AmazonDKIM에서를 사용하여 이메일 인증 SES - Amazon Simple Email Service
DKIM 서명 키 길이DKIM 고려 사항상속된 DKIM 서명 속성 이해

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AmazonDKIM에서를 사용하여 이메일 인증 SES

DomainKeys Identified Mail(DKIM)은 특정 도메인에서 온 것으로 주장하는 이메일이 실제로 해당 도메인 소유자의 승인을 받았는지 확인하기 위해 설계된 이메일 보안 표준입니다. 퍼블릭 키 암호화를 사용하여 프라이빗 키를 사용한 이메일에 서명합니다. 그런 다음 수신자 서버는 도메인에 게시된 퍼블릭 키를 사용하여 전송 중에 이메일의 일부가 수정되지 않았는지 DNS 확인할 수 있습니다.

DKIM 서명은 선택 사항입니다. DKIM규정을 준수하는 이메일 공급자의 전송 가능성을 높이기 위해 DKIM 서명을 사용하여 이메일에 서명하기로 결정할 수 있습니다. AmazonSES은 DKIM 서명을 사용하여 메시지에 서명하는 세 가지 옵션을 제공합니다.

  • 간편 DKIM:는 퍼블릭-프라이빗 키 페어를 SES 생성하고 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 자동으로 추가합니다. 단원을 참조하십시오AmazonDKIM에서 간편 SES.

  • Deterministic EasyDKIM(DEED): Easy를 사용하는 상위 자격 증명으로 DKIM 서명 속성을 자동으로 상속하는 복제본 자격 증명을 생성 AWS 리전 하여 여러에 걸쳐 일관된 DKIM 서명을 유지할 수 있습니다. 단원을 DKIM참조하십시오Amazon에서 Deterministic EasyDKIM(DEED) 사용 SES.

  • BYODKIM (Bring Your Own DKIM): 자체 퍼블릭-프라이빗 키 페어를 제공하고 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 SES 추가합니다. 단원을 참조하십시오Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공.

  • 서명 수동 추가DKIM: SendRawEmail를 사용하여 전송하는 이메일에 자체 DKIM 서명을 추가합니다. 단원을 API참조하십시오Amazon SES에서 수동 DKIM 서명.

DKIM 서명 키 길이

이제 많은 DNS 공급자가 DKIM 2048비트 RSA 암호화를 완전히 지원하므로 Amazon은 DKIM2048SES도 지원하여 이메일의 보안 인증을 강화하므로 API 또는 콘솔DKIM에서 Easy를 구성할 때 기본 키 길이로 사용할 수 있습니다. 2048비트 키는 Bring Your OwnDKIM(BYODKIM)에서도 설정 및 사용할 수 있으며, 여기서 서명 키 길이는 1,024비트 이상 2,048비트 이하여야 합니다.

보안과 이메일의 전송성을 위해 Easy 로 구성한 경우 1024 및 2048비트 키 길이를 사용할 수 있으며DKIM, 2048을 아직 지원하지 않는 DNS 공급자로 인해 문제가 발생할 경우 1024로 되돌릴 수 있는 유연성을 선택할 수 있습니다. 새 자격 증명을 생성하면 DKIM 1024를 지정하지 않는 한 기본적으로 2048로 생성됩니다.

전송 중 이메일의 전송 가능성을 유지하기 위해 DKIM 키 길이를 변경할 수 있는 빈도에 제한이 있습니다. 제한 사항은 다음과 같습니다.

  • 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.

  • 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).

이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일을 인증합니다. 따라서 키를 너무 빠르거나 자주 변경하면 이전 키가 이미 무효화되어 이러한 제한으로 인해 이메일을 DKIM 인증DNS하지 못할 수 있습니다.

DKIM 고려 사항

DKIM를 사용하여 이메일을 인증하면 다음 규칙이 적용됩니다.

  • 'From' 주소에서 사용하는 도메인DKIM에 대해서만를 설정해야 합니다. “Return-Path” 또는 “Reply-to” 주소에서 사용하는 도메인에 DKIM 대해를 설정할 필요가 없습니다.

  • AmazonSES은 여러 AWS 리전에서 사용할 수 있습니다. 둘 AWS 이상의 리전을 사용하여 이메일을 보내는 경우, 모든 이메일이 DKIM서명되도록 각 리전에서 DKIM 설정 프로세스를 완료해야 합니다.

  • DKIM 속성은 상위 도메인에서 상속되므로 DKIM 인증을 사용하여 도메인을 확인할 때 다음을 수행합니다.

    • DKIM 인증은 해당 도메인의 모든 하위 도메인에도 적용됩니다.

      • DKIM 하위 도메인에 대한 설정은 하위 도메인이 DKIM 인증을 사용하지 않도록 하고 나중에 다시 활성화하는 기능을 비활성화하여 상위 도메인에 대한 설정을 재정의할 수 있습니다.

    • DKIM 인증은 주소에서 DKIM 확인된 도메인을 참조하는 이메일 자격 증명에서 전송된 모든 이메일에도 적용됩니다.

      • DKIM 이메일 주소 설정은 DKIM 인증 없이 메일을 보내고 나중에 다시 활성화하려는 경우 상속을 비활성화하여 하위 도메인(해당하는 경우) 및 상위 도메인의 설정을 재정의할 수 있습니다.

상속된 DKIM 서명 속성 이해

먼저 이메일 주소 자격 증명은 Easy DKIM 또는 사용 여부와 DKIM관계없이 도메인이 로 구성된 경우 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 이해해야 BYODKIM 합니다. 따라서 이메일 주소 자격 증명에 대한 DKIM 서명을 비활성화하거나 활성화하면 다음과 같은 주요 사실을 기반으로 도메인의 DKIM 서명 속성이 재정의됩니다.

  • 이메일 주소가 속한 도메인에 DKIM 대해를 이미 설정한 경우 이메일 주소 자격 증명에 대한 DKIM 서명도 활성화할 필요가 없습니다.

    • 도메인에 DKIM 대해를 설정하면 Amazon은 상위 도메인의 상속된 DKIM 속성을 통해 해당 도메인의 모든 주소에서 모든 이메일을 SES 자동으로 인증합니다.

  • DKIM 특정 이메일 주소 자격 증명에 대한 설정은 주소가 속한 상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의합니다.

이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에 설명된 재정의의의 계층적 규칙을 염두에 두어야 합니다.

상위 도메인에 DKIM 서명이 활성화되어 있지 않습니다. 상위 도메인에 DKIM 서명이 활성화되어 있음

이메일 주소 자격 증명에 대한 DKIM 서명을 활성화할 수 없습니다.

 이메일 주소 자격 증명에 대한 DKIM 서명을 비활성화할 수 있습니다.
이메일 주소 자격 증명에 대한 DKIM 서명을 다시 활성화할 수 있습니다.

발신자 평판이 저하될 위험이 있으므로 DKIM 서명을 비활성화하는 것은 일반적으로 권장되지 않으며, 전송된 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 증가합니다.

그러나 특정 사용 사례 또는 서명을 영구적으로 또는 일시적으로 비활성화해야 하는 이상 비즈니스 결정에 대해 이메일 주소 자격 증명의 도메인 상속 DKIM 서명 DKIM 속성을 재정의하거나 나중에 다시 활성화할 수 있는 기능이 있습니다. 이메일 주소 자격 증명의 상속된 DKIM 서명 재정의을(를) 참조하세요.