Defaults.Exposed › הגדרה › DKIM

כיצד להגדיר DKIM ב-AWS Route 53

פרסם את מפתח ה-DKIM של ספק הדוא"ל שלך ב-hosted zone של Route 53 כדי שהדוא"ל שלך ישא חתימה אמינה.

מדוע זה חשוב לעסק שלך

DKIM (DomainKeys Identified Mail) מוסיף חתימה דיגיטלית בלתי נראית לכל דוא”ל שאתה שולח. ספק הדואר המקבל משתמש במפתח ציבורי שפרסמת ב-DNS שלך כדי לאשר שני דברים: ההודעה אכן הגיעה מהדומיין שלך, ואיש לא שינה אותה בדרך.

במילים פשוטות: DKIM הוא חותם אותנטיות על הדוא”ל שלך. הוא מקשה על התחזות ומשפר את הסיכוי שהדוא”ל האמיתי שלך יגיע לתיבת הדואר הנכנס ולא לספאם. כמו הגדרות האחרות, הוא חינמי וחד-פעמי.

חשוב: ל-DKIM יש שני חלקים

DKIM היא הרשומה שבה באמת חשוב לדעת מי עושה מה:

• ספק הדוא”ל שלך מייצר את המפתח. Google Workspace, Microsoft 365, Amazon SES, או מי שמפעיל את השליחה שלך מייצר את מפתח ה-DKIM עבורך, בתוך מסוף הניהול שלהם. אינך יכול להמציא זאת — עליך לקבל את שם המארח המדויק ואת הערך מהם. Route 53 לא מייצר מפתחות DKIM; הוא מארח ה-DNS שלך, לא ספק תיבת הדואר שלך.
• Route 53 מפרסם אותו. לאחר מכן אתה מוסיף את המפתח ל-DNS של הדומיין שלך ב-Route 53 (בהנחה ש-Route 53 מנהל את ה-DNS שלך — ראה למטה).

לסיכום: צור במסוף הדוא”ל, פרסם אצל מארח ה-DNS.

ראשית, אשר ש-Route 53 מנהל את ה-DNS שלך

רשומת DKIM פועלת רק אם Route 53 עונה על שאילתות DNS עבור הדומיין שלך. במסוף Route 53, פתח את Hosted zones, בחר את הדומיין שלך, ושים לב לארבעת ערכי ה-NS (שרתי שמות). אלה חייבים להתאים לשרתי השמות שמוגדרים אצל הרשם שלך. אם רשמת את הדומיין דרך Route 53 הם בדרך כלל כבר תואמים; אם הוא רשום במקום אחר — או שיש לך יותר מ-hosted zone אחד לדומיין — בדוק בקפידה. אם שרתי השמות הפעילים מצביעים לספק אחר, הוסף את רשומת ה-DKIM שם במקום; היא לא תיכנס לתוקף ב-Route 53.

קבל את המפתח מספק הדוא”ל שלך

באזור הניהול של ספק הדוא”ל שלך, חפש את הגדרת DKIM או אימות דוא”ל וצור/אפשר מפתח. מה שאתה מקבל תלוי בספק, וזה משנה איך אתה מכניס אותו ב-Route 53:

• Google Workspace נותנת לך רשומת TXT: שם selector כמו google._domainkey וערך ארוך שמתחיל ב-v=DKIM1; k=rsa; p= ואחריו מחרוזת ארוכה מאוד.
• Microsoft 365 נותנת לך שתי רשומות CNAME, עם selectors כמו selector1._domainkey ו-selector2._domainkey, כל אחד מצביע למארח Microsoft.
• Amazon SES נותן לך שלוש רשומות CNAME (תכונת “Easy DKIM” שלו). אם הדומיין שלך נמצא ב-Route 53, SES לרוב יכול להציע להוסיף אותן עבורך אוטומטית — אך תוכל גם להוסיף אותן ידנית.

העתק את שמות המארח והערכים בדיוק.

שלב אחר שלב ב-Route 53

1. היכנס למסוף AWS ופתח את Route 53.
2. בתפריט השמאלי, בחר Hosted zones, ואז לחץ על שם הדומיין שלך.
3. לחץ על Create record.
4. אם מוצג אשף עם אפשרויות routing, עבור לטופס הפשוט (חפש Quick create record).
5. ב-Record name, הכנס רק את חלק ה-selector — למשל google._domainkey או selector1._domainkey. אל תוסיף את שם הדומיין שלך בסוף; Route 53 מוסיפה את ה-zone אוטומטית (היא מציגה את הדומיין שלך ליד השדה).
6. הגדר את Record type ל-TXT או CNAME בהתאם בדיוק למה שספק הדוא”ל שלך נתן לך (Google = TXT; Microsoft 365 ו-Amazon SES = CNAME).
7. ב-Value:
   • עבור מפתח TXT, הדבק את הערך הארוך עטוף במרכאות כפולות: "v=DKIM1; k=rsa; p=...".
   • עבור CNAME, הדבק את שם המארח היעד שספק הדוא”ל שלך נתן לך, ללא מרכאות (למשל selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. השאר את TTL בברירת המחדל.
9. לחץ על Create records. חזור על כך לכל רשומה (Microsoft 365 דורשת שתיים; Amazon SES דורשת שלוש).

טעויות נפוצות ב-Route 53

• מפתחות TXT צריכים מרכאות כפולות; CNAMEs לא. זה מבלבל אנשים ללא הרף. ערך TXT של DKIM נכנס כ-"v=DKIM1; ... p=..." עם המרכאות. ערך CNAME הוא שם המארח היעד הרגיל, ללא מרכאות. ערבוב ביניהם שובר את הרשומה.
• אל תכניס את הדומיין המלא ב-Record name. אם הוראות ספק הדוא”ל שלך מציגות selector1._domainkey.yourdomain.com, אתה מכניס רק selector1._domainkey ב-Route 53 — השאר מתווסף אוטומטית. הכנסת הדומיין שוב יוצרת מארח שבור selector1._domainkey.yourdomain.com.yourdomain.com.
• הדבק את המפתח בשלמותו — הוא ארוך. מפתחות TXT של DKIM מכילים מאות תווים. ודא שאיננו נחתך ושלא נדבקו רווחים או שבירות שורה מיותרות.
• הוסף כל רשומה שהספק ביקש. Microsoft 365 לא תאמת עם רק אחת משתי ה-CNAMEs שלה; Amazon SES דורש את כל השלוש. ערכה חלקית משאירה את DKIM נכשל בשקט.
• TXT לעומת CNAME — עקוב אחרי ספק הדוא”ל שלך. אל תמיר CNAME ל-TXT או להפך. השתמש בסוג שהם מציינים.
• ה-hosted zone הנכון, החשבון הנכון. עם כמה zones או חשבונות AWS קל לערוך את הלא נכון. ודא שארבעת ערכי ה-NS של ה-zone תואמים לשרתי השמות הפעילים שלך.
• תן לו זמן. שינויי DNS יכולים לקחת דקות עד כמה שעות להתפשט לפני ש-DKIM מתחיל לאמת.

אמת שזה עבד

לאחר השמירה ומתן זמן להתפשטות, הפעל את הבדיקה החינמית באתר זה. היא תאשר בשפה ברורה אם רשומת ה-DKIM שלך פורסמה וניתן לקריאה.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.