기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon SES에서 DKIM을 사용하여 이메일 인증
*DomainKeys Identified Mail*(*DKIM*)은 특정 도메인에서 전송했다고 주장하는 이메일이 해당 도메인의 소유자가 실제로 승인했는지 확인하기 위해 고안된 이메일 보안 표준입니다. 퍼블릭 키 암호화를 사용하여 프라이빗 키를 사용한 이메일에 서명합니다. 그러면 수신자 서버는 도메인의 DNS에 게시된 퍼블릭 키를 사용하여 전송 중에 이메일의 일부가 수정되지 않았는지 확인할 수 있습니다.
DKIM 서명은 선택 사항입니다. DKIM 준수 이메일 공급자에서 배달 가능성을 개선하기 위해 DKIM 서명을 사용하여 이메일을 서명할 수 있습니다. Amazon SES는 DKIM 서명을 사용하여 메시지에 서명할 수 있는 세 가지 옵션을 제공합니다.
+ **Easy DKIM**: SES가 퍼블릭-프라이빗 키 페어를 생성하고 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 자동으로 추가합니다. [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md) 섹션을 참조하세요.
+ **DEED(Deterministic Easy DKIM)**: DKIM 서명 속성을 Easy DKIM을 사용하는 상위 자격 증명으로 자동으로 상속하는 복제본 자격 증명을 생성 AWS 리전 하여 여러에서 일관된 DKIM 서명을 유지할 수 있습니다. 섹션을 참조하세요[Amazon SES에서 Deterministic Easy DKIM(DEED) 사용](send-email-authentication-dkim-deed.md).
+ **BYODKIM(자체 DKIM 사용)**: 사용자가 자체 퍼블릭-프라이빗 키 페어를 제공하면 SES가 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 추가합니다. [Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공](send-email-authentication-dkim-bring-your-own.md) 섹션을 참조하세요.
+ **DKIM 서명 수동 추가**: 사용자가 `SendRawEmail` API를 사용하여 전송하는 이메일에 자체 DKIM 서명을 추가합니다. [Amazon SES에서 수동 DKIM 서명](send-email-authentication-dkim-manual.md) 섹션을 참조하세요.
## DKIM 서명 키 길이
현재 많은 DNS 공급자가 DKIM 2048비트 RSA 암호화를 완벽하게 지원하므로 Amazon SES는 또한 이메일 인증을 보다 안전하게 수행할 수 있도록 DKIM 2048을 지원함으로써 API 또는 콘솔에서 Easy DKIM을 구성할 때 이를 기본 키 길이로 사용합니다. 2048비트 키는 BYODKIM(자체 DKIM 사용)에서 설정 및 사용할 수도 있습니다. 이때 서명 키 길이가 1024비트 이상이어야 하며 2048비트를 넘지 않아야 합니다.
Easy DKIM으로 구성된 경우 보안 및 이메일 전송 가능성을 위해 1024 및 2048비트 키 길이를 사용하도록 선택할 수 있으며 여전히 2048비트를 지원하지 않는 DNS 공급자에 의해 발생하는 문제가 있는 경우 1024비트로 되돌릴 수 있는 유연성도 제공합니다. *새 ID를 만들 때 1024비트를 지정하지 않으면 기본적으로 DKIM 2048비트를 사용하여 만들어집니다.*
전송 중인 이메일의 전송 가능성을 유지하기 위해 사용자의 DKIM 키 길이를 변경할 수 있는 빈도에는 제한이 있습니다. 제한 사항은 다음과 같습니다.
+ 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.
+ 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).
이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일 인증합니다. 따라서 키를 너무 빠르게 또는 자주 변경하면 이전 키가 이미 무효화되어 DNS가 이메일을 DKIM 인증하지 못할 수 있으므로 이러한 제한 사항으로 인해 보호됩니다.
## DKIM 고려 사항
DKIM을 사용하여 이메일을 인증할 때 다음 규칙이 적용됩니다.
+ 'From' 주소에 사용하는 도메인에 대해서만 DKIM을 설정하면 됩니다. 'Return-Path' 또는 'Reply-to' 주소에 사용하는 도메인에 대해서는 DKIM을 사용하지 않아도 됩니다.
+ Amazon SES는 여러 AWS 리전에서 사용할 수 있습니다. 둘 이상의 AWS 리전을 사용하여 이메일을 보내는 경우 모든 이메일이 DKIM 서명되도록 각 모든 리전에서 DKIM 설정 프로세스를 완료해야 합니다.
+ DKIM 속성은 상위 도메인에서 상속되기 때문에 DKIM 인증을 사용하여 도메인을 확인할 때 다음을 수행합니다.
+ DKIM 인증은 해당 도메인의 모든 하위 도메인에도 적용됩니다.
+ 하위 도메인에 대한 DKIM 설정은 하위 도메인에서 DKIM 인증을 사용하고 싶지 않은 경우 상속을 사용 중지하여 상위 도메인 설정을 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.
+ DKIM 인증은 주소에서 DKIM 확인 도메인을 참조하는 이메일 자격 증명에서 보낸 모든 이메일에도 적용됩니다.
+ 이메일 주소에 대한 DKIM 설정은 DKIM 인증 없이 메일을 보내려고 하는 경우 하위 도메인(해당하는 경우) 및 상위 도메인에 대한 설정을 상속 사용 중지하여 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.
## 상속된 DKIM 서명 속성 이해
Easy DKIM 또는 BYODKIM이 사용되는지 여부에 관계없이 해당 도메인이 DKIM으로 구성된 경우 이메일 주소 자격 증명이 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 먼저 이해하는 것이 중요합니다. 따라서 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지하거나 사용하면 다음과 같은 주요 요인에 따라 도메인의 DKIM 서명 속성이 재정의됩니다.
+ 이메일 주소가 속하는 도메인에 대해 DKIM을 이미 설정한 경우 해당 이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 필요가 없습니다.
+ 도메인에 대해 DKIM을 설정하면 Amazon SES가 상위 도메인에서 상속한 DKIM 속성을 통해 해당 도메인의 모든 주소에서 보내는 모든 이메일을 자동으로 인증합니다.
+ 특정 이메일 주소 자격 증명의 DKIM 설정은 해당 이메일이 속한 *상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의*합니다.
이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에서 설명하는 대로 재정의의 계층적 규칙을 고려해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim.html)
일반적으로 DKIM 서명을 사용 중지하는 것은 권장되지 않으며 보낸 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 높아집니다.
그러나 DKIM 서명을 영구적으로 또는 일시적으로 사용 중지하거나 나중에 다시 사용해야 할 수 있는 특정 사용 사례 또는 예외적인 비즈니스 결정에 대해 이메일 주소 자격 증명에서 도메인이 상속한 DKIM 서명 속성을 재정의하는 기능이 있습니다. [이메일 주소 자격 증명의 상속된 DKIM 서명 재정의](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)을(를) 참조하세요.
# Amazon SES에서 Easy DKIM
도메인 자격 증명에 대해 Easy DKIM을 설정하면 Amazon SES는 사용자가 해당 자격 증명에서 보내는 모든 이메일에 2048비트 DKIM 키를 자동으로 추가합니다. Amazon SES 콘솔을 사용하거나 API를 사용하여 Easy DKIM을 구성할 수 있습니다.
**참고**
Easy DKIM을 설정하려면 도메인의 DNS 설정을 수정해야 합니다. Route 53을 DNS 공급자로 사용하는 경우 Amazon SES가 해당 레코드를 자동으로 생성할 수 있습니다. 다른 DNS 공급자를 사용하는 경우 해당 공급자의 설명서에서 도메인의 DNS 설정 변경에 대해 자세히 알아보세요.
**주의**
현재 BYODKIM을 사용하는데 Easy DKIM으로 전환하는 경우 Easy DKIM이 설정 중이고 DKIM 상태가 보류 중인 동안에는 Amazon SES가 BYODKIM을 사용하여 이메일에 서명하지 않습니다. API 또는 콘솔을 통해 Easy DKIM을 사용 설정하도록 호출하는 시점부터 SES가 DNS 구성을 확인할 수 있는 시점까지는 SES에서 DKIM 서명 없이 이메일이 전송될 수 있습니다. 따라서 중간 단계를 사용하여 한 DKIM 서명 방법에서 다른 DKIM 서명 방법으로 마이그레이션하거나(예: BYODKIM이 사용 설정된 도메인의 하위 도메인을 사용한 다음 Easy DKIM 확인이 통과되면 삭제) 애플리케이션의 가동 중지 시간 동안(있는 경우) 이 작업을 수행하는 것이 좋습니다.
## 검증된 도메인 자격 증명에 대해 Easy DKIM 설정
이 섹션의 절차는 이미 만든 도메인 자격 증명에 Easy DKIM을 구성하는 데 필요한 단계를 보여주기 위해 간소화되었습니다. 도메인 자격 증명을 아직 생성하지 않았거나 기본 구성 집합, 사용자 지정 MAIL FROM 도메인 및 태그 사용과 같이 도메인 자격 증명을 사용자 지정하는 데 사용할 수 있는 모든 옵션을 보려면 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하세요.
Easy DKIM 도메인 자격 증명을 생성하는 과정의 일부는 Amazon SES 기본값 2048비트를 허용하거나 1024비트를 선택하여 기본값을 무시하도록 선택할 수 있는 DKIM 기반 확인을 구성하는 것입니다. DKIM 서명 키 길이 및 키 변경 방법에 대해 자세히 알아보려면 [DKIM 서명 키 길이](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)을 참조하십시오.
**도메인에 대해 Easy DKIM을 설정하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명** 유형이 *도메인*인 자격 증명을 선택합니다.
**참고**
도메인을 생성하거나 확인해야 하는 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하십시오.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정** 컨테이너에서 **자격 증명 유형** 필드의 **Easy DKIM** 버튼을 선택합니다.
1. **DKIM 서명 키 길이** 필드에서 [**RSA\$12048\$1BIT** 또는 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)를 선택합니다.
1. **DKIM 서명** 필드에서 **Enabled(활성화됨)** 상자를 확인합니다.
1. **Save changes(변경 사항 저장)**를 선택합니다.
1. Easy DKIM을 사용하여 도메인 자격 증명을 구성했으므로 DNS 공급자로 확인 프로세스를 완료해야 합니다. [DNS 공급자로 DKIM 도메인 자격 증명 확인](creating-identities.md#just-verify-domain-proc) 섹션으로 진행하여 Easy DKIM에 대한 DNS 인증 절차를 따릅니다.
## 자격 증명에 대한 Easy DKIM 서명 키 길이 변경
이 섹션의 절차에서는 서명 알고리즘에 필요한 Easy DKIM 비트를 쉽게 변경하는 방법을 보여줍니다. 보안 강화를 위해 2048비트의 서명 길이가 항상 선호되지만 DKIM 1024만 지원하는 DNS 공급자를 사용해야 하는 경우와 같이 1024비트 길이를 사용해야 할 경우가 있습니다.
전송 중인 이메일의 전송 가능성을 유지하기 위해 DKIM 키 길이를 변경하거나 되돌릴 수 있는 빈도에 제한이 있습니다.
이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일 인증합니다. 따라서 키를 너무 빠르게 또는 자주 변경하면 이전 키가 이미 무효화되어 DNS가 이메일을 DKIM 인증하지 못할 수 있으므로 다음과 같은 제한 사항으로 인해 보호됩니다.
+ 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.
+ 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).
다음 절차를 사용하여 키 길이를 변경할 때 이러한 제한 사항 중 하나를 위반하면 콘솔은 *입력한 입력이 유효하지 않습니다(the input you provided is invalid)*라는 오류 메시지와 유효하지 않은 이유를 표시합니다.
**DKIM 서명 키 길이 비트를 변경하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 자격 증명)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 서명 키 길이를 변경하려는 자격 증명을 선택합니다.
1. **DomainKeys Identified Mail(DKIM)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정** 컨테이너의 **DKIM 서명 키 길이** 필드에서 [**RSA\$12048\$1BIT** 또는**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) 중 하나를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
# Amazon SES에서 Deterministic Easy DKIM(DEED) 사용
DEED(Deterministic Easy DKIM)는 여러에서 DKIM 구성을 관리하기 위한 솔루션을 제공합니다 AWS 리전. DNS 관리를 간소화하고 일관된 DKIM 서명을 보장함으로써 DEED는 강력한 이메일 인증 관행을 유지하면서 다중 리전 이메일 전송 작업을 간소화하는 데 도움이 됩니다.
## Deterministic Easy DKIM(DEED)이란 무엇인가요?
DEED(Deterministic Easy DKIM)는 Easy DKIM으로 구성된 상위 도메인을 AWS 리전 기반으로 모든에서 일관된 DKIM 토큰을 생성하는 기능입니다. [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md) 이를 통해 현재 Easy DKIM으로 구성된 상위 자격 증명과 동일한 DKIM 서명 구성을 AWS 리전 자동으로 상속하고 유지하는 다른에서 자격 증명을 복제할 수 있습니다. DEED를 사용하면 상위 ID에 대해 DNS 레코드를 한 번만 게시하면 되며, 복제본 ID는 동일한 DNS 레코드를 사용하여 도메인 소유권을 확인하고 DKIM 서명을 관리합니다.
DNS 관리를 간소화하고 일관된 DKIM 서명을 보장함으로써 DEED는 최선의 이메일 인증 관행을 유지하면서 다중 리전 이메일 전송 작업을 간소화하는 데 도움이 됩니다.
DEED에 대해 말할 때 사용되는 용어:
+ **상위 ID** - 복제본 ID에 대한 DKIM 구성의 소스 역할을 하는 Easy DKIM으로 구성된 확인된 ID입니다.
+ **복제본 ID** - 동일한 DNS 설정 및 DKIM 서명 구성을 공유하는 상위 ID의 사본입니다.
+ **상위 리전** - 상위 ID가 설정된 AWS 리전 입니다.
+ **복제본 리전** - 복제본 ID가 설정된 AWS 리전 입니다.
+ **DEED ID** - 상위 ID 또는 복제본 ID로 사용되는 모든 ID입니다. (새 ID가 생성되면 처음에는 일반(비 DEED) ID로 처리됩니다. 하지만 복제본이 생성되면 ID가 DEED ID로 간주됩니다.)
DEED 사용의 주요 이점은 다음과 같습니다.
+ **간소화된 DNS 관리** - 상위 ID에 대해 DNS 레코드를 한 번만 게시합니다.
+ **더 쉬운 다중 리전 작업** - 이메일 전송 작업을 새 리전으로 확장하는 프로세스를 간소화합니다.
+ **관리 오버헤드 감소** - 상위 ID에서 DKIM 구성을 중앙에서 관리합니다.
## Deterministic Easy DKIM(DEED) 작동 방식
복제본 ID를 생성하면 Amazon SES는 상위 ID에서 복제본 ID로 DKIM 서명 키를 자동으로 복제합니다. 상위 ID에 대한 후속 DKIM 키 교체 또는 키 길이 변경은 모든 복제본 ID에 자동으로 전파됩니다.
프로세스는 다음 워크플로로 구성됩니다.
1. Easy DKIM을 AWS 리전 사용하여에서 상위 자격 증명을 생성합니다.
1. 상위 ID에 필요한 DNS 레코드를 설정합니다.
1. 다른에서 복제본 자격 증명을 생성하여 상위 자격 증명의 도메인 이름과 DKIM 서명 리전을 AWS 리전지정합니다.
1. Amazon SES는 상위의 DKIM 구성을 복제본 ID에 자동으로 복제합니다.
중요 고려 사항:
+ 이미 복제본인 ID의 복제본은 생성할 수 없습니다.
+ 상위 ID에는 [Easy DKIM](send-email-authentication-dkim-easy.md)이 활성화되어 있어야 합니다. BYODKIM 또는 수동으로 서명된 ID의 복제본을 생성할 수 없습니다.
+ 모든 복제본 ID가 삭제될 때까지 상위 ID를 삭제할 수 없습니다.
## DEED를 사용하여 복제본 ID 설정
이 섹션에서는 필요한 권한과 함께 DEED를 사용하여 복제본 ID를 생성하고 확인하는 방법을 보여 주는 예제를 제공합니다.
**Topics**
+ [복제본 ID 생성](#creating-replica-identity)
+ [복제본 ID 구성 확인](#verifying-replica-identity)
+ [DEED를 사용하는 데 필요한 권한](#required-permissions)
### 복제본 ID 생성
복제본 ID 생성:
1. 복제본 자격 증명을 생성하려는 AWS 리전 에서 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) SES 콘솔을 엽니다.
(SES 콘솔에서는 복제본 ID를 *글로벌 ID가*라고 합니다.)
1. 탐색 창에서 **ID**를 선택합니다.
1. **자격 증명 생성(Create identity)**을 선택합니다.
1. **ID 유형**에서 **도메인**을 선택하고 복제하여 상위로 사용할 Easy DKIM으로 구성된 기존 ID의 도메인 이름을 입력합니다.
1. **고급 DKIM 설정**을 확장하고 **Deterministic Easy DKIM**을 선택합니다.
1. **상위 리전** 드롭다운 메뉴에서 글로벌(복제본) ID에 입력한 것과 동일한 이름의 Easy DKIM 서명 ID가 있는 상위 리전을 선택합니다. (복제 리전은 기본적으로 SES 콘솔에 로그인한 리전으로 설정됩니다.)
1. **DKIM 서명**이 활성화되어 있는지 확인합니다.
1. (선택 사항) 도메인 ID에 하나 이상의 **태그**를 추가합니다.
1. 구성을 살펴본 후 **ID 생성**을 선택합니다.
사용 AWS CLI:
Easy DKIM으로 구성된 상위 ID를 기반으로 복제본 ID를 생성하려면 다음 예제와 같이 상위 도메인 이름, 복제본 ID를 생성하려는 리전 및 상위 DKIM 서명 리전을 지정해야 합니다.
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
이전 예제에서:
1. *example.com*을 복제 중인 상위 도메인 ID로 바꿉니다.
1. *us-west-2*를 복제본 도메인 ID가 생성될 리전으로 바꿉니다.
1. *AWS\$1SES\$1US\$1EAST\$11*을 복제본 ID에 복제될 Easy DKIM 서명 구성을 나타내는 상위의 DKIM 서명 리전으로 바꿉니다.
**참고**
`AWS_SES_` 접두사는 DKIM이 Easy DKIM을 사용하여 상위 자격 증명에 대해 구성되었음을 나타내며 `US_EAST_1`가 생성된 AWS 리전 입니다.
### 복제본 ID 구성 확인
복제본 ID를 생성한 후 상위 ID의 DKIM 서명 구성으로 올바르게 구성되었는지 확인할 수 있습니다.
**복제본 ID 확인:**
1. 복제본 자격 증명을 생성한 AWS 리전 에서 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) SES 콘솔을 엽니다.
1. 탐색 창의 **ID**를 선택하고 ID 테이블에서 확인하려는 **ID**를 선택합니다.
1. **인증** 탭에서 **DKIM 구성** 필드는 상태를 나타내고 **상위 리전** 필드는 DEED를 사용하여 ID의 DKIM 서명 구성에 사용 중인 리전을 나타냅니다.
사용 AWS CLI:
복제본의 도메인 이름과 리전을 지정하는 `get-email-identity` 명령을 사용합니다.
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
응답에는 복제본 ID가 상위 ID의 DKIM 서명 구성으로 성공적으로 구성되었음을 나타내는 `SigningAttributesOrigin` 파라미터의 상위 리전 값이 포함됩니다.
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### DEED를 사용하는 데 필요한 권한
DEED를 사용하려면 다음이 필요합니다.
1. 복제본 리전에서 이메일 ID를 생성하기 위한 표준 권한.
1. 상위 리전에서 DKIM 서명 키를 복제할 수 있는 권한.
#### DKIM 복제를 위한 IAM 정책 예제
다음 정책은 상위 ID에서 지정된 복제본 리전으로의 DKIM 서명 키 복제를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## 모범 사례
다음은 권장 모범 사례입니다.
+ **상위 및 복제본 리전 계획** - 복제본 리전에 사용되는 DKIM 구성의 출처가 되므로 선택한 상위 리전을 고려합니다.
+ **일관된 IAM 정책 사용** - IAM 정책이 의도한 모든 리전에서 DKIM 복제를 허용하는지 확인합니다.
+ **상위 ID를 활성 상태로 유지** - 복제본 ID는 상위 ID의 DKIM 서명 구성을 상속합니다. 이 종속성으로 인해 모든 복제본 ID가 삭제될 때까지 상위 ID를 삭제할 수 없습니다.
## 문제 해결
DEED에 문제가 발생하면 다음을 고려하세요.
+ **확인 오류** - DKIM 복제에 필요한 권한이 있는지 확인합니다.
+ **복제 지연** - 특히 새 복제본 ID를 생성할 때 복제가 완료될 때까지 잠시 기다립니다.
+ **DNS 문제** - 상위 ID에 대한 DNS 레코드가 올바르게 설정 및 전파되었는지 확인합니다.
# Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공
[Easy DKIM](send-email-authentication-dkim-easy.md)을 사용하는 대신 자체 퍼블릭-프라이빗 키 페어를 사용하여 DKIM 인증을 구성할 수 있습니다. 이 프로세스는 *자체 DKIM 사용*(*BYODKIM*)이라고 합니다.
BYODKIM을 사용하면 세 개의 개별 DNS 레코드를 게시해야 하는 Easy DKIM과 달리 단일 DNS 레코드를 사용하여 도메인에 대한 DKIM 인증을 구성할 수 있습니다. 또한 BYODKIM을 사용하면 도메인의 DKIM 키를 원하는 만큼 자주 교체할 수 있습니다.
**Topics**
+ [1단계: 키 페어 생성](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [2단계: DNS 공급자의 도메인 구성에 선택기 및 퍼블릭 키 추가](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [3단계: BYODKIM을 사용하도록 도메인 구성 및 확인](#send-email-authentication-dkim-bring-your-own-configure-identity)
**주의**
현재 Easy DKIM을 사용하는데 BYODKIM으로 전환하는 경우 BYODKIM이 설정 중이고 DKIM 상태가 보류 중인 동안에는 Amazon SES가 Easy DKIM을 사용하여 이메일에 서명하지 않습니다. API 또는 콘솔을 통해 BYODKIM을 사용 설정하도록 호출하는 시점부터 SES가 DNS 구성을 확인할 수 있는 시점까지는 SES에서 DKIM 서명 없이 이메일이 전송될 수 있습니다. 따라서 중간 단계를 사용하여 한 DKIM 서명 방법에서 다른 DKIM 서명 방법으로 마이그레이션하거나(예: Easy DKIM이 사용 설정된 도메인의 하위 도메인을 사용한 다음 BYODKIM 확인이 통과되면 삭제) 애플리케이션의 가동 중지 시간 동안(있는 경우) 이 작업을 수행하는 것이 좋습니다.
## 1단계: 키 페어 생성
BYODKIM 기능을 사용하려면 먼저 RSA 키 페어를 생성해야 합니다.
생성하는 프라이빗 키는 PKCS \$11 또는 PKCS \$18 형식이어야 하며 최소 1024비트 RSA 암호화와 최대 2048비트를 사용하고 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용하여 인코딩해야 합니다. DKIM 서명 키 길이 및 키 변경 방법에 대해 자세히 알아보려면 [DKIM 서명 키 길이](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) 단원을 참조하십시오.
**참고**
프라이빗 키가 최소 1024비트 RSA 암호화 및 최대 2048비트로 생성되고 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용하여 인코딩된 경우 서드 파티 애플리케이션 및 도구를 사용하여 RSA 키 페어를 생성할 수 있습니다.
다음 절차에서 대부분의 Linux, macOS 또는 Unix 운영 체제에 내장된 `openssl genrsa` 명령을 사용하여 키 페어를 생성하는 예제 코드는 자동으로 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용합니다.
**Linux, macOS 또는 Unix 명령줄에서 키 페어를 생성하려면**
1. 명령줄에 다음 명령을 입력하여 최대 1024비트에서 최대 2048비트를 지닌 *nnnn* 비트로 대체하는 프라이빗 키를 생성합니다.
```
openssl genrsa -f4 -out private.key nnnn
```
1. 명령줄에 다음 명령을 입력하여 퍼블릭 키를 생성합니다.
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## 2단계: DNS 공급자의 도메인 구성에 선택기 및 퍼블릭 키 추가
키 페어를 생성했으면 이제 도메인의 DNS 구성에 퍼블릭 키를 TXT 레코드로 추가해야 합니다.
**도메인의 DNS 구성에 퍼블릭 키를 추가하려면**
1. DNS 또는 호스팅 공급자의 관리 콘솔에 로그인합니다.
1. 도메인의 DNS 구성에 새로운 텍스트 레코드를 추가합니다. 레코드는 다음 형식을 사용해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
이전 예제에서 다음과 같이 변경합니다.
+ *selector*를 키를 식별하는 고유 이름으로 바꿉니다.
**참고**
소수의 DNS 공급자는 레코드 이름에 밑줄(\$1)을 포함하는 것을 허용하지 않습니다. 그러나 DKIM 레코드 이름에서 밑줄은 필수입니다. DNS 공급자가 레코드 이름에 밑줄을 입력하는 것을 허용하지 않는 경우 해당 공급자의 고객 지원 팀에 문의하세요.
+ *example.com*을 도메인으로 바꿉니다.
+ *yourPublicKey*를 이전에 생성한 퍼블릭 키로 바꾸고 위의 *값(Value)* 열에 표시된 대로 `p=` 접두사를 포함합니다.
**참고**
DNS 공급자에 퍼블릭 키를 게시(추가)할 때는 다음과 같은 형식을 사용해야 합니다.
생성된 퍼블릭 키의 첫 번째 줄(`-----BEGIN PUBLIC KEY-----`)과 마지막 줄(`-----END PUBLIC KEY-----`)을 삭제해야 합니다. 또한 생성된 퍼블릭 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
위 테이블의 *값(Value)* 열에 표시된 대로 `p=` 접두사를 포함해야 합니다.
공급자마다 DNS 레코드를 업데이트하는 절차가 다릅니다. 다음 표에는 널리 사용되는 몇몇 DNS 공급자의 설명서에 대한 링크가 포함되어 있습니다. 이는 전체 목록이 아니며 목록에 포함되어 있다고 해서 해당 공급자를 승인하는 것은 아닙니다. 마찬가지로 DNS 공급자가 목록에 없는 경우에도 Amazon SES에서 도메인을 사용할 수 없다는 의미는 아닙니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## 3단계: BYODKIM을 사용하도록 도메인 구성 및 확인
콘솔 또는 AWS CLI를 사용하여 새 도메인(즉, 현재 Amazon SES를 통해 이메일을 보내는 데 사용하지 않는 도메인)과 기존 도메인(즉, Amazon SES에서 사용하도록 이미 설정한 도메인) 모두에 대해 BYODKIM을 설정할 수 있습니다. 이 섹션의 AWS CLI 절차를 사용하기 전에 먼저를 설치하고 구성해야 합니다 AWS CLI. 자세한 내용은 [AWS Command Line Interface 사용 설명서를](https://docs.aws.amazon.com/cli/latest/userguide/) 참조하세요.
### 옵션 1: BYODKIM을 사용하는 새 도메인 자격 증명 생성
이 단원에서는 BYODKIM을 사용하는 새 도메인 자격 증명을 생성하는 절차에 대해 설명합니다. 새 도메인 자격 증명은 이전에 Amazon SES를 사용하여 이메일을 보내도록 설정하지 않은 도메인입니다.
BYODKIM을 사용하도록 기존 도메인을 구성하려면 대신 [옵션 2: 기존 도메인 자격 증명 구성](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) 절차를 완료하세요.
**콘솔에서 BYODKIM을 사용하여 자격 증명을 생성하려면**
+ [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure)의 절차를 따르고 8단계에 도달하면 BYODKIM 관련 지침을 따릅니다.
**에서 BYODKIM을 사용하여 자격 증명을 생성하려면 AWS CLI**
새 도메인을 구성하려면 Amazon SES API의 `CreateEmailIdentity` 작업을 사용합니다.
1. 텍스트 편집기에서 다음 코드를 붙여 넣습니다.
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
이전 예제에서 다음과 같이 변경합니다.
+ *example.com*을 생성하려는 도메인으로 바꿉니다.
+ *privateKey*를 해당 프라이빗 키로 바꿉니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
+ *selector*를 도메인에 대한 DNS 구성에서 TXT 레코드를 생성할 때 지정한 고유 선택기로 바꿉니다.
작업을 마치면 파일 이름을 `create-identity.json`(으)로 저장합니다.
1. 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
앞의 명령에서 *path/to/create-identity.json*을 이전 단계에서 생성한 파일의 전체 경로로 바꿉니다.
### 옵션 2: 기존 도메인 자격 증명 구성
이 단원에서는 BYODKIM을 사용하도록 기존 도메인 자격 증명을 업데이트하는 절차에 대해 설명합니다. 기존 도메인 자격 증명은 Amazon SES를 사용하여 이메일을 보내도록 이미 설정한 도메인입니다.
**콘솔에서 BYODKIM을 사용하여 도메인 ID를 업데이트하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 자격 증명)**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명** 유형이 *도메인*인 자격 증명을 선택합니다.
**참고**
도메인을 생성하거나 확인해야 하는 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하십시오.
1. **도메인키 식별 메일(DKIM)((DomainKeys Identified Mail(DKIM))** 창의 **인증(Authentication)** 탭 아래에서 **편집(Edit)**을 선택합니다.
1. **고급 DKIM 설정(Advanced DKIM settings)** 창에서 **자격 증명 유형(Identity type)** 필드의 **DKIM 인증 토큰 제공(Provide DKIM authentication token)** 버튼을 선택합니다.
1. **프라이빗 키(Private key)**에 이전에 생성한 프라이빗 키를 붙여 넣습니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
1. **선택기 이름**의 경우, 도메인의 DNS 설정에서 지정한 선택기 이름을 입력합니다.
1. **DKIM 서명** 필드에서 **Enabled(활성화됨)** 상자를 확인합니다.
1. **Save changes(변경 사항 저장)**를 선택합니다.
**에서 BYODKIM을 사용하여 도메인 자격 증명을 업데이트하려면 AWS CLI**
기존 도메인을 구성하려면 Amazon SES API의 `PutEmailIdentityDkimSigningAttributes` 작업을 사용합니다.
1. 텍스트 편집기에서 다음 코드를 붙여 넣습니다.
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
이전 예제에서 다음과 같이 변경합니다.
+ *privateKey*를 해당 프라이빗 키로 바꿉니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
+ *selector*를 도메인에 대한 DNS 구성에서 TXT 레코드를 생성할 때 지정한 고유 선택기로 바꿉니다.
작업을 마치면 파일 이름을 `update-identity.json`(으)로 저장합니다.
1. 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
위의 명령에서 다음과 같이 변경하세요.
+ *path/to/update-identity.json*을 이전 단계에서 생성한 파일의 전체 경로로 바꿉니다.
+ *example.com*을 업데이트하려는 도메인으로 바꿉니다.
### BYODKIM을 사용하는 도메인의 DKIM 상태 확인
**콘솔에서 도메인의 DKIM 상태를 확인하려면**
BYODKIM을 사용하도록 도메인을 구성한 후 SES 콘솔을 사용하여 DKIM이 제대로 구성되었는지 확인할 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 상태를 확인하려는 자격 증명을 선택합니다.
1. DNS 설정에 대한 변경 사항이 배포되려면 최대 72시간이 소요될 수 있습니다. Amazon SES가 도메인 DNS 설정에서 이러한 DKIM 레코드를 모두 감지하면 확인 프로세스가 완료됩니다. 모든 것이 올바르게 구성된 경우 **도메인키 식별 메일(DKIM)** 창에서 도메인의 **DKIM 구성** 필드에 **성공**이 표시되고 **요약** 창에서 **ID 상태** 필드에 **확인됨**이 표시됩니다.
**를 사용하여 도메인의 DKIM 상태를 확인하려면 AWS CLI**
BYODKIM을 사용하도록 도메인을 구성한 후 GetEmailIdentity 작업을 사용하여 DKIM이 제대로 구성되었는지 확인할 수 있습니다.
+ 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 get-email-identity --email-identity example.com
```
앞의 명령에서 *example.com*을 해당 도메인으로 바꿉니다.
이 명령은 다음 예제와 유사한 섹션이 포함된 JSON 객체를 반환합니다.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
다음 사항이 모두 true일 경우 BYODKIM이 도메인에 대해 올바르게 구성된 것입니다.
+ `SigningAttributesOrigin` 속성의 값이 `EXTERNAL`입니다.
+ `SigningEnabled`의 값이 `true`입니다.
+ `Status`의 값이 `SUCCESS`입니다.
# Easy DKIM 및 BYODKIM 관리
자격 증명 인증을 위한 DKIM 설정은 웹 기반 Amazon SES 콘솔이나 Amazon SES API를 사용하여 Easy DKIM 또는 BYODKIM으로 관리할 수 있습니다. 이러한 방법 중 하나를 사용하여 자격 증명의 DKIM 레코드를 얻거나, 자격 증명에 대해 DKIM 서명을 사용하거나 사용 중지할 수 있습니다.
## 자격 증명의 DKIM 레코드 얻기
Amazon SES 콘솔을 사용하여 언제든 도메인 또는 이메일 주소의 DKIM 레코드를 얻을 수 있습니다.
**콘솔을 사용하여 자격 증명의 DKIM 레코드 얻기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 레코드를 얻으려는 자격 증명을 선택합니다.
1. 자젹 증명 세부 정보 페이지의 **인증** 탭에서 **View DNS records(DNS 레코드 보기)**를 확장합니다.
1. Easy DKIM을 사용한 경우 CNAME 레코드 3개를 복사하고, 이 섹션에 나타나는 BYODKIM을 사용한 경우 TXT 레코드를 복사합니다. 또는 **Download .csv record set(레코드 세트를 .csv로 다운로드)**를 선택하여 레코드 사본을 컴퓨터에 저장할 수도 있습니다.
다음 이미지는 Easy DKIM과 연결된 CNAME 레코드를 표시하는 확장된 **DNS 레코드 보기** 섹션의 예제입니다.
![\[\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/dkim_existing_dns.png)
Amazon SES API를 사용하여 자격 증명의 DKIM 레코드를 얻을 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대한 DKIM 레코드를 가져오려면 AWS CLI**
1. 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
앞의 예에서 *example.com*을 DKIM 레코드를 얻으려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
1. 다음 예와 같이 이 명령의 출력에는 `DkimTokens` 섹션이 포함됩니다.
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
토큰을 사용하여 도메인의 DNS 설정에 추가하는 CNAME 레코드를 생성할 수 있습니다. CNAME 레코드를 생성하려면 다음 템플릿을 사용합니다.
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
*token1*의 각 인스턴스를 `get-identity-dkim-attributes` 명령을 실행할 때 받은 목록의 첫 번째 토큰으로 바꾸고, *token2*의 모든 인스턴스를 목록의 두 번째 토큰으로 바꾸고, *token3*의 모든 인스턴스를 목록의 세 번째 토큰으로 바꿉니다.
예를 들어 앞의 예에 나온 토큰에 이 템플릿을 적용하면 다음 레코드가 생성됩니다.
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**참고**
모든 사용자가 기본 SES DKIM 도메인을 AWS 리전 사용하는 것은 아닙니다. 리전에서 리전별 DKIM 도메인을 사용하는지 `dkim.amazonses.com`확인하려면에서 [DKIM 도메인 테이블](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)을 확인하세요*AWS 일반 참조*.
## 자격 증명에 대해 Easy DKIM 비활성화
Amazon SES 콘솔을 사용하여 자격 증명의 DKIM 인증을 빠르게 비활성화할 수 있습니다.
**자격 증명에 대해 DKIM 사용 중지**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM을 사용 중지하려는 자격 증명을 선택합니다.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정(Advanced DKIM settings)**에서 **DKIM 서명(DKIM signatures)** 필드의 **사용(Enabled)** 상자를 선택 취소합니다.
Amazon SES API를 사용하여 자격 증명에 대해 DKIM을 사용 중지할 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대해 DKIM을 비활성화하려면 AWS CLI**
+ 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
앞의 예에서 *example.com*을 DKIM을 사용 중지하려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
## 자격 증명에 대해 Easy DKIM 활성화
이전에 자격 증명에 대해 DKIM을 사용 중지한 경우 Amazon SES 콘솔을 사용하여 다시 사용 설정할 수 있습니다.
**자격 증명에 대해 DKIM 사용 설정**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM을 사용 설정하려는 자격 증명을 선택합니다.
1. **DomainKeys Identified Mail(DKIM)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정**에서 **DKIM 서명** 필드의 **Enabled(활성화)** 상자를 확인합니다.
Amazon SES API를 사용하여 자격 증명에 대해 DKIM을 사용 설정할 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대해 DKIM을 활성화하려면 AWS CLI**
+ 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
앞의 예에서 *example.com*을 DKIM을 사용 설정하려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
## 이메일 주소 자격 증명의 상속된 DKIM 서명 재정의
이 섹션에서는 Amazon SES로 이미 확인한 특정 이메일 주소 자격 증명에서 상위 도메인으로부터 상속된 DKIM 서명 속성을 재정의(사용 중지 또는 사용 설정)하는 방법을 확인합니다. DNS 설정이 도메인 수준에서 구성되어 있으므로 이미 소유한 도메인에 속한 이메일 주소 자격 증명에 대해서만 이 작업을 수행할 수 있습니다.
**중요**
다음에 해당하는 이메일 주소 자격 증명에 대해 DKIM 서명을 사용/사용 중지할 수 없습니다.
소유하지 않은 도메인의 이메일 주소 자격 증명 예를 들어 *gmail.com* 또는 *hotmail.com* 주소에 대해 DKIM 서명을 토글할 수 없습니다.
소유하고 있지만 Amazon SES에서 아직 확인되지 않은 도메인의 이메일 주소 자격 증명
소유하고 있지만 DKIM 서명을 사용하지 않은 도메인의 이메일 주소 자격 증명
이 섹션은 다음 주제를 포함합니다:
+ [상속된 DKIM 서명 속성 이해](#dkim-easy-setup-email-key-points-mng)
+ [이메일 주소 자격 증명의 DKIM 서명 재정의(콘솔)](#override-dkim-email-console-mng)
+ [이메일 주소 자격 증명의 DKIM 서명 재정의(AWS CLI)](#override-dkim-email-cli-mng)
### 상속된 DKIM 서명 속성 이해
Easy DKIM 또는 BYODKIM이 사용되는지 여부에 관계없이 해당 도메인이 DKIM으로 구성된 경우 이메일 주소 자격 증명이 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 먼저 이해하는 것이 중요합니다. 따라서 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지하거나 사용하면 다음과 같은 주요 요인에 따라 도메인의 DKIM 서명 속성이 재정의됩니다.
+ 이메일 주소가 속하는 도메인에 대해 DKIM을 이미 설정한 경우 해당 이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 필요가 없습니다.
+ 도메인에 대해 DKIM을 설정하면 Amazon SES가 상위 도메인에서 상속한 DKIM 속성을 통해 해당 도메인의 모든 주소에서 보내는 모든 이메일을 자동으로 인증합니다.
+ 특정 이메일 주소 자격 증명의 DKIM 설정은 해당 이메일이 속한 *상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의*합니다.
이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에서 설명하는 대로 재정의의 계층적 규칙을 고려해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
일반적으로 DKIM 서명을 사용 중지하는 것은 권장되지 않으며 보낸 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 높아집니다.
그러나 DKIM 서명을 영구적으로 또는 일시적으로 사용 중지하거나 나중에 다시 사용해야 할 수 있는 특정 사용 사례 또는 예외적인 비즈니스 결정에 대해 이메일 주소 자격 증명에서 도메인이 상속한 DKIM 서명 속성을 재정의하는 기능이 있습니다.
### 이메일 주소 자격 증명의 DKIM 서명 재정의(콘솔)
다음의 SES 콘솔 절차에서는 Amazon SES로 이미 확인한 특정 이메일 주소 자격 증명에서 상위 도메인으로부터 상속된 DKIM 서명 속성을 재정의(사용 중지 또는 사용 설정)하는 방법을 보여줍니다.
**콘솔을 통해 이메일 주소 자격 증명의 DKIM 서명 사용 중지/사용 설정**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명 유형(Identity type)**이 *이메일 주소(Email address)*이고 확인된 도메인 중 하나에 속하는 자격 증명을 선택합니다.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
**참고**
이 **인증** 탭은 선택한 이메일 주소 ID가 SES에서 이미 확인된 도메인에 속하는 경우에만 표시됩니다. 도메인을 아직 확인하지 않은 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 섹션을 참조하세요.
1. **고급 DKIM 설정Advanced DKIM settings)**의 **DKIM 서명(DKIM signatures)** 필드에서 **사용 설정(Enabled)** 확인란을 선택 취소하여 DKIM 서명을 비활성화하거나 해당 확인란을 선택하여 DKIM 서명을 다시 활성화합니다(이전에 재정의한 경우).
1. **변경 사항 저장**을 선택합니다.
### 이메일 주소 자격 증명의 DKIM 서명 재정의(AWS CLI)
다음 예제에서는 AWS CLI SES API 명령 및 파라미터를 사용하여 SES로 이미 확인한 특정 이메일 주소 자격 증명의 상위 도메인에서 상속된 DKIM 서명 속성을 재정의(비활성화 또는 활성화)합니다.
**를 사용하여 이메일 주소 자격 증명에 대한 DKIM 서명을 비활성화/활성화하려면 AWS CLI**
+ *example.com* 도메인을 소유하고 있다고 가정할 때, 도메인의 이메일 주소 중 하나에 대해 DKIM 서명을 사용 중지하려면 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*을 DKIM 서명을 사용 중지하려는 이메일 주소 자격 증명으로 바꿉니다.
1. `--no-signing-enabled`는 DKIM 서명을 사용 중지합니다. DKIM 서명을 다시 사용하려면 `--signing-enabled`를 사용합니다.
# Amazon SES에서 수동 DKIM 서명
Easy DKIM을 사용하는 대신에 메시지에 DKIM 서명을 수동으로 추가한 후 Amazon SES.를 사용하여 해당 메시지를 보낼 수도 있습니다. 메시지에 수동으로 서명하기로 선택한 경우 먼저 DKIM 서명을 생성해야 합니다. 메시지와 DKIM 서명을 생성한 후 [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API를 사용하여 보낼 수 있습니다.
이메일에 수동으로 서명하기로 결정한 경우 다음 요소를 고려하세요.
+ Amazon SES.를 사용하여 보내는 모든 메시지에는 *amazonses.com*의 서명 도메인을 참조하는 DKIM 헤더가 포함됩니다(즉 `d=amazonses.com` 문자열 포함). 따라서, 메시지에 수동으로 서명하는 경우 메시지에 *두 개*의 DKIM 헤더(사용자 도메인 용으로 하나, Amazon SES가 *amazonses.com*에 대해 자동으로 생성된 것 하나)를 포함해야 합니다.
+ Amazon SES는 메시지에 수동으로 추가하는 DKIM 서명의 유효성을 검사하지 않습니다. 메시지의 DKIM 서명에 오류가 있는 경우 이메일 공급자가 거부할 수 있습니다.
+ 메시지에 서명할 때 1,024비트 이상의 비트 길이를 사용해야 합니다.
+ Message-ID, Date, Return-Path, Bounces-To 필드에 서명하지 마세요.
**참고**
Amazon SES SMTP 인터페이스를 사용하여 이메일 클라이언트로 이메일을 보내는 경우 클라이언트가 메시지에 대한 DKIM 서명을 자동으로 수행할 수 있습니다. 일부 클라이언트는 이러한 필드 중 일부에 서명할 수 있습니다. 기본적으로 서명되는 필드에 대한 정보를 보려면 해당 이메일 클라이언트의 설명서를 참조하십시오.