Defaults.Exposed › Beállítás › DKIM

DKIM beállítása AWS Route 53-on

Tedd közzé a levelezőszolgáltatód DKIM-kulcsát a Route 53 hosztolt zónájában, hogy az e-mailjeid hamisíthatatlan aláírást kapjanak.

Miért fontos ez a vállalkozásod számára?

A DKIM (DomainKeys Identified Mail) láthatatlan digitális aláírást ad minden elküldött e-mailedhez. A fogadó levelezőszolgáltató a DNS-be közzétett nyilvános kulcsod segítségével két dolgot ellenőriz: az üzenet valóban a te domainedről érkezett-e, és senki sem módosította-e útközben.

Egyszerűen fogalmazva: a DKIM a hitelességed pecsétje az e-maileken. Megnehezíti a megszemélyesítést, és növeli a valódi leveleid esélyét, hogy a beérkező levelek közé kerüljenek a spam helyett. Ingyenes, és egyszeri beállítás.

Fontos: a DKIM-nek két fele van

A DKIM az az egyetlen rekord, ahol valóban számít, ki mit csinál:

• A kulcsot a levelezőszolgáltatód generálja. A Google Workspace, a Microsoft 365, az Amazon SES vagy bárki, aki a küldést végzi, létrehozza a DKIM-kulcsot — a saját felügyeleti konzolján belül. Ezt nem találhatod ki magadtól — az állomásnevet és az értéket pontosan tőlük kell beszerezned. A Route 53 nem generál DKIM-kulcsokat; ő a DNS-gazdád, nem a postafiók-szolgáltatód.
• A Route 53 teszi közzé. Ezután ezt a kulcsot adod hozzá a domain DNS-éhez a Route 53-ban (feltéve, hogy a Route 53 kezeli a DNS-edet — ld. alább).

Tehát: generáld a levelezőplatformon, tedd közzé a DNS-gazdánál.

Először győződj meg arról, hogy a Route 53 kezeli a DNS-edet

A DKIM-rekord csak akkor működik, ha a Route 53 válaszolja meg a domainedre vonatkozó DNS-kérdéseket. A Route 53 konzolon nyisd meg a Hosztolt zónákat, válaszd ki a domainod, és jegyezd meg a négy NS (névszerver) értéket. Ezeknek meg kell egyezniük a registrátornál beállított névszerverekkel. Ha a domaint a Route 53-on regisztráltad, általában már egyeznek; ha máshol regisztráltad — vagy ugyanarra a domainre több hosztolt zóna is létezik — ellenőrizd gondosan. Ha az élő névszerverek más szolgáltatóra mutatnak, ott add hozzá a DKIM-rekordot; a Route 53-ban felvett rekordnak nincs hatása.

Szerezd be a kulcsot a levelezőszolgáltatódtól

A levelezőszolgáltatód felügyeleti területén keresd meg a DKIM- vagy e-mail-hitelesítési beállítást, és hozz létre / engedélyezz egy kulcsot. A visszakapott rekord típusa a szolgáltatótól függ, és meghatározza, hogyan kell bevinni a Route 53-ba:

• A Google Workspace egy TXT-rekordot ad: egy google._domainkey nevet és egy hosszú értéket, amely v=DKIM1; k=rsa; p=-vel kezdődik.
• A Microsoft 365 két CNAME-rekordot ad, amelyek selectora selector1._domainkey és selector2._domainkey, mindkettő egy Microsoft-hosztot céloz meg.
• Az Amazon SES három CNAME-rekordot ad (az „Easy DKIM” funkció keretében). Ha a domainedet a Route 53-on tárolod, az SES gyakran felajánlja, hogy automatikusan hozzáadja ezeket — de kézzel is beírhatod.

Másold le az állomásneveket és értékeket pontosan.

Lépések a Route 53-on

1. Jelentkezz be az AWS konzolra, és nyisd meg a Route 53-at.
2. A bal oldali menüben válaszd a Hosztolt zónákat, majd kattints a domained nevére.
3. Kattints a Rekord létrehozása gombra.
4. Ha megjelenik egy útválasztási lehetőségeket tartalmazó varázsló, váltj az egyszerű képernyőre (Gyors rekordlétrehozás).
5. A Rekord neve mezőbe írd be csak a selector részt — például google._domainkey vagy selector1._domainkey. Ne add hozzá a domainnevet a végére; a Route 53 automatikusan hozzáfűzi a zónát (a mező mellett megmutatja a domainedet).
6. A Rekord típusa legyen TXT vagy CNAME — pontosan az, amit a szolgáltatód megadott (Google = TXT; Microsoft 365 és Amazon SES = CNAME).
7. Az Érték mezőbe:
   • TXT-kulcsnál illeszd be a hosszú értéket dupla idézőjelbe zárva: "v=DKIM1; k=rsa; p=...".
   • CNAME esetén illeszd be a szolgáltatód által megadott célhosztnevet, idézőjel nélkül (pl. selector1-sajatdomain._domainkey.sajatdomain.onmicrosoft.com).
8. A TTL értékét hagyd az alapértelmezetten.
9. Kattints a Rekordok létrehozása gombra. Ismételd meg minden rekordhoz (a Microsoft 365-höz kettő, az Amazon SES-hez három szükséges).

Route 53-sajátosságok, amelyeken sokan fennakadnak

• TXT-kulcsokhoz dupla idézőjel kell; CNAME-ekhez nem. Ez sokakat megtéveszt. Egy TXT DKIM-érték így kerül be: "v=DKIM1; ... p=..." idézőjelekkel. Egy CNAME-érték egyszerűen a sima célhoszt, idézőjel nélkül. Ezek felcserélése törött rekordot eredményez.
• Ne írd be a teljes domainnevet a Rekord neve mezőbe. Ha a szolgáltatód selector1._domainkey.sajatdomain.com alakban mutatja, a Route 53-ban csak selector1._domainkey-t adj meg — a többit hozzáfűzi a rendszer. A domain újbóli beírása selector1._domainkey.sajatdomain.com.sajatdomain.com alakú hibás hosztot eredményez.
• Másold be a teljes kulcsot — hosszú. A TXT DKIM nyilvános kulcsok több száz karakter hosszúak. Győződj meg arról, hogy semmi nem veszett el és nem kerültek be felesleges szóközök vagy sortörések a másolás során.
• Minden kért rekordot add hozzá. A Microsoft 365 nem érvényesül, ha csak az egyik CNAME van meg a kettőből; az Amazon SES-hez mind a három szükséges. A hiányos készlet miatt a DKIM csendesen sikertelen marad.
• TXT vs. CNAME — kövesd a szolgáltatódat. Ne alakíts CNAME-et TXT-té vagy fordítva. Azt a típust használd, amelyet a szolgáltatód megad.
• Megfelelő hosztolt zóna, megfelelő fiók. Ha több zónád vagy AWS-fiókod van, könnyen a rosszat szerkeszted. Győződj meg arról, hogy a zóna négy NS-értéke megegyezik az élő névszerverekkel.
• Adj időt. A DNS-változások néhány perctől pár óráig terjedhetnek, mielőtt a DKIM érvényesíteni kezd.

Ellenőrizd, hogy működik-e

A mentés és egy kis propagálási idő után futtasd az oldalon elérhető ingyenes ellenőrzést. Egyértelmű nyelven megerősíti, hogy a DKIM-rekordod közzé van-e téve és olvasható-e.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.