Defaults.Exposed › Konfiguracja › DKIM

Jak skonfigurować DKIM w AWS Route 53

Opublikuj klucz DKIM swojego dostawcy poczty w swojej strefie hostowanej Route 53, aby Twoje wiadomości niosły pieczęć, której nie da się podrobić.

Dlaczego to ważne dla Twojej firmy

DKIM (DomainKeys Identified Mail — uwierzytelnianie poczty przez klucze domeny) dokłada do każdego wysyłanego e-maila niewidzialny podpis cyfrowy. Serwer odbiorcy używa klucza publicznego, który opublikowałeś w swoim DNS, aby potwierdzić dwie rzeczy: że wiadomość naprawdę pochodzi z Twojej domeny i że nikt jej po drodze nie zmienił.

Mówiąc wprost: DKIM to pieczęć autentyczności na Twojej poczcie. Utrudnia podszywanie się pod Ciebie i zwiększa szansę, że prawdziwa wiadomość trafi do skrzynki odbiorczej, a nie do spamu. Tak jak pozostałe zabezpieczenia, jest darmowy i konfiguruje się go raz.

Ważne: DKIM ma dwie połowy

DKIM to jedyny rekord, przy którym naprawdę liczy się, kto robi co:

• Klucz generuje Twój dostawca poczty. Google Workspace, Microsoft 365, Amazon SES albo ktokolwiek obsługuje Twoją wysyłkę generuje klucz DKIM dla Ciebie, wewnątrz swojej konsoli administracyjnej. Nie da się go wymyślić — musisz pobrać od nich dokładną nazwę hosta i wartość. Route 53 nie generuje kluczy DKIM; jest Twoim dostawcą DNS, a nie dostawcą skrzynek pocztowych.
• Route 53 go publikuje. Następnie dodajesz ten klucz do DNS swojej domeny w Route 53 (o ile to Route 53 obsługuje Twój DNS — patrz niżej).

Czyli: wygeneruj w platformie pocztowej, opublikuj u dostawcy DNS.

Najpierw upewnij się, że to Route 53 obsługuje Twój DNS

Rekord DKIM zadziała tylko wtedy, gdy to Route 53 odpowiada na zapytania DNS o Twoją domenę. W konsoli Route 53 otwórz Hosted zones, wybierz swoją domenę i zanotuj cztery wartości NS (serwerów nazw). Muszą one odpowiadać serwerom nazw ustawionym u rejestratora. Jeśli zarejestrowałeś domenę przez Route 53, zwykle już się zgadzają; jeśli jest zarejestrowana gdzie indziej — albo masz więcej niż jedną strefę hostowaną dla domeny — sprawdź uważnie. Jeśli działające serwery nazw wskazują na innego dostawcę, dodaj rekord DKIM tam; w Route 53 nie zacznie działać.

Pobierz klucz od dostawcy poczty

W panelu administracyjnym dostawcy poczty znajdź ustawienie DKIM lub uwierzytelniania poczty i wygeneruj/włącz klucz. To, co dostaniesz z powrotem, zależy od dostawcy i zmienia sposób, w jaki wpisujesz to w Route 53:

• Google Workspace daje Ci rekord TXT: nazwę selektora w rodzaju google._domainkey i długą wartość zaczynającą się od v=DKIM1; k=rsa; p=, po której następuje bardzo długi ciąg.
• Microsoft 365 daje Ci dwa rekordy CNAME, z selektorami w rodzaju selector1._domainkey i selector2._domainkey, z których każdy wskazuje na host Microsoftu.
• Amazon SES daje Ci trzy rekordy CNAME (jego funkcja „Easy DKIM”). Jeśli Twoja domena jest w Route 53, SES często może zaproponować dodanie ich za Ciebie automatycznie — ale możesz je też dodać ręcznie.

Skopiuj nazwy hostów i wartości dokładnie.

Krok po kroku w Route 53

1. Zaloguj się do konsoli AWS i otwórz Route 53.
2. W menu po lewej wybierz Hosted zones, a następnie kliknij nazwę swojej domeny.
3. Kliknij Create record.
4. Jeśli pojawi się kreator z opcjami routingu, przełącz się na prosty formularz (szukaj Quick create record).
5. W polu Record name wpisz wyłącznie część selektora — na przykład google._domainkey lub selector1._domainkey. Nie dopisuj nazwy domeny na końcu; Route 53 dołączy strefę za Ciebie automatycznie (pokazuje Twoją domenę obok pola).
6. Ustaw Record type na TXT lub CNAME, dokładnie tak, jak dał Ci dostawca (Google = TXT; Microsoft 365 i Amazon SES = CNAME).
7. W polu Value:
   • Dla klucza TXT wklej długą wartość owiniętą w podwójne cudzysłowy: "v=DKIM1; k=rsa; p=...".
   • Dla CNAME wklej host docelowy podany przez dostawcę, bez cudzysłowów (np. selector1-twojadomena._domainkey.twojadomena.onmicrosoft.com).
8. Pozostaw TTL na wartości domyślnej.
9. Kliknij Create records. Powtórz dla każdego rekordu (Microsoft 365 wymaga dwóch; Amazon SES wymaga trzech).

Pułapki Route 53, w które ludzie wpadają

• Klucze TXT wymagają podwójnych cudzysłowów; CNAME nie. To ciągle wszystkich gubi. Wartość DKIM typu TXT wpisuje się jako "v=DKIM1; ... p=..." z cudzysłowami. Wartość CNAME to po prostu zwykły host docelowy, bez cudzysłowów. Pomylenie tego uszkadza rekord.
• Nie wpisuj pełnej domeny w polu Record name. Jeśli instrukcja dostawcy pokazuje selector1._domainkey.twojadomena.pl, w Route 53 wpisujesz tylko selector1._domainkey — reszta zostanie dodana za Ciebie. Ponowne podanie domeny tworzy błędny host selector1._domainkey.twojadomena.pl.twojadomena.pl.
• Wklej cały klucz — jest długi. Klucze publiczne DKIM typu TXT mają setki znaków. Upewnij się, że nic nie zostało ucięte i że podczas kopiowania nie wkradły się przypadkowe spacje ani znaki nowej linii.
• Dodaj każdy rekord, o który prosił dostawca. Microsoft 365 nie przejdzie weryfikacji z tylko jednym z dwóch rekordów CNAME; Amazon SES potrzebuje wszystkich trzech. Niepełny zestaw sprawia, że DKIM zawodzi po cichu.
• TXT czy CNAME — stosuj się do dostawcy. Nie zamieniaj CNAME na TXT ani odwrotnie. Użyj typu, który wskazali.
• Właściwa strefa hostowana, właściwe konto. Przy kilku strefach lub kontach AWS łatwo edytować nie tę, co trzeba. Upewnij się, że cztery wartości NS strefy odpowiadają Twoim działającym serwerom nazw.
• Daj temu czas. Zmiany w DNS mogą się rozchodzić od kilku minut do kilku godzin, zanim DKIM zacznie być weryfikowany.

Sprawdź, czy zadziałało

Po zapisaniu i odczekaniu chwili na propagację uruchom darmowe sprawdzenie na tej stronie. Prostym językiem potwierdzi, czy Twój rekord DKIM jest opublikowany i czytelny.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.