Defaults.Exposed

Defaults.Exposed › 設置 › DKIM

如何在 AWS Route 53 上設定 DKIM

在你的 Route 53 託管區域中發布郵件服務商的 DKIM 金鑰,讓你發出的郵件帶上無法被篡改的簽章。

這件事為什麼關係到你的業務

DKIM(網域金鑰識別郵件)會給你發出的每一封郵件加上一個看不見的數位簽章。收件方的郵件服務商用你發布在 DNS 中的公鑰來確認兩件事:這封郵件確實來自你的網域,而且在傳輸途中沒有被人改動過。

說得直白些:DKIM 就是給你的郵件蓋上一枚真偽防偽章。它讓假冒你更難得逞,也讓你真正發出的郵件更有機會進入對方收件匣、而不是被丟進垃圾郵件。和其他記錄一樣,它是免費的,設定一次即可。

重點:DKIM 分成兩半

DKIM 是所有記錄裡最講究「誰負責哪一步」的一個:

所以:在郵件平台裡產生,在 DNS 託管處發布。

第一步,確認 DNS 由 Route 53 管理

DKIM 記錄只有在 Route 53 負責解析你網域的 DNS 時才會生效。在 Route 53 主控台裡開啟 Hosted zones(託管區域),選中你的網域,記下那四個 NS(網域伺服器)值。它們必須和你註冊商處設定的網域伺服器一致。如果你的網域是透過 Route 53 註冊的,通常它們本就一致;如果是在別處註冊的——或者你為同一網域有不止一個託管區域——請仔細核對。如果目前生效的網域伺服器指向另一家服務商,請到那家去新增 DKIM 記錄;加在 Route 53 這裡不會生效。

從郵件服務商處獲取金鑰

在你郵件服務商的管理後台裡,找到 DKIM 或郵件身份驗證設定,產生/啟用一個金鑰。你拿到的東西取決於服務商,而這也決定了你在 Route 53 裡怎麼填:

把主機名稱和值一字不差地複製下來。

在 Route 53 上的分步操作

  1. 登入 AWS 主控台,開啟 Route 53
  2. 在左側選單選擇 Hosted zones,然後點擊你網域的名稱。
  3. 點擊 Create record(建立記錄)。
  4. 如果出現帶路由選項的精靈,切換到簡單表單(找 Quick create record)。
  5. Record name 一欄,只填選擇器部分——例如 google._domainkeyselector1._domainkey不要在末尾加上你的網域;Route 53 會自動替你補上區域(它會在欄位旁顯示你的網域)。
  6. Record type 設為 TXTCNAME,與服務商給你的完全一致(Google = TXT;Microsoft 365 和 Amazon SES = CNAME)。
  7. Value 一欄:
    • 若是 TXT 金鑰,把那段長值用雙引號包起來貼上:"v=DKIM1; k=rsa; p=..."
    • 若是 CNAME,貼上服務商給你的目標主機,不加引號(例如 selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com)。
  8. TTL 保持預設。
  9. 點擊 Create records。每一條記錄都要重複操作(Microsoft 365 需要兩條;Amazon SES 需要三條)。

Route 53 上人們常踩的坑

驗證是否生效

儲存之後,留出一點生效時間,再用本站的免費檢測跑一下。它會用大白話告訴你:你的 DKIM 記錄是否已發布、是否能被讀取到。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。