Menyediakan token autentikasi DKIM Anda (BYODKIM) di Amazon SES - Amazon Simple Email Service
Buat pasangan kunciTambahkan pemilih dan kunci publik ke penyedia DNS AndaMengonfigurasi dan memverifikasi domain untuk menggunakan BYODKIM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyediakan token autentikasi DKIM Anda (BYODKIM) di Amazon SES

Sebagai alternatif untuk menggunakan Easy DKIM, Anda dapat mengonfigurasi autentikasi DKIM dengan menggunakan pasangan kunci publik-privat Anda sendiri. Proses ini dikenal sebagai Bring Your Own DKIM (BYODKIM).

Dengan BYODKIM, Anda dapat menggunakan satu catatan DNS untuk mengonfigurasi autentikasi DKIM untuk domain Anda, dibandingkan dengan Easy DKIM yang mengharuskan Anda memublikasikan tiga catatan DNS terpisah. Selain itu, BYODKIM memungkinkan Anda memutar kunci DKIM untuk domain sesering yang Anda inginkan.

Awas

Jika saat ini Anda mengaktifkan Easy DKIM dan beralih ke BYODKIM, ketahuilah bahwa Amazon SES tidak akan menggunakan Easy DKIM untuk menandatangani email Anda saat BYODKIM sedang diatur dan status DKIM Anda dalam keadaan tertunda. Antara saat Anda membuat panggilan untuk mengaktifkan BYODKIM (baik melalui API atau konsol) dan saat SES dapat mengkonfirmasi konfigurasi DNS Anda, email Anda dapat dikirim oleh SES tanpa tanda tangan DKIM. Oleh karena itu, disarankan untuk menggunakan langkah perantara untuk bermigrasi dari satu metode penandatanganan DKIM ke yang lain (misalnya, menggunakan subdomain domain Anda dengan Easy DKIM diaktifkan dan kemudian menghapusnya setelah verifikasi BYODKIM telah berlalu), atau melakukan aktivitas ini selama downtime aplikasi Anda, jika ada.

Langkah 1: Buat pasangan kunci

Untuk menggunakan fitur Bring Your Own DKIM, Anda harus membuat key pair RSA terlebih dahulu.

Kunci pribadi yang Anda hasilkan harus menggunakan setidaknya enkripsi RSA 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan base64(PEM)pengodean LihatPanjang kunci penandatanganan DKIMuntuk mempelajari lebih lanjut tentang panjang kunci DKIM dan cara mengubahnya.

catatan

Anda dapat menggunakan aplikasi dan alat pihak ketiga untuk menghasilkan pasangan kunci RSA selama kunci pribadi dihasilkan dengan enkripsi RSA setidaknya 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan base64(PEM)pengodean

Dalam prosedur berikut, contoh kode yang menggunakanopenssl genrsaperintah yang dibangun ke sebagian besar sistem operasi Linux, macOS, atau Unix untuk membuat key pair secara otomatis akan menggunakan base64(PEM)pengodean

Untuk membuat pasangan kunci dari baris perintah Linux, macOS, atau Unix

  1. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci privatnnnndengan panjang bit minimal 1024 dan sampai 2048:

    openssl genrsa -f4 -out private.key nnnn

  2. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci publik:

    openssl rsa -in private.key -outform PEM -pubout -out public.key

Langkah 2: Tambahkan pemilih dan kunci publik ke konfigurasi domain penyedia DNS Anda

Setelah membuat pasangan kunci, Anda harus menambahkan kunci publik sebagai catatan TXT ke konfigurasi DNS untuk domain Anda.

Untuk menambahkan kunci publik ke konfigurasi DNS untuk domain Anda

  1. Masuk ke konsol manajemen untuk penyedia DNS atau hosting Anda.

  2. Tambahkan catatan teks ke konfigurasi DNS untuk domain Anda. Catatan harus menggunakan format berikut:

    Nama Tipe Nilai

    selector._domainkey.example.com

    		 TXT

    p=yourPublicKey

    Pada contoh sebelumnya, lakukan perubahan berikut:

    • Ganti selector dengan nama unik yang mengidentifikasi kunci.

      catatan

      Sejumlah kecil penyedia DNS tidak mengizinkan Anda untuk menyertakan garis bawah (_) di nama catatan. Namun, garis bawah di nama catatan DKIM diperlukan. Jika penyedia DNS Anda tidak mengizinkan Anda untuk memasukkan garis bawah di nama catatan, kontak tim dukungan pelanggan penyedia untuk mendapatkan bantuan.

    • Ganti example.com dengan domain Anda.

    • GantiyourPublicKeydengan kunci publik yang Anda buat sebelumnya dan menyertakanp=awalan seperti yang ditunjukkan dalamNilaikolom di atas.

      catatan

      Ketika Anda mempublikasikan (menambahkan) kunci publik Anda ke penyedia DNS Anda, itu harus diformat sebagai berikut:

      • Anda harus menghapus baris pertama dan terakhir (-----BEGIN PUBLIC KEY----- dan -----END PUBLIC KEY-----, secara berturut-turut) dari kunci publik yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci publik yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.

      • Anda harus menyertakanp=awalan seperti yang ditunjukkan dalamNilaikolom pada tabel di atas.

    Penyedia yang berbeda memiliki prosedur yang berbeda untuk memperbarui catatan DNS. Tabel berikut menyertakan tautan ke dokumentasi untuk penyedia DNS yang banyak digunakan. Daftar ini tidak lengkap dan tidak menandakan dukungan; demikian juga, jika penyedia DNS Anda tidak terdaftar, tidak berarti Anda tidak dapat menggunakan domain dengan Amazon SES.

    Penyedia DNS/Hosting Tautan dokumentasi

    Amazon Route 53

    Mengedit Catatan di Panduan Developer Amazon Route 53

    GoDaddy

    Tambahkan catatan TXT (tautan eksternal)

    DreamHost

    Bagaimana cara menambahkan catatan DNS kustom? (tautan eksternal)

    Cloudflare

    Mengelola catatan DNS di Cloudflare (tautan eksternal)

    HostGator

    Kelola Catatan DNS dengan HostGator/eNom (tautan eksternal)

    Namecheap

    Bagaimana cara menambahkan catatan TXT/SPF/DKIM/DMARC untuk domain saya? (tautan eksternal)

    Names.co.uk

    Mengubah Pengaturan DNS domain (tautan eksternal)

    Wix

    Menambahkan atau Memperbarui Catatan TXT di Akun Wix (tautan eksternal)

Langkah 3: Mengonfigurasi dan memverifikasi domain untuk menggunakan BYODKIM

Anda dapat menyiapkan BYODKIM untuk kedua domain baru (yaitu, domain yang saat ini tidak Anda gunakan untuk mengirim email melalui Amazon SES) dan domain yang ada (yaitu, domain yang telah Anda siapkan untuk digunakan dengan Amazon SES) dengan menggunakan konsol atauAWS CLI. Sebelum Anda menggunakanAWS CLIdi bagian ini, Anda harus menginstal dan mengonfigurasiAWS CLI. Untuk informasi selengkapnya, lihatAWS Command Line InterfacePanduan Pengguna..

Opsi 1: Membuat identitas domain baru yang menggunakan BYODKIM

Bagian ini berisi prosedur untuk membuat identitas domain baru yang menggunakan BYODKIM. Identitas domain baru adalah domain yang belum Anda siapkan untuk mengirim email menggunakan Amazon SES sebelumnya.

Jika Anda ingin mengonfigurasi domain yang ada untuk menggunakan BYODKIM, selesaikan prosedur di Opsi 2: Mengonfigurasi identitas domain yang ada sebagai gantinya.

Untuk membuat identitas menggunakan BYODKIM dari konsol
Untuk membuat identitas menggunakan BYODKIM dariAWS CLI

Untuk mengkonfigurasi domain baru, gunakanCreateEmailIdentityoperasi di API Amazon SES.

  1. Di editor teks, tempel kode berikut:

    {
    "EmailIdentity":"example.com",
    "DkimSigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    }
}

    Di contoh sebelumnya, lakukan perubahan berikut:

    • Ganti example.com dengan domain yang ingin Anda buat.

    • Ganti privateKey dengan kunci privat Anda.

      catatan

      Anda harus menghapus baris pertama dan terakhir (-----BEGIN PRIVATE KEY-----dan-----END PRIVATE KEY-----, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci privat yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.

    • Ganti selector dengan selector unik yang Anda tentukan saat membuat catatan TXT di konfigurasi DNS untuk domain Anda.

    Setelah selesai, simpan file sebagai create-identity.json.

  2. Di baris perintah, masukkan perintah berikut:

    aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json

    Di perintah sebelumnya, ganti path/to/create-identity.json dengan jalur lengkap ke file yang Anda buat di langkah sebelumnya.

Opsi 2: Mengonfigurasi identitas domain yang ada

Bagian ini berisi prosedur untuk memperbarui identitas domain yang ada untuk menggunakan BYODKIM. Identitas domain yang ada adalah domain yang sebelumnya sudah Anda siapkan untuk mengirim email menggunakan Amazon SES.

Untuk memperbarui identitas domain menggunakan BYODKIM dari konsol

  1. Masuk ke AWS Management Console dan buka konsol Amazon SES di https://console.aws.amazon.com/ses/.

  2. Di panel navigasi, di bawah Konfigurasi, pilih Identitas yang terverifikasi.

  3. Di daftar identitas, pilih identitas di manaTipe identitasadalahDomain.

    catatan

    Jika Anda perlu membuat atau memverifikasi domain, lihatMembuat identitas domain.

  4. Di bawahAutentikasitab, diDomainKeys Identified Mail (DKIM)pane, pilihMengedit.

  5. DiPengaturan DKIM lanjutanpane, pilihBerikan token otentikasi DKIM (BYODKIM)tombol diTipe identitasbidang.

  6. UntukKunci privat, tempelkan kunci privat yang Anda hasilkan sebelumnya.

    catatan

    Anda harus menghapus baris pertama dan terakhir (-----BEGIN PRIVATE KEY-----dan-----END PRIVATE KEY-----, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci privat yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.

  7. Untuk Nama pemilih, masukkan nama pemilih yang Anda tentukan di pengaturan DNS domain Anda.

  8. DiTanda DKIMlapangan, periksaDiaktifkankotak.

  9. Pilih Save changes (Simpan perubahan).

Untuk memperbarui identitas domain menggunakan BYODKIM dariAWS CLI

Untuk mengonfigurasi domain yang ada, gunakanPutEmailIdentityDkimSigningAttributesoperasi di API Amazon SES.

  1. Di editor teks, tempel kode berikut:

    {
    "SigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    },
    "SigningAttributesOrigin":"EXTERNAL"
}

    Di contoh sebelumnya, lakukan perubahan berikut:

    • Ganti privateKey dengan kunci privat Anda.

      catatan

      Anda harus menghapus baris pertama dan terakhir (-----BEGIN PRIVATE KEY-----dan-----END PRIVATE KEY-----, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci privat yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.

    • Ganti selector dengan selector unik yang Anda tentukan saat membuat catatan TXT di konfigurasi DNS untuk domain Anda.

    Setelah selesai, simpan file sebagai update-identity.json.

  2. Di baris perintah, masukkan perintah berikut:

    aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json

    Di perintah sebelumnya, lakukan perubahan berikut:

    • Ganti path/to/update-identity.json dengan jalur lengkap ke file yang Anda buat di langkah sebelumnya.

    • Ganti example.com dengan domain yang ingin Anda perbarui.

Memverifikasi status DKIM untuk domain yang menggunakan BYODKIM

Untuk memverifikasi status DKIM domain dari konsol

Setelah Anda mengonfigurasi domain menggunakan BYODKIM, Anda dapat menggunakan konsol SES untuk memverifikasi bahwa DKIM dikonfigurasi dengan benar.

  1. Masuk ke AWS Management Console dan buka konsol Amazon SES di https://console.aws.amazon.com/ses/.

  2. Di panel navigasi, di bawah Konfigurasi, pilih Identitas yang terverifikasi.

  3. Di daftar identitas, pilih status DKIM yang ingin Anda verifikasi.

  4. Hal ini dapat memakan waktu hingga 72 jam untuk perubahan pengaturan DNS untuk disebarkan. Segera setelah Amazon SES mendeteksi semua catatan DKIM yang diperlukan di pengaturan DNS domain Anda, proses verifikasi selesai. Jika semuanya telah dikonfigurasi dengan benar, domain AndaKonfigurasi DKIMTampilan bidangSuksesdi dalamDomainKeys Identified Mail (DKIM)panel, danStatus identitasTampilan bidangVerifikasidi dalamRingkasanpanel.

Untuk memverifikasi status DKIM domain menggunakanAWS CLI

Setelah Anda mengonfigurasi domain menggunakan BYODKIM, Anda dapat menggunakan operasi GetEmailIdentity untuk memverifikasi bahwa DKIM dikonfigurasi dengan benar.

  • Di baris perintah, masukkan perintah berikut:

    aws sesv2 get-email-identity --email-identity example.com

    Di perintah sebelumnya, ganti example.com dengan domain Anda.

    Perintah ini mengembalikan sebuah objek JSON yang berisi bagian yang menyerupai contoh berikut.

    {
    ...
    "DkimAttributes": { 
        "SigningAttributesOrigin": "EXTERNAL",
        "SigningEnabled": true,
        "Status": "SUCCESS",
        "Tokens": [ ]
    },
    ...
}

    BYODKIM dikonfigurasi dengan benar untuk domain jika semua hal berikut betul:

    • Nilai dari properti SigningAttributesOrigin adalah EXTERNAL.

    • Nilai dari SigningEnabled adalah true.

    • Nilai dari Status adalah SUCCESS.