本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon SES 中透過 DKIM 驗證電子郵件
網域金鑰識別郵件 (DKIM) 是一項電子郵件安全性標準,旨在確保聲稱來自特定網域的電子郵件確實是由該網域的擁有者授權傳送。它使用公有金鑰加密法來使用私密金鑰簽署電子郵件。接著,收件人伺服器可以使用發佈至網域 DNS 的公有金鑰來確認電子郵件的各個部分在傳輸期間未被修改。
DKIM 簽章可選用。您可以決定是否使用 DKIM 簽章來簽署電子郵件,以於透過符合 DKIM 規範的電子郵件供應商提升遞送度。Amazon SES 提供兩種選項來使用 DKIM 簽章簽署您的訊息:
-
Easy DKIM:SES 會產生公有-私有金鑰對,並自動將 DKIM 簽章新增至您由此身分傳送的每個訊息,請參閱 Amazon SES 中的 Easy DKIM。
-
BYODKIM (使用自有 DKIM):提供自有公有-私有金鑰對,以便讓 SES 新增 DKIM 簽章至您由此身分傳送的每封郵件,請參閱 在 Amazon SES 中提供您自己的 DKIM 身分驗證字符 (BYODKIM)。
-
手動新增 DKIM 簽章:將您自己的 DKIM 簽章新增至使用
SendRawEmailAPI 傳送的電子郵件,請參閱 在 Amazon SES 中手動執行 DKIM 簽署。
DKIM 簽署金鑰長度
由於許多 DNS 供應商現在完全支援 DKIM 2048 位元 RSA 加密,Amazon SES 也支援 DKIM 2048 以實現更安全的電子郵件身分驗證,因此在從 API 或主控台設定 Easy DKIM 時使用它作為預設的金鑰長度。也可在「使用自有 DKIM (BYODKIM)」中設定和使用 2048 位元金鑰,其中您的簽署金鑰長度必須至少為 1024 位元且不超過 2048 位元。
為了安全性以及您的電子郵件的傳遞能力,當設定為 Easy DKIM 時,您可以選擇使用 1024 和 2048 位元金鑰長度,以及在發生由仍然不支援 2048 的 DNS 供應商所造成的任何問題時靈活地回復到 1024 位元。建立新的身分時,除非您指定 1024,否則會預設 DKIM 2048 來建立身分。
為了保留傳輸電子郵件的可交付性,您變更 DKIM 金鑰長度的頻率有一定限制。限制包括:
-
無法切換到已設定的金鑰長度。
-
無法在 24 小時內多次切換到不同的金鑰長度 (除非這是該期間的第一次降級到 1024)。
當您的電子郵件在傳輸過程中時,DNS 會使用您的公有金鑰來驗證電子郵件;因此,如果您變更金鑰太快或過於頻繁,DNS 可能無法對您的電子郵件進行 DKIM 驗證,因為之前的金鑰可能已經失效。因此,這些限制可以防範上述問題。
DKIM 考量因素
當您使用 DKIM 來驗證電子郵件時,會套用以下規則:
-
您只需要針對 "From" 地址中使用的網域設定 DKIM。您不需要針對 "Return-Path" 或 "Reply-to" 地址中使用的網域設定 DKIM。
-
Amazon SES 可在多個 AWS 區域中使用。如果您使用多個 AWS 區域來傳送電子郵件,則必須完成每個區域的 DKIM 設定程序,以確保所有電子郵件均有 DKIM 簽章。
-
由於 DKIM 屬性是繼承自父系網域,因此當您使用 DKIM 身分驗證來驗證網域時:
-
DKIM 身分驗證也將套用到該網域的所有子網域。
-
如果您不希望子網域使用 DKIM 身分驗證以及稍後要重新啟用的功能,則可以透過停用繼承讓子網域的 DKIM 設定覆寫父系網域的設定。
-
-
DKIM 驗證也將套用到所有從參考其地址中 DKIM 身分驗證網域的電子郵件身分發送的電子郵件。
-
如果您希望發送郵件而不進行 DKIM 身分驗證,可以透過停用繼承來讓電子郵件地址的 DKIM 設定覆寫子網域 (如果適用) 和父系網域的設定,以及以後要重新啟用的功能。
-
-
了解繼承的 DKIM 簽署屬性
首先必須了解,如果使用 DKIM 設定父系網域,電子郵件地址身分會從父系網域繼承其 DKIM 簽署屬性,不論是否使用 Easy DKIM 或 BYODKIM。因此,停用或啟用電子郵件地址身分上的 DKIM 簽署,實際上是根據以下重要事實覆寫網域的 DKIM 簽署屬性:
-
如果您已設定電子郵件地址所屬網域的 Easy DKIM,即不需要一併為電子郵件地址身分啟用 DKIM 簽署。
-
當您為某個網域設定 DKIM 時,Amazon SES 會自動透過從父系網域繼承的 DKIM 屬性驗證來自該網域每個地址的每封電子郵件。
-
-
特定電子郵件地址身分的 DKIM 設定會自動覆寫該地址所屬父系網域或子網域 (如適用) 的設定。
由於電子郵件地址身分的 DKIM 簽署屬性是繼承自父系網域,因此如果您打算覆寫這些屬性,您必須牢記覆寫的階層規則,如下表所述。
| 父系網域未啟用 DKIM 簽署 | 父系網域已啟用 DKIM 簽署 |
|---|---|
您無法啟用電子郵件地址身分上的 DKIM 簽署。 |
您可以停用電子郵件地址身分上的 DKIM 簽署。 |
| 您可以重新啟用電子郵件地址身分上的 DKIM 簽署。 |
通常不建議停用 DKIM 簽署,因為有可能會損害寄件者評價,而且會增加將您傳送的郵件送往垃圾郵件資料夾或網域遭到假冒的風險。
不過,可以因應任何特定使用案例或異常業務決策,而覆寫電子郵件地址身分上的網域繼承 DKIM 簽署屬性,以永久或暫時停用 DKIM 簽署,或稍後再重新啟用。請參閱覆寫電子郵件地址身分上的繼承 DKIM 簽署。
