管理 Easy DKIM 和 BYODKIM - Amazon Simple Email Service
获取身份的 DKIM 记录为身份禁用 Easy DKIM为身份启用 Easy DKIM覆盖电子邮件地址上的 DKIM 签名

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Easy DKIM 和 BYODKIM

使用基于 Web 的 Amazon SES 控制台或 Amazon SES API,您可以为已通过 Easy DKIM 或 BYODKIM 验证的身份管理 DKIM 设置。您可以使用其中任一方法来获取身份的 DKIM 记录,或者为身份启用或禁用 Easy DKIM 签名。

获取身份的 DKIM 记录

您可以随时使用 Amazon SES 控制台获取您的域或电子邮件地址的 DKIM 记录。

使用控制台获取身份的 DKIM 记录

  1. 登录 AWS Management Console 并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的配置下,选择已验证身份

  3. 在身份列表中,选择要获取其 DKIM 记录的身份。

  4. 在身份详细信息页面的身份验证选项卡上,展开查看 DNS 记录

  5. 复制在此部分显示的三条别名记录(如果您使用 Easy DKIM)或 TXT 记录(如果您使用 BYODKIM)。或者,您可以选择下载 .csv 记录集以将记录副本保存到您的电脑中。

    下图显示了展开后的 View DNS records(查看 DNS 记录)部分显示的与 Easy DKIM 关联的别名记录的示例。

    身份的详细信息页的 DKIM 部分。显示了三个虚构的 CNAME 记录。

您还可以使用 Amazon SES API 来获取身份的 DKIM 记录。与 API 交互的常用方法是使用 AWS CLI。

要获取身份的 DKIM 记录,请使用 AWS CLI

  1. 在命令行处,键入以下命令:

    aws ses get-identity-dkim-attributes --identities "example.com"

    在上述示例中,将 example.com 替换为要获取其 DKIM 记录的身份。您可以指定电子邮件地址或域。

  2. 此命令的输出包含一个 DkimTokens 部分,如以下示例所示:

    {
    "DkimAttributes": {
        "example.com": {
            "DkimEnabled": true,
            "DkimVerificationStatus": "Success",
            "DkimTokens": [
                "hirjd4exampled5477y22yd23ettobi",
                "v3rnz522czcl46quexamplek3efo5o6x",
                "y4examplexbhyhnsjcmtvzotfvqjmdqoj"
            ]
        }
    }
}

    您可以使用令牌创建添加到域的 DNS 设置中的 CNAME 记录。要创建 CNAME 记录,请使用以下模板:

    token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com

    token1 的每个实例替换为您在运行 get-identity-dkim-attributes 命令时收到的列表中的第一个令牌,将 token2 的所有实例替换为列表中的第二个令牌,并将 token3 的所有实例替换为列表中的第三个令牌。

    例如,对上述示例中所示的令牌应用此模板会生成以下记录:

    hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
注意

如果您选择 AWS 区域 的是开普敦、大阪或米兰,则需要使用特定于区域的 DKIM 域名,如中的 DKIM 域名表中所述。AWS 一般参考

为身份禁用 Easy DKIM

您可以使用 Amazon SES 控制台快速为身份禁用 DKIM 身份验证。

为身份禁用 DKIM

  1. 登录 AWS Management Console 并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的配置下,选择已验证身份

  3. 在身份列表中,选择要为其禁用 DKIM 的身份。

  4. 在 “身份验证” 选项卡下的 “DomainKeys已识别邮件 (DKIM)” 容器中,选择 “编辑”

  5. Advanced DKIM settings(高级 DKIM 设置)中,选中 DKIM signatures(DKIM 签名)字段中的 Enabled(已启用)复选框。

您还可以使用 Amazon SES API 为身份禁用 DKIM。与 API 交互的常用方法是使用 AWS CLI。

要禁用身份的 DKIM,请使用 AWS CLI

  • 在命令行处,键入以下命令:

    aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled

    在上述示例中,将 example.com 替换为要为其禁用 DKIM 的身份。您可以指定电子邮件地址或域。

为身份启用 Easy DKIM

如果您之前为身份禁用了 DKIM,则可以使用 Amazon SES 控制台再次启用它。

为身份启用 DKIM

  1. 登录 AWS Management Console 并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的配置下,选择已验证身份

  3. 在身份列表中,选择要为其启用 DKIM 的身份。

  4. 在 “身份验证” 选项卡下的 “DomainKeys已识别邮件 (DKIM)” 容器中,选择 “编辑”

  5. 高级 DKIM 设置中,选中 DKIM 签名字段中的已启用复选框。

您还可以使用 Amazon SES API 为身份启用 DKIM。与 API 交互的常用方法是使用 AWS CLI。

要为身份启用 DKIM,请使用 AWS CLI

  • 在命令行处,键入以下命令:

    aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled

    在上述示例中,将 example.com 替换为要为其启用 DKIM 的身份。您可以指定电子邮件地址或域。

覆盖在电子邮件地址身份上继承的 DKIM 签名

在此部分中,您将学习如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。您只能对属于您已拥有的域的电子邮件地址身份执行此操作,因为 DNS 设置是在域级别配置的。

重要

您无法为电子邮件地址身份禁用/启用 DKIM 签名……

  • 在您不拥有的域上。例如,您无法为注册 gmail.comhotmail.com 地址切换 DKIM。

  • 在您拥有但尚未在 Amazon SES 中验证的域名上,

  • 在您拥有但尚未在域上启用 DKIM 签名的域名上。

本节包含以下主题:

了解继承的 DKIM 签名属性

重要的是,首先要理解,如果域配置了 DKIM,无论使用的是 Easy DKIM 还是 BYODKIM,电子邮件地址标识都会从其父域继承其 DKIM 签名属性。因此,在电子邮件地址标识上禁用或启用 DKIM 签名实际上是基于以下关键事实覆盖域的 DKIM 签名属性:

  • 如果您已为电子邮件地址所属于的域设置了 DKIM,则无需再为电子邮件地址设置 DKIM。

    • 在为域设置 DKIM 时,Amazon SES 通过从父域继承的 DKIM 属性,自动认证来自该域上每个地址的每一封邮件。

  • 特定电子邮件地址标识的 DKIM 设置自动覆盖地址所属的父域或子域(如适用)的设置。

由于电子邮件地址身份的 DKIM 签名属性是从父域继承的,因此如果您计划覆盖这些属性,则必须记住覆盖的层次规则,如下表所述。

父域未启用 DKIM 签名 父域已启用 DKIM 签名

您无法在电子邮件地址身份上启用 DKIM 签名。

 您可以禁用对电子邮件地址身份的 DKIM 签名。
您可以对电子邮件地址身份重新启用 DKIM 签名。

通常不建议禁用您的 DKIM 签名,因为这有可能损害您的发件人声誉,并且会增加您发送的邮件转到垃圾邮件或垃圾邮件文件夹或域名被欺骗的风险。

但是,对于任何特定的使用情形或外围业务决策,可以覆盖电子邮件地址标识上的域继承的 DKIM 签名属性,您可能必须永久或临时禁用 DKIM 签名,或者在以后重新将其启用。

覆盖对电子邮件地址身份的 DKIM 签名(控制台)

以下 SES 控制台过程向您介绍如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。

使用控制台禁用/启用电子邮件地址身份的 DKIM 签名

  1. 登录 AWS Management Console 并打开 Amazon SES 控制台,网址为 https://console.aws.amazon.com/ses/

  2. 在导航窗格中的配置下,选择已验证身份

  3. 在身份列表中,选择 Identity type(身份类型)为 Email address(电子邮件地址)并且属于已验证域之一的身份。

  4. 在 “身份验证” 选项卡下的 “DomainKeys 已识别邮件 (DKIM)” 容器中,选择 “编辑”

    注意

    仅当选定的电子邮件地址身份属于已经过 SES 验证的域时,才会显示 Authentication(身份验证)选项卡。如果您尚未验证域,请参阅 创建域身份

  5. DKIM signatures(DKIM)签名字段中的 Advanced DKIM settings(高级 DKIM 设置)下,清除 Enabled(已启用)复选框以禁用 DKIM 签名,或者选中它以重新启用 DKIM 签名(如果先前已覆盖)。

  6. 选择保存更改

覆盖对电子邮件地址身份的 DKIM 签名 (AWS CLI)

以下示例使用 AWS CLI 带有 SES API 命令和参数,这些命令和参数将覆盖(禁用或启用)从父域继承的 DKIM 签名属性,该属性已通过您已通过 SES 验证的特定电子邮件地址身份。

要禁用/启用电子邮件地址身份的 DKIM 签名 AWS CLI

  • 假设你拥有 example.com 域名,并且要禁用域的其中一个电子邮件地址的 DKIM 签名,请在命令行键入以下命令:

    aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled

    1. 用您要禁用 DKIM 签名的电子邮件地址标识替换 marketing@example.com

    2. --no-signing-enabled 将禁用 DKIM 签名。要重新启用 DKIM 签名,请使用 --signing-enabled