本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 Easy DKIM 和 BYODKIM
<a name="send-email-authentication-dkim-easy-managing"></a>

對於已透過 Easy DKIM 或 BYODKIM 驗證的身分，您可以使用基於 Web 的 Amazon SES 主控台或使用 Amazon SES API 來管理這些身分的 DKIM 設定。您可以使用其中任一種方法來取得身分的 DKIM 記錄，或是啟用或停用身分的 DKIM 簽署。

## 取得身分的 DKIM 記錄
<a name="send-email-authentication-dkim-easy-managing-obtain-records"></a>

您可以隨時使用 Amazon SES 主控台，取得網域或電子郵件地址的 DKIM 記錄。

**使用主控台取得身分的 DKIM 記錄**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)：// 開啟 Amazon SES 主控台。

1. 在導覽窗格中的 **Configuration** (組態) 下，選擇 **Verified identities** (已驗證身分)。

1. 在身分清單中，選擇您希望取得哪種身分的\$1 DKIM 記錄。

1. 在身分詳細資訊頁面的 **Authentication **(身分驗證) 索引標籤上，展開 **View DNS records** (檢視 DNS 記錄)。

1. 複製顯示在本區段的三個 CNAME 記錄 (如果您使用 Easy DKIM)，或複製 TXT 記錄 (如果您使用 BYODKIM)。或者，您可以選擇 **Download .csv record set** (下載 .csv 記錄集)，將記錄複本儲存到您的電腦。

   下圖顯示展開的 **View DNS records** (檢視 DNS 記錄) 區段範例，其中顯示了與 Easy DKIM 相關聯的 CNAME 記錄。  
![\[\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/dkim_existing_dns.png)

您也可以使用 Amazon SES API 取得身分的 DKIM 記錄。使用 AWS CLI是與 API 互動的常見方法。

**使用 取得身分的 DKIM 記錄 AWS CLI**

1. 在命令列中輸入以下命令：

   ```
   aws ses get-identity-dkim-attributes --identities "example.com"
   ```

   在上述範例中，將 *example.com* 取代為您想要取得其 DKIM 記錄的身分。您可以指定電子郵件地址或網域。

1. 此命令的輸出包含 `DkimTokens` 區段，如以下範例所示：

   ```
   {
       "DkimAttributes": {
           "example.com": {
               "DkimEnabled": true,
               "DkimVerificationStatus": "Success",
               "DkimTokens": [
                   "hirjd4exampled5477y22yd23ettobi",
                   "v3rnz522czcl46quexamplek3efo5o6x",
                   "y4examplexbhyhnsjcmtvzotfvqjmdqoj"
               ]
           }
       }
   }
   ```

   您可以使用字符來建立 CNAME 記錄，以新增到網域的 DNS 設定。若要建立 CNAME 記錄，請使用下列範本：

   ```
   token1._domainkey.example.com CNAME token1.dkim.amazonses.com
   token2._domainkey.example.com CNAME token2.dkim.amazonses.com
   token3._domainkey.example.com CNAME token3.dkim.amazonses.com
   ```

   將每個執行個體的 *token1* 取代為當您執行 `get-identity-dkim-attributes` 命令時收到清單中的第一個字符，將所有執行個體的 *token2* 取代為清單中的第二個字符，並將所有執行個體的 *token3* 取代為清單中的第三個字符。

   例如，將此範本套用到上述範例所示的字符時，會產生以下記錄：

   ```
   hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
   v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
   y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
   ```

**注意**  
並非所有 都 AWS 區域 使用預設 SES DKIM 網域，`dkim.amazonses.com`若要查看您的區域是否使用區域特定的 DKIM 網域，請檢查 中的 [DKIM 網域資料表](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)*AWS 一般參考*。

## 停用身分的 Easy DKIM
<a name="send-email-authentication-dkim-easy-managing-disabling"></a>

您可以使用 Amazon SES 主控台，快速為身分停用 DKIM 驗證。

**停用身分的 DKIM**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)：// 開啟 Amazon SES 主控台。

1. 在導覽窗格中的 **Configuration** (組態) 下，選擇 **Verified identities** (已驗證身分)。

1. 在身分清單中，選擇您希望停用哪種身分的 DKIM。

1. 在 **Authentication** (身分驗證) 索引標籤下方的 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 容器中，選擇 **Edit** (編輯)。

1. 在 **Advanced DKIM settings** (進階 DKIM 設定) 中，清除 **DKIM signatures** (DKIM 簽章) 欄位中的 **Enabled** (已啟用) 方塊。

您也可以使用 Amazon SES API 為身分停用 DKIM。使用 AWS CLI是與 API 互動的常見方法。

**使用 停用身分的 DKIM AWS CLI**
+ 在命令列中輸入以下命令：

  ```
  aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
  ```

  在上述範例中，將 *example.com* 取代為您想要停用 DKIM 的身分。您可以指定電子郵件地址或網域。

## 啟用身分的 Easy DKIM
<a name="send-email-authentication-dkim-easy-managing-enabling"></a>

如果您之前已為某個身分停用 DKIM，您可以使用 Amazon SES 主控台再次啟用。

**啟用身分的 DKIM**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)：// 開啟 Amazon SES 主控台。

1. 在導覽窗格中的 **Configuration** (組態) 下，選擇 **Verified identities** (已驗證身分)。

1. 在身分清單中，選擇您希望啟用哪種身分的 DKIM。

1. 在 **Authentication (身分驗證)** 索引標籤下方的 **網域金鑰識別郵件 (DKIM)** 容器中，選擇 **Edit (編輯)**。

1. 在 **Advanced DKIM settings (進階 DKIM 設定)** 中，選中 **DKIM signatures (DKIM 簽章)** 欄位中的 **Enabled (已啟用)** 方塊。

您也可以使用 Amazon SES API 為身分啟用 DKIM。使用 AWS CLI是與 API 互動的常見方法。

**使用 為身分啟用 DKIM AWS CLI**
+ 在命令列中輸入以下命令：

  ```
  aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
  ```

  在上述範例中，將 *example.com* 取代為您想要啟用 DKIM 的身分。您可以指定電子郵件地址或網域。

## 覆寫電子郵件地址身分上的繼承 DKIM 簽署
<a name="send-email-authentication-dkim-easy-setup-email"></a>

本節說明如何在已使用 Amazon SES 驗證的特定電子郵件地址身分上覆寫 (停用或啟用) 從父系網域繼承的 DKIM 簽署屬性。您只能針對屬於您已擁有之網域的電子郵件地址身分執行此動作，因為 DNS 設定是在網域層級設定的。

**重要**  
您無法在以下網域為電子郵件地址身分停用/啟用 DKIM 簽署…  
非您擁有的網域。例如，您無法為 *gmail.com* 或 *hotmail.com* 地址切換 DKIM 簽署設定，
您所擁有的網域，但尚未在 Amazon SES 中完成驗證，
您所擁有的網域，但尚未在網域上啟用 DKIM 簽署。

本節包含下列主題：
+ [了解繼承的 DKIM 簽署屬性](#dkim-easy-setup-email-key-points-mng)
+ [覆寫電子郵件地址身分上的 DKIM 簽署 (主控台)](#override-dkim-email-console-mng)
+ [覆寫電子郵件地址身分上的 DKIM 簽署 (AWS CLI)](#override-dkim-email-cli-mng)

### 了解繼承的 DKIM 簽署屬性
<a name="dkim-easy-setup-email-key-points-mng"></a>

首先必須了解，如果使用 DKIM 設定父系網域，電子郵件地址身分會從父系網域繼承其 DKIM 簽署屬性，不論是否使用 Easy DKIM 或 BYODKIM。因此，停用或啟用電子郵件地址身分上的 DKIM 簽署，實際上是根據以下重要事實覆寫網域的 DKIM 簽署屬性：
+ 如果您已設定電子郵件地址所屬網域的 Easy DKIM，即不需要一併為電子郵件地址身分啟用 DKIM 簽署。
  + 當您為某個網域設定 DKIM 時，Amazon SES 會自動透過從父系網域繼承的 DKIM 屬性驗證來自該網域每個地址的每封電子郵件。
+ 特定電子郵件地址身分的 DKIM 設定會*自動覆寫該地址所屬父系網域或子網域 (如適用) 的設定*。

由於電子郵件地址身分的 DKIM 簽署屬性是繼承自父系網域，因此如果您打算覆寫這些屬性，您必須牢記覆寫的階層規則，如下表所述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)

通常不建議停用 DKIM 簽署，因為有可能會損害寄件者評價，而且會增加將您傳送的郵件送往垃圾郵件資料夾或網域遭到假冒的風險。

不過，可以因應任何特定使用案例或異常業務決策，而覆寫電子郵件地址身分上的網域繼承 DKIM 簽署屬性，以永久或暫時停用 DKIM 簽署，或稍後再重新啟用。

### 覆寫電子郵件地址身分上的 DKIM 簽署 (主控台)
<a name="override-dkim-email-console-mng"></a>

下列 SES 主控台程序說明如何在已使用 Amazon SES 驗證的特定電子郵件地址身分上覆寫 (停用或啟用) 從父系網域繼承的 DKIM 簽署屬性。

**使用主控台停用/啟用電子郵件地址身分上的 DKIM 簽署**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)：// 開啟 Amazon SES 主控台。

1. 在導覽窗格中的 **Configuration** (組態) 下，選擇 **Verified identities** (已驗證身分)。

1. 在身分清單中，選擇 **Identity type** (身分類型) 為*電子郵件地址*且屬於其中一個已驗證網域的身分。

1. 在 **Authentication** (身分驗證) 索引標籤下方的 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 容器中，選擇 **Edit** (編輯)。
**注意**  
唯有在所選的電子郵件地址身分屬於已由 SES 驗證的網域的情況下，**Authentication** (身分驗證) 索引標籤才會顯示。如果您尚未驗證網域，請參閱 [建立網域身分](creating-identities.md#verify-domain-procedure)。

1. 在 **Advanced DKIM settings** (進階 DKIM 設定) 下的 **DKIM signatures** (DKIM 簽章) 欄位中，清除 **Enabled** (已啟用) 核取方塊來停用 DKIM 簽章，或勾選此核取方塊來重新啟用 DKIM 簽章 (若簽章先前已被覆寫)。

1. 選擇**儲存變更**。

### 覆寫電子郵件地址身分上的 DKIM 簽署 (AWS CLI)
<a name="override-dkim-email-cli-mng"></a>

下列範例使用 AWS CLI 搭配 SES API 命令和參數，這些命令會覆寫 （停用或啟用） 已透過 SES 驗證之特定電子郵件地址身分上父系網域繼承的 DKIM 簽署屬性。

**使用 停用/啟用電子郵件地址身分的 DKIM 簽署 AWS CLI**
+  假設您擁有 *example.com* 網域，而且您想要為該網域的其中一個電子郵件地址停用 DKIM 簽署，請在命令列中輸入下列命令：

  ```
  aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
  ```

  1. 以您想要停用 DKIM 簽署的電子郵件地址身分取代 *marketing@example.com*。

  1. `--no-signing-enabled` 將停用 DKIM 簽署。若要重新啟用 DKIM 簽署，請使用 `--signing-enabled`。