本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用域
您可以将 Amazon 配置 WorkMail 为使用自定义域名。你也可以将域名设为组织的默认域名,然后 AutoDiscover 为微软 Outlook 启用域名。
**Topics**
+ [添加域](add_domain.md)
+ [删除域](remove_domain.md)
+ [选择默认域](default_domain.md)
+ [验证域](domain_verification.md)
+ [启用配置 AutoDiscover 终端节点](autodiscover.md)
+ [编辑域身份策略](editing_domains.md)
+ [使用 SPF 对电子邮件进行身份验证](authenticate_domain.md)
+ [配置自定义 MAIL FROM 域](custom-mail-from-domain.md)
# 添加域
您最多可以向您的亚马逊 WorkMail 组织添加 100 个域名。在添加新域时,Amazon Simple Email Service (Amazon SES) 发送授权策略会自动添加到域身份策略。这使亚马逊 WorkMail 可以访问您的域名的所有Amazon SES发送操作,并允许您将电子邮件重定向到您的域名。您也可以将电子邮件重定向到外部域。
**注意**
作为最佳实践,您应该为所有域添加 postmaster@ 和 abuse@ 的别名。如果您希望组织中的特定用户接收发送到这些别名的邮件,则可以为这些别名创建通讯组。
**当您使用自定义域名配置 Amazon WorkMail 组织时,请记住以下有关您域名的 DNS 记录的信息:**
+ 对于 MX 和自动发现 CNAME 记录,我们建议将**生存时间 (TTL)** 值设置为 3600。减少 TTL 可确保您的邮件服务器不会在您更新 MX 记录或迁移邮箱后使用过时的或无效的 MX 记录。
+ 创建用户和通讯组并成功迁移邮箱后,应更新 MX 记录以开始将电子邮件转发到 Amazon WorkMail。对 DNS 记录的更新可能需要长达 48 小时来处理。
+ 某些 DNS 提供商会自动将域名附加到 DNS 记录的末尾。添加已包含域名(如 \$1amazonses.example.com)的记录可能会导致域名重复(如 \$1amazonses.example.com.example.com)。要避免记录名称中的域名重复,请在 DNS 记录中的域名结尾添加句点。这向您的 DNS 提供商表明,记录名称是完全限定的,不再相对于域名。它还可防止 DNS 提供商追加其他域名。
+ 复制的记录名称包含域名。根据您使用的 DNS 服务,域名可能已添加到域的 DNS 记录中。
+ 创建 DNS 记录后,选择 Amazon WorkMail 控制台上的刷新图标以查看验证状态和记录值。有关验证域的更多信息,请参阅[验证域](domain_verification.md)。
+ 我们建议您将域配置为 `MAIL FROM` 域。要在 i AutoDiscover OS 设备上启用,必须将您的域配置为`MAIL FROM`域。您可以在控制台的**提高送达率**部分中查看 `MAIL FROM` 域的状态。有关更多信息,请参阅 [配置自定义 MAIL FROM 域](custom-mail-from-domain.md)。
**添加域**
1. 登录 AWS 管理控制台 并打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
1. 如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择要向其添加域的组织的名称。
1. 在导航窗格中,选择**域**,然后选择**添加域**。
1. 在**添加域**屏幕上,输入一个域名。域名只能包含基本拉丁语 (ASCII) 字符。
**注意**
如果您有一个托管于 Amazon Route 53 公共托管区的域,则可以从输入域名时显示的下拉菜单中选择该域。
1. 选择**添加域**。
此时将出现一个页面,其中列出了新域的 DNS 记录。该页面将记录分为以下几个部分:
+ **域所有权**
+ **WorkMail 配置**
+ **提高了安全性**
+ **改进了电子邮件传送**
其中每个部分都包含一条或多条 DNS 记录,每条记录都显示一个**状态**值。以下列表显示了记录及其可用状态值。
**TXT 所有权**
*Verified*(已验证)– 记录已解析和验证。
*Pending*(待处理)– 记录尚未验证。
*Failed*(已失败)– 无法验证所有权。记录不匹配或无法访问。
**MX WorkMail 配置**
*Verified*(已验证)– 记录已解析和验证。
*Missing*(缺失)– 无法解析记录。
*Inconsistent*(不一致)– 值与预期记录不匹配。
**AutoDiscover**
*Verified*(已验证)– 记录已解析和验证。
*Missing*(缺失)– 无法解析记录。
*Inconsistent*(不一致)– 值与预期记录不匹配。
AutoDiscover 验证过程还会检查 AutoDiscover 设置是否正确。该过程会验证每个阶段的配置设置。验证完成后,**状态**列中的**已验证**旁边会显示一个绿色复选标记。您可以将鼠标悬停在**已验证**上,查看流程验证了哪些阶段。有关 AutoDiscover 各阶段的更多信息,请参阅[启用配置 AutoDiscover 终端节点](autodiscover.md)。
DKIM CNAME
*Verified*(已验证)– 记录已解析和验证。
*Pending*(待处理)– 记录尚未验证。
*Failed*(已失败)– 无法验证所有权。记录不匹配或无法访问。
有关更多信息,请参阅《Amazon Simple Email Service 开发人员指南》中的[在 Amazon SES 中使用 DKIM 对电子邮件进行身份验证](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dkim.html)。**
SPF TXT
*Verified*(已验证)– 记录已解析和验证。
*Missing*(缺失)– 无法解析记录。
*Inconsistent*(不一致)– 值与预期记录不匹配。
有关 SPF 验证的更多信息,请参阅[使用 SPF 对电子邮件进行身份验证](authenticate_domain.md)。
DMARC TXT
*Verified*(已验证)– 记录已解析和验证。
*Missing*(缺失)– 无法解析记录。
*Inconsistent*(不一致)– 值与预期记录不匹配。
有关亚马逊DMARC记录的更多信息 WorkMail,请参阅[《亚马逊*简单电子邮件服务开发者*指南》中的使用Amazon SES遵守DMARC](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dmarc.html)。
TXT MAIL FROM 域
*Verified*(已验证)– 记录已解析和验证。
*Pending*(待处理)– 记录尚未验证。
*Failed*(已失败)– 无法验证所有权。记录不匹配或无法访问。
MX MAIL FROM 域
*Verified*(已验证)– 记录已解析和验证。
Missing(缺失)– 无法解析记录。
*Inconsistent*(不一致)– 值与预期记录不匹配。
1. 在下一步中,根据您使用的 DNS 提供商选择适当的操作。
****如果您使用 Route 53 域****
+ 在页面顶部,选择**在 Route 53 中更新全部**。
****如果您使用其他 DNS 提供商****
+ 复制记录并将其粘贴到您的 DNS 提供商中。您可以批量复制记录,也可以逐一复制记录。要批量复制记录,请选择**全部复制**。这将创建一个文件区域,您可以将其导入到 DNS 提供商中。要逐一复制记录,请选择记录名称旁边的重叠方块,然后将每条记录粘贴到您的 DNS 提供商中。
1. 选择刷新图标更新每条记录的**状态**。这将验证您的域名所有权以及您在 Amazon 上的 WorkMail域名配置是否正确。
# 删除域
当您不再需要域时,可以删除它。但是,您必须先删除使用该域作为其电子邮件地址的所有个人或群组。
**删除域**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域名称和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 在域列表中,选中域名旁边的复选框,然后选择**删除**。
1. 在**删除域**对话框中,键入要删除的域的名称,然后选择**删除**。
# 选择默认域
您可以将与您的组织关联的域设置为该组织中用户和组的默认域。使一个域成为默认域不会更改现有电子邮件地址。
**使一个域成为默认域**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如果需要,可以更改 AWS 区域。在控制台窗口顶部的栏中,打开**选择区域**列表,然后选择一个区域。有关更多信息,请参阅《Amazon Web Services 一般参考》中的[区域名称和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 在域列表中,选中要使用的域名旁边的复选框,然后选择**设置为默认域**。
# 验证域
在 Amazon WorkMail 控制台中添加域名后,您必须对其进行验证。验证域名即可确认您拥有该域名,并将使用 Amazon WorkMail 作为该域名的电子邮件服务。
您可以通过在 DNS 服务中向域添加 TXT 和 MX 记录来验证域。TXT 记录允许您向 DNS 服务添加注释。MX 记录指定了传入邮件服务器。
您可以使用 Amazon SES 控制台创建 TXT 和 MX 记录,然后使用亚马逊 WorkMail 控制台将这些记录添加到您的 DNS 服务。执行以下步骤。
**创建 TXT 和 MX 记录**
1. 打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中,选择**域**,然后选择**验证新域**。
此时将显示**验证新域**对话框。
1. 在**域**框中,输入在[添加域](add_domain.md)部分中创建的域的名称。
1. (可选)如果要使用 DomainKeys 识别邮件 (DKIM),请选中 “**生成 DKIM 设置”** 复选框。
1. 选择**验证此域**。
此时控制台将显示 TXT 和 MX 记录的列表。
1. 选择位于 TXT 列表下方的**将记录集下载为 CSV**链接。
此时将显示**另存为**对话框。选择下载位置,然后选择**保存**。
1. 打开下载的 CSV 文件并复制其所有内容。
创建 TXT 和 MX 记录后,即可将其添加到您的 DNS 提供商。以下步骤将使用 Route 53。如果您使用其他 DNS 提供商,但不知道如何添加记录,请查阅提供程序的文档。
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**托管区**。然后,选中要验证的域旁边的单选按钮。
1. 从您的域的 DNS 记录列表中,选择**导入区域文件**。
1. 在**区域文件**下,将复制的记录粘贴到文本框中。文件列表将显示在文本框下方。
1. 向下滚动到列表末尾,然后选择**导入**。
**注意**
最多需要 72 小时才能完成验证过程。
## 使用您的 DNS 服务验证 TXT 记录和 MX 记录
确认用于验证您拥有该域的 TXT 记录已正确地添加到您的 DNS 服务中。此过程使用 [nslookup](http://en.wikipedia.org/wiki/Nslookup) 工具,目前支持的平台有 Windows 和 Linux。在 Linux 上,您也可以使用 [dig](http://en.wikipedia.org/wiki/Dig_(command))。
要使用 `nslookup` 工具,您必须先查找处理您的域的 DNS 服务器。然后,您可以查询这些服务器以查看 TXT 记录。您可以查询域名的 DNS 服务器,因为这些服务器包含的域 up-to-date信息最多。此信息可能需要一定的时间才会传播到其他 DNS 服务器。
### 使用 nslookup 验证您的 TXT 记录是否已添加到 DNS 服务
1. 查找域的名称服务器:
1. 打开命令提示符 (Windows) 或终端 (Linux)。
1. 运行以下命令以列出所有处理您的域的名称服务器。*example.com*用您的域名替换。
```
1. nslookup -type=NS example.com
```
您将在下一步中查询其中一个名称服务器。
1. 验证是否正确添加了亚马逊 WorkMail TXT 记录。
1. 运行以下命令,*example.com*替换为您的域名*ns1.name-server.net*和步骤 1 中的名称服务器。
```
1. nslookup -type=TXT _amazonses.example.com ns1.name-server.net
```
1. 查看 **nslookup** 的输出中显示的 `"text ="` 字符串。确认此字符串与 Amazon WorkMail 控制台的 “**已验证发件人**” 列表中您的域名的 TXT 值相匹配。
在以下示例中,您想查看值为 `fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk=` 的 \$1amazonses.example.com 的 TXT 记录。如果您已正确更新记录,该命令将具有以下输出:
```
1. _amazonses.example.com text = "fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk="
```
### 使用 dig 验证您的 TXT 记录是否已添加到 DNS 服务
1. 打开终端会话。
1. 运行以下命令以列出您的域的 TXT 记录。*example.com*用您的域名替换。
```
1. dig +short example.com txt
```
1. 验证命令输出`TXT`中后面的字符串是否与您在亚马逊 WorkMail控制台的 “**已验证发件人**” 列表中选择域名时看到的 TXT 值相匹配。
### 使用 nslookup 来验证您的 MX 记录已添加到您的 DNS 服务
1. 查找您的域的名称服务器:
1. 打开命令提示符。
1. 运行以下命令以列出您的域的所有名称服务器。
```
1. nslookup -type=NS example.com
```
您将在下一步中查询其中一个名称服务器。
1. 验证已正确添加 MX 记录:
1. 运行以下命令,*example.com*替换为你的域名和*ns1.name-server.net*你在上一步中确定的一个域名服务器。
```
1. nslookup -type=MX example.com ns1.name-server.net
```
1. 在命令输出中,验证 `mail exchange = ` 后的字符串是否与以下值之一匹配:
**美国东部(弗吉尼亚州北部)区域** – `10 inbound-smtp.us-east-1.amazonaws.com`
**美国西部(俄勒冈州)区域** – `10 inbound-smtp.us-west-2.amazonaws.com`
**欧洲地区(爱尔兰)区域** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注意**
`10` 代表 MX 首选项的数量或优先级。
### 使用 dig 验证您的 MX 记录已添加到 DNS 服务
1. 打开终端会话。
1. 运行以下命令以列出您的域的 MX 记录。
```
1. dig +short example.com mx
```
1. 验证 `MX` 后的字符串是否与以下值之一匹配:
**美国东部(弗吉尼亚州北部)区域** – `10 inbound-smtp.us-east-1.amazonaws.com`
**美国西部(俄勒冈州)区域** – `10 inbound-smtp.us-west-2.amazonaws.com`
**欧洲地区(爱尔兰)区域** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注意**
`10` 代表 MX 首选项的数量或优先级。
## 域验证故障排除
要排查域验证的常见问题,请参阅以下建议:
您的 DNS 服务不允许在 TXT 记录名称中使用下划线。
从 TXT 记录名称中省略 `_amazonses`。
您想要多次验证同一个域,但不能有多个具有相同名称的 TXT 记录
如果您的 DNS 服务不允许您拥有多个具有相同名称的 TXT 记录,请使用以下解决方法之一:
+ (推荐)如果 DNS 服务允许,请为 TXT 记录分配多个值。例如,如果您的 DNS 由 Amazon Route 53 管理,您可以为同一 TXT 记录设置多个值,如下所示:
1. 在 Route 53 控制台中,选择您在验证第一个区域中的域时添加的 `_amazonses` TXT 记录。
1. 对于**值**,在第一个值之后按 **Enter**。
1. 添加附加区域的值,然后保存记录集。
+ 如果您只需要验证两次域,则可以通过创建名称中含 `_amazonses` 的 TXT 记录来验证一次,然后创建另一条记录名称中不含 `_amazonses` 的记录来验证一次。
Amazon WorkMail 控制台报告域名验证失败
Amazon 找 WorkMail 不到您的 DNS 服务所需的 TXT 记录。按照[使用您的 DNS 服务验证 TXT 记录和 MX 记录](#domain-verification-check-dns)中的过程,验证所需的 TXT 记录是否已正确添加到您的 DNS 服务。
您的 DNS 提供商已将域名附加到 TXT 记录的末尾。
添加已包含域名(如 \$1amazonses.example.com)的记录可能会导致域名重复(如 \$1amazonses.example.com.example.com)。要避免记录名称中的域名重复,请在 TXT 记录中的域名结尾添加句点。这向您的 DNS 提供商表明,该记录名称是完全限定的,并且已将该域名包含在 TXT 记录中。
Amazon WorkMail 报告称 MX 记录不**一致**
从现有邮件服务器迁移时,MX 记录可能会返回**不一致**的状态。更新您的 MX 记录以指向 Amazon, WorkMail 而不是指向之前的邮件服务器。与 Amazon 一起使用第三方电子邮件代理时,MX 记录也将作为 “**不一致**” 返回 WorkMail。如果是这种情况,您可以安全地忽略**不一致**警告。
# 启用配置 AutoDiscover 终端节点
AutoDiscover 允许你仅使用你的电子邮件地址和密码来配置 Microsoft Outlook 和移动客户端。该服务会保持与 Amazon 的连接, WorkMail 并在您更改终端节点或设置时更新本地设置。此外,还 AutoDiscover 允许您的客户使用其他 Amazon WorkMail 功能,例如离线通讯簿、Assi Out-of-Office stant 以及在日历中查看 free/busy 时间的功能。
客户端执行以下 AutoDiscover 阶段来检测服务器端点 URLs:
+ **t第 1 阶段** – 客户端对本地 Active Directory 执行安全复制协议 (SCP) 查找。如果您的客户未加入域,则 AutoDiscover 跳过此步骤。
+ **第 2 阶段** — 客户端向以下人员发送请求 URLs 并验证结果。只能通过 HTTPS 使用这些端点。
+ https://*company.tld*/autodiscover/autodiscover.xml
+ https://autodiscover。 *company.tld*/autodiscover/autodiscover.xml
+ **第 3 阶段** – 客户端对 autodiscover.company.tld 执行 DNS 查找并从用户的电子邮件地址向派生的端点发送未经身份验证的 GET 请求。如果服务器返回 302 重定向,则客户端会针对返回的 HTTPS 端点重新发送 AutoDiscover 请求。
如果所有这些阶段都失败,则无法自动配置客户端。有关手动配置移动设备的信息,请参阅[手动连接您的设备](https://docs.aws.amazon.com/workmail/latest/userguide/manually_connect_device.html)。
当您将域名添加到 Amazon 时,系统会提示您将 AutoDiscover DNS 记录添加到您的提供商 WorkMail。这使客户端能够执行 AutoDiscover 流程的第 3 阶段。但是,这些步骤并非适用于所有移动设备,如现有的 Android 电子邮件应用程序。因此,您可能需要手动设置第 2 AutoDiscover 阶段。
您可以使用以下方法为您的域名设置第 2 AutoDiscover 阶段:
## (推荐)使用 53 号公路和亚马逊 CloudFront
**注意**
以下步骤说明了如何为 https://autodiscover 创建代理。 *company.tld*/autodiscover/autodiscover.xml。要为 https://*company.tld*/autodiscover/autodiscover.xml 创建代理,请按照以下步骤从域中删除`autodiscover.`前缀。
使用 CloudFront 和 53 号公路可能会产生费用。有关适用定价的更多信息,请参阅[亚马逊定 CloudFront 价和亚马逊](https://aws.amazon.com/cloudfront/pricing/) [Route 53 定价](https://aws.amazon.com/route53/pricing/)。
**使用 53 号公路,启用第 2 AutoDiscover 阶段 CloudFront**
1. 获取用于自动发现的 SSL 证书。 *company.tld*并将其上传到 AWS Identity and Access Management (IAM) 或 AWS Certificate Manager。有关更多信息,请参阅《IAM 用户指南》中的[使用服务器证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)**或《AWS Certificate Manager 用户指南》中的[入门](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。**
1. 创建新 CloudFront 发行版:
1. 打开 CloudFront 控制台,网址为[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home)。
1. 在导航窗格中,选择**分配**。
1. 选择 **Create Distribution**(创建分配)。
1. 在 **Web** 下,选择**开始使用**。
1. 在**源设置**中,输入以下值:
+ **源域名** – 为您的区域输入相应的域名:
+ 美国东部(弗吉尼亚北部)– **autodiscover-service.mail.us-east-1.awsapps.com**
+ 美国西部(俄勒冈)– **autodiscover-service.mail.us-west-2.awsapps.com**
+ 欧洲地区(爱尔兰)– **autodiscover-service.mail.eu-west-1.awsapps.com**
+ **源协议策略** – 所需的策略:**Match Viewer**
**注意**
将**源路径**留空。请勿更改**源 ID** 的自动填充值。
1. 在**默认缓存行为设置**中,为列出的设置选择以下值:
+ **Viewer Protocol Policy**:HTTPS Only
+ **Allowed HTTP Methods**:GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE
+ **Cache Based on Selected Request Headers** (基于选择的请求标头进行缓存):全部
+ **Forward Cookies**:All
+ **Query String Forwarding and Caching** (查询字符串转发和缓存):无 (改进缓存)
+ **Smooth Streaming**:No
+ **Restrict Viewer Access**:No
1. 为 **Distribution Settings (分配设置)** 选择以下值:
+ **Price Class**:Use only US, Canada, and Europe
+ 在**备用域名 (CNAMEs)** 中,输入**autodiscover.*company.tld***或***company.tld***,其中*company.tld*是您的域名。
+ **SSL 证书**:自定义 SSL 证书(存储在 IAM 中)
+ **Custom SSL Client Support (自定义 SSL 客户端支持)**:选择 **All Clients (所有客户端)** 或 **Only Clients that Support Server Name Indication (SNI) (仅支持服务器名称指示 (SNI) 的客户端)**。较旧版本的 Android 可能无法使用后一个选项。
**注意**
如果您选择 **All Clients (所有客户端)**,请将 **Default Root Object (默认根对象)** 设置为空。
+ **Logging (日志记录)**:选择 **On (开启) **或 **Off (关闭)**。**开启**表示启用日志记录。
+ 对于 **Comment (注释)**,输入 **AutoDiscover type2 for autodiscover.*company.tld***
+ **分配状态**:选择**已启用**。
1. 选择 **Create Distribution**(创建分配)。
1. 在 Route 53 控制台中,创建一条记录,将您的域名的互联网流量路由到您的 CloudFront 分配。
**注意**
这些步骤假定 example.com 的 DNS 记录托管在 Route 53 中。如果您不使用 Route 53,请按照 DNS 提供商的管理控制台中的步骤进行操作。
1. 在控制台的导航窗格中,选择**托管区**,然后选择一个域。
1. 在域列表中,选择要使用的域名。
1. 在**记录**中,选择**创建记录**。
1. 在**快速创建记录**下,设置以下参数:
+ 在**记录名称**下,为记录输入名称。
+ 在**路由策略**下,选择**简单路由**。
+ 选择**别名**滑块将其打开。处于开启状态时,滑块会变为蓝色。
+ 在**记录类型**列表中,选择 **A-将流量路由到一个 IPv4 地址和一些 AWS 资源**。
+ 在将**流量路由到**列表中,选择**要 CloudFront分配的别名**。
+ 此时**流量路由至**列表下方将出现一个搜索框。在文本框中输入您的 CloudFront分配名称。您也可以从选择搜索框时显示的列表中选择您的分配。
1. 选择**创建记录**。
## 使用 Apache Web 服务器
以下步骤说明了如何使用 Apache Web 服务器为 https://autodiscover 创建代理。 *company.tld*/autodiscover/autodiscover.xml。要为 https:// *company.tld* /autodiscover/autodiscover.xml 创建代理,请删除 “自动发现”。从域中删除“autodiscover.”前缀。
**使用 Apache Web 服务器启用第 2 AutoDiscover 阶段**
1. 在启用了 SSL 的 Apache 服务器上运行以下指令:
```
SSLProxyEngine on ProxyPass /autodiscover/autodiscover.xml https://autodiscover-service.mail.REGION.awsapps.com/autodiscover/autodiscover.xml
```
1. 根据需要,启用以下 Apache 模块。如果您不了解如何操作,请参阅 Apache 帮助:
+ `proxy`
+ `proxy_http`
+ `socache_shmcb`
+ `ssl`
有关测试和故障排除的信息,请参阅以下部分 AutoDiscover。
## AutoDiscover 第 2 阶段故障排除
为配置了 DNS 提供商后 AutoDiscover,就可以测试您的 AutoDiscover 终端节点配置了。如果您已正确配置端点,它会使用未经授权的请求消息进行响应。
**提出基本的未经授权的请求**
1. 从终端向终端创建未经身份验证的 POS AutoDiscover T 请求。
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
```
如果您的端点配置正确,它应返回 `401 unauthorized` 消息,如以下示例所示:
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
...
HTTP/1.1 401 Unauthorized
```
1. 接下来,测试一个真实的 AutoDiscover 请求。创建包含以下 XML 内容的 `request.xml` 文件:
```
testuser@company.tld
http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006
```
1. 使用您创建`request.xml`的文件并向终端节点 AutoDiscover 发出经过身份验证的请求。记得*testuser@company.tld*用有效的电子邮件地址替换:
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
```
如果端点配置正确,则响应将类似于以下示例:
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
Enter host password for user 'testuser@company.tld':
en:us
User1
testuser@company.tld
MobileSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
```
# 编辑域身份策略
域身份策略为电子邮件操作(如重定向电子邮件)指定权限。例如,您可以将电子邮件重定向到您的 Amazon WorkMail 组织中的任何电子邮件地址。
**注意**
自 2022 年 4 月 1 日起,亚马逊 WorkMail 开始使用服务委托人代替 AWS 账户委托人进行授权。如果您在 2022 年 4 月 1 日之前添加了域名,则可能使用 AWS 账户委托人进行授权的旧政策。如果是,我们建议您更新到最新策略。本部分中的相关步骤将说明如何操作。更新期间,您的组织将继续正常发送电子邮件。
只有在不使用自定义 Amazon SES 策略的情况下,才可以按照这些步骤操作。如果您使用自定义 Amazon SES 策略,则必须自行进行相关更新。有关更多信息,请参阅本主题后面的[自定义 Amazon SES 服务主体策略](#custom-ses-policy)。
**重要**
不要删除您的现有域。如果您这样做,将会中断邮件服务。您只需重新输入现有域。
**更新域身份策略**
1. 打开 Amazon WorkMail 控制台,网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。
如有必要,请更改 AWS 区域。为此,请打开位于搜索框右侧的**选择区域**列表,然后选择所需的区域。有关区域的更多信息,请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**
1. 在导航窗格中,选择**组织**,然后选择贵组织的名称。
1. 在左侧导航窗格中,选择**域**。
1. 突出显示并复制要重新输入的域的名称,然后选择**添加域**。
此时将显示**添加域**对话框。
1. 将复制的名称粘贴到**域名**框中,然后选择**添加域**。
1. 对组织中的其余域重复第 3 步至第 5 步。
## 自定义 Amazon SES 服务主体策略
如果您使用自定义 Amazon SES 策略,请调整此示例以在您的域中使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuthorizeWorkMail",
"Effect": "Allow",
"Principal": {
"Service": "workmail.REGION.amazonaws.com"
},
"Action": [
"ses:*"
],
"Resource": "arn:aws:ses:us-east-1:111122223333:identity/WORKMAIL-DOMAIN-NAME",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/WORKMAIL_ORGANIZATION_ID"
}
}
}
]
}
```
------
# 使用 SPF 对电子邮件进行身份验证
发件人策略框架 (SPF) 是一种电子邮件验证标准,旨在打击电子邮件欺骗。*欺诈*是指使恶意行为者发送的电子邮件看起来像合法用户发送的电子邮件的行为。有关为 WorkMail启用亚马逊的域名配置 SPF 的信息,请参阅在 Amazon SES [中使用 SPF 对电子邮件进行身份验证](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-spf.html)。
# 配置自定义 MAIL FROM 域
默认情况下,亚马逊 WorkMail 使用 amazonses.com 的子域名作为您发送电子邮件的`MAIL FROM`域名。如果您的域上的 DMARC 策略仅针对 SPF 设置,这可能会导致传送失败。要解决此问题,请将您自己的域配置为 `MAIL FROM` 域。要了解如何将电子邮件域设置为 `MAIL FROM` 域,请参阅《Amazon Simple Email Service 开发人员指南》中的[设置自定义 MAIL FROM 域](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from.html)。**
**重要**
在 iOS 设备上启用 AutoDiscover 时,需要自定义 “邮件发件人” 域。
有关自定义 `MAIL FROM` 域的更多信息,请参阅 [Amazon SES 现支持自定义 MAIL FROM 域](https://aws.amazon.com/blogs/messaging-and-targeting/amazon-ses-now-supports-custom-mail-from-domains/)。