本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon SES 中透過 DKIM 驗證電子郵件
*網域金鑰識別郵件* (*DKIM*) 是一項電子郵件安全性標準,旨在確保聲稱來自特定網域的電子郵件確實是由該網域的擁有者授權傳送。它使用公有金鑰加密法來使用私密金鑰簽署電子郵件。接著,收件人伺服器可以使用發佈至網域 DNS 的公有金鑰來確認電子郵件的各個部分在傳輸期間未被修改。
DKIM 簽章可選用。您可以決定是否使用 DKIM 簽章來簽署電子郵件,以於透過符合 DKIM 規範的電子郵件供應商提升遞送度。Amazon SES 提供兩種選項來使用 DKIM 簽章簽署您的訊息:
+ **Easy DKIM**:SES 會產生公有-私有金鑰對,並自動將 DKIM 簽章新增至您由此身分傳送的每個訊息,請參閱 [Amazon SES 中的 Easy DKIM](send-email-authentication-dkim-easy.md)。
+ **確定性 Easy DKIM (DEED)**:透過 AWS 區域 建立可自動繼承 DKIM 簽署屬性作為使用 Easy DKIM 之父系身分的複本身分,可讓您跨多個 維持一致的 DKIM 簽署,請參閱 [在 Amazon SES 中使用確定性 Easy DKIM (DEED)](send-email-authentication-dkim-deed.md)。
+ **BYODKIM (使用自有 DKIM)**:提供自有公有-私有金鑰對,以便讓 SES 新增 DKIM 簽章至您由此身分傳送的每封郵件,請參閱 [在 Amazon SES 中提供您自己的 DKIM 身分驗證字符 (BYODKIM)](send-email-authentication-dkim-bring-your-own.md)。
+ **手動新增 DKIM 簽章**:將您自己的 DKIM 簽章新增至使用 `SendRawEmail` API 傳送的電子郵件,請參閱 [在 Amazon SES 中手動執行 DKIM 簽署](send-email-authentication-dkim-manual.md)。
## DKIM 簽署金鑰長度
由於許多 DNS 供應商現在完全支援 DKIM 2048 位元 RSA 加密,Amazon SES 也支援 DKIM 2048 以實現更安全的電子郵件身分驗證,因此在從 API 或主控台設定 Easy DKIM 時使用它作為預設的金鑰長度。也可在「使用自有 DKIM (BYODKIM)」中設定和使用 2048 位元金鑰,其中您的簽署金鑰長度必須至少為 1024 位元且不超過 2048 位元。
為了安全性以及您的電子郵件的傳遞能力,當設定為 Easy DKIM 時,您可以選擇使用 1024 和 2048 位元金鑰長度,以及在發生由仍然不支援 2048 的 DNS 供應商所造成的任何問題時靈活地回復到 1024 位元。*建立新的身分時,除非您指定 1024,否則會預設 DKIM 2048 來建立身分。*
為了保留傳輸電子郵件的可交付性,您變更 DKIM 金鑰長度的頻率有一定限制。限制包括:
+ 無法切換到已設定的金鑰長度。
+ 無法在 24 小時內多次切換到不同的金鑰長度 (除非這是該期間的第一次降級到 1024)。
當您的電子郵件在傳輸過程中時,DNS 會使用您的公有金鑰來驗證電子郵件;因此,如果您變更金鑰太快或過於頻繁,DNS 可能無法對您的電子郵件進行 DKIM 驗證,因為之前的金鑰可能已經失效。因此,這些限制可以防範上述問題。
## DKIM 考量因素
當您使用 DKIM 來驗證電子郵件時,會套用以下規則:
+ 您只需要針對 "From" 地址中使用的網域設定 DKIM。您不需要針對 "Return-Path" 或 "Reply-to" 地址中使用的網域設定 DKIM。
+ Amazon SES 可在數個 AWS 區域使用。如果您使用多個 AWS 區域來傳送電子郵件,則必須完成每個區域的 DKIM 設定程序,以確保所有電子郵件均有 DKIM 簽章。
+ 由於 DKIM 屬性是繼承自父系網域,因此當您使用 DKIM 身分驗證來驗證網域時:
+ DKIM 身分驗證也將套用到該網域的所有子網域。
+ 如果您不希望子網域使用 DKIM 身分驗證以及稍後要重新啟用的功能,則可以透過停用繼承讓子網域的 DKIM 設定覆寫父系網域的設定。
+ DKIM 驗證也將套用到所有從參考其地址中 DKIM 身分驗證網域的電子郵件身分發送的電子郵件。
+ 如果您希望發送郵件而不進行 DKIM 身分驗證,可以透過停用繼承來讓電子郵件地址的 DKIM 設定覆寫子網域 (如果適用) 和父系網域的設定,以及以後要重新啟用的功能。
## 了解繼承的 DKIM 簽署屬性
首先必須了解,如果使用 DKIM 設定父系網域,電子郵件地址身分會從父系網域繼承其 DKIM 簽署屬性,不論是否使用 Easy DKIM 或 BYODKIM。因此,停用或啟用電子郵件地址身分上的 DKIM 簽署,實際上是根據以下重要事實覆寫網域的 DKIM 簽署屬性:
+ 如果您已設定電子郵件地址所屬網域的 Easy DKIM,即不需要一併為電子郵件地址身分啟用 DKIM 簽署。
+ 當您為某個網域設定 DKIM 時,Amazon SES 會自動透過從父系網域繼承的 DKIM 屬性驗證來自該網域每個地址的每封電子郵件。
+ 特定電子郵件地址身分的 DKIM 設定會*自動覆寫該地址所屬父系網域或子網域 (如適用) 的設定*。
由於電子郵件地址身分的 DKIM 簽署屬性是繼承自父系網域,因此如果您打算覆寫這些屬性,您必須牢記覆寫的階層規則,如下表所述。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/send-email-authentication-dkim.html)
通常不建議停用 DKIM 簽署,因為有可能會損害寄件者評價,而且會增加將您傳送的郵件送往垃圾郵件資料夾或網域遭到假冒的風險。
不過,可以因應任何特定使用案例或異常業務決策,而覆寫電子郵件地址身分上的網域繼承 DKIM 簽署屬性,以永久或暫時停用 DKIM 簽署,或稍後再重新啟用。請參閱[覆寫電子郵件地址身分上的繼承 DKIM 簽署](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)。
# Amazon SES 中的 Easy DKIM
當您為某個網域身分設定 Easy DKIM 時,Amazon SES 會自動為該身分傳送的每封電子郵件新增一個 2048 位元 DKIM 金鑰。您可以使用 Amazon SES 主控台或 API 來設定 Easy DKIM。
**注意**
若要設定 Easy DKIM,您必須修改您網域的 DNS 設定。如果您使用 Route 53 做為 DNS 供應商,Amazon SES 可自動為您建立適當的記錄。如果您使用其他 DNS 供應商,請參閱您的供應商文件以進一步了解如何變更網域的 DNS 設定。
**警告**
如果您目前已啟用 BYODKIM 並正在轉移到 Easy DKIM,請注意,在設定 Easy DKIM 且您的 DKIM 狀態處於待定狀態時,Amazon SES 不會使用 BYODKIM 登入您的電子郵件。從您呼叫啟用 Easy DKIM(透過 API 或主控台)到 SES 可以確認您的 DNS 組態的那一刻,您的電子郵件可能會由 SES 傳送,而無需 DKIM 簽章。因此,建議使用中繼步驟從一種 DKIM 簽署方法遷移到另一種方法(例如,使用啟用了 BYODKIM 的子網域,然後在 Easy DKIM 驗證通過後將其刪除),或者在應用程式停機期間執行此活動(如果有)。
## 為已驗證網域身分設定 Easy DKIM
本節中的過程經過簡化,只顯示在已建立的網域身分上設定 Easy DKIM 所需的步驟。若您尚未建立網域身分,或想要查看自訂網域身分的所有可用選項,例如使用預設組態集、自訂的「寄件人」網域和標籤,請參閱 [建立網域身分](creating-identities.md#verify-domain-procedure)。
建立 Easy DKIM 網域身分的一部分任務是設定其 DKIM 型驗證,其中可以選擇接受 Amazon SES 預設值 2048 位元,或透過選取 1024 位元來覆蓋預設值。請參閱 [DKIM 簽署金鑰長度](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048),深入了解 DKIM 簽署金鑰長度以及如何變更金鑰長度。
**為網域設定 Easy DKIM**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的**組態**下,選擇**身分**。
1. 在身分清單中,選擇 **Identity type (身分類型)** 是 *Domain (網域)* 的身分。
**注意**
如果您需要建立或驗證網域,請參閱 [建立網域身分](creating-identities.md#verify-domain-procedure)。
1. 在 **Authentication (身分驗證)** 索引標籤下方的 **網域金鑰識別郵件 (DKIM)** 容器中,選擇 **Edit (編輯)**。
1. 在 **Advanced DKIM settings (進階 DKIM 設定)** 容器中,選擇 **Identity type (身分類型)** 欄位中的 **Easy DKIM** 按鈕。
1. 在 **DKIM signing key length (DKIM 簽署金鑰長度)** 欄位中,選擇 [**RSA\$12048\$1BIT** 或 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
1. 在 **DKIM signatures (DKIM 簽章)** 欄位中,選中 **Enabled (已啟用)** 方塊。
1. 選擇**儲存變更**。
1. 現在您已使用 Easy DKIM 設定了網域身分,您必須透過 DNS 提供者完成驗證程序:繼續執行 [透過 DNS 提供者驗證 DKIM 網域身分](creating-identities.md#just-verify-domain-proc),然後按照 Easy DKIM 的 DNS 身分驗證程序。
## 變更身分的 Easy DKIM 簽署金鑰長度
本節中的程序顯示如何輕鬆變更簽署演算法所需的 Easy DKIM 位元。雖然由於其提供的增強安全性,始終優先使用 2048 位元的簽署長度,但在某些情況下可能需要使用 1024 位元長度,例如必須使用只支援 DKIM 1024 的 DNS 供應商。
為了保留傳輸電子郵件的交付能力,您可以變更或翻轉 DKIM 金鑰長度的頻率有一定限制。
當您的電子郵件在傳輸過程中時,DNS 會使用您的公有金鑰來驗證電子郵件;因此,如果您變更金鑰太快或過於頻繁,DNS 可能無法對您的電子郵件進行 DKIM 身分驗證,因為之前的金鑰可能已經失效。因此,下列限制可防範此問題:
+ 您無法切換到與已設定的金鑰長度相同的金鑰長度。
+ 您無法在 24 小時內多次切換至不同的金鑰長度 (除非是該期間的第一次降級至 1024)。
在使用以下程序變更您的金鑰長度時,如果您刪除其中一個限制,主控台將返回一個錯誤橫幅,指出*您提供的輸入無效*以及無效的原因。
**若要變更 DKIM 簽署金鑰長度位元**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration (組態)** 下,選擇 **Verified identities (已驗證身分)**。
1. 在身分清單中,選擇您希望變更 DKIM 簽署金鑰長度的身分。
1. 在 **Authentication (身分驗證)** 索引標籤下方的 **網域金鑰識別郵件 (DKIM)** 容器中,選擇 **Edit (編輯)**。
1. 在 **Advanced DKIM settings** (進階 DKIM 設定) 容器的 **DKIM signing key length** (DKIM 簽署金鑰長度) 欄位中,選擇 [**RSA\$12048\$1BIT** 或 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
1. 選擇**儲存變更**。
# 在 Amazon SES 中使用確定性 Easy DKIM (DEED)
確定性 Easy DKIM (DEED) 提供跨多個 管理 DKIM 組態的解決方案 AWS 區域。透過簡化 DNS 管理並確保一致的 DKIM 簽署,DEED 可協助您簡化多區域電子郵件傳送操作,同時維持強大的電子郵件身分驗證實務。
## 什麼是確定性 Easy DKIM (DEED)?
確定性 Easy DKIM (DEED) 是一種功能, AWS 區域 可根據使用 [Easy DKIM 設定的父系網域,在所有 中產生一致的 DKIM](send-email-authentication-dkim-easy.md) 字符。這可讓您複寫不同 中的身分 AWS 區域 ,以自動繼承和維護與目前使用 Easy DKIM 設定之父系身分相同的 DKIM 簽署組態。使用 DEED,您只需發佈父身分的 DNS 記錄一次,複本身分將使用相同的 DNS 記錄來驗證網域擁有權和管理 DKIM 簽署。
透過簡化 DNS 管理並確保一致的 DKIM 簽署,DEED 可協助您簡化多區域電子郵件傳送操作,同時維持最佳的電子郵件身分驗證實務。
討論 DEED 時使用的術語:
+ **父系身分** – 使用 Easy DKIM 設定的已驗證身分,做為複本身分的 DKIM 組態來源。
+ **複本身分** – 共用相同 DNS 設定和 DKIM 簽署組態的父身分複本。
+ **父區域** – AWS 區域 設定父身分的 。
+ **複本區域** – AWS 區域 設定複本身分的 。
+ **DEED 身分** – 用作父身分或複本身分的任何身分。(建立新身分時,一開始會將其視為一般 (非 DEED) 身分。 不過,建立複本後,身分就會被視為 DEED 身分。)
使用 DEED 的主要優點包括:
+ **簡化 DNS 管理** – 僅發佈父系身分的 DNS 記錄一次。
+ **更輕鬆的多區域操作** – 簡化將電子郵件傳送操作擴展到新區域的程序。
+ **降低管理開銷** – 從父系身分集中管理 DKIM 組態。
## 確定性 Easy DKIM (DEED) 的運作方式
當您建立複本身分時,Amazon SES 會自動將 DKIM 簽署金鑰從父身分複寫至複本身分。對父身分所做的任何後續 DKIM 金鑰輪換或金鑰長度變更都會自動傳播到所有複本身分。
此程序涉及下列工作流程:
1. AWS 區域 使用 Easy DKIM 在 中建立父系身分。
1. 設定父系身分所需的 DNS 記錄。
1. 在其他 中建立複本身分 AWS 區域,指定父身分的網域名稱和 DKIM 簽署區域。
1. Amazon SES 會自動將父系的 DKIM 組態複寫至複本身分。
重要考量:
+ 您無法建立已經是複本之身分的複本。
+ 父身分必須啟用 [Easy DKIM](send-email-authentication-dkim-easy.md) - 您無法建立 BYODKIM 複本或手動簽署的身分。
+ 在刪除所有複本身分之前,無法刪除父身分。
## 使用 DEED 設定複本身分
本節將提供範例,示範如何使用 DEED 以及必要的許可來建立和驗證複本身分。
**Topics**
+ [建立複本身分](#creating-replica-identity)
+ [驗證複本身分組態](#verifying-replica-identity)
+ [使用 DEED 所需的許可](#required-permissions)
### 建立複本身分
若要建立複本身分:
1. 在您要建立複本身分 AWS 區域 的 中,開啟位於 https://[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 SES 主控台。
(在 SES 主控台中,複本身分稱為*全域身分*。)
1. 在導覽窗格中,選擇**身分**。
1. 選擇 **Create identity** (建立身分)。
1. 選取**身分類型**下的**網域**,然後輸入您要複寫並做為父系的 Easy DKIM 所設定之現有身分的網域名稱。
1. 展開**進階 DKIM 設定**,然後選取**確定性 Easy DKIM**。
1. 從**父區域**下拉式功能表中,選取父區域,其中具有與您為全域 (複本) 身分輸入之相同名稱的 Easy DKIM 簽署身分所在的父區域。(您的複本區域預設為您登入 SES 主控台的區域。)
1. 確保已啟用 **DKIM 簽章**。
1. (選用) 將一或多個**標籤**新增至您的網域身分。
1. 檢閱組態,然後選擇**建立身分**。
使用 AWS CLI:
若要根據使用 Easy DKIM 設定的父系身分建立複本身分,您需要指定父系的網域名稱、要建立複本身分的區域,以及父系的 DKIM 簽署區域,如此範例所示:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
在上述範例中:
1. 將 *example.com* 取代為複寫的父系網域身分。
1. 將 *us-west-2* 取代為要建立複本網域身分的區域。
1. 將 *AWS\$1SES\$1US\$1EAST\$11* 取代為父系的 DKIM 簽署區域,代表其將複寫至複本身分的 Easy DKIM 簽署組態。
**注意**
`AWS_SES_` 字首表示已使用 Easy DKIM 為父系身分設定 DKIM,且 `US_EAST_1`是其建立 AWS 區域 所在的 。
### 驗證複本身分組態
建立複本身分之後,您可以驗證其已使用父身分的 DKIM 簽署組態正確設定。
**若要驗證複本身分:**
1. 在您 AWS 區域 建立複本身分的 中,開啟位於 https://[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 SES 主控台。
1. 在導覽窗格中,選擇**身分**,然後從身分資料表中選取您要驗證**的身分**。
1. 在**身分驗證**索引標籤下,**DKIM 組態**欄位會指出狀態,而**父區域**欄位會指出使用 DEED 進行身分 DKIM 簽署組態的區域。
使用 AWS CLI:
使用 `get-email-identity`命令指定複本的網域名稱和區域:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
回應會在 `SigningAttributesOrigin` 參數中包含父區域的值,表示複本身分已成功使用父身分的 DKIM 簽署組態設定:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### 使用 DEED 所需的許可
若要使用 DEED,您需要:
1. 在複本區域中建立電子郵件身分的標準許可。
1. 從父區域複寫 DKIM 簽署金鑰的許可。
#### DKIM 複寫的 IAM 政策範例
下列政策允許 DKIM 簽署金鑰從父身分複寫到指定的複本區域:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## 最佳實務
建議使用下列最佳實務:
+ **規劃您的父系和複本區域** – 考慮您選擇的父系區域,因為它將成為複本區域中所用 DKIM 組態的真實來源。
+ **使用一致的 IAM 政策** – 確保您的 IAM 政策允許跨所有預期區域的 DKIM 複寫。
+ **保持父身分為作用中** – 請記住,您的複本身分會繼承父身分的 DKIM 簽署組態,因為此相依性,您必須先刪除所有複本身分,才能刪除父身分。
## 疑難排解
如果您遇到 DEED 問題,請考慮下列事項:
+ **驗證錯誤** – 確保您具有 DKIM 複寫的必要許可。
+ **複寫延遲** – 複寫需要一些時間才能完成,尤其是在建立新的複本身分時。
+ **DNS 問題** – 確認父身分的 DNS 記錄已正確設定並傳播。
# 在 Amazon SES 中提供您自己的 DKIM 身分驗證字符 (BYODKIM)
做為使用 [Easy DKIM](send-email-authentication-dkim-easy.md) 的替代方案,您可以改用您自己的公開/私密金鑰對來設定 DKIM 驗證。此程序稱為*使用自有 DKIM* (*BYODKIM*)。
使用 BYODKIM,您可以使用單一 DNS 記錄來為您的網域設定 DKIM 驗證,而不是 Easy DKIM,後者需要您發佈三個個別的 DNS 記錄。此外,使用 BYODKIM 可讓您為網域輪換 DKIM 金鑰 (以您想要的頻率)。
**Topics**
+ [步驟 1:建立金鑰對](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [步驟 2:將選擇器和公有金鑰新增到 DNS 供應商的網域組態](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [步驟 3:將網域設定為使用 BYODKIM 並進行驗證](#send-email-authentication-dkim-bring-your-own-configure-identity)
**警告**
如果您目前已啟用 Easy DKIM 並正在轉移到 BYODKIM,請注意,在設定 BYODKIM 且您的 DKIM 狀態處於待定狀態時,Amazon SES 不會使用 Easy DKIM 簽署您的電子郵件。從您呼叫啟用 BYODKIM(透過 API 或主控台)到 SES 可以確認您的 DNS 組態的那一刻,您的電子郵件可能會由 SES 傳送,而無需 DKIM 簽章。因此,建議使用中繼步驟從一種 DKIM 簽署方法遷移到另一種方法(例如,使用啟用了 Easy DKIM 的子網域,然後在 BYODKIM 驗證通過後將其刪除),或者在應用程式停機期間執行此活動(如果有)。
## 步驟 1:建立金鑰對
若要運用「使用自有 DKIM」功能,您必須先建立 RSA 金鑰對。
您產生的公有金鑰必須採用 PKCS \$11 或 PKCS \$18 格式、必須至少使用 1024 位元 RSA 加密且最高可達 2048 位元,並使用 base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 編碼方式進行編碼。請參閱 [DKIM 簽署金鑰長度](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048),深入了解 DKIM 簽署金鑰長度以及如何變更金鑰長度。
**注意**
只要產生的私有金鑰至少使用 1024 位元 RSA 加密 (最高可達 2048 位元),並使用 base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 進行編碼,您可以使用第三方應用程式和工具來產生 RSA 金鑰對。
在下列程序中,使用內建於大部分 Linux、macOS 或 Unix 作業系統的 `openssl genrsa` 命令來建立金鑰對的範例程式碼,將自動使用 base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 編碼。
**從 Linux、macOS 或 Unix 命令列建立金鑰對**
1. 在命令列輸入下列命令來產生私有金鑰,其中將 *nnnn* 取代為至少為 1024 位元的長度,最多為 2048 位元:
```
openssl genrsa -f4 -out private.key nnnn
```
1. 在命令列輸入下列命令來產生公有金鑰:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## 步驟 2:將選擇器和公有金鑰新增到 DNS 供應商的網域組態
現在您已建立金鑰對,您必須將公有金鑰新增至網域的 DNS 組態,做為 TXT 記錄。
**將公有金鑰新增至網域的 DNS 組態**
1. 登入您的 DNS 或託管提供者的管理主控台。
1. 將新文字記錄新增至網域的 DNS 組態。記錄應該使用下列格式:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
在上述範例中,進行下列變更:
+ 以可識別金鑰的唯一名稱取代 *selector*。
**注意**
少數 DNS 供應商不允許您在記錄名稱中包含底線 (\$1)。不過,DKIM 記錄名稱必須使用底線。如果您的 DNS 供應商不允許您在記錄名稱中輸入底線,請聯絡供應商的客戶支援團隊以尋求協助。
+ 以您的網域取代 *example.com*。
+ 使用您稍早建立的公開金鑰取代 *yourPublicKey*,並包含 `p=` 字首,如上方 *Value* (值) 欄位所示。
**注意**
將公有金鑰發佈 (新增) 到 DNS 供應商時,格式必須如下:
您必須刪除所產生公開金鑰的第一行和最後一行 (分別為 `-----BEGIN PUBLIC KEY-----` 和 `-----END PUBLIC KEY-----`)。此外,您必須移除所產生公開金鑰中的換行符號。產生的值是字元的字串,不帶空格或換行符號。
您必須包含 `p=` 字首,如上表中 *Value* (值) 欄位所示。
不同供應商有不同的 DNS 記錄更新程序。下表包括幾個最常採用的 DNS 供應商的文件連結。這不是完整詳盡的清單,且不提供任何背書;同樣,若您的 DNS 供應商未列入清單,也不表示您無法搭配 Amazon SES 使用該網域。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## 步驟 3:將網域設定為使用 BYODKIM 並進行驗證
您可以透過使用主控台或 AWS CLI為新網域 (即您目前未用來透過 Amazon SES 傳送電子郵件的網域) 和現有網域 (即您已設定要搭配 Amazon SES 使用的網域) 設定 BYODKIM。在使用本節中的 AWS CLI 程序之前,您必須先安裝和設定 AWS CLI。如需詳細資訊,請參閱 [AWS Command Line Interface 使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/)。
### 選項 1:建立使用 BYODKIM 的新網域身分
本節包含建立使用 BYODKIM 的新網域身分的程序。新的網域身分是您先前未設定要使用 Amazon SES 來傳送電子郵件的網域。
如果您想要將現有的網域設定為使用 BYODKIM,請改為完成 [選項 2:設定現有的網域身分](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) 中的程序。
**若要從主控台使用 BYODKIM 建立身分**
+ 請遵循 [建立網域身分](creating-identities.md#verify-domain-procedure) 的程序,當您進入步驟 8 時,請按照 BYODKIM 的具體說明進行操作。
**從 使用 BYODKIM 建立身分 AWS CLI**
若要設定新網域,請使用 Amazon SES API 中的 `CreateEmailIdentity` 作業。
1. 在文字編輯器中,貼上以下程式碼:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
在上述範例中,進行下列變更:
+ 以您要建立的網域取代 *example.com*。
+ 以您的私密金鑰取代 *privateKey*。
**注意**
您必須刪除所產生私有金鑰的第一行和最後一行 (分別為 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,您必須移除所產生私有金鑰中的換行符號。產生的值是字元的字串,不帶空格或換行符號。
+ 以您在網域的 DNS 組態中建立 TXT 記錄時所指定的唯一選取器取代 *selector*。
完成後,請將檔案儲存為 `create-identity.json`。
1. 在命令列中輸入以下命令:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
在上述命令中,將 *path/to/create-identity.json* 取代為您在上一個步驟中建立的檔案的完整路徑。
### 選項 2:設定現有的網域身分
本節包含更新現有網域身分以使用 BYODKIM 的程序。現有的網域身分是您已設定要使用 Amazon SES 來傳送電子郵件的網域。
**若要從主控台使用 BYODKIM 更新網域身分**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration (組態)** 下,選擇 **Verified identities (已驗證身分)**。
1. 在身分清單中,選擇 **Identity type (身分類型)** 是 *Domain (網域)* 的身分。
**注意**
如果您需要建立或驗證網域,請參閱 [建立網域身分](creating-identities.md#verify-domain-procedure)。
1. 在 **Authentication** (身分驗證) 索引標籤下方的 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 窗格中,選擇 **Edit** (編輯)。
1. 在 **Advanced DKIM settings (進階 DKIM 設定)** 窗格中,選擇 **Identity type** (身分類型) 欄位中的 **Provide DKIM authentication token (BYODKIM)** (提供 DKIM 身分驗證字符 (BYODKIM)) 按鈕。
1. 針對**私有金鑰**,請貼上您稍早產生的私有金鑰。
**注意**
您必須刪除所產生私有金鑰的第一行和最後一行 (分別為 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,您必須移除所產生私有金鑰中的換行符號。產生的值是字元的字串,不帶空格或換行符號。
1. 對於 **Selector name (選取器名稱)**,輸入您在網域 DNS 設定中指定的選擇器名稱。
1. 在 **DKIM signatures (DKIM 簽章)** 欄位中,選中 **Enabled (已啟用)** 方塊。
1. 選擇**儲存變更**。
**從 使用 BYODKIM 更新網域身分 AWS CLI**
若要設定現有的網域,請在 Amazon SES API 中使用 `PutEmailIdentityDkimSigningAttributes` 作業。
1. 在文字編輯器中,貼上以下程式碼:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
在上述範例中,進行下列變更:
+ 以您的私密金鑰取代 *privateKey*。
**注意**
您必須刪除所產生私有金鑰的第一行和最後一行 (分別為 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,您必須移除所產生私有金鑰中的換行符號。產生的值是字元的字串,不帶空格或換行符號。
+ 以您在網域的 DNS 組態中建立 TXT 記錄時所指定的唯一選取器取代 *selector*。
完成後,請將檔案儲存為 `update-identity.json`。
1. 在命令列中輸入以下命令:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
在上述命令中,進行下列變更:
+ 以您在上一個步驟中建立的檔案的完整路徑取代 *path/to/create-identity.json*。
+ 以您要更新的網域取代 *example.com*。
### 驗證使用 BYODKIM 的網域的 DKIM 狀態
**從主控台驗證網域的 DKIM 狀態**
將網域設定為使用 BYODKIM 之後,您可以使用 SES 主控台來驗證已正確設定 DKIM。
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇您要驗證 DKIM 狀態的身分。
1. 對 DNS 設定的變更最多可能需要 72 小時才會傳播。當 Amazon SES 在您網域的 DNS 設定中偵測到所有必需的 DKIM 記錄時,驗證程序即完成。若所有內容都已正確設定,在 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 窗格中,您網域的 **DKIM configuration** (DKIM 設定) 欄位將顯示為 **Successful** (成功),並且 **Summary** (摘要) 窗格中的 **Identity status** (身分狀態) 欄位將顯示為 **Verified** (已驗證)。
**使用 驗證網域的 DKIM 狀態 AWS CLI**
將網域設定為使用 BYODKIM 之後,您可以使用 GetEmailIdentity 操作來驗證已正確設定 DKIM。
+ 在命令列中輸入以下命令:
```
aws sesv2 get-email-identity --email-identity example.com
```
在上述命令中,將 *example.com* 取代為您的網域。
此命令會傳回 JSON 物件,其中包含類似下列範例的區段。
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
如果下列各項成立,則已正確為網域設定 BYODKIM:
+ `SigningAttributesOrigin` 屬性的值為 `EXTERNAL`。
+ `SigningEnabled` 的值為 `true`。
+ `Status` 的值為 `SUCCESS`。
# 管理 Easy DKIM 和 BYODKIM
對於已透過 Easy DKIM 或 BYODKIM 驗證的身分,您可以使用基於 Web 的 Amazon SES 主控台或使用 Amazon SES API 來管理這些身分的 DKIM 設定。您可以使用其中任一種方法來取得身分的 DKIM 記錄,或是啟用或停用身分的 DKIM 簽署。
## 取得身分的 DKIM 記錄
您可以隨時使用 Amazon SES 主控台,取得網域或電子郵件地址的 DKIM 記錄。
**使用主控台取得身分的 DKIM 記錄**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇您希望取得哪種身分的\$1 DKIM 記錄。
1. 在身分詳細資訊頁面的 **Authentication **(身分驗證) 索引標籤上,展開 **View DNS records** (檢視 DNS 記錄)。
1. 複製顯示在本區段的三個 CNAME 記錄 (如果您使用 Easy DKIM),或複製 TXT 記錄 (如果您使用 BYODKIM)。或者,您可以選擇 **Download .csv record set** (下載 .csv 記錄集),將記錄複本儲存到您的電腦。
下圖顯示展開的 **View DNS records** (檢視 DNS 記錄) 區段範例,其中顯示了與 Easy DKIM 相關聯的 CNAME 記錄。
![\[\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/dkim_existing_dns.png)
您也可以使用 Amazon SES API 取得身分的 DKIM 記錄。使用 AWS CLI是與 API 互動的常見方法。
**使用 取得身分的 DKIM 記錄 AWS CLI**
1. 在命令列中輸入以下命令:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
在上述範例中,將 *example.com* 取代為您想要取得其 DKIM 記錄的身分。您可以指定電子郵件地址或網域。
1. 此命令的輸出包含 `DkimTokens` 區段,如以下範例所示:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
您可以使用字符來建立 CNAME 記錄,以新增到網域的 DNS 設定。若要建立 CNAME 記錄,請使用下列範本:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
將每個執行個體的 *token1* 取代為當您執行 `get-identity-dkim-attributes` 命令時收到清單中的第一個字符,將所有執行個體的 *token2* 取代為清單中的第二個字符,並將所有執行個體的 *token3* 取代為清單中的第三個字符。
例如,將此範本套用到上述範例所示的字符時,會產生以下記錄:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**注意**
並非所有 都 AWS 區域 使用預設 SES DKIM 網域,`dkim.amazonses.com`若要查看您的區域是否使用區域特定的 DKIM 網域,請檢查 中的 [DKIM 網域資料表](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)*AWS 一般參考*。
## 停用身分的 Easy DKIM
您可以使用 Amazon SES 主控台,快速為身分停用 DKIM 驗證。
**停用身分的 DKIM**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇您希望停用哪種身分的 DKIM。
1. 在 **Authentication** (身分驗證) 索引標籤下方的 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 容器中,選擇 **Edit** (編輯)。
1. 在 **Advanced DKIM settings** (進階 DKIM 設定) 中,清除 **DKIM signatures** (DKIM 簽章) 欄位中的 **Enabled** (已啟用) 方塊。
您也可以使用 Amazon SES API 為身分停用 DKIM。使用 AWS CLI是與 API 互動的常見方法。
**使用 停用身分的 DKIM AWS CLI**
+ 在命令列中輸入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
在上述範例中,將 *example.com* 取代為您想要停用 DKIM 的身分。您可以指定電子郵件地址或網域。
## 啟用身分的 Easy DKIM
如果您之前已為某個身分停用 DKIM,您可以使用 Amazon SES 主控台再次啟用。
**啟用身分的 DKIM**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇您希望啟用哪種身分的 DKIM。
1. 在 **Authentication (身分驗證)** 索引標籤下方的 **網域金鑰識別郵件 (DKIM)** 容器中,選擇 **Edit (編輯)**。
1. 在 **Advanced DKIM settings (進階 DKIM 設定)** 中,選中 **DKIM signatures (DKIM 簽章)** 欄位中的 **Enabled (已啟用)** 方塊。
您也可以使用 Amazon SES API 為身分啟用 DKIM。使用 AWS CLI是與 API 互動的常見方法。
**使用 為身分啟用 DKIM AWS CLI**
+ 在命令列中輸入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
在上述範例中,將 *example.com* 取代為您想要啟用 DKIM 的身分。您可以指定電子郵件地址或網域。
## 覆寫電子郵件地址身分上的繼承 DKIM 簽署
本節說明如何在已使用 Amazon SES 驗證的特定電子郵件地址身分上覆寫 (停用或啟用) 從父系網域繼承的 DKIM 簽署屬性。您只能針對屬於您已擁有之網域的電子郵件地址身分執行此動作,因為 DNS 設定是在網域層級設定的。
**重要**
您無法在以下網域為電子郵件地址身分停用/啟用 DKIM 簽署…
非您擁有的網域。例如,您無法為 *gmail.com* 或 *hotmail.com* 地址切換 DKIM 簽署設定,
您所擁有的網域,但尚未在 Amazon SES 中完成驗證,
您所擁有的網域,但尚未在網域上啟用 DKIM 簽署。
本節包含下列主題:
+ [了解繼承的 DKIM 簽署屬性](#dkim-easy-setup-email-key-points-mng)
+ [覆寫電子郵件地址身分上的 DKIM 簽署 (主控台)](#override-dkim-email-console-mng)
+ [覆寫電子郵件地址身分上的 DKIM 簽署 (AWS CLI)](#override-dkim-email-cli-mng)
### 了解繼承的 DKIM 簽署屬性
首先必須了解,如果使用 DKIM 設定父系網域,電子郵件地址身分會從父系網域繼承其 DKIM 簽署屬性,不論是否使用 Easy DKIM 或 BYODKIM。因此,停用或啟用電子郵件地址身分上的 DKIM 簽署,實際上是根據以下重要事實覆寫網域的 DKIM 簽署屬性:
+ 如果您已設定電子郵件地址所屬網域的 Easy DKIM,即不需要一併為電子郵件地址身分啟用 DKIM 簽署。
+ 當您為某個網域設定 DKIM 時,Amazon SES 會自動透過從父系網域繼承的 DKIM 屬性驗證來自該網域每個地址的每封電子郵件。
+ 特定電子郵件地址身分的 DKIM 設定會*自動覆寫該地址所屬父系網域或子網域 (如適用) 的設定*。
由於電子郵件地址身分的 DKIM 簽署屬性是繼承自父系網域,因此如果您打算覆寫這些屬性,您必須牢記覆寫的階層規則,如下表所述。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
通常不建議停用 DKIM 簽署,因為有可能會損害寄件者評價,而且會增加將您傳送的郵件送往垃圾郵件資料夾或網域遭到假冒的風險。
不過,可以因應任何特定使用案例或異常業務決策,而覆寫電子郵件地址身分上的網域繼承 DKIM 簽署屬性,以永久或暫時停用 DKIM 簽署,或稍後再重新啟用。
### 覆寫電子郵件地址身分上的 DKIM 簽署 (主控台)
下列 SES 主控台程序說明如何在已使用 Amazon SES 驗證的特定電子郵件地址身分上覆寫 (停用或啟用) 從父系網域繼承的 DKIM 簽署屬性。
**使用主控台停用/啟用電子郵件地址身分上的 DKIM 簽署**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/):// 開啟 Amazon SES 主控台。
1. 在導覽窗格中的 **Configuration** (組態) 下,選擇 **Verified identities** (已驗證身分)。
1. 在身分清單中,選擇 **Identity type** (身分類型) 為*電子郵件地址*且屬於其中一個已驗證網域的身分。
1. 在 **Authentication** (身分驗證) 索引標籤下方的 **DomainKeys Identified Mail (DKIM)** (網域金鑰識別郵件 (DKIM)) 容器中,選擇 **Edit** (編輯)。
**注意**
唯有在所選的電子郵件地址身分屬於已由 SES 驗證的網域的情況下,**Authentication** (身分驗證) 索引標籤才會顯示。如果您尚未驗證網域,請參閱 [建立網域身分](creating-identities.md#verify-domain-procedure)。
1. 在 **Advanced DKIM settings** (進階 DKIM 設定) 下的 **DKIM signatures** (DKIM 簽章) 欄位中,清除 **Enabled** (已啟用) 核取方塊來停用 DKIM 簽章,或勾選此核取方塊來重新啟用 DKIM 簽章 (若簽章先前已被覆寫)。
1. 選擇**儲存變更**。
### 覆寫電子郵件地址身分上的 DKIM 簽署 (AWS CLI)
下列範例使用 AWS CLI 搭配 SES API 命令和參數,這些命令會覆寫 (停用或啟用) 已透過 SES 驗證之特定電子郵件地址身分上父系網域繼承的 DKIM 簽署屬性。
**使用 停用/啟用電子郵件地址身分的 DKIM 簽署 AWS CLI**
+ 假設您擁有 *example.com* 網域,而且您想要為該網域的其中一個電子郵件地址停用 DKIM 簽署,請在命令列中輸入下列命令:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. 以您想要停用 DKIM 簽署的電子郵件地址身分取代 *marketing@example.com*。
1. `--no-signing-enabled` 將停用 DKIM 簽署。若要重新啟用 DKIM 簽署,請使用 `--signing-enabled`。
# 在 Amazon SES 中手動執行 DKIM 簽署
做為使用 Easy DKIM 的替代方案,您可以改為手動將 DKIM 簽章新增到您的訊息,然後使用 Amazon SES 傳送那些訊息。若您選擇手動簽署您的訊息,您必須先建立 DKIM 簽章。在您建立訊息及 DKIM 簽章後,您可以使用 [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API 來傳送它。
若您決定手動簽署您的電子郵件,請考慮下列要素:
+ 您使用 Amazon SES *傳送的每則訊息都包含 DKIM 標頭,該標頭會參考 amazonses.com* 的簽署網域 (即包含以下字串:`d=amazonses.com`)。因此,若您手動簽署訊息,則此訊息應包含*兩個* DKIM 標頭:一個用於您的網域,另一個則是 Amazon SES 自動為 *amazonses.com* 建立的標頭。
+ Amazon SES 不會驗證您手動新增到訊息的 DKIM 簽章。若訊息中的 DKIM 簽章發生錯誤,便可能會遭到電子郵件提供者拒絕。
+ 當您簽署訊息時,建議您使用至少 1024 位元的位元長度。
+ 請不要簽署以下欄位:訊息 ID (Message-ID)、日期 (Date)、傳回路徑 (Return-Path) 和退信至 (Bounces-To)。
**注意**
若您使用電子郵件用戶端來透過 Amazon SES SMTP 界面傳送電子郵件,您的用戶端可能會自動執行訊息的 DKIM 簽署。有些用戶端可能會簽署一部分的欄位。請參閱您電子郵件用戶端的文件,了解根據預設會簽署哪些欄位的資訊。