Defaults.Exposed › Diegimas › DKIM

Kaip sukonfigūruoti DKIM įraše AWS Route 53

Paskelbkite savo pašto teikėjo DKIM raktą Route 53 prieglobos zonoje, kad jūsų el. laiškai turėtų apsaugotą nuo klastojimo parašą.

Kodėl tai svarbu jūsų verslui

DKIM (DomainKeys Identified Mail) prideda nematomą skaitmeninį parašą prie kiekvieno jūsų siunčiamo el. laiško. Gavėjo pašto teikėjas naudoja viešąjį raktą, paskelbtą jūsų DNS, kad patvirtintų du dalykus: laiškas tikrai atėjo iš jūsų domeno ir niekas jo nepakeitė pakeliui.

Paprasčiau tariant: DKIM yra autentiškumo antspaudas ant jūsų el. laiško. Jis apsunkina apsimetimą ir pagerina tikimybę, kad tikri laiškai pateks į gavėjo pašto dėžutę, o ne šiukšliadėžę. Kaip ir kiti šie nustatymai — nemokamas, vienkartinis darbas.

Svarbu: DKIM turi dvi dalis

DKIM yra tas įrašas, kuriame tikrai svarbu suprasti, kas ką daro:

• Jūsų pašto teikėjas generuoja raktą. Google Workspace, Microsoft 365, Amazon SES ar tas, kas valdo jūsų siuntimą, sukuria DKIM raktą jų administravimo konsolėje. Jūs negalite šio rakto sugalvoti — turite gauti tikslų prieglobos pavadinimą ir reikšmę iš jų. Route 53 negeneruoja DKIM raktų; jis yra jūsų DNS prieglobos teikėjas, ne pašto dėžučių teikėjas.
• Route 53 jį paskelbia. Tada tą raktą pridedате į savo domeno DNS Route 53 (jei Route 53 valdo jūsų DNS — žr. toliau).

Taigi: generuokite pašto platformoje, skelbkite DNS prieglobos teikėjui.

Pirmiausia patvirtinkite, kad Route 53 valdo jūsų DNS

DKIM įrašas veikia tik tada, kai Route 53 atsako į DNS užklausas jūsų domeno vardu. Route 53 konsolėje atidarykite Hosted zones, pasirinkite domeną ir atkreipkite dėmesį į keturias NS (vardų serveriai) reikšmes. Jos turi sutapti su vardų serveriais, nustatytais jūsų registratoriuje. Jei domeną registravote per Route 53 — tai paprastai jau suderinta; jei registravote kitur arba turite daugiau nei vieną prieglobos zoną — patikrinkite atidžiai. Jei aktyvūs vardų serveriai nurodo į kitą teikėją — pridėkite DKIM ten; Route 53 jis neturės jokio poveikio.

Gaukite raktą iš savo pašto teikėjo

Savo pašto teikėjo administravimo srityje raskite DKIM arba el. pašto autentifikavimo nustatymą ir sugeneruokite / įjunkite raktą. Tai, ką gausite, priklauso nuo teikėjo ir lemia, kaip jį įvedate Route 53:

• Google Workspace pateikia TXT įrašą: selektoriaus pavadinimą, pvz. google._domainkey, ir ilgą reikšmę, prasidedančią v=DKIM1; k=rsa; p=, po kurio eina labai ilga eilutė.
• Microsoft 365 pateikia du CNAME įrašus, su selektoriais selector1._domainkey ir selector2._domainkey, kiekvienas nurodantis į Microsoft prieglobos pavadinimą.
• Amazon SES pateikia tris CNAME įrašus (jos funkcija „Easy DKIM”). Jei jūsų domenas yra Route 53 — SES dažnai gali juos pridėti automatiškai, bet galite tai padaryti ir rankiniu būdu.

Nukopijuokite prieglobos pavadinimus ir reikšmes tiksliai.

Žingsnis po žingsnio Route 53

1. Prisijunkite prie AWS konsolės ir atidarykite Route 53.
2. Kairiajame meniu pasirinkite Hosted zones, tada spustelėkite savo domeno pavadinimą.
3. Spustelėkite Create record.
4. Jei pasirodo vedlys su maršruto pasirinkimais — perjunkite į paprastą formą (ieškokite Quick create record).
5. Lauke Record name įveskite tik selektoriaus dalį — pvz. google._domainkey arba selector1._domainkey. Nepridėkite domeno pavadinimo pabaigoje; Route 53 automatiškai prideda zoną (domeną rodo šalia lauko).
6. Nustatykite Record type į TXT arba CNAME, tiksliai atitinkamai tam, ką pateikė teikėjas (Google = TXT; Microsoft 365 ir Amazon SES = CNAME).
7. Lauke Value:
   • TXT rakto atveju — įklijuokite ilgą reikšmę dvigubose kabutėse: "v=DKIM1; k=rsa; p=...".
   • CNAME atveju — įklijuokite tikslinio prieglobos pavadinimą, kurį pateikė teikėjas, be kabučių (pvz., selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Palikite TTL numatytąją reikšmę.
9. Spustelėkite Create records. Pakartokite kiekvienam įrašui (Microsoft 365 reikalingi du; Amazon SES reikalingi trys).

Route 53 klaidos, kurių dažnai vengiama

• TXT raktams reikalingos dvigubos kabutės; CNAME — ne. Tai dažna painiava. TXT DKIM reikšmė įvedama kaip "v=DKIM1; ... p=..." su kabutėmis. CNAME reikšmė yra paprastas tikslinis prieglobos pavadinimas, be kabučių. Jų sumaišymas sugadina įrašą.
• Nerašykite pilno domeno lauke Record name. Jei teikėjo instrukcijos rodo selector1._domainkey.yourdomain.com — Route 53 įvesite tik selector1._domainkey; likusią dalį sistema prideda automatiškai.
• Įklijuokite visą raktą — jis ilgas. TXT DKIM viešieji raktai turi šimtus simbolių. Įsitikinkite, kad nieko netrūksta ir kopijuojant neįsivėlė tarpų ar eilučių pertraukimų.
• Pridėkite visus teikėjo nurodytus įrašus. Microsoft 365 nepatvirtins su tik vienu iš dviejų CNAME; Amazon SES reikalingi visi trys. Neužbaigtas rinkinys palieka DKIM tyliai nepavykusį.
• TXT ar CNAME — sekite teikėją. Nekeiskite CNAME į TXT ir atvirkščiai. Naudokite nurodytą tipą.
• Teisinga prieglobos zona, teisinga paskyra. Su keliomis zonomis ar AWS paskyromis lengva redaguoti netinkamą. Įsitikinkite, kad zonos keturios NS reikšmės sutampa su jūsų aktyviais vardų serveriais.
• Palaukite. DNS pakeitimai gali užtrukti nuo kelių minučių iki kelių valandų, kol DKIM pradės veikti.

Patikrinkite, ar veikia

Išsaugoję ir palaukę šiek tiek propagacijos laiko, patikrinkite naudodami nemokamą patikrinimą šioje svetainėje. Gausite aiškų atsakymą, ar jūsų DKIM įrašas paskelbtas ir įskaitomas.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.