Amazon SES 中的 Easy DKIM - Amazon Simple Email Service
通过域启用更改 Easy DKIM 密钥长度

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SES 中的 Easy DKIM

为域身份设置 Easy DKIM 后,Amazon SES 会自动向您从该身份发送的每封电子邮件添加一个 2048 位的 DKIM 密钥。您可使用 Amazon SES 控制台或者使用 API 来配置 Easy DKIM。

注意

要设置 Easy DKIM,您必须修改域的 DNS 设置。如果您使用 Route 53 作为 DNS 提供商,Amazon SES 可以自动为您创建适当的记录。如果您使用其他 DNS 提供商,请参阅您的提供商的文档来了解有关为您的域更改 DNS 设置的更多信息。

警告

如果您当前启用了 BYODKIM 并且正在迁移到 Easy DKIM,请注意,在设置 Easy DKIM 且您的 DKIM 状态处于待定状态时,Amazon SES 不会使用 BYODKIM 对您的电子邮件进行签名。从您进行调用以启用 Easy DKIM(通过 API 或控制台)的那一刻到 SES 可以确认 DNS 配置的那一刻之间,SES 可能会在没有 DKIM 签名的情况下发送您的电子邮件。因此,建议使用中间步骤从一种 DKIM 签名方法迁移到另一种(例如,使用启用了 BYODKIM 的域的子域,然后在 Easy DKIM 验证通过后将其删除),或者在应用程序停机期间(如果有)执行此活动。

为已验证的域身份设置 Easy DKIM

此部分的过程经过简化,旨在展示在您已创建的域身份上配置 Easy DKIM 所需的步骤。如果您尚未创建域身份,或要查看用于自定义域身份的全部可用选项,如使用原定设置配置集、自定义 MAIL FROM 域和标签等,请参阅创建域身份

创建 Easy DKIM 域身份中有一段是配置其基于 DKM 的验证,您可以选择接受 2048 位的 Amazon SES 原定设置值,或选择 1024 位覆盖默认值。有关 DKIM 签名密钥长度以及如何更改密钥长度的详情,请参阅 DKIM 签名密钥长度

为域设置 Easy DKIM

  1. 登录AWS Management Console并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的 Configuration(配置)下,选择 Verified identities(已验证身份)。

  3. 在身份列表中,选择身份类型的身份。

    注意

    如果需要创建或验证域,请参阅 创建域身份

  4. 身份验证选项卡下的域名密钥识别邮件 (DKIM) 容器中,选择编辑

  5. 高级 DKIM 设置容器中,选择身份类型字段中的 Easy DKIM 按钮。

  6. DKIM 签名密钥长度字段中,选择 RSA_2048_BIT 或 RSA_1024_BIT

  7. DKIM 签名字段中,选中已启用复选框。

  8. 选择 Save changes(保存更改)。

  9. 在使用 Easy DKIM 配置您的域身份以后,必须与您的 DNS 提供商完成验证过程 - 继续转到与您的 DNS 提供商一起验证 DKIM 域身份并执行适用于 Easy DKIM 的 DNS 身份验证过程。

更改身份的 Easy DKIM 签名密钥长度

本部分中的流程展示了如何轻松更改签名算法所需的 Easy DKIM 位数。虽然始终首选 2048 位签名长度,以提供增强安全性,但在某些情况下,也可能需要使用 1024 位长度,例如必须使用仅支持 DKIM 1024 的 DNS 提供商。

为了保持传输中电子邮件的送达率,您可以更改或改回 DKIM 密钥长度的频率将受到限制。

当您的电子邮件在传输过程中时,DNS 会使用您的公有密钥验证您的电子邮件;因此,如果您更改密钥过快或频繁,DNS 可能无法对您的电子邮件进行 DKIM 身份验证,因为前一个密钥可能已失效,因此,以下限制可防止出现这种情况:

  • 无法切换到与已配置的密钥长度相同的密钥长度。

  • 无法在 24 小时内多次切换到不同的密钥长度(除非这是该时间段内第一次降级到 1024 位)。

在使用以下过程更改密钥长度时,如果您违反了其中一项限制,控制台将返回一个错误条,指出您提供的输入无效,并说明其无效的原因.

更改 DKIM 签名密钥长度位数的步骤

  1. 登录AWS Management Console并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的 Configuration(配置)下,选择 Verified identities(已验证身份)。

  3. 在身份列表中,选择要更改其 DKIM 签名密钥长度的身份。

  4. 身份验证选项卡下的域名密钥识别邮件 (DKIM) 容器中,选择编辑

  5. Advanced DKIM settings(高级 DKIM 设置)容器中,选择 DKIM signing key length(DKIM 签名密钥长度)字段中的 RSA_2048_BIT 或 RSA_1024_BIT

  6. 选择 Save changes(保存更改)。