Defaults.Exposed › Cài đặt › DKIM

Cách thiết lập DKIM trên AWS Route 53

Công bố khóa DKIM từ nhà cung cấp thư của bạn trong hosted zone Route 53 để email mang chữ ký chống giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DKIM (DomainKeys Identified Mail) thêm một chữ ký số vô hình vào mỗi email bạn gửi. Nhà cung cấp thư nhận dùng khóa công khai bạn công bố trong DNS để xác nhận hai điều: thư thực sự đến từ tên miền của bạn, và không ai thay đổi nó trên đường truyền.

Nói nôm na: DKIM là con dấu xác thực trên email của bạn. Nó làm khó việc giả mạo và cải thiện cơ hội email hợp lệ đến hộp thư thay vì thư rác. Giống như các biện pháp khác, miễn phí và chỉ cần thiết lập một lần.

Quan trọng: DKIM có hai nửa

DKIM là bản ghi mà vai trò của từng bên thực sự quan trọng:

• Nhà cung cấp thư của bạn tạo ra khóa. Google Workspace, Microsoft 365, Amazon SES, hoặc ai đó vận hành việc gửi thư của bạn tạo khóa DKIM cho bạn, trong bảng điều khiển admin của họ. Bạn không thể tự tạo giá trị này — phải lấy chính xác tên host và giá trị từ họ. Route 53 không tạo khóa DKIM; nó là nhà cung cấp DNS, không phải nhà cung cấp hộp thư.
• Route 53 công bố nó. Sau đó bạn thêm khóa đó vào DNS tên miền trong Route 53 (giả sử Route 53 quản lý DNS của bạn — xem bên dưới).

Vậy: tạo tại nền tảng thư, công bố tại nhà cung cấp DNS.

Đầu tiên, xác nhận Route 53 quản lý DNS của bạn

Bản ghi DKIM chỉ hoạt động nếu Route 53 đang trả lời DNS cho tên miền của bạn. Trong bảng điều khiển Route 53, mở Hosted zones, chọn tên miền và ghi lại bốn giá trị NS (nameserver). Những giá trị đó phải khớp với nameserver đặt tại registrar của bạn. Nếu bạn đăng ký tên miền qua Route 53, thường đã khớp rồi; nếu đăng ký ở nơi khác — hoặc có nhiều hosted zone cho tên miền — hãy kiểm tra cẩn thận. Nếu nameserver hoạt động trỏ đến nhà cung cấp khác, hãy thêm bản ghi DKIM ở đó thay vào; sẽ không có hiệu lực tại Route 53.

Lấy khóa từ nhà cung cấp thư của bạn

Trong khu vực admin của nhà cung cấp thư, tìm phần cài đặt DKIM hoặc xác thực email và tạo/bật khóa. Những gì bạn nhận lại phụ thuộc vào nhà cung cấp và ảnh hưởng đến cách nhập vào Route 53:

• Google Workspace cung cấp bản ghi TXT: tên selector như google._domainkey và giá trị dài bắt đầu v=DKIM1; k=rsa; p= theo sau là chuỗi rất dài.
• Microsoft 365 cung cấp hai bản ghi CNAME, với selector như selector1._domainkey và selector2._domainkey, mỗi bản trỏ đến máy chủ Microsoft.
• Amazon SES cung cấp ba bản ghi CNAME (tính năng “Easy DKIM”). Nếu tên miền của bạn trong Route 53, SES thường có thể tự thêm những bản ghi này — nhưng bạn cũng có thể thêm thủ công.

Sao chép tên host và giá trị chính xác.

Hướng dẫn từng bước trên Route 53

1. Đăng nhập vào AWS console và mở Route 53.
2. Trong menu bên trái, chọn Hosted zones, sau đó nhấp vào tên miền của bạn.
3. Nhấp Create record.
4. Nếu wizard với các tùy chọn routing xuất hiện, chuyển sang form đơn giản (tìm Quick create record).
5. Trong Record name, nhập chỉ phần selector — ví dụ google._domainkey hoặc selector1._domainkey. Không thêm tên miền vào cuối; Route 53 tự động nối zone (nó hiển thị tên miền của bạn bên cạnh trường).
6. Đặt Record type thành TXT hoặc CNAME khớp chính xác với những gì nhà cung cấp cung cấp (Google = TXT; Microsoft 365 và Amazon SES = CNAME).
7. Trong Value:
   • Cho khóa TXT, dán giá trị dài được bọc trong dấu ngoặc kép: "v=DKIM1; k=rsa; p=...".
   • Cho CNAME, dán hostname đích mà nhà cung cấp cung cấp, không có dấu ngoặc kép (ví dụ selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Để TTL ở mức mặc định.
9. Nhấp Create records. Lặp lại cho mỗi bản ghi (Microsoft 365 cần hai; Amazon SES cần ba).

Những lỗi phổ biến trên Route 53

• Khóa TXT cần dấu ngoặc kép; CNAME thì không. Điều này hay gây nhầm lẫn. Giá trị DKIM TXT nhập dạng "v=DKIM1; ... p=..." với dấu ngoặc. Giá trị CNAME là hostname thuần túy, không có dấu ngoặc. Nhầm lẫn hai loại này sẽ làm hỏng bản ghi.
• Đừng gõ tên miền đầy đủ trong Record name. Nếu hướng dẫn nhà cung cấp hiển thị selector1._domainkey.yourdomain.com, bạn chỉ nhập selector1._domainkey trong Route 53 — phần còn lại được thêm tự động. Thêm tên miền sẽ tạo host bị lỗi selector1._domainkey.yourdomain.com.yourdomain.com.
• Dán toàn bộ khóa — nó rất dài. Khóa công khai DKIM TXT có hàng trăm ký tự. Đảm bảo không bị cắt bớt và không có khoảng trắng hay xuống dòng thừa khi copy-paste.
• Thêm mọi bản ghi mà nhà cung cấp yêu cầu. Microsoft 365 sẽ không xác thực với chỉ một trong hai CNAME; Amazon SES cần cả ba. Thiếu bản ghi nào thì DKIM thất bại im lặng.
• TXT so với CNAME — làm theo nhà cung cấp. Đừng chuyển CNAME thành TXT hoặc ngược lại. Dùng loại họ chỉ định.
• Hosted zone đúng, tài khoản đúng. Với nhiều zone hoặc tài khoản AWS, dễ chỉnh sửa nhầm zone. Đảm bảo bốn giá trị NS của zone khớp với nameserver hoạt động của bạn.
• Chờ thêm. Thay đổi DNS có thể mất vài phút đến vài giờ để lan rộng trước khi DKIM bắt đầu xác thực.

Xác minh hoạt động

Sau khi lưu và chờ một chút để lan rộng, chạy kiểm tra miễn phí trên trang này. Nó sẽ xác nhận bằng ngôn ngữ đơn giản liệu bản ghi DKIM của bạn đã được công bố và đọc được chưa.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.