Mengautentikasi Email dengan DKIM di Amazon SES - Layanan Email Sederhana Amazon
Panjang kunci penandatanganan DKIMPertimbangan DKIMMemahami properti penandatanganan DKIM yang diwariskan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengautentikasi Email dengan DKIM di Amazon SES

DomainKeys Identified Mail (DKIM) adalah standar keamanan email yang dirancang untuk memastikan bahwa email yang mengklaim berasal dari domain tertentu memang disahkan oleh pemilik domain tersebut. Ini menggunakan kriptografi kunci publik untuk menandatangani email dengan kunci pribadi. Server penerima kemudian dapat menggunakan kunci publik yang dipublikasikan ke DNS domain untuk memverifikasi bahwa bagian email belum dimodifikasi selama transit.

Tanda tangan DKIM adalah opsional. Anda dapat memutuskan untuk menandatangani email menggunakan tanda tangan DKIM untuk meningkatkan kemampuan pengiriman dengan penyedia email yang sesuai dengan DKIM. Amazon SES menyediakan tiga pilihan untuk menandatangani pesan Anda menggunakan tanda tangan DKIM:

  • Easy DKIM: SES menghasilkan key pair publik-pribadi dan secara otomatis menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. Easy DKIM di Amazon SES

  • Deterministic Easy DKIM (DEED): Memungkinkan Anda mempertahankan penandatanganan DKIM yang konsisten di beberapa Wilayah AWS dengan membuat identitas replika yang secara otomatis mewarisi atribut penandatanganan DKIM sebagai identitas induk yang menggunakan Easy DKIM, lihat. Menggunakan Deterministic Easy DKIM (DEED) di Amazon SES

  • BYODKIM (Bring Your Own DKIM): Anda memberikan key pair public-private Anda sendiri dan SES menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. Berikan token otentikasi DKIM Anda sendiri (BYODKIM) di Amazon SES

  • Tambahkan tanda tangan DKIM secara manual: Anda menambahkan tanda tangan DKIM Anda sendiri ke email yang Anda kirim menggunakan SendRawEmail API, lihat. Penandatanganan Manual DKIM di Amazon SES

Panjang kunci penandatanganan DKIM

Karena banyak penyedia DNS sekarang sepenuhnya mendukung enkripsi RSA DKIM 2048 bit, Amazon SES juga mendukung DKIM 2048 untuk memungkinkan otentikasi email yang lebih aman dan karenanya menggunakannya sebagai panjang kunci default saat Anda mengonfigurasi Easy DKIM baik dari API atau konsol. Kunci 2048 bit dapat diatur dan digunakan dalam Bring Your Own DKIM (BYODKIM) juga, di mana panjang kunci penandatanganan Anda harus setidaknya 1024 bit dan tidak lebih dari 2048 bit.

Demi keamanan serta pengiriman email Anda, ketika dikonfigurasi dengan Easy DKIM, Anda memiliki pilihan untuk menggunakan panjang kunci 1024 dan 2048 bit bersama dengan fleksibilitas membalik kembali ke 1024 jika ada masalah yang disebabkan oleh penyedia DNS yang masih tidak mendukung 2048. Ketika Anda membuat identitas baru, itu akan dibuat dengan DKIM 2048 secara default kecuali Anda menentukan 1024.

Untuk menjaga pengiriman email dalam transit, ada batasan frekuensi di mana Anda dapat mengubah panjang kunci DKIM Anda. Pembatasan meliputi:

  • Tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.

  • Tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali jika itu adalah penurunan versi pertama ke 1024 pada periode itu).

Ketika email Anda dalam perjalanan, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengautentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan ini melindungi terhadap hal itu.

Pertimbangan DKIM

Saat Anda menggunakan DKIM untuk mengautentikasi email Anda, aturan berikut berlaku:

  • Anda hanya perlu mengatur DKIM untuk domain yang Anda gunakan di alamat “Dari” Anda. Anda tidak perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Return-Path” atau “Reply-to”.

  • Amazon SES tersedia di beberapa AWS Wilayah. Jika Anda menggunakan lebih dari satu AWS Wilayah untuk mengirim email, Anda harus menyelesaikan proses penyiapan DKIM di masing-masing Wilayah tersebut untuk memastikan bahwa semua email Anda ditandatangani oleh DKIM.

  • Karena properti DKIM diwarisi dari domain induk, saat Anda memverifikasi domain dengan otentikasi DKIM:

    • Otentikasi DKIM juga akan berlaku untuk semua subdomain domain tersebut.

      • Pengaturan DKIM untuk subdomain dapat mengganti pengaturan untuk domain induk dengan menonaktifkan pewarisan jika Anda tidak ingin subdomain menggunakan otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.

    • Otentikasi DKIM juga akan berlaku untuk semua email yang dikirim dari identitas email yang mereferensikan domain terverifikasi DKIM di alamatnya.

      • Pengaturan DKIM untuk alamat email dapat mengganti pengaturan untuk subdomain (jika berlaku) dan domain induk dengan menonaktifkan warisan jika Anda ingin mengirim email tanpa otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.

Memahami properti penandatanganan DKIM yang diwariskan

Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta kunci ini:

  • Jika Anda sudah menyiapkan DKIM untuk domain yang menjadi milik alamat email, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.

    • Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwarisi dari domain induk.

  • Pengaturan DKIM untuk identitas alamat email tertentu secara otomatis mengganti pengaturan domain induk atau subdomain (jika ada) yang menjadi milik alamat tersebut.

Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis penggantian seperti yang dijelaskan dalam tabel di bawah ini.

Domain induk tidak mengaktifkan penandatanganan DKIM Domain induk mengaktifkan penandatanganan DKIM

Anda tidak dapat mengaktifkan penandatanganan DKIM pada identitas alamat email.

 Anda dapat menonaktifkan penandatanganan DKIM pada identitas alamat email.
Anda dapat mengaktifkan kembali penandatanganan DKIM pada identitas alamat email.

Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko email terkirim Anda masuk ke folder sampah atau spam atau domain Anda dipalsukan.

Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu. Lihat Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email.