Defaults.Exposed › Oppsett › DKIM
Slik setter du opp DKIM på AWS Route 53
Publiser e-postleverandørens DKIM-nøkkel i Route 53-sonen din slik at e-posten din bærer en manipulasjonssikker signatur.
Hvorfor dette betyr noe for bedriften din
DKIM (DomainKeys Identified Mail) legger til en usynlig digital signatur på hver e-post du sender. Den mottakende e-postleverandøren bruker en offentlig nøkkel du har publisert i DNS til å bekrefte to ting: meldingen kom virkelig fra domenet ditt, og ingen endret den underveis.
Enkelt sagt: DKIM er et autentisitetssegl på e-posten din. Det gjør etterlikning vanskeligere og øker sjansen for at ekte e-post havner i innboksen i stedet for spam. Som de andre tiltakene er det gratis og en engangskonfigurering.
Viktig: DKIM har to halvdeler
DKIM er den ene posten der det virkelig betyr noe hvem som gjør hva:
- E-postleverandøren din genererer nøkkelen. Google Workspace, Microsoft 365, Amazon SES eller den som kjører sendingen, genererer DKIM-nøkkelen for deg, inne i deres administrasjonskonsoll. Du kan ikke finne på denne — du må hente det nøyaktige vertsnavnet og verdien fra dem. Route 53 genererer ikke DKIM-nøkler; det er DNS-verten din, ikke e-postleverandøren din.
- Route 53 publiserer den. Deretter legger du den nøkkelen til i domenets DNS i Route 53 (forutsatt at Route 53 kjører DNS-en — se nedenfor).
Altså: generer i e-postplattformen, publiser i DNS-verten.
Bekreft først at Route 53 kjører DNS-en din
En DKIM-post fungerer bare dersom Route 53 svarer på DNS for domenet. I Route 53-konsollen åpner du Hosted zones, velger domenet og noterer de fire NS (navneserver) verdiene. Disse må samsvare med navneserverne satt hos registraren. Registrerte du domenet via Route 53 stemmer de vanligvis allerede; er det registrert et annet sted — eller du har mer enn én hosted zone for domenet — sjekk nøye. Peker de aktive navneserverne til en annen leverandør, legg til DKIM-posten der i stedet; den vil ikke tre i kraft hos Route 53.
Hent nøkkelen fra e-postleverandøren din
I e-postleverandørens administrasjonsområde, se etter DKIM- eller e-postautentiseringsinnstillingen og generer/aktiver en nøkkel. Hva du får tilbake avhenger av leverandøren, og det endrer hvordan du skriver det inn i Route 53:
- Google Workspace gir deg en TXT-post: et selectornavn som
google._domainkeyog en lang verdi som begynner medv=DKIM1; k=rsa; p=etterfulgt av en svært lang streng. - Microsoft 365 gir deg to CNAME-poster, med selectorer som
selector1._domainkeyogselector2._domainkey, som hver peker til en Microsoft-vert. - Amazon SES gir deg tre CNAME-poster («Easy DKIM»-funksjonen). Er domenet ditt i Route 53, kan SES ofte tilby å legge disse til automatisk for deg — men du kan også legge dem til manuelt.
Kopier vertsnavn og verdier nøyaktig.
Steg for steg på Route 53
- Logg inn på AWS-konsollen og åpne Route 53.
- I venstremenyen, velg Hosted zones, og klikk deretter domenenavnet.
- Klikk Create record.
- Vises en veiviser med rutingvalg, bytt til det enkle skjemaet (se etter Quick create record).
- I Record name, skriv inn bare selector-delen — for eksempel
google._domainkeyellerselector1._domainkey. Ikke legg til domenenavnet på slutten; Route 53 legger til sonen for deg automatisk (den viser domenet ved siden av feltet). - Sett Record type til TXT eller CNAME for å matche nøyaktig hva leverandøren ga deg (Google = TXT; Microsoft 365 og Amazon SES = CNAME).
- I Value:
- For en TXT-nøkkel, lim inn den lange verdien pakket inn i doble anførselstegn:
"v=DKIM1; k=rsa; p=...". - For en CNAME, lim inn målverten leverandøren ga deg, uten anførselstegn (f.eks.
selector1-dittdomene._domainkey.dittdomene.onmicrosoft.com).
- For en TXT-nøkkel, lim inn den lange verdien pakket inn i doble anførselstegn:
- La TTL stå på standard.
- Klikk Create records. Gjenta for hver post (Microsoft 365 trenger to; Amazon SES trenger tre).
Route 53-feller folk går i
- TXT-nøkler trenger doble anførselstegn; CNAME-poster gjør ikke det. Dette forvirrer folk konstant. En TXT DKIM-verdi skrives inn som
"v=DKIM1; ... p=..."med anførselstegnene. En CNAME-verdi er bare det rene målverten, ingen anførselstegn. Å blande disse ødelegger posten. - Ikke skriv hele domenet i Record name. Viser leverandørens instruksjoner
selector1._domainkey.dittdomene.com, skriver du bareselector1._domainkeyi Route 53 — resten legges til for deg. Inkluderer du domenet igjen, opprettes et ødelagtselector1._domainkey.dittdomene.com.dittdomene.com-vert. - Lim inn hele nøkkelen — den er lang. TXT DKIM-offentlige nøkler er hundrevis av tegn. Kontroller at ingenting er kuttet av og ingen tilfeldige mellomrom eller linjeskift kom med under kopiering.
- Legg til alle postene leverandøren ba om. Microsoft 365 vil ikke validere med bare én av sine to CNAME-poster; Amazon SES trenger alle tre. Et ufullstendig sett lar DKIM feile stille.
- TXT kontra CNAME — følg leverandøren. Ikke konverter en CNAME til en TXT eller omvendt. Bruk typen de spesifiserer.
- Riktig hosted zone, riktig konto. Med flere soner eller AWS-kontoer er det lett å redigere feil. Forsikre deg om at sonens fire NS-verdier samsvarer med de aktive navneserverne.
- Gi det tid. DNS-endringer kan ta minutter til et par timer på å spre seg før DKIM begynner å validere.
Bekreft at det fungerte
Etter lagring og litt propagasjonstid, kjør den gratis sjekken på dette nettstedet. Den vil bekrefte på klart språk om DKIM-posten er publisert og lesbar.
Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.