如何开启 Amazon SES 的 DKIM？

解决方法

**重要事项：**您只能在域级别设置 DKIM 身份验证。当您从使用 DKIM 验证过的域的地址发送电子邮件时，Amazon SES 会使用从该域继承的 DKIM 属性对电子邮件进行身份验证。您可以覆盖这些属性，在不进行 DKIM 身份验证的情况下发送电子邮件。您也可以稍后再开启这些属性。在开启 DKIM 之前，您必须完成 Amazon SES 域身份的验证过程。

要使用 1024 位或 2048 位 DKIM 密钥签署您的 Amazon SES 电子邮件，请使用以下方法之一：

• 设置 Amazon SES Easy DKIM
• 使用您自己的 DKIM 身份验证
• 手动添加 DKIM 签名

**注意：**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。

设置 Easy DKIM

当您为域身份配置 Easy DKIM 时，对于您从该身份发送的每封电子邮件，Amazon SES 会为其添加一个 2048 位的 DKIM 密钥。要配置 Easy DKIM，请参阅为已验证的域身份设置 Easy DKIM。

Amazon SES 验证您的 DNS 记录后，Amazon SES 控制台中的 DKIM 验证状态将更改为已验证。

要对验证状态失败问题进行故障排除，请参阅为什么我的 DKIM 域无法在 Amazon SES 上进行验证？

使用您自己的 DKIM 身份验证

对于从 Amazon SES 已验证域发送的电子邮件，您可以通过自带 DKIM (BYODKIM) 使用自己的公有/私有密钥对。要配置 BYODKIM，请先安装并配置 AWS CLI。然后，通过 Amazon SES API v2 来配置一个使用 BYODKIM 的 Amazon SES 已验证域。

设置 BYODKIM 后，DKIM 状态最多可能需要 72 小时才能更改为 SUCCESS（成功）。如果 DKIM 状态为 FAILED（失败），请查看您的公有/私有密钥对和 TXT 记录。检查是否存在以下问题：

• 更新后的密钥中存在错误。
• 密钥中有换行符。
• 该域名被列出两次。
• 密钥少于 1024 位或大于 2048 位 RSA 加密。
  **注意：**密钥必须经过至少 1024 位的 RSA 加密，且不可超过 2048 位 RSA 加密。您还必须使用 base64 (PEM) 对密钥进行编码。

进行故障排除后，请再次配置 BYODKIM。

手动添加 DKIM 签名

您可以手动为消息添加 DKIM 签名，然后使用 Amazon SES 发送消息。有关更多信息，请参阅Amazon SES 中的手动 DKIM 签名。

**注意：**最佳做法是对签名消息使用至少 1024 的位长度。

相关信息

如何在 Amazon SES 中验证电子邮件地址或域？