Amazon SES 中的 Easy DKIM - Amazon Simple Email Service
在網域上啟用變更 Easy DKIM 金鑰長度

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon SES 中的 Easy DKIM

當您為某個網域身分設定 Easy DKIM 時,Amazon SES 會自動為該身分傳送的每封電子郵件新增一個 2048 位元 DKIM 金鑰。您可以使用 Amazon SES 主控台或 API 來設定 Easy DKIM。

注意

若要設定 Easy DKIM,您必須修改您網域的 DNS 設定。如果您使用 Route 53 做為 DNS 供應商,Amazon SES 可自動為您建立適當的記錄。如果您使用其他 DNS 供應商,請參閱您的供應商文件以進一步了解如何變更網域的 DNS 設定。

警告

如果您目前已啟用 BYODKIM 並正在轉移到 Easy DKIM,請注意,在設定 Easy DKIM 且您的 DKIM 狀態處於待定狀態時,Amazon SES 不會使用 BYODKIM 登入您的電子郵件。從您呼叫啟用 Easy DKIM(透過 API 或主控台)到 SES 可以確認您的 DNS 組態的那一刻,您的電子郵件可能會由 SES 傳送,而無需 DKIM 簽章。因此,建議使用中繼步驟從一種 DKIM 簽署方法遷移到另一種方法(例如,使用啟用了 BYODKIM 的子網域,然後在 Easy DKIM 驗證通過後將其刪除),或者在應用程式停機期間執行此活動(如果有)。

為已驗證網域身分設定 Easy DKIM

本節中的過程經過簡化,只顯示在已建立的網域身分上設定 Easy DKIM 所需的步驟。若您尚未建立網域身分,或想要查看自訂網域身分的所有可用選項,例如使用預設組態集、自訂的「寄件人」網域和標籤,請參閱 建立網域身分

建立 Easy DKIM 網域身分的一部分任務是設定其 DKIM 型驗證,其中可以選擇接受 Amazon SES 預設值 2048 位元,或透過選取 1024 位元來覆蓋預設值。請參閱 DKIM 簽署金鑰長度,深入了解 DKIM 簽署金鑰長度以及如何變更金鑰長度。

為網域設定 Easy DKIM

  1. 前往 https://console.aws.amazon.com/ses/ 登入 AWS Management Console 並開啟 Amazon SES 主控台。

  2. 在導覽窗格中的 Configuration (組態) 下,選擇 Verified identities (已驗證身分)。

  3. 在身分清單中,選擇 Identity type (身分類型)Domain (網域) 的身分。

    注意

    如果您需要建立或驗證網域,請參閱 建立網域身分

  4. Authentication (身分驗證) 索引標籤下方的 網域金鑰識別郵件 (DKIM) 容器中,選擇 Edit (編輯)

  5. Advanced DKIM settings (進階 DKIM 設定) 容器中,選擇 Identity type (身分類型) 欄位中的 Easy DKIM 按鈕。

  6. DKIM signing key length (DKIM 簽署金鑰長度) 欄位中,選擇 RSA_2048_BIT 或 RSA_1024_BIT

  7. DKIM signatures (DKIM 簽章) 欄位中,選中 Enabled (已啟用) 方塊。

  8. 選擇 Save changes (儲存變更)。

  9. 現在您已使用 Easy DKIM 設定了網域身分,您必須透過 DNS 提供者完成驗證程序:繼續執行 透過 DNS 提供者驗證 DKIM 網域身分,然後按照 Easy DKIM 的 DNS 身分驗證程序。

變更身分的 Easy DKIM 簽署金鑰長度

本節中的程序顯示如何輕鬆變更簽署演算法所需的 Easy DKIM 位元。雖然由於其提供的增強安全性,始終優先使用 2048 位元的簽署長度,但在某些情況下可能需要使用 1024 位元長度,例如必須使用只支援 DKIM 1024 的 DNS 供應商。

為了保留傳輸電子郵件的交付能力,您可以變更或翻轉 DKIM 金鑰長度的頻率有一定限制。

當您的電子郵件在傳輸過程中時,DNS 會使用您的公有金鑰來驗證電子郵件;因此,如果您變更金鑰太快或過於頻繁,DNS 可能無法對您的電子郵件進行 DKIM 身分驗證,因為之前的金鑰可能已經失效。因此,下列限制可防範此問題:

  • 您無法切換到與已設定的金鑰長度相同的金鑰長度。

  • 您無法在 24 小時內多次切換至不同的金鑰長度 (除非是該期間的第一次降級至 1024)。

在使用以下程序變更您的金鑰長度時,如果您刪除其中一個限制,主控台將返回一個錯誤橫幅,指出您提供的輸入無效以及無效的原因。

若要變更 DKIM 簽署金鑰長度位元

  1. 前往 https://console.aws.amazon.com/ses/ 登入 AWS Management Console 並開啟 Amazon SES 主控台。

  2. 在導覽窗格中的 Configuration (組態) 下,選擇 Verified identities (已驗證身分)。

  3. 在身分清單中,選擇您希望變更 DKIM 簽署金鑰長度的身分。

  4. Authentication (身分驗證) 索引標籤下方的 網域金鑰識別郵件 (DKIM) 容器中,選擇 Edit (編輯)

  5. Advanced DKIM settings (進階 DKIM 設定) 容器的 DKIM signing key length (DKIM 簽署金鑰長度) 欄位中,選擇 RSA_2048_BIT 或 RSA_1024_BIT

  6. 選擇 Save changes (儲存變更)。