对于如何正确设置DKIM这个问题,我只能把我知道的分享在下面,仅供参考吧。
·什么是DKIM,DKIM代表DomainKeys Identified Email。它提供了一种方法来验证发送电子邮件的组织是否有权这样做。
·DKIM需要在DNS区域中添加公钥。关键是通常由发送您的电子邮件,例如组织提供给您SendGrid,邮戳。密钥将作为TXT记录直接插入您的区域,或者它将是指向提供商DNS中密钥的CNAME。
我在做这篇Blog时发现一个问题,就是关于在DNS中加入CNAME时,有些DNS提供商不能够使用下划线开头,提示主机名类型不符。
SES创建的记录是CNAME而不是TXT记录,因此SES可以托管签名密钥。通过托管签名密钥,SES可以自动轮换签名凭据并降低任何密钥泄漏的风险。
某些DNS提供商不支持添加包含下划线的CNAME记录,尽管RFC特别允许这样做。但是,DKIM规范要求记录名称中的下划线,因此删除下划线不是一种选择。下划线是记录名称中唯一不受SES或其客户控制的部分。
虽然在Internet标准中不允许在dnsNames中使用下划线字符,但在TLS/SSL证书的SAN字段中使用时,也一直被视为灰色区域。如果在咱们的DNS商中发生此类事件的话,可以使用以下的方法进行解决:
第一种解决方案可以更改DNS提供商。Amazon Web Services提供名为Amazon Route 53的可扩展域名服务,该服务遵循RFC强加的标准并允许SES生成的CNAME记录。使用SES与Route 53集成。如果您在Route 53上使用与SES相同的AWS账户设置域名,则可以通过一键式过程设置域验证和DKIM。
第二种方法是使用子域进行电子邮件发送,并将其委托给DNS提供商,例如Amazon Route 53,它正确地允许CNAME记录中的下划线。然后,您可以使用与在主域上执行的相同步骤在子域上执行域验证和DKIM验证过程。电子邮件将被DKIM签名,但"发件人"地址将包含子域。
第三种选择使用自己进行签名。这将使您完全控制密钥和签名过程,但实现和维护需要更多的工作。
最后,您可以找DNS提供商,让他们在RFC允许的CNAME记录中正确支持添加对下划线。
对于我们的域名,我们假设我们的DNS提供商已经启用了对CNAME记录中下划线的支持,现在我们可以安全地添加DKIM文档中指定的所需DNS条目。通过此步骤,我们现在等待SES向我们发送确认电子邮件,并在SES控制台中将域的DKIM验证状态从Pending更改为已验证,这将确认CNAME记录是否存在。
https://ds.fanyaozu.com/tag/%e5%bc%a0%e5%b0%8f%e9%be%99%e5%85%ac%e5%bc%80%e6%bc%94%e8%ae%b2
转载请注明:电商实战教程 » AWS如何正确设置DKIM?
