Defaults.Exposed › Asennus › DKIM

DKIM-tietueen lisääminen AWS Route 53:ssa

Julkaise sähköpostipalveluntarjoajasi DKIM-avain Route 53 -isäntäzoonassasi, jotta viestisi kantavat väärentämättömän allekirjoituksen.

Miksi tämä on tärkeää yrityksellesi

DKIM (DomainKeys Identified Mail) lisää näkymättömän digitaalisen allekirjoituksen jokaiseen lähettämääsi sähköpostiin. Vastaanottava sähköpostipalveluntarjoaja käyttää DNS:ssäsi julkaisemaasi julkista avainta vahvistaakseen kaksi asiaa: viesti todella tuli verkkotunnukseltasi, eikä kukaan ole muuttanut sitä matkan varrella.

Yksinkertaisesti sanottuna: DKIM on aitoudesta kertova sinetti sähköpostissasi. Se vaikeuttaa identiteettisi väärinkäyttöä ja parantaa aitojesi viestien mahdollisuuksia päästä postilaatikkoon roskapostin sijaan. Kuten muutkin toimet, se on ilmainen ja tehdään vain kerran.

Tärkeää: DKIM:ssä on kaksi puolta

DKIM on se tietue, jossa todella on tärkeää tietää kuka tekee mitä:

• Sähköpostipalveluntarjoajasi luo avaimen. Google Workspace, Microsoft 365, Amazon SES tai kuka tahansa hoitaa lähetyksesi, luo DKIM-avaimen puolestasi heidän hallintakonsolissaan. Et voi keksiä tätä itse — sinun täytyy saada tarkka isäntänimi ja arvo heiltä. Route 53 ei luo DKIM-avaimia; se on DNS-isäntäsi, ei postilaatikkopalveluntarjoajasi.
• Route 53 julkaisee sen. Lisäät sitten kyseisen avaimen verkkotunnuksesi DNS:ään Route 53:ssa (olettaen, että Route 53 hoitaa DNS:ääsi — katso alla).

Eli: luo sähköpostialustassa, julkaise DNS-isäntäpalvelussa.

Ensin varmista, että Route 53 hoitaa DNS:si

DKIM-tietue toimii vain, jos Route 53 vastaa verkkotunnuksesi DNS:ään. Avaa Route 53 -konsolissa Hosted zones, valitse verkkotunnuksesi ja huomioi neljä NS-arvoa (nimipalvelimet). Niiden on vastattava rekisteröijälläsi asetettuja nimipalvelimia. Jos rekisteröit verkkotunnuksen Route 53:n kautta, ne yleensä jo vastaavat; jos se on rekisteröity muualla — tai sinulla on useampi kuin yksi isäntäzoona verkkotunnukselle — tarkista huolellisesti. Jos aktiiviset nimipalvelimet osoittavat toiseen palveluntarjoajaan, lisää DKIM-tietue sinne; se ei tule voimaan Route 53:ssa.

Hanki avain sähköpostipalveluntarjoajaltasi

Etsi sähköpostipalveluntarjoajasi hallinta-alueelta DKIM- tai sähköpostiauthentikointi-asetus ja luo/ota käyttöön avain. Saamasi tulos riippuu palveluntarjoajasta, ja se muuttaa sen, miten syötät sen Route 53:een:

• Google Workspace antaa sinulle TXT-tietueen: valitsin-nimen kuten google._domainkey ja pitkän arvon alkaen v=DKIM1; k=rsa; p= ja jota seuraa hyvin pitkä merkkijono.
• Microsoft 365 antaa sinulle kaksi CNAME-tietuetta valitsimilla kuten selector1._domainkey ja selector2._domainkey, kumpikin osoittaa Microsoft-isäntään.
• Amazon SES antaa sinulle kolme CNAME-tietuetta (“Easy DKIM” -toiminnossa). Jos verkkotunnuksesi on Route 53:ssa, SES voi usein tarjota näiden lisäämistä automaattisesti — mutta voit myös lisätä ne käsin.

Kopioi isäntänimet ja arvot täsmälleen.

Vaihe vaiheelta Route 53:ssa

1. Kirjaudu AWS-konsoliin ja avaa Route 53.
2. Valitse vasemmasta valikosta Hosted zones ja klikkaa verkkotunnuksesi nimeä.
3. Klikkaa Create record.
4. Jos näkyviin tulee ohjattu toiminto reititysasetuksineen, vaihda yksinkertaiseen lomakkeeseen (etsi Quick create record).
5. Kirjoita Record name -kenttään vain valitsin-osa — esimerkiksi google._domainkey tai selector1._domainkey. Älä lisää verkkotunnuksen nimeä loppuun; Route 53 lisää zoonan puolestasi automaattisesti (se näyttää verkkotunnuksesi kentän vieressä).
6. Aseta Record type arvoon TXT tai CNAME vastaamaan täsmälleen palveluntarjoajasi antamaa (Google = TXT; Microsoft 365 ja Amazon SES = CNAME).
7. Kirjoita Value-kenttään:
   • TXT-avaimelle, liitä pitkä arvo lainausmerkkeihin käärittynä: "v=DKIM1; k=rsa; p=...".
   • CNAME:lle, liitä palveluntarjoajasi antama kohdeisäntä ilman lainausmerkkejä (esim. selector1-sinunverkkotunnus._domainkey.sinunverkkotunnus.onmicrosoft.com).
8. Jätä TTL oletusarvoon.
9. Klikkaa Create records. Toista jokaiselle tietueelle (Microsoft 365 tarvitsee kaksi; Amazon SES tarvitsee kolme).

Route 53:n yleisimmät virheet

• TXT-avaimet tarvitsevat lainausmerkit; CNAME:t eivät. Tämä sekoittaa ihmisiä jatkuvasti. TXT DKIM -arvo menee muodossa "v=DKIM1; ... p=..." lainausmerkkeineen. CNAME-arvo on pelkkä kohdeisäntä, ei lainausmerkkejä. Näiden sekoittaminen rikkoo tietueen.
• Älä laita koko verkkotunnusta Record name -kenttään. Jos palveluntarjoajasi ohjeet näyttävät selector1._domainkey.sinunverkkotunnus.com, kirjoitat Route 53:ssa vain selector1._domainkey — loppu lisätään puolestasi. Verkkotunnuksen sisällyttäminen luo rikkinäisen selector1._domainkey.sinunverkkotunnus.com.sinunverkkotunnus.com-isäntänimen.
• Liitä koko avain — se on pitkä. TXT DKIM -julkiset avaimet ovat satoja merkkejä. Varmista, ettei mitään jää puuttumaan eikä kopioinnin yhteydessä pääse ylimääräisiä välilyöntejä tai rivinvaihtoja.
• Lisää kaikki palveluntarjoajan pyytämät tietueet. Microsoft 365 ei validoi pelkällä kahdesta CNAME:staan; Amazon SES tarvitsee kaikki kolme. Osittainen joukko jättää DKIM:n epäonnistumaan hiljaisesti.
• TXT vs CNAME — seuraa palveluntarjoajaasi. Älä muunna CNAME:a TXT:ksi tai päinvastoin. Käytä heidän määrittelemäänsä tyyppiä.
• Oikea isäntäzoona, oikea tili. Useiden zoonien tai AWS-tilien kanssa on helppo muokata väärää. Varmista, että zoonan neljä NS-arvoa vastaavat aktiivisia nimipalvelimiasi.
• Anna sille aikaa. DNS-muutokset voivat levitä minuuteista pariin tuntiin ennen kuin DKIM alkaa validoida.

Varmista, että se toimi

Tallentamisen ja lyhyen leviämisajan jälkeen aja tämän sivuston ilmainen tarkistus. Se vahvistaa selkokielellä, onko DKIM-tietueesi julkaistu ja luettavissa.

Valmis? Tarkista verkkotunnuksesi ilmaiseksi vahvistaaksesi, että se toimi — ja nähdäksesi koko arvosanasi kaikissa 34 tarkistuksessa.