Mengautentikasi Email dengan DKIM di Amazon SES - Amazon Simple Email Service
Panjang kunci penandatanganan DKIMPertimbangan DKIMMemahami mewarisi properti penandatanganan DKIM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengautentikasi Email dengan DKIM di Amazon SES

DomainKeysEmail yang Diidentifikasi(DKIM) adalah standar keamanan email yang dirancang untuk memastikan bahwa email yang mengklaim berasal dari domain tertentu memang disahkan oleh pemilik domain tersebut. Menggunakan kriptografi kunci publik untuk menandatangani email dengan kunci pribadi. Server penerima kemudian dapat menggunakan kunci publik yang dipublikasikan ke DNS domain untuk memverifikasi bahwa bagian email belum diubah selama transit.

Tanda tangan DKIM adalah opsional. Anda dapat memutuskan untuk menandatangani email menggunakan tanda tangan DKIM untuk meningkatkan kemampuan pengiriman dengan penyedia email yang sesuai dengan DKIM. Amazon SES menyediakan tiga pilihan untuk menandatangani pesan Anda menggunakan tanda tangan DKIM:

  • Easy DKIM: Untuk mengatur identitas pengiriman sehingga Amazon SES menghasilkan key pair publik pribadi dan secara otomatis menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas tersebut, lihatEasy DKIM di Amazon SES.

  • BYODKIM (Bawa DKIM Anda Sendiri): Untuk memberikan key pair publik Anda sendiri sehingga SES menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas tersebut, lihatMenyediakan token autentikasi DKIM Anda (BYODKIM) di Amazon SES.

  • Tambahkan tanda tangan DKIM secara manual: Untuk menambahkan tanda tangan DKIM Anda sendiri ke email yang Anda kirim menggunakan API SendRawEmail, lihat Penandatanganan Manual DKIM di Amazon SES.

Panjang kunci penandatanganan DKIM

Karena banyak penyedia DNS sekarang sepenuhnya mendukung enkripsi RSA DKIM 2048 bit, Amazon SES juga mendukung DKIM 2048 untuk memungkinkan otentikasi email yang lebih aman dan karena itu menggunakannya sebagai panjang kunci default ketika Anda mengkonfigurasi Easy DKIM baik dari API atau konsol. Tombol bit 2048 dapat diatur dan digunakan dalam Bring DKIM Anda Sendiri (BYODKIM) juga, di mana panjang kunci penandatanganan Anda harus setidaknya 1024 bit dan tidak lebih dari 2048 bit.

Demi keamanan serta pengiriman email Anda, ketika dikonfigurasi dengan Easy DKIM, Anda memiliki pilihan untuk menggunakan panjang kunci 1024 dan 2048 bit bersama dengan fleksibilitas membalik kembali ke 1024 jika ada masalah yang disebabkan oleh penyedia DNS yang masih tidak mendukung 2048. Ketika Anda membuat identitas baru, itu akan dibuat dengan DKIM 2048 secara default kecuali Anda menentukan 1024.

Untuk melestarikan deliverability dalam email transit, ada pembatasan pada frekuensi di mana Anda dapat mengubah Anda panjang kunci DKIM. Pembatasan meliputi:

  • Tidak dapat beralih ke panjang tombol yang sama seperti yang sudah dikonfigurasi.

  • Tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali itu adalah downgrade pertama ke 1024 pada periode tersebut).

Ketika email Anda sedang transit, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengotentikasi email Anda karena kunci sebelumnya mungkin sudah dibatalkan, sehingga pembatasan ini melindungi terhadap hal itu.

Pertimbangan DKIM

Ketika Anda menggunakan DKIM untuk mengautentikasi email Anda, aturan berikut ini berlaku:

  • Anda hanya perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Dari”. Anda tidak perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Jalur Kembali” atau “Balas ke”.

  • Amazon SES tersedia di beberapa Wilayah AWS. Jika Anda menggunakan lebih dari satuAWSWilayah untuk mengirim email, Anda harus menyelesaikan proses persiapan DKIM di masing-masing Wilayah tersebut untuk memastikan bahwa semua email Anda ditandatangani DKIM.

  • Karena properti DKIM diwariskan dari domain induk, ketika Anda memverifikasi domain dengan otentikasi DKIM:

    • Otentikasi DKIM juga akan berlaku untuk semua subdomain domain tersebut.

      • Setelan DKIM untuk subdomain dapat menimpa pengaturan domain induk dengan menonaktifkan warisan jika Anda tidak ingin subdomain menggunakan otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.

    • Otentikasi DKIM juga akan berlaku untuk semua email yang dikirim dari identitas email yang mereferensikan domain terverifikasi DKIM di alamatnya.

      • Pengaturan DKIM untuk alamat email dapat menimpa pengaturan subdomain (jika berlaku) dan domain induk dengan menonaktifkan warisan jika Anda ingin mengirim email tanpa autentikasi DKIM, serta kemampuan untuk mengaktifkannya kembali nanti.

Memahami mewarisi properti penandatanganan DKIM

Penting untuk memahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta utama ini:

  • Jika Anda sudah menyiapkan DKIM untuk domain yang dimiliki oleh alamat email, Anda tidak perlu mengaktifkannya penandatanganan DKIM juga.

    • Ketika Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat di domain tersebut melalui properti DKIM yang diwariskan dari domain induk.

  • Pengaturan DKIM untuk identitas alamat email tertentusecara otomatis menimpa pengaturan domain induk atau subdomain (jika ada)bahwa alamat milik.

Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana untuk mengesampingkan properti ini, Anda harus mengingat aturan hirarkis menimpa seperti yang dijelaskan dalam tabel di bawah ini.

Domain induk tidak mengaktifkan penandatanganan DKIM Domain induk telah mengaktifkan penandatanganan DKIM

Anda tidak dapat mengaktifkan penandatanganan DKIM pada identitas alamat email.

 Anda dapat menonaktifkan penandatanganan DKIM pada identitas alamat email.
Anda dapat mengaktifkannya kembali DKIM di identitas alamat email.

Hal ini umumnya tidak pernah dianjurkan untuk menonaktifkan penandatanganan DKIM Anda karena risiko menodai reputasi pengirim Anda, dan meningkatkan risiko mengirim email Anda pergi ke folder sampah atau spam atau memiliki domain Anda palsu.

Namun, kemampuan ada untuk menimpa domain mewarisi properti penandatanganan DKIM pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis luar yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu. Lihat Menimpa penandatanganan DKIM yang diwariskan pada identitas alamat email.