Beheben von DKIM-Problemen in Amazon SES - Amazon Simple Email Service

Beheben von DKIM-Problemen in Amazon SES

In diesem Abschnitt werden einige der Probleme aufgeführt, die während der Konfiguration der DKIM-Authentifizierung in Amazon SES auftreten können. Wenn während der Einrichtung von DKIM Probleme auftreten, prüfen Sie die möglichen Ursachen und Lösungen unten.

Sie haben DKIM erfolgreich eingerichtet, Ihre Nachrichten sind jedoch nicht mit einer DKIM-Signatur versehen

Wenn Sie Easy DKIM oder BYODKIM zum Konfigurieren von DKIM für eine Domäne verwendet haben, die von Ihnen gesendeten Nachrichten jedoch nicht mit einer DKIM-Signatur versehen sind, führen Sie die folgenden Schritte aus:

  • Stellen Sie sicher, dass DKIM für die entsprechende Identität aktiviert ist. Aktivieren Sie DKIM für eine Identität in der Amazon SES-Konsole, indem Sie die E-Mail-Domäne in der Liste Identities (Identitäten) auswählen. Erweitern Sie auf der Seite "Details" der Domäne den Eintrag DKIM und wählen Sie anschließend Enable (Aktivieren), um DKIM zu aktivieren.

  • Stellen Sie sicher, dass Sie nicht von einer verifizierten E-Mail-Adresse in derselben Domäne aus senden. Wenn Sie DKIM für eine Domäne einrichten, sind alle Nachrichten, die Sie von dieser Domäne aus senden, mit einer DKIM-Signatur versehen, außer E-Mail-Adressen, die Sie gesondert verifiziert haben. Individuell verifizierte E-Mail-Adressen verwenden separate Einstellungen. Wenn Sie beispielsweise DKIM für die Domäne example.com konfiguriert und die E-Mail-Adresse mary@example.com gesondert verifiziert (DKIM für die Adresse jedoch nicht konfiguriert) haben, werden E-Mail-Nachrichten, die Sie von mary@example.com aus senden, ohne DKIM-Authentifizierung gesendet. Sie können dieses Problem beheben, indem Sie die E-Mail-Adresse aus der Liste der Identitäten für Ihr Konto löschen.

  • Wenn Sie dieselbe Identität in mehreren AWS-Regionen verwenden, müssen Sie DKIM für jede Region einzeln konfigurieren. Wenn Sie dieselbe Domäne mit mehreren AWS-Konten verwenden, müssen Sie DKIM gleichermaßen für jedes Konto konfigurieren. Wenn Sie die erforderlichen DNS-Einträge für eine spezifische Region oder ein spezifisches Konto entfernen, deaktiviert Amazon SES die DKIM-Signierung für diese Region oder dieses Konto. Wenn die DKIM-Signierung deaktiviert wird, sendet Amazon SES Ihnen eine Benachrichtigung per E-Mail.

Die DKIM-Details Ihrer Domäne werden in der Amazon SES-Konsole wie folgt angezeigt: DKIM: waiting on sender verification... DKIM-Verifizierungsstatus: Überprüfung ausstehend.

Wenn Sie die Verfahren in Easy DKIM oder BYODKIM - Verwendung Ihrer eigenen DKIM zur Konfiguration von DKIM für eine Domäne abschließen, die Amazon SES-Konsole jedoch weiterhin eine ausstehende DKIM-Verifizierung anzeigt, führen Sie die folgenden Schritte aus:

  • Warten Sie bis zu 72 Stunden. In seltenen Fällen kann es einige Zeit dauern, bis die DNS-Datensätze in Amazon SES angezeigt werden.

  • Bestätigen Sie, dass der CNAME-Datensatz (für Easy DKIM) oder der TXT-Datensatz (für BYODKIM) den richtigen Namen verwendet. Einige DNS-Anbieter hängen den Domänennamen automatisch an die von Ihnen erstellten Datensätze an. Wenn Sie beispielsweise einen Datensatz mit dem Namen example._domainkey.example.com erstellen, fügt Ihr DNS-Anbieter möglicherweise den Namen Ihrer Domäne am Ende dieser Zeichenfolge hinzu. Das Ergebnis sieht folgendermaßen aus: example._domainkey.example.com.example.com. Weitere Informationen finden Sie in der Dokumentation zu Ihrem DNS-Anbieter.

Sie erhalten eine E-Mail-Nachricht von Amazon SES mit der Mitteilung, dass Ihre DKIM-Einrichtung widerrufen wurde (oder wird).

Dies bedeutet, dass Amazon SES die erforderlichen CNAME-Datensätze (wenn Sie Easy DKIM verwendet haben) oder die erforderlichen TXT-Datensätze (wenn Sie BYODKIM verwendet haben) nicht mehr auf Ihrem DNS-Server finden kann. In der Benachrichtigungs-E-Mail wird Ihnen der Zeitraum mitgeteilt, in dem Sie die DNS-Datensätze erneut veröffentlichen müssen, bevor Ihr DKIM-Einrichtungsstatus widerrufen und die DKIM-Signierung deaktiviert wird. Wenn die DKIM-Einrichtung widerrufen wird, müssen Sie den DKIM-Einrichtungsprozess vollständig neu durchführen.

Beim Versuch, BYODKIM einzurichten, schlägt der DKIM-Verifizierungsprozess fehl.

Stellen Sie sicher, dass Ihr privater Schlüssel das richtige Format aufweist. Der private Schlüssel muss das Format PKCS #1 aufweisen und 1024-Bit-RSA-Verschlüsselung verwenden. Darüber hinaus muss der private Schlüssel base64-codiert sein.

Beim Einrichten von BYODKIM erhalten Sie die Fehlermeldung BadRequestException, wenn Sie versuchen, einen öffentlichen Schlüssel für die Domäne anzugeben.

Wenn die Fehlermeldung BadRequestException angezeigt wird, gehen Sie folgendermaßen vor:

  • Stellen Sie sicher, dass der Selektor, den Sie für den öffentlichen Schlüssel angeben, mindestens ein und maximal 63 alphanumerische Zeichen enthält. Der Selektor kann keine Punkte oder andere Symbole oder Satzzeichen enthalten.

  • Stellen Sie sicher, dass Sie die Kopf- und Fußzeilen sowie alle Zeilenumbrüche aus dem öffentlichen Schlüssel entfernt haben.

Wenn Sie Easy DKIM verwenden, geben Ihre DNS-Server erfolgreich die Amazon SES DKIM CNAME-Einträge zurück, geben jedoch SERVFAIL für den TXT-Datensatz zur Domänen-Verifizierung zurück.

Ihr DNS-Anbieter kann CNAME-Datensätze möglicherweise nicht umleiten. Beachten Sie, dass Amazon SES und ISPs TXT-Datensätze abfragen. Um die DKIM-Spezifikation einzuhalten, müssen Ihre DNS-Server TXT-Datensatzabfragen sowie CNAME-Datensatzabfragen beantworten können. Wenn Ihr DNS-Anbieter nicht in der Lage ist, auf TXT-Datensatzabfragen zu antworten, können Sie Route 53 als DNS-Hosting-Anbieter verwenden.

Ihre E-Mails enthalten zwei DKIM-Signaturen

Die zusätzliche DKIM-Signatur, die d=amazonses.com enthält, wird automatisch von Amazon SES hinzugefügt. Sie können sie ignorieren.