本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 Easy DKIM 和 BYODKIM
使用基于 Web 的 Amazon SES 控制台或 Amazon SES API,您可以为已通过 Easy DKIM 或 BYODKIM 验证的身份管理 DKIM 设置。您可以使用其中任一方法来获取身份的 DKIM 记录,或者为身份启用或禁用 Easy DKIM 签名。
## 获取身份的 DKIM 记录
您可以随时使用 Amazon SES 控制台获取您的域或电子邮件地址的 DKIM 记录。
**使用控制台获取身份的 DKIM 记录**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要获取其 DKIM 记录的身份。
1. 在身份详细信息页面的**身份验证**选项卡上,展开**查看 DNS 记录**。
1. 复制在此部分显示的三条别名记录(如果您使用 Easy DKIM)或 TXT 记录(如果您使用 BYODKIM)。或者,您可以选择**下载 .csv 记录集**以将记录副本保存到您的电脑中。
下图显示了展开后的 **View DNS records**(查看 DNS 记录)部分显示的与 Easy DKIM 关联的别名记录的示例。
![\[\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/dkim_existing_dns.png)
您还可以使用 Amazon SES API 来获取身份的 DKIM 记录。与 API 交互的常用方法是使用 AWS CLI。
**要获取身份的 DKIM 记录,请使用 AWS CLI**
1. 在命令行处,键入以下命令:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
在前面的示例中,*example.com*替换为您想要获取 DKIM 记录的身份。您可以指定电子邮件地址或域。
1. 此命令的输出包含一个 `DkimTokens` 部分,如以下示例所示:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
您可以使用令牌创建添加到域的 DNS 设置中的 CNAME 记录。要创建 CNAME 记录,请使用以下模板:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
将的*token1*每个实例替换为您运行`get-identity-dkim-attributes`命令时收到的列表中的第一个标记,将的所有实例替换为列表中的第二个标记,并将的所有实例替换为列表中的第三个标记。*token2* *token3*
例如,对上述示例中所示的令牌应用此模板会生成以下记录:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**注意**
并非所有人都 AWS 区域 使用默认的 SES DKIM 域名,`dkim.amazonses.com`要查看您的地区是否使用特定区域的 DKIM 域,请查看中的 [DKIM 域名表](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)。*AWS 一般参考*
## 为身份禁用 Easy DKIM
您可以使用 Amazon SES 控制台快速为身份禁用 DKIM 身份验证。
**为身份禁用 DKIM**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要为其禁用 DKIM 的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在 **Advanced DKIM settings**(高级 DKIM 设置)中,选中 **DKIM signatures**(DKIM 签名)字段中的 **Enabled**(已启用)复选框。
您还可以使用 Amazon SES API 为身份禁用 DKIM。与 API 交互的常用方法是使用 AWS CLI。
**要禁用身份的 DKIM,请使用 AWS CLI**
+ 在命令行处,键入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
在前面的示例中,*example.com*替换为要禁用 DKIM 的身份。您可以指定电子邮件地址或域。
## 为身份启用 Easy DKIM
如果您之前为身份禁用了 DKIM,则可以使用 Amazon SES 控制台再次启用它。
**为身份启用 DKIM**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要为其启用 DKIM 的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在**高级 DKIM 设置**中,选中 **DKIM 签名**字段中的**已启用**复选框。
您还可以使用 Amazon SES API 为身份启用 DKIM。与 API 交互的常用方法是使用 AWS CLI。
**要为身份启用 DKIM,请使用 AWS CLI**
+ 在命令行处,键入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
在前面的示例中,*example.com*替换为要为其启用 DKIM 的身份。您可以指定电子邮件地址或域。
## 覆盖在电子邮件地址身份上继承的 DKIM 签名
在此部分中,您将学习如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。您只能对属于您已拥有的域的电子邮件地址身份执行此操作,因为 DNS 设置是在域级别配置的。
**重要**
你不能 disable/enable DKIM 签名获取电子邮件地址身份...
在您不拥有的域上。例如,您无法为注册 *gmail.com* 或 *hotmail.com* 地址切换 DKIM。
在您拥有但尚未在 Amazon SES 中验证的域名上,
在您拥有但尚未在域上启用 DKIM 签名的域名上。
本节包含以下主题:
+ [了解继承的 DKIM 签名属性](#dkim-easy-setup-email-key-points-mng)
+ [覆盖对电子邮件地址身份的 DKIM 签名(控制台)](#override-dkim-email-console-mng)
+ [覆盖对电子邮件地址身份的 DKIM 签名 (AWS CLI)](#override-dkim-email-cli-mng)
### 了解继承的 DKIM 签名属性
重要的是,首先要理解,如果域配置了 DKIM,无论使用的是 Easy DKIM 还是 BYODKIM,电子邮件地址标识都会从其父域继承其 DKIM 签名属性。因此,在电子邮件地址标识上禁用或启用 DKIM 签名实际上是基于以下关键事实覆盖域的 DKIM 签名属性:
+ 如果您已为电子邮件地址所属于的域设置了 DKIM,则无需再为电子邮件地址设置 DKIM。
+ 在为域设置 DKIM 时,Amazon SES 通过从父域继承的 DKIM 属性,自动认证来自该域上每个地址的每一封邮件。
+ 特定电子邮件地址标识的 DKIM 设置*自动覆盖地址所属的父域或子域(如适用)*的设置。
由于电子邮件地址身份的 DKIM 签名属性是从父域继承的,因此如果您计划覆盖这些属性,则必须记住覆盖的层次规则,如下表所述。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
通常不建议禁用您的 DKIM 签名,因为这有可能损害您的发件人声誉,并且会增加您发送的邮件转到垃圾邮件或垃圾邮件文件夹或域名被欺骗的风险。
但是,对于任何特定的使用情形或外围业务决策,可以覆盖电子邮件地址标识上的域继承的 DKIM 签名属性,您可能必须永久或临时禁用 DKIM 签名,或者在以后重新将其启用。
### 覆盖对电子邮件地址身份的 DKIM 签名(控制台)
以下 SES 控制台过程向您介绍如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。
**使用控制 disable/enable 台进行 DKIM 签名以获取电子邮件地址身份**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择 **Identity type**(身份类型)为 *Email address*(电子邮件地址)并且属于已验证域之一的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys 已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
**注意**
仅当选定的电子邮件地址身份属于已经过 SES 验证的域时,才会显示 **Authentication**(身份验证)选项卡。如果您尚未验证域,请参阅 [创建域身份](creating-identities.md#verify-domain-procedure)。
1. 在 **DKIM signatures**(DKIM)签名字段中的**高级 DKIM 设置**下,清除**已启用**复选框以禁用 DKIM 签名,或者选中它以重新启用 DKIM 签名(如果先前已覆盖)。
1. 选择**保存更改**。
### 覆盖对电子邮件地址身份的 DKIM 签名 (AWS CLI)
以下示例使用 AWS CLI 带有 SES API 命令和参数,这些命令和参数将覆盖(禁用或启用)从父域继承的 DKIM 签名属性,该属性已通过您已通过 SES 验证的特定电子邮件地址身份。
**要使用 disable/enable DKIM 签署电子邮件地址身份 AWS CLI**
+ 假设你拥有 *example.com* 域名,并且要禁用域的其中一个电子邮件地址的 DKIM 签名,请在命令行键入以下命令:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*替换为要禁用 DKIM 签名的电子邮件地址身份。
1. `--no-signing-enabled` 将禁用 DKIM 签名。要重新启用 DKIM 签名,请使用 `--signing-enabled`。