtte jaoks oluline on

DKIM (DomainKeys Identified Mail) lisab igale teie saadetud e-kirjale nähtamatu digitaalallkirja. Vastuvõttev meiliteenuse pakkuja kasutab teie DNS-is avaldatud avalikku võtit, et kinnitada kahte asja: sõnum tuli tõesti teie domeenilt ja keegi ei muutnud seda teel.

Lihtsalt öeldes: DKIM on teie e-posti autentsuse pitser. See raskendab jäljendamist ja parandab tõenäosust, et teie päriskirjad jõuavad postkasti, mitte rämpspostikaustta. Nagu teisedki, on see tasuta ja ühekordselt seadistav.

Oluline: DKIM-il on kaks poolt

DKIM on see kirje, kus on tõesti oluline teada, kes mida teeb:

• Teie meiliteenuse pakkuja genereerib võtme. Google Workspace, Microsoft 365, Amazon SES või kes iganes teie saatmist haldab, genereerib DKIM-võtme teie jaoks nende adminkonsoolis. Te ei saa selle väärtuse juurde pääseda muul viisil — peate saama täpse hostnime ja väärtuse neilt. Route 53 ei genereeri DKIM-võtmeid; see on teie DNS-host, mitte postkastiteenuse pakkuja.
• Route 53 avaldab selle. Seejärel lisate selle võtme oma domeeni DNS-i Route 53-s (eeldades, et Route 53 haldab teie DNS-i — vaadake allpoolt).

Seega: genereerige meiliplatformil, avaldage DNS-hostis.

Kõigepealt kinnitage, et Route 53 haldab teie DNS-i

DKIM-kirje töötab ainult siis, kui Route 53 vastab teie domeeni DNS-päringutele. Avage Route 53 konsoolis Hosted zones, valige oma domeen ja pange tähele nelja NS (nimisервер) väärtust. Need peavad ühtima nimiserveritega, mis on seadistatud teie registripidaja juures. Kui registreerisite domeeni Route 53 kaudu, ühtivad need tavaliselt juba; kui see on registreeritud mujal — või teil on domeeni jaoks rohkem kui üks hostitud tsoon — kontrollige hoolikalt. Kui aktiivsed nimiserverid osutavad mõnele teisele pakkujale, lisage DKIM-kirje sinna; Route 53-s ei rakendu see.

Hankige võti oma meiliteenuse pakkujalt

Otsige oma meiliteenuse pakkuja adminalast DKIM või meiliauthentimise sätet ja genereerige/lubage võti. Saadud tulemus sõltub pakkujast ja muudab seda, kuidas sisestate seda Route 53-s:

• Google Workspace annab teile TXT-kirje: selectori nime nagu google._domainkey ja pika väärtuse, mis algab v=DKIM1; k=rsa; p=, millele järgneb väga pikk string.
• Microsoft 365 annab teile kaks CNAME-kirjet, selectoritega nagu selector1._domainkey ja selector2._domainkey, mis kumbki osutavad Microsofti hostile.
• Amazon SES annab teile kolm CNAME-kirjet (selle “Easy DKIM” funktsioon). Kui teie domeen on Route 53-s, saab SES sageli pakkuda nende automaatset lisamist teie eest — kuid saate need ka käsitsi lisada.

Kopeerige hostnimed ja väärtused täpselt.

Samm-sammuline juhend Route 53-s

1. Logige sisse AWS konsooli ja avage Route 53.
2. Valige vasakpoolsest menüüst Hosted zones, seejärel klõpsake oma domeeni nimel.
3. Klõpsake Create record.
4. Kui ilmub marsruutimisvalikutega viisard, lülitage lihtvormile (otsige Quick create record).
5. Sisestage väljale Record name ainult selectori osa — näiteks google._domainkey või selector1._domainkey. Ärge lisage lõppu oma domeeni nime; Route 53 lisab tsooni teie eest automaatselt (kuvab teie domeeni välja kõrval).
6. Seadke Record type väärtuseks TXT või CNAME, et see ühtiks täpselt sellega, mida teie pakkuja andis (Google = TXT; Microsoft 365 ja Amazon SES = CNAME).
7. Väljale Value:
   • TXT võtme puhul kleepige pikk väärtus topelt jutumärkides: "v=DKIM1; k=rsa; p=...".
   • CNAME puhul kleepige teie pakkuja antud sihthostnimi ilma jutumärkideta (nt selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Jätke TTL vaikeväärtusele.
9. Klõpsake Create records. Korrake iga kirje jaoks (Microsoft 365 vajab kaht; Amazon SES vajab kolme).

Route 53 sagedased vead

• TXT võtmed vajavad topelt jutumärke; CNAME-id ei vaja. See ajab inimesi pidevalt segadusse. TXT DKIM väärtus läheb sisse kui "v=DKIM1; ... p=..." jutumärkidega. CNAME väärtus on lihtsalt tavaline sihthostnimi, ilma jutumärkideta. Nende segamine rikub kirje.
• Ärge pange täielikku domeeni väljale Record name. Kui teie pakkuja juhised näitavad selector1._domainkey.yourdomain.com, sisestage Route 53-s ainult selector1._domainkey — ülejäänud lisatakse teie eest. Domeeni uuesti lisamine loob vigase selector1._domainkey.yourdomain.com.yourdomain.com hostinime.
• Kleepige kogu võti — see on pikk. TXT DKIM avalikud võtmed on sadade tähemärkide pikkused. Veenduge, et midagi pole ära lõigatud ja kopeerimise-kleepimise käigus pole sattunud sisse tühikuid ega reavahetusi.
• Lisage kõik kirjed, mida teie pakkuja nõudis. Microsoft 365 ei valideeri ainult ühe oma CNAME-iga; Amazon SES vajab kõiki kolme. Osaline komplekt jätab DKIM-i vaikselt ebaõnnestunud seisundisse.
• TXT vs CNAME — järgige oma pakkujat. Ärge teisendage CNAME-i TXT-iks ega vastupidi. Kasutage tüüpi, mida nad täpsustavad.
• Õige hostitud tsoon, õige konto. Mitme tsooni või AWS kontoga on lihtne valesti muuta. Veenduge, et tsooni neli NS väärtust ühtivad teie aktiivsete nimiserveritega.
• Andke aega. DNS-i muudatused võivad levida minutitest kuni paari tunnini, enne kui DKIM hakkab valideerima.

Kontrollige, kas see toimib

Pärast salvestamist ja väikese levimisooteaja möödumist käivitage selle saidi tasuta kontroll. See kinnitab lihtsa keelega, kas teie DKIM-kirje on avaldatud ja loetav.

Valmis? Kontrolli oma domeeni tasuta et kinnitada, kas see töötas — ja vaadata oma täielikku hinnet kõigi 34 kontrolli alusel.