Defaults.Exposed › Konfiguration › DKIM
Så konfigurerar du DKIM på AWS Route 53
Publicera din e-postleverantörs DKIM-nyckel i din Route 53-hostade zon så att din e-post bär en manipuleringssäker signatur.
Varför det här spelar roll för ditt företag
DKIM (DomainKeys Identified Mail) lägger till en osynlig digital signatur på varje e-postmeddelande du skickar. Den mottagande e-postleverantören använder en offentlig nyckel som du publicerat i din DNS för att bekräfta två saker: att meddelandet verkligen kom från din domän och att ingen ändrade det på vägen.
Enkelt uttryckt: DKIM är ett autenticitetsbevis på din e-post. Det försvårar impersonering och ökar chansen att din genuina e-post hamnar i inkorgen snarare än i skräpposten. Precis som de andra kontrollerna är det gratis och kräver engångskonfiguration.
Viktigt: DKIM har två delar
DKIM är den post där det verkligen spelar roll vem som gör vad:
- Din e-postleverantör genererar nyckeln. Google Workspace, Microsoft 365, Amazon SES eller den som hanterar din avsändning genererar DKIM-nyckeln åt dig, inuti deras administrationskonsol. Du kan inte hitta på detta — du måste hämta exakt värdnamn och värde från dem. Route 53 genererar inte DKIM-nycklar; det är din DNS-värd, inte din brevlådeleverantör.
- Route 53 publicerar den. Du lägger sedan till nyckeln i din domäns DNS i Route 53 (förutsatt att Route 53 hanterar din DNS — se nedan).
Alltså: generera i e-postplattformen, publicera i DNS-värden.
Bekräfta att Route 53 hanterar din DNS
En DKIM-post fungerar bara om Route 53 svarar på DNS-frågor för din domän. Öppna Hostade zoner i Route 53-konsolen, välj din domän och notera de fyra NS-värdena (namnservrar). Dessa måste matcha namnservrarna inställda hos din registrator. Registrerade du domänen via Route 53 matchar de vanligtvis redan; är den registrerad någon annanstans — eller har du mer än en hostad zon för domänen — kontrollera noga. Pekar de aktiva namnservrarna mot en annan leverantör lägger du istället till DKIM-posten där; den träder inte i kraft på Route 53.
Hämta nyckeln från din e-postleverantör
Leta upp DKIM- eller e-postautentiseringsinställningen i din e-postleverantörs administrationspanel och generera/aktivera en nyckel. Vad du får tillbaka beror på leverantören, och det påverkar hur du anger det i Route 53:
- Google Workspace ger dig en TXT-post: ett selektor-namn som
google._domainkeyoch ett långt värde som börjarv=DKIM1; k=rsa; p=följt av en mycket lång sträng. - Microsoft 365 ger dig två CNAME-poster med selektorer som
selector1._domainkeyochselector2._domainkey, var och en pekar mot en Microsoft-host. - Amazon SES ger dig tre CNAME-poster (dess “Easy DKIM”-funktion). Är din domän i Route 53 kan SES ofta erbjuda att lägga till dessa automatiskt — men du kan också lägga till dem manuellt.
Kopiera värdnamnen och värdena exakt.
Steg för steg på Route 53
- Logga in på AWS-konsolen och öppna Route 53.
- Välj Hostade zoner i vänsterpanelen och klicka sedan på din domäns namn.
- Klicka på Skapa post.
- Visas en guide med routningsalternativ, växla till det enkla formuläret (leta efter Snabb skapning av post).
- I Postnamn anger du bara selektordelen — till exempel
google._domainkeyellerselector1._domainkey. Lägg inte till ditt domännamn i slutet; Route 53 lägger till zonen automatiskt (den visar din domän bredvid fältet). - Ställ in Posttyp på TXT eller CNAME för att exakt matcha vad din leverantör gav dig (Google = TXT; Microsoft 365 och Amazon SES = CNAME).
- I Värde:
- För en TXT-nyckel klistrar du in det långa värdet omsluten av dubbla citattecken:
"v=DKIM1; k=rsa; p=...". - För en CNAME klistrar du in målhosten din leverantör gav dig, utan citattecken (t.ex.
selector1-dindomän._domainkey.dindomän.onmicrosoft.com).
- För en TXT-nyckel klistrar du in det långa värdet omsluten av dubbla citattecken:
- Lämna TTL på standardvärdet.
- Klicka på Skapa poster. Upprepa för varje post (Microsoft 365 behöver två; Amazon SES behöver tre).
Vanliga misstag på Route 53
- TXT-nycklar behöver dubbla citattecken; CNAME:er behöver det inte. Det här förvirrar folk ständigt. Ett TXT DKIM-värde anges som
"v=DKIM1; ... p=..."med citattecken. Ett CNAME-värde är bara den rena målhosten, utan citattecken. Blandar man ihop dessa bryter det posten. - Lägg inte in hela domänen i Postnamn. Om din leverantörs instruktioner visar
selector1._domainkey.dindomän.comanger du baraselector1._domainkeyi Route 53 — resten läggs till automatiskt. Inkluderar du domänen igen skapas en trasigselector1._domainkey.dindomän.com.dindomän.com-host. - Klistra in hela nyckeln — den är lång. TXT DKIM-offentliga nycklar är hundratals tecken. Se till att ingenting tappas bort och att inga mellanslag eller radbrytningar smugit sig in.
- Lägg till varje post din leverantör begärde. Microsoft 365 validerar inte med bara en av sina två CNAME:er; Amazon SES behöver alla tre. En ofullständig uppsättning låter DKIM misslyckas tyst.
- TXT kontra CNAME — följ din leverantör. Konvertera inte en CNAME till en TXT eller vice versa. Använd den typ de anger.
- Rätt hostad zon, rätt konto. Med flera zoner eller AWS-konton är det lätt att redigera fel en. Se till att zonens fyra NS-värden matchar dina aktiva namnservrar.
- Ge det tid. DNS-ändringar kan ta minuter till ett par timmar att spridas innan DKIM börjar valideras.
Verifiera att det fungerar
Kör den kostnadsfria kontrollen på den här webbplatsen efter att du sparat posten och låtit det gå lite tid. Den bekräftar i klartext om din DKIM-post är publicerad och läsbar.
Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.