Authentifizierung Ihrer E-Mails mit DKIM in Amazon SES - Amazon Simple Email Service

Authentifizierung Ihrer E-Mails mit DKIM in Amazon SES

DomainKeys Identified Mail (DKIM) ist ein E-Mail-Sicherheitsstandard, der sicherstellen soll, dass eine E-Mail, die behauptet, von einer bestimmten Domain stammen zu haben, tatsächlich vom Eigentümer dieser Domain autorisiert wurde. Es verwendet Kryptografie für öffentliche Schlüssel, um eine E-Mail mit einem privaten Schlüssel zu signieren. Empfängerserver können dann einen öffentlichen Schlüssel verwenden, der im DNS einer Domäne veröffentlicht wurde, um zu überprüfen, ob Teile der E-Mail während des Transports nicht geändert wurden.

DKIM-Signaturen sind optional. Sie können Ihre E-Mail mit einer DKIM-Signatur signieren, um die Zustellbarkeit mit DKIM-konformen E-Mail-Anbietern zu verbessern. Amazon SES bietet zwei Möglichkeiten zum Signieren von Nachrichten mit einer DKIM-Signatur:

  • Easy DKIMWie Sie eine Sender-ID einrichten, damit Amazon SES ein öffentlich-privater key pair generiert und automatisch eine DKIM-Signatur zu allen E-Mails hinzufügt, die Sie über diese ID versenden, erfahren Sie unterEasy DKIM in Amazon SESaus.

  • BYODKIM (Bringen Sie Ihre eigene DKIM)Wie Sie ein eigenes öffentlich-privates key pair bereitstellen, damit SES eine DKIM-Signatur zu allen E-Mails hinzufügt, die Sie über diese ID versenden, erfahren Sie unterBereitstellen Ihres eigenen DKIM-Authentifizierungs-Tokens (BYODKIM) in Amazon SESaus.

  • DKIM-Signatur manuell hinzufügen: informationen zum Hinzufügen Ihrer eigenen DKIM-Signatur zu jeder E-Mail, die Sie mit der SendRawEmail-API senden, finden Sie unter Manuelle DKIM-Signierung in Amazon SES.

Länge des DKIM-Schlüssellänge

Da viele DNS-Anbieter jetzt die DKIM 2048-Bit-RSA-Verschlüsselung vollständig unterstützen, unterstützt Amazon SES auch DKIM 2048, um eine sicherere Authentifizierung von E-Mails zu ermöglichen und verwendet sie daher als Standardschlüssellänge, wenn Sie Easy DKIM entweder über die API oder die Konsole konfigurieren. 2048-Bit-Schlüssel können in Bring Auch Ihr eigenes DKIM (BYODKIM), wobei Ihre Signaturschlüssellänge mindestens 1024 Bit und nicht mehr als 2048 Bit betragen muss.

Aus Gründen der Sicherheit und der Zustellbarkeit Ihrer E-Mails haben Sie bei der Konfiguration mit Easy DKIM die Wahl, entweder die Schlüssellängen von 1024 und 2048 Bit sowie die Flexibilität des Rückkehrs auf 1024 zu verwenden, falls Probleme auftreten, die von DNS-Anbietern verursacht werden, die 2048 immer noch nicht unterstützen. Wenn Sie eine neue Identität erstellen, wird diese standardmäßig mit DKIM 2048 erstellt, es sei denn, Sie geben 1024 an.

Um die Zustellbarkeit von Transit-E-Mails zu erhalten, gibt es Einschränkungen hinsichtlich der Häufigkeit, mit der Sie die DKIM-Schlüssellänge ändern können. Zu den Einschränkungen zählen:

  • Es ist nicht möglich, auf die gleiche Schlüssellänge zu wechseln, die bereits konfiguriert ist.

  • Es ist nicht möglich, mehr als einmal in einem Zeitraum von 24 Stunden auf eine andere Schlüssellänge zu wechseln (es sei denn, es handelt sich um das erste Downgrade auf 1024 in diesem Zeitraum).

Wenn Ihre E-Mail unterwegs ist, verwendet DNS Ihren öffentlichen Schlüssel, um Ihre E-Mail zu authentifizieren. Wenn Sie also Schlüssel zu schnell oder häufig ändern, kann DNS möglicherweise nicht in der Lage sein, Ihre E-Mail DKIM zu authentifizieren, da der frühere Schlüssel möglicherweise bereits ungültig ist, daher schützen diese Einschränkungen davor.

DKIM-Überlegungen

Wenn Sie Ihre E-Mails mit DKIM authentifizieren, gelten die folgenden Regeln:

  • Sie müssen DKIM nur für die Domäne einrichten, die Sie bei Ihrer Absenderadresse verwenden. Sie müssen DKIM nicht für Domänen einrichten, die Sie bei der "Return-Path"-Adresse oder der Antwortadresse verwenden.

  • Amazon SES ist in verschiedenen AWS-Regionen verfügbar. Wenn Sie mehr als eine AWS-Region für den Versand von E-Mails verwenden, müssen Sie die DKIM-Einrichtung in jeder dieser Regionen durchführen, um sicherzustellen, dass all Ihre E-Mails mit einer DKIM-Signatur versehen werden.

  • Da DKIM-Eigenschaften von der übergeordneten Domäne vererbt werden, gilt, wenn Sie eine Domäne mit DKIM-Authentifizierung überprüfen:

    • Die DKIM-Authentifizierung auch für alle Sub-Domäne dieser Domäne.

      • DKIM-Einstellungen für eine Sub-Domäne können die Einstellungen für die übergeordnete Domäne außer Kraft setzen, indem Sie die Vererbung deaktivieren, wenn Sie nicht möchten, dass die Sub-Domäne die DKIM-Authentifizierung verwendet. Sie kann später wieder aktiviert werden.

    • Die DKIM-Authentifizierung gilt auch für alle E-Mails, die von einer E-Mail-Identität gesendet werden, die in ihrer Adresse auf die DKIM-verifizierte Domäne verweist.

      • DKIM-Einstellungen für eine E-Mail-Adresse können die Einstellungen für die Sub-Domäne (sofern zutreffend) und die übergeordnete Domäne außer Kraft setzen, indem Sie die Vererbung deaktivieren, wenn Sie E-Mails ohne DKIM-Authentifizierung senden möchten. Sie kann später wieder aktiviert werden.

Verstehen geerbter DKIM-Signatureigenschaften

Es ist wichtig, zuerst zu verstehen, dass eine E-Mail-Adressenidentität ihre DKIM-Signatureigenschaften von ihrer übergeordneten Domäne erbt, wenn diese Domäne mit DKIM konfiguriert wurde, unabhängig davon, ob Easy DKIM oder BYODKIM verwendet wurde. Daher ist das Deaktivieren oder Aktivieren der DKIM-Signatur für die E-Mail-Adressenidentität in Kraft, wodurch die DKIM-Signatureigenschaften der Domäne basierend auf diesen wichtigen Fakten außer Kraft gesetzt werden:

  • Wenn Sie DKIM bereits für die Domäne eingerichtet haben, zu der eine E-Mail-Adresse gehört, müssen Sie die DKIM-Signierung nicht auch für die E-Mail-Adressenidentität aktivieren.

    • Wenn Sie DKIM für eine Domäne einrichten, authentifiziert Amazon SES automatisch jede E-Mail von jeder Adresse in dieser Domäne über die geerbten DKIM-Eigenschaften der übergeordneten Domäne.

  • DKIM-Einstellungen für eine bestimmte E-Mail-Adressenidentität überschreiben automatisch die Einstellungen der übergeordneten Domäne oder Unterdomäne (sofern zutreffend), zu der die Adresse gehört.

Da die DKIM-Signatureigenschaften der E-Mail-Adressenidentität von der übergeordneten Domäne geerbt werden, müssen Sie, wenn Sie diese Eigenschaften überschreiben möchten, die hierarchischen Regeln für das Überschreiben beachten, wie in der folgenden Tabelle beschrieben.

Die übergeordnete Domäne hat die DKIM-Signatur nicht aktiviert Die übergeordnete Domäne hat die DKIM-Signatur aktiviert

Sie können die DKIM-Signatur für die E-Mail-Adressenidentität nicht aktivieren.

Sie können die DKIM-Signatur für die E-Mail-Adressenidentität deaktivieren.
Sie können die DKIM-Signatur für die E-Mail-Adressenidentität erneut aktivieren.

Es wird im Allgemeinen nie empfohlen, Ihre DKIM-Signierung zu deaktivieren, da die Gefahr besteht, dass Ihre Senderreputation beeinträchtigt wird und es das Risiko erhöht, dass Ihre gesendeten E-Mails in Junk- oder Spam-Ordner wandern oder Ihre Domäne manipuliert wird.

Es besteht jedoch die Möglichkeit, die von der Domäne geerbten DKIM-Signatureigenschaften für eine E-Mail-Adressenidentität für einen bestimmten Anwendungsfall oder außerhalb der Geschäftsentscheidung außer Kraft zu setzen, dass Sie möglicherweise die DKIM-Signatur dauerhaft oder vorübergehend deaktivieren oder sie zu einem späteren Zeitpunkt wieder aktivieren müssen. Siehe Überschreiben der geerbten DKIM-Signatur für eine E-Mail-Adressenidentität.