Defaults.Exposed › Nastavenie › DKIM

Ako nastaviť DKIM na AWS Route 53

Publikujte DKIM kľúč vášho poštového poskytovateľa vo vašej Route 53 hosted zone, aby vaše e-maily niesli manipulácii odolný podpis.

Prečo na tom záleží pre vaše podnikanie

DKIM (DomainKeys Identified Mail) pridáva neviditeľný digitálny podpis ku každému e-mailu, ktorý odošlete. Prijímajúci poštový poskytovateľ použije verejný kľúč zverejnený vo vašom DNS na potvrdenie dvoch vecí: správa skutočne pochádza z vašej domény a nikto ju po ceste neupravil.

Zrozumiteľne povedané: DKIM je pečať autenticity na vašom e-maile. Sťažuje vydávanie sa za vašu firmu a zvyšuje šancu, že váš skutočný e-mail dorazí do doručenej pošty namiesto spamu. Rovnako ako ostatné, je bezplatný a nastavuje sa raz.

Dôležité: DKIM má dve polovice

DKIM je ten jeden záznam, kde skutočne záleží, kto čo robí:

• Váš poštový poskytovateľ generuje kľúč. Google Workspace, Microsoft 365, Amazon SES alebo ktokoľvek, kto spravuje vaše odosielanie, generuje DKIM kľúč pre vás, vo svojej vlastnej administrátorskej konzole. Nemôžete si ho vymyslieť — musíte získať presný hostname a hodnotu od nich. Route 53 negeneruje DKIM kľúče; je váš DNS hostiteľ, nie váš poskytovateľ poštových schránok.
• Route 53 ho publikuje. Potom pridáte tento kľúč do DNS vašej domény v Route 53 (za predpokladu, že Route 53 spravuje váš DNS — pozrite nižšie).

Teda: generujte v poštovej platforme, publikujte v DNS hostiteľovi.

Najskôr overte, že Route 53 spravuje váš DNS

DKIM záznam funguje iba vtedy, ak Route 53 odpovedá na DNS otázky pre vašu doménu. V konzole Route 53 otvorte Hosted zones, vyberte svoju doménu a poznačte si štyri NS (nameserver) hodnoty. Tieto musia zodpovedať nameserverom nastaveným u vášho registrátora. Ak ste zaregistrovali doménu cez Route 53, zvyčajne to už zodpovedá; ak je zaregistrovaná inde — alebo máte viac hosted zones pre danú doménu — skontrolujte dôkladne. Ak aktívne nameservery ukazujú na iného poskytovateľa, pridajte DKIM záznam tam; na Route 53 to nebude mať žiadny efekt.

Získajte kľúč od vášho poštového poskytovateľa

V administrátorskej oblasti vášho poštového poskytovateľa nájdite nastavenie DKIM alebo e-mailovej autentifikácie a vygenerujte/zapnite kľúč. Čo dostanete späť závisí od poskytovateľa a mení to spôsob zadávania v Route 53:

• Google Workspace vám dá TXT záznam: selektor meno ako google._domainkey a dlhú hodnotu začínajúcu v=DKIM1; k=rsa; p= nasledovanú veľmi dlhým reťazcom.
• Microsoft 365 vám dá dva CNAME záznamy so selektormi ako selector1._domainkey a selector2._domainkey, každý ukazujúci na host Microsoftu.
• Amazon SES vám dá tri CNAME záznamy (jeho funkcia „Easy DKIM”). Ak je vaša doména v Route 53, SES vám môže ponúknuť ich automatické pridanie — ale môžete ich pridať aj ručne.

Skopírujte hostnames a hodnoty presne.

Krok za krokom na Route 53

1. Prihláste sa do konzoly AWS a otvorte Route 53.
2. V ľavom menu zvoľte Hosted zones, potom kliknite na názov svojej domény.
3. Kliknite Create record.
4. Ak sa zobrazí sprievodca s možnosťami smerovania, prepnite na jednoduchý formulár (hľadajte Quick create record).
5. Do Record name zadajte iba časť selektora — napríklad google._domainkey alebo selector1._domainkey. Nepridávajte názov domény na koniec; Route 53 pripíše zónu za vás automaticky (zobrazuje vašu doménu vedľa poľa).
6. Nastavte Record type na TXT alebo CNAME presne podľa toho, čo vám dal váš poskytovateľ (Google = TXT; Microsoft 365 a Amazon SES = CNAME).
7. Do Value:
   • Pre TXT kľúč vložte dlhú hodnotu zabalenú v dvojitých úvodzovkách: "v=DKIM1; k=rsa; p=...".
   • Pre CNAME vložte cieľový host vášho poskytovateľa bez úvodzoviek (napr. selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. TTL ponechajte na predvolenej hodnote.
9. Kliknite Create records. Opakujte pre každý záznam (Microsoft 365 potrebuje dva; Amazon SES potrebuje tri).

Časté chyby na Route 53

• TXT kľúče potrebujú dvojité úvodzovky; CNAMEs nie. Toto mätie ľudí neustále. TXT DKIM hodnota sa zadáva ako "v=DKIM1; ... p=..." s úvodzovkami. CNAME hodnota je iba prostý cieľový host, bez úvodzoviek. Ich zamenenie záznam rozbije.
• Nedávajte celú doménu do Record name. Ak pokyny vášho poskytovateľa ukazujú selector1._domainkey.yourdomain.com, v Route 53 zadajte iba selector1._domainkey — zvyšok sa pridá za vás. Zahrnutie domény znovu vytvára chybný hostname selector1._domainkey.yourdomain.com.yourdomain.com.
• Vložte celý kľúč — je dlhý. TXT verejné kľúče DKIM majú stovky znakov. Uistite sa, že nič nie je odrezané a pri kopírovaní nevkĺzli žiadne medzery alebo zalomenia riadkov.
• Pridajte každý záznam, o ktorý váš poskytovateľ žiadal. Microsoft 365 nebude overovať iba s jednou z dvoch CNAMEs; Amazon SES potrebuje všetky tri. Nekompletná sada nechá DKIM ticho zlyhávať.
• TXT vs CNAME — postupujte podľa pokynov poskytovateľa. Nekonvertujte CNAME na TXT ani naopak. Použite typ, ktorý špecifikujú.
• Správna hosted zone, správny účet. S niekoľkými zónami alebo účtami AWS je ľahké upraviť nesprávnu. Uistite sa, že štyri NS hodnoty zóny zodpovedajú vašim aktívnym nameserverom.
• Dajte tomu čas. DNS zmeny môžu trvať minúty až niekoľko hodín, kým sa rozšíria predtým, ako DKIM začne overovať.

Overenie, či to fungovalo

Po uložení a po krátkom čase na šírenie spustite bezplatnú kontrolu na tejto stránke. Zrozumiteľne vám potvrdí, či je váš DKIM záznam publikovaný a čitateľný.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.