如何开启 Amazon SES 的 DKIM？

解决方案

**重要信息：**您只能在域级别设置 DKIM 身份验证。当您从使用 DKIM 验证过的域的地址发送电子邮件时，Amazon SES 会使用从该域继承的 DKIM 属性对电子邮件进行验证。您可以覆盖这些属性并发送没有 DKIM 身份验证的电子邮件。您也可以稍后再开启这些属性。在开启 DKIM 之前，您必须完成 Amazon SES 域身份的验证过程。

要使用 1024 位或 2048 位 DKIM 密钥签署您的 Amazon SES 电子邮件，请使用以下方法之一：

• 设置 Amazon SES Easy DKIM
• 使用您自己的 DKIM 身份验证
• 手动添加 DKIM 签名

**注意：**如果您在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请参阅排查 AWS CLI 错误。此外，确保您使用的是最新版本的 AWS CLI。

设置 Easy DKIM

当您为域身份配置 Easy DKIM 时，对于您从该身份发送的每封电子邮件，Amazon SES 会为其添加一个 2048 位的 DKIM 密钥。要配置 Easy DKIM，请使用 Amazon SES 控制台或 API。有关说明，请参阅为已验证的域身份设置 Easy DKIM。

Amazon SES 验证您的 DNS 记录后，Amazon SES 控制台中的 DKIM 验证状态将更改为已验证。

要对验证失败状态进行故障排除，请参阅为什么我的 DKIM 域无法在 Amazon SES 上进行验证？

使用您自己的 DKIM 身份验证

对于从 Amazon SES 已验证域发送的电子邮件，您可以使用自己的域名密钥识别的邮件（BYODKIM）。要配置 BYODKIM，请先安装并配置 AWS CLI。然后，通过 Amazon SES API v2 来配置一个使用 BYODKIM 的 Amazon SES 已验证域。

完成设置 BYODKIM 的步骤后，DKIM 状态最多可能需要 72 小时才能更改为成功。

如果 DKIM 状态为失败，请查看您的公有/私有密钥对和 TXT 记录。检查是否存在以下问题：

• 更新后的密钥中存在错误。
• 密钥中有换行符。
• 该域名被列出两次。
• 密钥少于 1024 位或大于 2048 位 RSA 加密。
  **注意：**密钥必须经过至少 1024 位的 RSA 加密，且不可超过 2048 位 RSA 加密。您还必须使用 base64（PEM）对密钥进行编码。

排除故障后，请尝试再次配置 BYODKIM。

手动添加 DKIM 签名

您可以手动为消息添加 DKIM 签名，然后使用 Amazon SES 发送消息。有关更多信息，请参阅Amazon SES 中的手动 DKIM 签名。

**注意：**在签名消息时，最佳实践是使用至少 1024 的位长度。