Defaults.Exposed › Налаштування › DKIM

Як налаштувати DKIM на AWS Route 53

Опублікуйте DKIM-ключ вашого поштового провайдера у вашій hosted zone Route 53, щоб листи мали захищений від підробки підпис.

Чому це важливо для вашого бізнесу

DKIM (DomainKeys Identified Mail) додає невидимий цифровий підпис до кожного листа, який ви надсилаєте. Поштовий провайдер одержувача використовує відкритий ключ, опублікований у вашому DNS, щоб підтвердити дві речі: лист дійсно надійшов з вашого домену, і ніхто не змінював його у дорозі.

Простіше кажучи: DKIM — це печатка автентичності на вашій пошті. Вона ускладнює підробку і підвищує шанси, що ваші справжні листи потраплять у вхідні, а не у спам. Як і інші захисти, вона безкоштовна і налаштовується один раз.

Важливо: DKIM складається з двох частин

Саме цей запис найчастіше потребує розуміння того, хто що робить:

• Ваш поштовий провайдер генерує ключ. Google Workspace, Microsoft 365, Amazon SES або той, хто забезпечує відправку, генерує DKIM-ключ для вас у своїй адмін-консолі. Це значення не можна вигадати — ви маєте отримати точне ім’я хосту і значення від них. Route 53 не генерує DKIM-ключі; він є вашим DNS-хостом, а не поштовим провайдером.
• Route 53 публікує його. Потім ви додаєте цей ключ до DNS вашого домену в Route 53 (за умови, що Route 53 керує вашим DNS — дивіться нижче).

Тобто: генеруйте в поштовій платформі, публікуйте в DNS-хості.

Спочатку переконайтеся, що Route 53 керує вашим DNS

DKIM-запис працює лише якщо Route 53 відповідає на DNS-запити для вашого домену. У консолі Route 53 відкрийте Hosted zones, виберіть ваш домен і зверніть увагу на чотири значення NS (неймсерверів). Вони мають збігатися з неймсерверами, встановленими у вашого реєстратора. Якщо домен зареєстрований через Route 53 — зазвичай вони вже збігаються; якщо зареєстрований деінде або у вас є кілька hosted zones — перевірте ретельно. Якщо активні неймсервери вказують на інший провайдер — додайте DKIM-запис там; у Route 53 він не набере чинності.

Отримайте ключ від вашого поштового провайдера

У адмін-панелі вашого поштового провайдера знайдіть розділ DKIM або автентифікації пошти і згенеруйте/увімкніть ключ. Що ви отримаєте — залежить від провайдера, і це впливає на те, як ви вводите дані в Route 53:

• Google Workspace надає TXT-запис: ім’я selector на кшталт google._domainkey і довге значення, що починається з v=DKIM1; k=rsa; p=.
• Microsoft 365 надає два CNAME-записи, з selector на кшталт selector1._domainkey і selector2._domainkey, кожен вказує на хост Microsoft.
• Amazon SES надає три CNAME-записи (функція «Easy DKIM»). Якщо ваш домен у Route 53, SES часто може автоматично додати їх — але ви також можете зробити це вручну.

Скопіюйте імена хостів і значення точно.

Покрокова інструкція для Route 53

1. Увійдіть до консолі AWS і відкрийте Route 53.
2. У лівому меню виберіть Hosted zones, потім натисніть на ім’я вашого домену.
3. Натисніть Create record.
4. Якщо відобразиться майстер із параметрами маршрутизації — переключіться на просту форму (шукайте Quick create record).
5. У полі Record name введіть лише частину selector — наприклад google._domainkey або selector1._domainkey. Не додавайте ваш домен у кінці; Route 53 автоматично додає зону (вона показується поруч із полем).
6. Встановіть Record type — TXT або CNAME точно відповідно до того, що надав ваш провайдер (Google = TXT; Microsoft 365 і Amazon SES = CNAME).
7. У полі Value:
   • Для TXT-ключа вставте довге значення в подвійних лапках: "v=DKIM1; k=rsa; p=...".
   • Для CNAME вставте hostname-ціль від вашого провайдера без лапок (наприклад selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Залиште TTL за замовчуванням.
9. Натисніть Create records. Повторіть для кожного запису (Microsoft 365 потребує два; Amazon SES потребує три).

Типові помилки в Route 53

• TXT-ключі потребують подвійних лапок; CNAME — ні. Це постійно збиває з пантелику. TXT-значення DKIM вводиться як "v=DKIM1; ... p=..." з лапками. Значення CNAME — це просто звичайний hostname-ціль, без лапок. Плутанина тут ламає запис.
• Не вводьте повний домен у поле Record name. Якщо в інструкціях вашого провайдера написано selector1._domainkey.yourdomain.com — вводьте лише selector1._domainkey в Route 53. Включення домену знову створить зламаний хост selector1._domainkey.yourdomain.com.yourdomain.com.
• Вставте увесь ключ — він довгий. TXT-ключі DKIM складаються з сотень символів. Переконайтеся, що нічого не обрізано і немає зайвих пробілів або переносів рядка при копіюванні.
• Додайте всі записи, які вказав провайдер. Microsoft 365 не пройде перевірку лише з одним із двох CNAME; Amazon SES потребує всіх трьох. Неповний набір призведе до тихого збою DKIM.
• TXT проти CNAME — дотримуйтесь вказівок провайдера. Не конвертуйте CNAME в TXT і навпаки. Використовуйте тип, який вони вказали.
• Правильна hosted zone і правильний акаунт. З кількома зонами або AWS-акаунтами легко відредагувати не той. Переконайтеся, що чотири NS-значення зони збігаються з вашими активними неймсерверами.
• Зачекайте. DNS-зміни можуть займати від хвилин до кількох годин, перш ніж DKIM почне підтверджуватися.

Перевірте результат

Після збереження і невеликої паузи для поширення змін запустіть безкоштовну перевірку на цьому сайті. Вона підтвердить зрозумілою мовою, чи опублікований і читається ваш DKIM-запис.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.