Defaults.Exposed › Configurare › DKIM

Cum configurezi DKIM pe AWS Route 53

Publică cheia DKIM a furnizorului de email în zona ta Route 53 ca emailurile tale să poarte o semnătură rezistentă la falsificare.

De ce contează asta pentru afacerea ta

DKIM (DomainKeys Identified Mail) adaugă o semnătură digitală invizibilă fiecărui email pe care îl trimiți. Furnizorul de email al receptorului folosește o cheie publică publicată în DNS-ul tău pentru a confirma două lucruri: că mesajul a venit cu adevărat din domeniul tău și că nimeni nu l-a modificat pe parcurs.

Pe scurt: DKIM este un sigiliu de autenticitate pe emailul tău. Face uzurparea identității mai dificilă și crește șansa ca emailurile tale autentice să ajungă în inbox în loc de spam. Ca și celelalte, este gratuit și este o configurare o singură dată.

Important: DKIM are două jumătăți

DKIM este singura înregistrare unde contează cu adevărat cine face ce:

• Furnizorul tău de email generează cheia. Google Workspace, Microsoft 365, Amazon SES sau cine gestionează trimiterea generează cheia DKIM pentru tine, în propria lor consolă de administrare. Nu poți inventa această valoare — trebuie să obții hostname-ul exact și valoarea de la ei. Route 53 nu generează chei DKIM; este gazda DNS, nu furnizorul de căsuțe poștale.
• Route 53 o publică. Adaugi apoi acea cheie în DNS-ul domeniului tău în Route 53 (presupunând că Route 53 gestionează DNS-ul tău — vezi mai jos).

Deci: generează în platforma de email, publică în gazda DNS.

Mai întâi, confirmă că Route 53 gestionează DNS-ul tău

O înregistrare DKIM funcționează doar dacă Route 53 răspunde la DNS pentru domeniul tău. În consola Route 53, deschide Hosted zones, selectează domeniul și notează cele patru valori NS (nameserver). Acestea trebuie să corespundă cu nameserverele setate la registratarul tău. Dacă ai înregistrat domeniul prin Route 53, de obicei se potrivesc deja; dacă este înregistrat în altă parte — sau ai mai mult de o zonă hosted pentru domeniu — verifică cu atenție. Dacă nameserverele active pointează la alt furnizor, adaugă înregistrarea DKIM acolo; nu va intra în vigoare la Route 53.

Obține cheia de la furnizorul tău de email

În zona de administrare a furnizorului tău de email, caută setarea DKIM sau autentificare email și generează/activează o cheie. Ce primești înapoi depinde de furnizor și modifică cum o introduci în Route 53:

• Google Workspace îți oferă o înregistrare TXT: un nume selector ca google._domainkey și o valoare lungă care începe cu v=DKIM1; k=rsa; p= urmată de un șir foarte lung.
• Microsoft 365 îți oferă două înregistrări CNAME, cu selectori ca selector1._domainkey și selector2._domainkey, fiecare pointând la un host Microsoft.
• Amazon SES îți oferă trei înregistrări CNAME (funcția sa „Easy DKIM”). Dacă domeniul tău este în Route 53, SES poate oferi să le adauge automat pentru tine — dar le poți adăuga și manual.

Copiază hostname-urile și valorile exact.

Pas cu pas pe Route 53

1. Conectează-te la consola AWS și deschide Route 53.
2. În meniul din stânga, alege Hosted zones, apoi apasă pe numele domeniului tău.
3. Apasă Create record.
4. Dacă apare un wizard cu opțiuni de rutare, treci la formularul simplu (caută Quick create record).
5. În Record name, introdu doar partea selectorului — de exemplu google._domainkey sau selector1._domainkey. Nu adăuga domeniul la sfârșit; Route 53 adaugă automat zona (afișează domeniul tău lângă câmp).
6. Setează Record type la TXT sau CNAME pentru a se potrivi exact cu ce ți-a dat furnizorul (Google = TXT; Microsoft 365 și Amazon SES = CNAME).
7. În Value:
   • Pentru o cheie TXT, lipește valoarea lungă înconjurată de ghilimele duble: "v=DKIM1; k=rsa; p=...".
   • Pentru un CNAME, lipește hostname-ul țintă pe care ți l-a dat furnizorul, fără ghilimele (de ex. selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Lasă TTL la valoarea implicită.
9. Apasă Create records. Repetă pentru fiecare înregistrare (Microsoft 365 necesită două; Amazon SES necesită trei).

Greșeli frecvente pe Route 53

• Cheile TXT necesită ghilimele duble; CNAME-urile nu. Aceasta îi încurcă constant pe oameni. O valoare DKIM TXT se introduce ca "v=DKIM1; ... p=..." cu ghilimele. O valoare CNAME este pur și simplu hostname-ul simplu, fără ghilimele. Confundarea acestora strică înregistrarea.
• Nu pune domeniul complet în Record name. Dacă instrucțiunile furnizorului arată selector1._domainkey.yourdomain.com, intri doar selector1._domainkey în Route 53 — restul este adăugat pentru tine. Includerea domeniului din nou creează un host stricat selector1._domainkey.yourdomain.com.yourdomain.com.
• Lipește cheia întreagă — este lungă. Cheile publice DKIM TXT au sute de caractere. Asigură-te că nimic nu a fost tăiat și că nu s-au strecurat spații sau rânduri goale la copiere-lipire.
• Adaugă toate înregistrările pe care furnizorul ți le-a cerut. Microsoft 365 nu va valida cu doar unul dintre cele două CNAME-uri; Amazon SES are nevoie de toate trei. Un set parțial lasă DKIM să eșueze silențios.
• TXT vs CNAME — urmează furnizorul. Nu converti un CNAME în TXT sau invers. Folosește tipul pe care îl specifică.
• Zona hosted corectă, contul corect. Cu mai multe zone sau conturi AWS este ușor să editezi zona greșită. Asigură-te că cele patru valori NS ale zonei se potrivesc cu nameserverele tale active.
• Acordă timp. Modificările DNS pot dura de la câteva minute la câteva ore pentru a se propaga înainte ca DKIM să înceapă să valideze.

Verifică dacă a funcționat

După salvare și după ce acorzi puțin timp de propagare, rulează verificarea gratuită de pe acest site. Va confirma în termeni simpli dacă înregistrarea DKIM este publicată și lizibilă.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.