Mengautentikasi Email dengan DKIM di Amazon SES - Layanan Email Sederhana Amazon
Panjang kunci penandatanganan DKIMPertimbangan DKIMMemahami properti penandatanganan DKIM yang diwariskan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengautentikasi Email dengan DKIM di Amazon SES

DomainKeysIdentified Mail (DKIM) adalah standar keamanan email yang dirancang untuk memastikan bahwa email yang mengklaim berasal dari domain tertentu memang diotorisasi oleh pemilik domain tersebut. Ini menggunakan kriptografi kunci publik untuk menandatangani email dengan kunci pribadi. Server penerima kemudian dapat menggunakan kunci publik yang dipublikasikan ke DNS domain untuk memverifikasi bahwa bagian email belum diubah selama transit.

Tanda tangan DKIM adalah opsional. Anda dapat memutuskan untuk menandatangani email menggunakan tanda tangan DKIM untuk meningkatkan kemampuan pengiriman dengan penyedia email yang sesuai dengan DKIM. Amazon SES menyediakan tiga pilihan untuk menandatangani pesan Anda menggunakan tanda tangan DKIM:

  • Easy DKIM: SES menghasilkan pasangan kunci public-private dan secara otomatis menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. Easy DKIM di Amazon SES

  • BYODKIM (Bawa DKIM Anda Sendiri): Anda memberikan pasangan kunci publik-privat Anda sendiri dan SES menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. Berikan token autentikasi DKIM Anda (BYODKIM) di Amazon SES

  • Tambahkan tanda tangan DKIM secara manual: Anda menambahkan tanda tangan DKIM Anda sendiri ke email yang Anda kirim menggunakan SendRawEmail API, lihat. Penandatanganan Manual DKIM di Amazon SES

Panjang kunci penandatanganan DKIM

Karena banyak penyedia DNS sekarang sepenuhnya mendukung enkripsi RSA bit DKIM 2048, Amazon SES juga mendukung DKIM 2048 untuk memungkinkan otentikasi email yang lebih aman dan karenanya menggunakannya sebagai panjang kunci default saat Anda mengonfigurasi Easy DKIM baik dari API atau konsol. Tombol 2048 bit dapat diatur dan digunakan dalam Bring Your Own DKIM (BYODKIM) juga, di mana panjang kunci penandatanganan Anda harus setidaknya 1024 bit dan tidak lebih dari 2048 bit.

Demi keamanan serta pengiriman email Anda, ketika dikonfigurasi dengan Easy DKIM, Anda memiliki pilihan untuk menggunakan panjang kunci 1024 dan 2048 bit bersama dengan fleksibilitas membalik kembali ke 1024 jika ada masalah yang disebabkan oleh penyedia DNS yang masih tidak mendukung 2048. Ketika Anda membuat identitas baru, itu akan dibuat dengan DKIM 2048 secara default kecuali Anda menentukan 1024.

Untuk mempertahankan pengiriman email transit, ada batasan pada frekuensi di mana Anda dapat mengubah panjang kunci DKIM Anda. Pembatasan meliputi:

  • Tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.

  • Tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali itu downgrade pertama ke 1024 dalam periode itu).

Ketika email Anda sedang transit, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengotentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan ini melindungi terhadap hal itu.

Pertimbangan DKIM

Saat Anda menggunakan DKIM untuk mengautentikasi email Anda, aturan berikut berlaku:

  • Anda hanya perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Dari”. Anda tidak perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Return-Path” atau “Reply-to”.

  • Amazon SES tersedia di beberapa Wilayah AWS. Jika Anda menggunakan lebih dari satu AWS Wilayah untuk mengirim email, Anda harus menyelesaikan proses penyiapan DKIM di masing-masing Wilayah tersebut untuk memastikan bahwa semua email Anda ditandatangani DKIM.

  • Karena properti DKIM diwariskan dari domain induk, saat Anda memverifikasi domain dengan autentikasi DKIM:

    • Otentikasi DKIM juga akan berlaku untuk semua subdomain domain tersebut.

      • Pengaturan DKIM untuk subdomain dapat menimpa pengaturan untuk domain induk dengan menonaktifkan warisan jika Anda tidak ingin subdomain menggunakan otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.

    • Otentikasi DKIM juga akan berlaku untuk semua email yang dikirim dari identitas email yang mereferensikan domain terverifikasi DKIM di alamatnya.

      • Pengaturan DKIM untuk alamat email dapat menimpa pengaturan untuk subdomain (jika ada) dan domain induk dengan menonaktifkan warisan jika Anda ingin mengirim email tanpa otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.

Memahami properti penandatanganan DKIM yang diwariskan

Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta utama berikut:

  • Jika Anda sudah menyiapkan DKIM untuk domain tempat alamat email milik, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.

    • Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwariskan dari domain induk.

  • Pengaturan DKIM untuk identitas alamat email tertentu secara otomatis menimpa pengaturan domain induk atau subdomain (jika ada) alamat milik.

Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis menimpa seperti yang dijelaskan dalam tabel di bawah ini.

Domain induk tidak mengaktifkan penandatanganan DKIM Domain induk telah mengaktifkan penandatanganan DKIM

Anda tidak dapat mengaktifkan penandatanganan DKIM pada identitas alamat email.

 Anda dapat menonaktifkan penandatanganan DKIM pada identitas alamat email.
Anda dapat mengaktifkan kembali penandatanganan DKIM pada identitas alamat email.

Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko agar surat terkirim Anda masuk ke folder sampah atau spam atau memalsukan domain Anda.

Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda miliki untuk menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu. Lihat Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email.