本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用網域
您可以設定 Amazon WorkMail 使用自訂網域。您也可以將網域設為組織的預設值,並啟用 AutoDiscover for Microsoft Outlook。
**Topics**
+ [新增網域](add_domain.md)
+ [移除網域](remove_domain.md)
+ [選擇預設網域](default_domain.md)
+ [驗證網域](domain_verification.md)
+ [啟用 AutoDiscover 來設定端點](autodiscover.md)
+ [編輯網域身分政策](editing_domains.md)
+ [以 SPF 驗證您的電子郵件](authenticate_domain.md)
+ [設定自訂「寄件人」網域](custom-mail-from-domain.md)
# 新增網域
您最多可以將 100 個網域新增至 Amazon WorkMail 組織。當您新增網域時,Amazon Simple Email Service (Amazon SES傳送授權政策會自動新增至網域身分政策。這可讓 Amazon WorkMail 存取您網域的所有 Amazon SES 傳送動作,並允許您將電子郵件重新導向至您的網域。您也可以將電子郵件重新導向至外部網域。
**注意**
最佳實務是,您應該將 postmaster@ 和 abuse@ 的別名新增至所有網域。如果您希望組織中的特定使用者接收傳送到這些別名的郵件,您可以為這些別名建立分發群組。
**當您使用自訂網域設定 Amazon WorkMail 組織時,請記住下列有關網域 DNS 記錄的事項:**
+ 對於 MX 和自動探索 CNAME 記錄,我們建議將**存留時間 (TTL)** 值設定為 3600。減少 TTL 可確保在您更新這些記錄或遷移信箱之後,您的郵件伺服器不會使用過時或無效的 MX 記錄。
+ 在您建立使用者和分發群組,然後成功遷移信箱後,您應該更新 MX 記錄以開始將電子郵件轉送至 Amazon WorkMail。DNS 記錄的更新至多可能需要 48 小時來處理。
+ 有些 DNS 供應商會自動將網域名稱附加到 DNS 記錄的結尾。新增已包含網域名稱的記錄,例如 \$1amazonses.example.com,可能會導致網域名稱重複,進而產生 \$1amazonses.example.com.example.com。為了避免網域名稱在記錄名稱內重複,請加入句號 (.) 至 DNS 記錄中的網域名稱結尾處。這會向您的 DNS 供應商指出記錄名稱完全合格,且不再與網域名稱相對。此做法也可防止 DNS 供應商附加額外的網域名稱。
+ 複製的記錄名稱包含網域名稱。依據您使用的 DNS 服務,網域名稱可能已經增加至網域的 DNS 記錄。
+ 建立 DNS 記錄後,請選擇 Amazon WorkMail 主控台上的重新整理圖示,以查看驗證狀態和記錄值。如需驗證網域的詳細資訊,請參閱[驗證網域](domain_verification.md)。
+ 建議您將網域設定為`MAIL FROM`網域。若要為 iOS 裝置啟用 AutoDiscover,您必須將網域設定為`MAIL FROM`網域。您可以在 主控台的**增強可交付性**區段中查看`MAIL FROM`網域的狀態。如需詳細資訊,請參閱[設定自訂「寄件人」網域](custom-mail-from-domain.md)。
**新增網域**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
1. 如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。
1. 在導覽窗格中,選擇**組織**,然後選擇您要新增網域的組織名稱。
1. 在導覽窗格中,選擇**網域**,然後選擇**新增網域**。
1. 在**新增網域**畫面上,輸入網域名稱。網域名稱只能包含基本拉丁文 (ASCII) 字元。
**注意**
如果您有在 Amazon Route 53 公有託管區域中管理的網域,您可以從當您輸入網域名稱時出現的下拉式選單中進行選擇。
1. 選擇**新增網域**。
頁面隨即出現,並列出新網域的 DNS 記錄。頁面會將記錄分組為下列區段:
+ **網域擁有權**
+ **WorkMail 組態**
+ **改善安全性**
+ **改善電子郵件交付**
每個區段都包含一或多個 DNS 記錄,而且每個記錄都會顯示**狀態**值。下列清單顯示記錄及其可用的狀態值。
**TXT 擁有權**
*已驗證* – 記錄已解析和驗證。
*待*定 – 記錄尚未驗證。
*失敗* – 無法驗證擁有權。記錄不相符或是無法存取。
**MX WorkMail 組態**
*已驗證* – 記錄已解析並驗證。
*遺失* – 無法解析記錄。
*不一致* – 值不符合預期的記錄。
**AutoDiscover**
*已驗證* – 記錄已解析和驗證。
*遺失* – 無法解析記錄。
*不一致* – 值不符合預期的記錄。
AutoDiscover 驗證程序也會檢查 AutoDiscover 設定是否正確。程序會驗證每個階段的組態設定。驗證完成時**,狀態**欄中**已驗證**旁會出現綠色核取記號。您可以將滑鼠游標暫留在 **Verified** 上,查看哪些階段已由程序驗證。如需 AutoDiscover 階段的詳細資訊,請參閱 [啟用 AutoDiscover 來設定端點](autodiscover.md)。
DKIM CNAME
*已驗證* – 記錄已解析和驗證。
*待*定 – 記錄尚未驗證
*失敗* – 無法驗證擁有權。記錄不相符或是無法存取。
如需 DKIM 簽署的詳細資訊,請參閱《[Amazon Simple Email Service 開發人員指南》中的在 Amazon SES 中使用 DKIM](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dkim.html) 驗證電子郵件。 **
SPF TXT
*已驗證* – 記錄已解析和驗證。
*遺失* – 無法解析記錄。
*不一致 – *值不符合預期的記錄。
如需 SPF 驗證的詳細資訊,請參閱[以 SPF 驗證您的電子郵件](authenticate_domain.md)。
DMARC TXT
*已驗證* – 記錄已解析和驗證。
*遺失* – 無法解析記錄。
*不一致 – *值不符合預期的記錄
如需 Amazon WorkMail 中 DMARC 記錄的詳細資訊,請參閱《*Amazon Simple Email Service 開發人員指南*》中的[使用 Amazon SES 遵循 DMARC](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dmarc.html)。
TXT MAIL FROM 網域
*已驗證* – 記錄已解析和驗證。
*待*定 – 記錄尚未驗證。
*失敗* – 無法驗證擁有權。記錄不相符或是無法存取。
MX MAIL FROM 網域
*已驗證* – 記錄已解析和驗證。
遺失 – 無法解析記錄。
*不一致* – 值不符合預期的記錄。
1. 針對下一個步驟,根據您使用的 DNS 供應商選擇適當的動作。
****如果您使用 Route 53 網域****
+ 在頁面頂端,選擇在 **Route 53 中全部更新**。
****如果您使用其他 DNS 供應商****
+ 複製記錄並將其貼到您的 DNS 供應商。您可以大量複製記錄,或一次複製記錄。若要大量複製記錄,請選擇**全部複製**。這會建立您可以匯入 DNS 供應商的檔案區域。若要一次複製一個記錄,請選擇記錄名稱旁的重疊方塊,然後將每個方塊貼到您的 DNS 供應商。
1. 選擇重新整理圖示會更新每個記錄**的狀態**。這會透過 Amazon WorkMail 驗證網域擁有權和適當的網域組態。
# 移除網域
當您不再需要網域時,可以刪除它。不過,您必須先刪除使用該網域做為其電子郵件地址的任何個人或群組。
**要移除網域**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱《》中的[區域名稱和端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)*Amazon Web Services 一般參考*。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 在網域清單中,選取網域名稱旁的核取方塊然後選擇 **Remove** (刪除)。
1. 在**移除網域**對話方塊中,輸入要移除的網域名稱,然後選擇**移除**。
# 選擇預設網域
您可以讓與組織相關聯的網域成為該組織中使用者和群組的預設網域。使網域為預設不會變更現有的電子郵件地址。
**要讓網域為預設**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要請變更 AWS 區域。在主控台視窗頂端的列中,開啟**選取區域**清單,然後選擇區域。如需詳細資訊,請參閱《》中的[區域名稱和端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)*Amazon Web Services 一般參考*。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 在網域清單中,選取您要使用的網域名稱旁的核取方塊,然後選擇**設為預設**。
# 驗證網域
在 Amazon WorkMail 主控台中新增網域之後,您必須驗證網域。驗證網域會確認您擁有網域,並將使用 Amazon WorkMail 做為網域的電子郵件服務。
您可以在 DNS 服務中新增 TXT 和 MX 記錄來驗證網域。TXT 記錄可讓您將備註新增至 DNS 服務。MX 記錄會指定傳入郵件伺服器。
您可以使用 Amazon SES 主控台建立 TXT 和 MX 記錄,然後使用 Amazon WorkMail 主控台將記錄新增至 DNS 服務。請遵循下列步驟。
**建立 TXT 和 MX 記錄**
1. 開啟 Amazon SES 主控台,網址為 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在導覽窗格中,選擇**網域**,然後選擇**驗證新網域**。
**確認新的網域對話方塊隨即出現。**
1. 在**網域**方塊中,輸入您在 [新增網域](add_domain.md)區段中建立的網域名稱。
1. (選用) 如果您想要使用 DomainKeys 識別郵件 (DKIM),請選取**產生 DKIM 設定**核取方塊。
1. 選擇 **Verify This Domain (驗證此網域)**。
主控台會顯示 TXT 和 MX 記錄的清單。
1. 選擇位於 TXT 清單下的**下載記錄集為 CSV** 連結。
另存**新檔**對話方塊隨即出現。選擇下載的位置,然後選擇**儲存**。
1. 開啟下載的 CSV 檔案並複製其所有內容。
建立 TXT 和 MX 記錄後,您可以將它們新增至 DNS 供應商。下列步驟使用 Route 53。如果您使用不同的 DNS 供應商,但不知道如何新增記錄,請參閱供應商的文件。
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在導覽窗格中,選擇 **Hosted Zones (託管區域)**。然後,選擇您要驗證之網域旁的選項按鈕。
1. 從網域的 DNS 記錄清單中,選擇**匯入區域檔案**。
1. 在**區域檔案**下,將複製的記錄貼到文字方塊中。檔案清單會顯示在文字方塊下方。
1. 向下捲動至清單結尾,然後選擇**匯入**。
**注意**
最多需要 72 小時才能完成驗證程序。
## 使用 DNS 服務驗證 TXT 記錄和 MX 記錄
確認用來驗證您擁有該網域的 TXT 記錄,已正確新增至您的 DNS 服務。此程序使用 [nslookup](http://en.wikipedia.org/wiki/Nslookup) 工具,適用於 Windows 和 Linux。在 Linux 上,您也可以使用 [dig](http://en.wikipedia.org/wiki/Dig_(command))。
若要使用 `nslookup`工具,您必須先尋找為您的網域提供服務的 DNS 伺服器。然後,您查詢這些伺服器以檢視 TXT 記錄。您可以查詢網域的 DNS 伺服器,因為這些伺服器包含網域up-to-date。這些資訊傳播到其他 DNS 伺服器可能需要一些時間。
### 使用 nslookup 來確認您的 TXT 記錄已新增至您的 DNS 服務
1. 尋找網域的名稱伺服器:
1. 開啟命令提示字元 (Windows) 或終端機 (Linux)。
1. 執行下列命令,列出為您的網域提供服務的所有名稱伺服器。以您的網域取代 *example.com*。
```
1. nslookup -type=NS example.com
```
您將在下一個步驟中查詢其中一個名稱伺服器。
1. 確認已正確新增 Amazon WorkMail TXT 記錄。
1. 執行下列命令,將 *example.com* 取代為您的網域,並將 *ns1.name-server.net* 取代為步驟 1 的名稱伺服器。
```
1. nslookup -type=TXT _amazonses.example.com ns1.name-server.net
```
1. 檢閱 輸出中顯示的`"text ="`字串**nslookup**。確認此字串符合 Amazon WorkMail 主控台中**已驗證寄件者**清單中網域的 TXT 值。
在下列範例中,您想要查看 \$1amazonses.example.com 的 TXT 記錄,其值為 `fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk=`。如果您正確更新記錄,命令會有下列輸出:
```
1. _amazonses.example.com text = "fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk="
```
### 使用 dig 來確認您的 TXT 記錄已新增至您的 DNS 服務
1. 開啟終端機工作階段。
1. 執行下列命令來列出您網域的 TXT 記錄。以您的網域取代 *example.com*。
```
1. dig +short example.com txt
```
1. 確認命令輸出`TXT`中後續的字串符合您在 Amazon WorkMail 主控台**的 Verified Senders** 清單中選取網域時看到的 TXT 值。
### 使用 nslookup 來驗證您的 MX 記錄已新增至您的 DNS 服務
1. 尋找您網域的名稱伺服器:
1. 開啟命令提示。
1. 執行下列命令,列出您網域的所有名稱伺服器。
```
1. nslookup -type=NS example.com
```
您將在下一個步驟中查詢其中一個名稱伺服器。
1. 確認 MX 記錄已正確新增:
1. 執行下列命令,將 *example.com* 取代為您的網域,並將 *ns1.name-server.net* 取代為您在上一個步驟中識別的其中一個名稱伺服器。
```
1. nslookup -type=MX example.com ns1.name-server.net
```
1. 在輸出命令中,請確認連接在 `mail exchange = ` 後方的字串符合以下其中一個值:
**美國東部 (維吉尼亞北部) 區域** – `10 inbound-smtp.us-east-1.amazonaws.com`
**美國西部 (奧勒岡) 區域** – `10 inbound-smtp.us-west-2.amazonaws.com`
**歐洲 (愛爾蘭) 區域** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注意**
`10` 代表 MX 偏好數量或優先順序。
### 使用 dig 來確認您的 MX 記錄已新增至您的 DNS 服務
1. 開啟終端機工作階段。
1. 執行下列命令來列出您網域的 MX 記錄。
```
1. dig +short example.com mx
```
1. 請確認連接在 `MX` 後方的字串符合以下其中一個值:
**美國東部 (維吉尼亞北部) 區域** – `10 inbound-smtp.us-east-1.amazonaws.com`
**美國西部 (奧勒岡) 區域** – `10 inbound-smtp.us-west-2.amazonaws.com`
**歐洲 (愛爾蘭) 區域** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注意**
`10` 代表 MX 偏好數量或優先順序。
## 網域驗證故障診斷
若要疑難排解網域驗證的常見問題,請參閱下列建議:
您的 DNS 服務不允許 TXT 記錄名稱中的底線
`_amazonses` 從 TXT 記錄名稱省略 。
您想要多次驗證相同的網域,但不能有多個具有相同名稱的 TXT 記錄
如果您的 DNS 服務不允許您擁有多個同名的 TXT 記錄,請使用下列其中一個解決方法:
+ (建議) 如果您的 DNS 服務允許,請將多個值指派給 TXT 記錄。例如,如果您的 DNS 由 Amazon Route 53 管理,您可以為相同的 TXT 記錄設定多個值,如下所示:
1. 在 Route 53 主控台中,選擇您在第一個區域中驗證網域時新增的 `_amazonses` TXT 記錄。
1. 在 **Value (值)** 中,在第一個值後按 **Enter** 鍵。
1. 新增其他區域的值,並儲存記錄集。
+ 如果您只需要驗證網域兩次,您可以在名稱`_amazonses`中使用 建立 TXT 記錄,然後在記錄名稱`_amazonses`中建立另一個不含 的記錄,以驗證一次。
Amazon WorkMail 主控台報告網域驗證失敗
Amazon WorkMail 找不到 DNS 服務所需的 TXT 記錄。遵循中的程序,確認必要的 TXT 記錄已正確新增至您的 DNS 服務[使用 DNS 服務驗證 TXT 記錄和 MX 記錄](#domain-verification-check-dns)。
您的 DNS 供應商將網域名稱附加到 TXT 記錄的結尾
新增已包含網域名稱的 TXT 記錄,例如 \$1amazonses.example.com,可能會導致網域名稱重複,例如 \$1amazonses.example.com.example.com。為了避免網域名稱在記錄名稱內重複,請加入句號 (.) 至 TXT 記錄中的網域名稱結尾處。這會向您的 DNS 供應商指出記錄名稱完全合格,且 TXT 記錄中已包含網域名稱。
Amazon WorkMail 報告 MX ****記錄不一致
從現有的郵件伺服器遷移時,MX 記錄可能會傳回**不一致**的狀態。更新您的 MX 記錄以指向 Amazon WorkMail,而不是指向先前的郵件伺服器。當第三方電子郵件代理與 Amazon WorkMail 搭配使用時,MX 記錄也會傳回為**不一致**。如果是這種情況,您可放心忽略**不一致**警告。
# 啟用 AutoDiscover 來設定端點
AutoDiscover 可讓您僅使用您的電子郵件地址和密碼來設定 Microsoft Outlook 和行動用戶端。服務會維護與 Amazon WorkMail 的連線,並在您變更端點或設定時更新本機設定。此外,AutoDiscover 可讓您的用戶端使用其他 Amazon WorkMail 功能,例如離線通訊錄、Out-of-Office助理,以及在行事曆中檢視免費/忙碌時間的功能。
用戶端執行以下 AutoDiscover 階段以偵測伺服器端點 URL:
+ **階段 1** – 用戶端會對本機 Active Directory 執行安全複製通訊協定 (SCP) 查詢。如果您的用戶端沒有加入的網域,則 AutoDiscover 略過此步驟。
+ **階段 2** – 用戶端傳送請求至下列 URLs 並驗證結果。這些端點只能使用 HTTPS。
+ https://*company.tld*/autodiscover/autodiscover.xml
+ https://autodiscover.*company.tld*/autodiscover/autodiscover.xml
+ **階段 3** – 用戶端執行 DNS 查詢以 autodiscover.company.tld,並從使用者的電子郵件地址將未經驗證的 GET 請求傳送至衍生的端點。如果伺服器傳回一個 302 重新導向,用戶端會針對回傳的 HTTPS 端點重新傳送 AutoDiscover 的請求。
如果所有這些階段都失敗,則無法自動設定用戶端。有關手動設定行動裝置的詳細資訊,請參閱[手動連接您的裝置](https://docs.aws.amazon.com/workmail/latest/userguide/manually_connect_device.html)。
當您將網域新增至 Amazon WorkMail 時,系統會提示您將 AutoDiscover DNS 記錄新增至您的提供者。這可讓用戶端執行 AutoDiscover 程序的階段 3。不過,這些步驟不適用於所有行動裝置,例如股票 Android 電子郵件應用程式。因此,您可能需要手動設定 AutoDiscover 階段 2。
您可以使用下列方法來設定網域的 AutoDiscover 階段 2:
## (建議) 使用 Route 53 和 Amazon CloudFront
**注意**
下列步驟說明如何為 https://autodiscover.*company.tld*/autodiscover/autodiscover.xml 建立代理。若要建立 https://*company.tld*/autodiscover/autodiscover.xml 的代理,請在下列步驟中移除網域的`autodiscover.`字首。
使用 CloudFront 和 Route 53 可能會產生費用。如需適用定價的詳細資訊,請參閱 [Amazon CloudFront 定價](https://aws.amazon.com/cloudfront/pricing/)和 [Amazon Route 53 定價](https://aws.amazon.com/route53/pricing/)。
**使用 Route 53 和 CloudFront 啟用 AutoDiscover 階段 2**
1. 取得 autodiscover.*company.tld* 的 SSL 憑證,並將其上傳至 AWS Identity and Access Management (IAM) 或 AWS Certificate Manager。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html),或*AWS Certificate Manager 《 使用者指南*》中的[入門](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。
1. 建立新的 CloudFront 分佈:
1. 在 [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) 中開啟 CloudFront 主控台。
1. 在導覽窗格中,選擇 **Distributions (分佈)**。
1. 選擇 **Create Distribution (建立分佈)**。
1. 在 **Web** 下,選擇**開始使用**。
1. 在**原始伺服器設定**中,輸入下列值:
+ **原始網域名稱** – 您區域的適當網域名稱:
+ 美國東部 (維吉尼亞北部) — **autodiscover-service.mail.us-east-1.awsapps.com**
+ 美國西部 (奧勒岡) — **autodiscover-service.mail.us-west-2.awsapps.com**
+ 歐洲 (愛爾蘭) — **autodiscover-service.mail.eu-west-1.awsapps.com**
+ **原始通訊協定政策** – 所需的政策: **Match Viewer**
**注意**
將**原始路徑**保留空白。請勿變更**原始伺服器 ID** 的自動填入值。
1. 在**預設快取行為設定**中,為列出的設定選取下列值:
+ **Viewer Protocol Policy** (檢視器通訊協定政策):僅 HTTPS
+ **Allowed HTTP Methods** (允許的 HTTP 方法):GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE
+ **Cache Based on Selected Request Headers** (根據選取的請求標題快取):所有
+ **Forward Cookies (轉送 Cookies)**:所有
+ **Query String Forwarding and Caching** (轉發和快取查詢字串):無 (提升快取)
+ **Smooth Streaming**:否
+ **Restrict Viewer Access** (限制檢視器存取):否
1. 請為 **Distribution Settings (分佈設定)** 填寫以下的值:
+ **Price Class** (價格分級):只有使用美國、加拿大和歐洲
+ 對於**備用網域名稱 (CNAMEs)**,輸入 **autodiscover.*company.tld***或 ***company.tld***,其中 *company.tld* 是您的網域名稱。
+ **SSL 憑證**:自訂 SSL 憑證 (存放在 IAM 中)
+ **Custom SSL Client Support (自訂 SSL 用戶端支援)**:選擇 **All Clients (所有用戶端)** 或 **Only Clients that Support Server Name Indication (SNI) (只限支援伺服器名稱指示 (SNI) 的用戶端)**。舊版 Android 可能不適用於後者選項。
**注意**
如果您選擇 **All Clients (所有用戶端)**,請保留 **Default Root Object (預設根物件)** 空白。
+ **Logging (記錄)**:選擇 **On (開啟)** 或 **Off (關閉)**。**在 **上啟用記錄。
+ 在 **Comment (註解)** 中,輸入 **AutoDiscover type2 for autodiscover.*company.tld***
+ **分佈狀態**:選擇**已啟用**。
1. 選擇 **Create Distribution (建立分佈)**。
1. 在 Route 53 主控台中,建立記錄,將網域名稱的網際網路流量路由到您的 CloudFront 分佈。
**注意**
這些步驟假設 example.com 的 DNS 記錄託管在 Route 53 上。如果您不使用 Route 53,請遵循 DNS 供應商管理主控台中的程序。
1. 在主控台的導覽窗格中,選擇**託管區域**。然後選擇網域。
1. 在網域清單中,選擇您要使用的網域名稱。
1. 在**記錄中**,選擇**建立記錄**。
1. 在**快速建立記錄**下,設定下列參數:
+ 在**記錄名稱**下,輸入記錄的名稱。
+ 在**路由政策**下,選取**簡易路由**。
+ 選擇**別名**滑桿以將其開啟。當 處於開啟狀態時,滑桿會變成藍色。
+ 在**記錄類型**清單中,選擇 **A - 將流量路由到 IPv4 地址和一些 AWS 資源**。
+ 在**要列出的路由流量**中,選擇 ** CloudFront 分佈的別名**。
+ 搜尋方塊會出現在**要列出的路由流量**下方。在文字方塊中輸入 CloudFront 分發的名稱。您也可以從選取搜尋方塊時顯示的清單中選取分佈。
1. 選擇**建立記錄**。
## 使用 Apache Web 伺服器
下列步驟說明如何使用 Apache Web 伺服器為 https://autodiscover.*company.tld*/autodiscover/autodiscover.xml 建立代理。若要建立 https://*company.tld*/autodiscover/autodiscover.xml 的代理,請移除「autodiscover」。字首於網域,依以下步驟。
**運用 Apache web 伺服器啟用 AutoDiscover 階段 2**
1. 在啟用 SSL 的 Apache 伺服器上執行下列指令:
```
SSLProxyEngine on ProxyPass /autodiscover/autodiscover.xml https://autodiscover-service.mail.REGION.awsapps.com/autodiscover/autodiscover.xml
```
1. 視需要啟用下列 Apache 模組。如果您不知道方法,請參閱 Apache 說明:
+ `proxy`
+ `proxy_http`
+ `socache_shmcb`
+ `ssl`
如需測試和故障診斷 AutoDiscover 的相關資訊,請參閱下一節。
## AutoDiscover 階段 2 故障診斷
為 AutoDiscover 設定 DNS 供應商後,您可以測試 AutoDiscover 端點組態。如果您已正確設定端點,則會以未經授權的請求訊息回應。
**進行基本未經授權的請求**
1. 從終端機建立未驗證的 POST 請求至 AutoDiscover 端點。
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
```
如果您的端點設定正確,應該會傳回`401 unauthorized`訊息,如下列範例所示:
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
...
HTTP/1.1 401 Unauthorized
```
1. 接著,測試真正的 AutoDiscover 請求。使用下列 XML 內容建立`request.xml`檔案:
```
testuser@company.tld
http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006
```
1. 使用您建立`request.xml`的檔案,並向端點提出已驗證的 AutoDiscover 請求。請記得將 *testuser@company.tld* 取代為有效的電子郵件地址:
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
```
如果端點已正確設定,回應看起來會與下列範例類似:
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
Enter host password for user 'testuser@company.tld':
en:us
User1
testuser@company.tld
MobileSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
```
# 編輯網域身分政策
網域身分政策會指定電子郵件動作的許可,例如重新導向電子郵件訊息。例如,您可以將電子郵件重新導向至 Amazon WorkMail 組織中的任何電子郵件地址。
**注意**
自 2022 年 4 月 1 日起,Amazon WorkMail 開始使用服務主體進行授權,而非 AWS 帳戶主體。如果您在 2022 年 4 月 1 日之前新增網域,則可能會有使用 AWS 帳戶主體進行授權的舊政策。若是如此,建議您更新為最新的政策。本節中的步驟說明如何進行。您的組織會在更新期間繼續正常傳送電子郵件。
只有在不使用自訂 Amazon SES 政策時,才需要遵循這些步驟。如果您使用自訂 Amazon SES 政策,則必須自行更新。如需詳細資訊,請參閱本主題[自訂 Amazon SES 服務原則政策](#custom-ses-policy)稍後的 。
**重要**
請勿移除現有的網域。如果您這麼做,將會中斷郵件服務。您只需要重新輸入現有的網域。
**更新網域身分政策**
1. 開啟位於 https://[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。
如有必要,請變更 AWS 區域。若要這樣做,請開啟搜尋方塊右側的**選取區域**清單,然後選擇所需的區域。如需區域的詳細資訊,請參閱《》中的[區域和端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)*Amazon Web Services 一般參考*。
1. 在導覽窗格中,選擇**組織**,然後選擇組織的名稱。
1. 在導覽窗格中,選擇**網域**。
1. 反白並複製您要重新輸入的網域名稱,然後選擇**新增網域**。
新增**網域**對話方塊隨即出現。
1. 將複製的名稱貼到**網域名稱**方塊中,然後選擇**新增網域**。
1. 針對組織中剩餘的網域重複步驟 3-5。
## 自訂 Amazon SES 服務原則政策
如果您使用自訂 Amazon SES 政策,請調整此範例以用於您的網域。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuthorizeWorkMail",
"Effect": "Allow",
"Principal": {
"Service": "workmail.REGION.amazonaws.com"
},
"Action": [
"ses:*"
],
"Resource": "arn:aws:ses:us-east-1:111122223333:identity/WORKMAIL-DOMAIN-NAME",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/WORKMAIL_ORGANIZATION_ID"
}
}
}
]
}
```
------
# 以 SPF 驗證您的電子郵件
寄件者政策架構 (SPF) 是一種電子郵件驗證標準,專為打擊電子郵件詐騙而設計。*詐騙*是讓惡意行為者傳送的電子郵件看起來像合法使用者傳送的電子郵件。如需有關為已啟用 Amazon WorkMail 的網域設定 SPF 的資訊,請參閱[在 Amazon SES 中使用 SPF 驗證電子郵件](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-spf.html)。
# 設定自訂「寄件人」網域
根據預設,Amazon WorkMail 會使用 amazonses.com 的子網域做為外寄電子郵件的`MAIL FROM`網域。如果網域上的 DMARC 政策僅針對 SPF 設定,這可能會導致交付失敗。若要解決此問題,請將您自己的網域設定為`MAIL FROM`網域。若要了解如何將電子郵件網域設定為`MAIL FROM`網域,請參閱《*Amazon Simple Email Service 開發人員指南*》中的[設定自訂「寄件人」網域](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from.html)。
**重要**
當您為 iOS 裝置啟用 AutoDiscover 時,需要自訂「寄件人」網域。
如需自訂`MAIL FROM`網域的詳細資訊,請參閱 [ Amazon SES 現在支援自訂「寄件人」網域](https://aws.amazon.com/blogs/messaging-and-targeting/amazon-ses-now-supports-custom-mail-from-domains/)。