Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengautentikasi Email dengan DKIM di Amazon SES
*DomainKeys Identified Mail* (*DKIM*) adalah standar keamanan email yang dirancang untuk memastikan bahwa email yang mengklaim berasal dari domain tertentu memang disahkan oleh pemilik domain tersebut. Ini menggunakan kriptografi kunci publik untuk menandatangani email dengan kunci pribadi. Server penerima kemudian dapat menggunakan kunci publik yang dipublikasikan ke DNS domain untuk memverifikasi bahwa bagian email belum dimodifikasi selama transit.
Tanda tangan DKIM adalah opsional. Anda dapat memutuskan untuk menandatangani email menggunakan tanda tangan DKIM untuk meningkatkan kemampuan pengiriman dengan penyedia email yang sesuai dengan DKIM. Amazon SES menyediakan tiga pilihan untuk menandatangani pesan Anda menggunakan tanda tangan DKIM:
+ **Easy DKIM**: SES menghasilkan key pair publik-pribadi dan secara otomatis menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. [Easy DKIM di Amazon SES](send-email-authentication-dkim-easy.md)
+ **Deterministic Easy DKIM (DEED)**: Memungkinkan Anda mempertahankan penandatanganan DKIM yang konsisten di beberapa Wilayah AWS dengan membuat identitas replika yang secara otomatis mewarisi atribut penandatanganan DKIM sebagai identitas induk yang menggunakan Easy DKIM, lihat. [Menggunakan Deterministic Easy DKIM (DEED) di Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Bring Your Own DKIM)**: Anda memberikan key pair public-private Anda sendiri dan SES menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. [Berikan token otentikasi DKIM Anda sendiri (BYODKIM) di Amazon SES](send-email-authentication-dkim-bring-your-own.md)
+ **Tambahkan tanda tangan DKIM secara manual**: Anda menambahkan tanda tangan DKIM Anda sendiri ke email yang Anda kirim menggunakan `SendRawEmail` API, lihat. [Penandatanganan Manual DKIM di Amazon SES](send-email-authentication-dkim-manual.md)
## Panjang kunci penandatanganan DKIM
Karena banyak penyedia DNS sekarang sepenuhnya mendukung enkripsi RSA DKIM 2048 bit, Amazon SES juga mendukung DKIM 2048 untuk memungkinkan otentikasi email yang lebih aman dan karenanya menggunakannya sebagai panjang kunci default saat Anda mengonfigurasi Easy DKIM baik dari API atau konsol. Kunci 2048 bit dapat diatur dan digunakan dalam Bring Your Own DKIM (BYODKIM) juga, di mana panjang kunci penandatanganan Anda harus setidaknya 1024 bit dan tidak lebih dari 2048 bit.
Demi keamanan serta pengiriman email Anda, ketika dikonfigurasi dengan Easy DKIM, Anda memiliki pilihan untuk menggunakan panjang kunci 1024 dan 2048 bit bersama dengan fleksibilitas membalik kembali ke 1024 jika ada masalah yang disebabkan oleh penyedia DNS yang masih tidak mendukung 2048. *Ketika Anda membuat identitas baru, itu akan dibuat dengan DKIM 2048 secara default kecuali Anda menentukan 1024.*
Untuk menjaga pengiriman email dalam transit, ada batasan frekuensi di mana Anda dapat mengubah panjang kunci DKIM Anda. Pembatasan meliputi:
+ Tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.
+ Tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali jika itu adalah penurunan versi pertama ke 1024 pada periode itu).
Ketika email Anda dalam perjalanan, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengautentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan ini melindungi terhadap hal itu.
## Pertimbangan DKIM
Saat Anda menggunakan DKIM untuk mengautentikasi email Anda, aturan berikut berlaku:
+ Anda hanya perlu mengatur DKIM untuk domain yang Anda gunakan di alamat “Dari” Anda. Anda tidak perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Return-Path” atau “Reply-to”.
+ Amazon SES tersedia di beberapa AWS Wilayah. Jika Anda menggunakan lebih dari satu AWS Wilayah untuk mengirim email, Anda harus menyelesaikan proses penyiapan DKIM di masing-masing Wilayah tersebut untuk memastikan bahwa semua email Anda ditandatangani oleh DKIM.
+ Karena properti DKIM diwarisi dari domain induk, saat Anda memverifikasi domain dengan otentikasi DKIM:
+ Otentikasi DKIM juga akan berlaku untuk semua subdomain domain tersebut.
+ Pengaturan DKIM untuk subdomain dapat mengganti pengaturan untuk domain induk dengan menonaktifkan pewarisan jika Anda tidak ingin subdomain menggunakan otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.
+ Otentikasi DKIM juga akan berlaku untuk semua email yang dikirim dari identitas email yang mereferensikan domain terverifikasi DKIM di alamatnya.
+ Pengaturan DKIM untuk alamat email dapat mengganti pengaturan untuk subdomain (jika berlaku) dan domain induk dengan menonaktifkan warisan jika Anda ingin mengirim email tanpa otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.
## Memahami properti penandatanganan DKIM yang diwariskan
Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta kunci ini:
+ Jika Anda sudah menyiapkan DKIM untuk domain yang menjadi milik alamat email, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.
+ Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwarisi dari domain induk.
+ Pengaturan DKIM untuk identitas alamat email tertentu *secara otomatis mengganti pengaturan domain induk atau subdomain (jika ada) yang menjadi* milik alamat tersebut.
Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis penggantian seperti yang dijelaskan dalam tabel di bawah ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim.html)
Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko email terkirim Anda masuk ke folder sampah atau spam atau domain Anda dipalsukan.
Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu. Lihat [Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM di Amazon SES
Saat Anda mengatur Easy DKIM untuk identitas domain, Amazon SES secara otomatis menambahkan kunci DKIM 2048-bit ke setiap email yang Anda kirim dari identitas tersebut. Anda dapat mengonfigurasi Easy DKIM dengan menggunakan konsol Amazon SES, atau menggunakan API.
**catatan**
Untuk menyiapkan Easy DKIM, Anda harus mengubah pengaturan DNS untuk domain Anda. Jika Anda menggunakan Route 53 sebagai penyedia DNS, Amazon SES dapat secara otomatis membuat catatan yang sesuai untuk Anda. Jika Anda menggunakan penyedia DNS lain, lihat dokumentasi penyedia Anda untuk mempelajari selengkapnya tentang mengubah pengaturan DNS untuk domain Anda.
**Awas**
Jika saat ini Anda mengaktifkan BYODKIM dan sedang beralih ke Easy DKIM, ketahuilah bahwa Amazon SES tidak akan menggunakan BYODKIM untuk menandatangani email Anda saat Easy DKIM sedang disiapkan dan status DKIM Anda dalam keadaan tertunda. Antara saat Anda melakukan panggilan untuk mengaktifkan Easy DKIM (baik melalui API atau konsol) dan saat SES dapat mengonfirmasi konfigurasi DNS Anda, email Anda mungkin dikirim oleh SES tanpa tanda tangan DKIM. Oleh karena itu, disarankan untuk menggunakan langkah perantara untuk bermigrasi dari satu metode penandatanganan DKIM ke metode lainnya (misalnya, menggunakan subdomain domain Anda dengan BYODKIM diaktifkan dan kemudian menghapusnya setelah verifikasi Easy DKIM telah berlalu), atau lakukan aktivitas ini selama downtime aplikasi Anda, jika ada.
## Menyiapkan Easy DKIM untuk identitas domain terverifikasi
Prosedur di bagian ini disederhanakan untuk hanya menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Easy DKIM pada identitas domain yang telah Anda buat. Jika Anda belum membuat identitas domain atau ingin melihat semua opsi yang tersedia untuk menyesuaikan identitas domain, seperti menggunakan set konfigurasi default, email kustom dari domain, dan tag, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
Bagian dari membuat identitas domain Easy DKIM adalah mengonfigurasi verifikasi berbasis DKIM di mana Anda akan memiliki pilihan untuk menerima default Amazon SES sebesar 2048 bit, atau mengganti default dengan memilih 1024 bit. Lihat [Panjang kunci penandatanganan DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) untuk mempelajari lebih lanjut tentang panjang kunci penandatanganan DKIM dan cara mengubahnya.
**Untuk menyiapkan Easy DKIM untuk domain**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Domain*.
**catatan**
Jika Anda perlu membuat atau memverifikasi domain, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Dalam wadah **pengaturan Advanced DKIM**, pilih tombol **Easy DKIM** di bidang **Jenis identitas**.
1. **Di bidang **panjang kunci penandatanganan DKIM**, pilih RSA\$12048\$1BIT atau [**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).**
1. **Di bidang **tanda tangan DKIM**, centang kotak Diaktifkan.**
1. Pilih **Simpan perubahan**.
1. Sekarang setelah Anda mengonfigurasi identitas domain Anda dengan Easy DKIM, Anda harus menyelesaikan proses verifikasi dengan penyedia DNS Anda - lanjutkan ke [Memverifikasi identitas domain DKIM dengan penyedia DNS Anda](creating-identities.md#just-verify-domain-proc) dan ikuti prosedur otentikasi DNS untuk Easy DKIM.
## Ubah panjang kunci penandatanganan Easy DKIM untuk identitas
Prosedur di bagian ini menunjukkan bagaimana Anda dapat dengan mudah mengubah bit Easy DKIM yang diperlukan untuk algoritma penandatanganan. Sementara panjang penandatanganan 2048 bit selalu lebih disukai untuk keamanan yang ditingkatkan yang diberikannya, mungkin ada situasi yang mengharuskan Anda untuk menggunakan panjang 1024 bit, seperti harus menggunakan penyedia DNS yang hanya mendukung DKIM 1024.
Untuk menjaga pengiriman email dalam transit, ada batasan frekuensi di mana Anda dapat mengubah atau membalik panjang kunci DKIM Anda.
Ketika email Anda dalam perjalanan, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengautentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan berikut melindungi terhadap hal itu:
+ Anda tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.
+ Anda tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali jika itu adalah downgrade pertama ke 1024 pada periode itu).
Dalam menggunakan prosedur berikut untuk mengubah panjang kunci Anda, jika Anda melanggar salah satu pembatasan ini, konsol akan mengembalikan spanduk kesalahan yang menyatakan bahwa *input yang Anda berikan tidak valid* bersama dengan alasan mengapa itu tidak valid.
**Untuk mengubah bit panjang kunci penandatanganan DKIM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda ubah panjang kunci penandatanganan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. ****Dalam wadah **pengaturan Advanced DKIM**, pilih [**RSA\$12048\$1BIT atau RSA\$11024\$1BIT** di bidang panjang kunci penandatanganan](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) DKIM.****
1. Pilih **Simpan perubahan**.
# Menggunakan Deterministic Easy DKIM (DEED) di Amazon SES
Deterministic Easy DKIM (DEED) menawarkan solusi untuk mengelola konfigurasi DKIM di beberapa. Wilayah AWS Dengan menyederhanakan manajemen DNS dan memastikan penandatanganan DKIM yang konsisten, DEED membantu Anda merampingkan operasi pengiriman email multi-wilayah sambil mempertahankan praktik otentikasi email yang kuat.
## Apa itu Deterministic Easy DKIM (DEED)?
[Deterministic Easy DKIM (DEED) adalah fitur yang menghasilkan token DKIM yang konsisten di semua Wilayah AWS berdasarkan domain induk yang dikonfigurasi dengan Easy DKIM.](send-email-authentication-dkim-easy.md) Ini memungkinkan Anda untuk mereplikasi identitas yang berbeda Wilayah AWS yang secara otomatis mewarisi dan mempertahankan konfigurasi penandatanganan DKIM yang sama sebagai identitas induk yang saat ini dikonfigurasi dengan Easy DKIM. Dengan DEED, Anda hanya perlu mempublikasikan catatan DNS sekali untuk identitas induk, dan identitas replika akan menggunakan catatan DNS yang sama untuk memverifikasi kepemilikan domain dan mengelola penandatanganan DKIM.
Dengan menyederhanakan pengelolaan DNS dan memastikan penandatanganan DKIM yang konsisten, DEED membantu Anda merampingkan operasi pengiriman email multi-wilayah sambil mempertahankan praktik otentikasi email terbaik.
Terminologi yang digunakan ketika berbicara tentang DEED:
+ **Identitas induk** — Identitas terverifikasi yang dikonfigurasi dengan Easy DKIM yang berfungsi sebagai sumber konfigurasi DKIM untuk identitas replika.
+ **Identitas replika** — Salinan identitas induk yang berbagi pengaturan DNS dan konfigurasi penandatanganan DKIM yang sama.
+ **Wilayah induk** — Wilayah AWS Tempat identitas induk diatur.
+ **Replica region** — Sebuah Wilayah AWS tempat identitas replika diatur.
+ **Identitas DEED** — Identitas apa pun yang digunakan sebagai identitas orang tua atau identitas replika. (Ketika identitas baru dibuat, awalnya diperlakukan sebagai identitas biasa (non-Akta). Namun, setelah replika dibuat, identitas tersebut kemudian dianggap sebagai identitas DEED.)
Manfaat utama menggunakan DEED meliputi:
+ **Manajemen DNS yang disederhanakan** — Publikasikan catatan DNS hanya sekali untuk identitas induk.
+ **Operasi multi-wilayah yang lebih mudah** — Sederhanakan proses perluasan operasi pengiriman email ke wilayah baru.
+ **Mengurangi overhead administratif** — Mengelola konfigurasi DKIM secara terpusat dari identitas induk.
## Cara kerja Deterministic Easy DKIM (DEED)
Saat Anda membuat identitas replika, Amazon SES secara otomatis mereplikasi kunci penandatanganan DKIM dari identitas induk ke identitas replika. Setiap rotasi kunci DKIM berikutnya atau perubahan panjang kunci yang dibuat pada identitas induk secara otomatis disebarkan ke semua identitas replika.
Prosesnya melibatkan alur kerja berikut:
1. Buat identitas induk dalam Wilayah AWS menggunakan Easy DKIM.
1. Siapkan catatan DNS yang diperlukan untuk identitas induk.
1. Buat identitas replika di lain Wilayah AWS, tentukan nama domain identitas induk dan wilayah penandatanganan DKIM.
1. Amazon SES secara otomatis mereplikasi konfigurasi DKIM induk ke identitas replika.
Pertimbangan penting:
+ Anda tidak dapat membuat replika identitas yang sudah menjadi replika.
+ Identitas induk harus mengaktifkan [Easy DKIM](send-email-authentication-dkim-easy.md) — Anda tidak dapat membuat replika BYODKIM atau identitas yang ditandatangani secara manual.
+ Identitas induk tidak dapat dihapus sampai semua identitas replika dihapus.
## Menyiapkan identitas replika menggunakan DEED
Bagian ini akan memberikan contoh yang menunjukkan kepada Anda cara membuat dan memverifikasi identitas replika menggunakan DEED bersama dengan izin yang diperlukan.
**Topics**
+ [
### Membuat identitas replika
](#creating-replica-identity)
+ [
### Memverifikasi konfigurasi identitas replika
](#verifying-replica-identity)
+ [
### Izin yang diperlukan untuk menggunakan DEED
](#required-permissions)
### Membuat identitas replika
Untuk membuat identitas replika:
1. Di Wilayah AWS tempat Anda ingin membuat identitas replika, buka konsol SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(Di konsol SES, identitas replika disebut sebagai *identitas Global*.)
1. Di panel navigasi, pilih **Identitas**.
1. Pilih **Buat identitas**.
1. Pilih **Domain** di bawah **Jenis identitas** dan masukkan nama domain dari identitas yang ada yang dikonfigurasi dengan Easy DKIM yang ingin Anda replikasi dan berfungsi sebagai induk.
1. Perluas **pengaturan Advanced DKIM** dan pilih **Deterministic Easy** DKIM.
1. Dari menu tarik-turun **wilayah Induk**, pilih wilayah induk tempat identitas yang ditandatangani Easy DKIM dengan nama yang sama dengan yang Anda masukkan untuk identitas Global (replika) Anda berada. (Wilayah replika Anda default ke wilayah tempat Anda masuk ke konsol SES.)
1. Pastikan **tanda tangan DKIM** diaktifkan.
1. (Opsional) Tambahkan satu atau beberapa **Tag** ke identitas domain Anda.
1. Tinjau konfigurasi dan pilih **Buat identitas**.
Menggunakan AWS CLI:
Untuk membuat identitas replika berdasarkan identitas induk yang dikonfigurasi dengan Easy DKIM, Anda perlu menentukan nama domain induk, wilayah tempat Anda ingin membuat identitas replika, dan wilayah penandatanganan DKIM induk seperti yang ditunjukkan dalam contoh ini:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
Dalam contoh sebelumnya:
1. Ganti *example.com* dengan identitas domain induk yang direplikasi.
1. Ganti *us-west-2* dengan wilayah tempat identitas domain replika akan dibuat.
1. Ganti *AWS\$1SES\$1US\$1EAST\$11* dengan wilayah penandatanganan DKIM induk yang mewakili konfigurasi penandatanganan Easy DKIM yang akan direplikasi ke identitas replika.
**catatan**
`AWS_SES_`Awalan menunjukkan bahwa DKIM dikonfigurasi untuk identitas induk dengan menggunakan Easy DKIM, dan `US_EAST_1` merupakan Wilayah AWS tempat ia dibuat.
### Memverifikasi konfigurasi identitas replika
Setelah membuat identitas replika, Anda dapat memverifikasi bahwa identitas tersebut telah dikonfigurasi dengan benar dengan konfigurasi penandatanganan DKIM identitas induk.
**Untuk memverifikasi identitas replika:**
1. Di Wilayah AWS tempat Anda membuat identitas replika, buka konsol SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, pilih **Identitas** dan pilih identitas yang ingin Anda verifikasi dari tabel **Identitas**.
1. Di bawah tab **Otentikasi**, bidang **konfigurasi DKIM** akan menunjukkan status, dan bidang **wilayah Induk akan menunjukkan wilayah** yang digunakan untuk konfigurasi penandatanganan DKIM identitas menggunakan DEED.
Menggunakan AWS CLI:
Gunakan `get-email-identity` perintah yang menentukan nama domain dan wilayah replika:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
Respons akan mencakup nilai wilayah induk dalam `SigningAttributesOrigin` parameter yang menandakan bahwa identitas replika telah berhasil dikonfigurasi dengan konfigurasi penandatanganan DKIM identitas induk:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Izin yang diperlukan untuk menggunakan DEED
Untuk menggunakan DEED, Anda perlu:
1. Izin standar untuk membuat identitas email di wilayah replika.
1. Izin untuk mereplikasi kunci penandatanganan DKIM dari wilayah induk.
#### Contoh kebijakan IAM untuk replikasi DKIM
Kebijakan berikut memungkinkan DKIM menandatangani replikasi kunci dari identitas induk ke wilayah replika tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Praktik terbaik
Praktik terbaik berikut direkomendasikan:
+ **Rencanakan wilayah induk dan replika Anda** — Pertimbangkan wilayah induk yang Anda pilih, karena ini akan menjadi sumber kebenaran untuk konfigurasi DKIM yang digunakan di wilayah replika.
+ **Gunakan kebijakan IAM yang konsisten — Pastikan bahwa kebijakan** IAM Anda memungkinkan replikasi DKIM di semua wilayah yang dituju.
+ Jaga **identitas induk tetap aktif** — Ingatlah bahwa identitas replika Anda mewarisi konfigurasi penandatanganan DKIM dari identitas induk, karena ketergantungan ini, Anda tidak dapat menghapus identitas induk hingga semua identitas replika dihapus.
## Pemecahan masalah
Jika Anda mengalami masalah dengan DEED, pertimbangkan hal berikut:
+ **Kesalahan verifikasi** — Pastikan Anda memiliki izin yang diperlukan untuk replikasi DKIM.
+ **Penundaan replikasi** — Berikan waktu untuk menyelesaikan replikasi, terutama saat membuat identitas replika baru.
+ **Masalah DNS** — Verifikasi bahwa catatan DNS untuk identitas induk telah diatur dan disebarkan dengan benar.
# Berikan token otentikasi DKIM Anda sendiri (BYODKIM) di Amazon SES
Sebagai alternatif untuk menggunakan [Easy DKIM](send-email-authentication-dkim-easy.md), Anda dapat mengonfigurasi autentikasi DKIM dengan menggunakan pasangan kunci publik-privat Anda sendiri. Proses ini dikenal sebagai *Bring Your Own DKIM* (*BYODKIM*).
Dengan BYODKIM, Anda dapat menggunakan satu catatan DNS untuk mengonfigurasi autentikasi DKIM untuk domain Anda, dibandingkan dengan Easy DKIM yang mengharuskan Anda memublikasikan tiga catatan DNS terpisah. Selain itu, BYODKIM memungkinkan Anda memutar kunci DKIM untuk domain sesering yang Anda inginkan.
**Topics**
+ [
## Langkah 1: Buat pasangan kunci
](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [
## Langkah 2: Tambahkan pemilih dan kunci publik ke konfigurasi domain penyedia DNS Anda
](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [
## Langkah 3: Konfigurasikan dan verifikasi domain untuk menggunakan BYODKIM
](#send-email-authentication-dkim-bring-your-own-configure-identity)
**Awas**
Jika saat ini Anda mengaktifkan Easy DKIM dan sedang beralih ke BYODKIM, ketahuilah bahwa Amazon SES tidak akan menggunakan Easy DKIM untuk menandatangani email Anda saat BYODKIM sedang diatur dan status DKIM Anda dalam keadaan tertunda. Antara saat Anda melakukan panggilan untuk mengaktifkan BYODKIM (baik melalui API atau konsol) dan saat SES dapat mengonfirmasi konfigurasi DNS Anda, email Anda mungkin dikirim oleh SES tanpa tanda tangan DKIM. Oleh karena itu, disarankan untuk menggunakan langkah perantara untuk bermigrasi dari satu metode penandatanganan DKIM ke metode lainnya (misalnya, menggunakan subdomain domain Anda dengan Easy DKIM diaktifkan dan kemudian menghapusnya setelah verifikasi BYODKIM berlalu), atau lakukan aktivitas ini selama waktu henti aplikasi Anda, jika ada.
## Langkah 1: Buat pasangan kunci
Untuk menggunakan fitur Bring Your Own DKIM, pertama-tama Anda harus membuat key pair RSA.
[Kunci pribadi yang Anda hasilkan harus dalam format PKCS \$11 atau PKCS \$18, harus menggunakan setidaknya enkripsi RSA 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan pengkodean base64 (PEM).](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) Lihat [Panjang kunci penandatanganan DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) untuk mempelajari lebih lanjut tentang panjang kunci penandatanganan DKIM dan cara mengubahnya.
**catatan**
[Anda dapat menggunakan aplikasi dan alat pihak ketiga untuk menghasilkan pasangan kunci RSA selama kunci pribadi dihasilkan dengan setidaknya enkripsi RSA 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan pengkodean base64 (PEM).](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)
Dalam prosedur berikut, contoh kode yang menggunakan `openssl genrsa` perintah yang dibangun ke sebagian besar sistem operasi Linux, macOS, atau Unix untuk membuat key pair akan secara otomatis menggunakan base64 [(](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)PEM) encoding.
**Untuk membuat pasangan kunci dari baris perintah Linux, macOS, atau Unix**
1. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci pribadi yang diganti *nnnn* dengan panjang bit minimal 1024 dan hingga 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci publik:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Langkah 2: Tambahkan pemilih dan kunci publik ke konfigurasi domain penyedia DNS Anda
Setelah membuat pasangan kunci, Anda harus menambahkan kunci publik sebagai catatan TXT ke konfigurasi DNS untuk domain Anda.
**Untuk menambahkan kunci publik ke konfigurasi DNS untuk domain Anda**
1. Masuk ke konsol manajemen untuk penyedia DNS atau hosting Anda.
1. Tambahkan catatan teks ke konfigurasi DNS untuk domain Anda. Catatan harus menggunakan format berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *selector* dengan nama unik yang mengidentifikasi kunci.
**catatan**
Sejumlah kecil penyedia DNS tidak mengizinkan Anda untuk menyertakan garis bawah (\$1) di nama catatan. Namun, garis bawah di nama catatan DKIM diperlukan. Jika penyedia DNS Anda tidak mengizinkan Anda untuk memasukkan garis bawah di nama catatan, kontak tim dukungan pelanggan penyedia untuk mendapatkan bantuan.
+ Ganti *example.com* dengan domain Anda.
+ Ganti *yourPublicKey* dengan kunci publik yang Anda buat sebelumnya dan sertakan `p=` awalan seperti yang ditunjukkan pada kolom *Nilai* di atas.
**catatan**
Ketika Anda mempublikasikan (menambahkan) kunci publik Anda ke penyedia DNS Anda, itu harus diformat sebagai berikut:
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PUBLIC KEY-----` dan `-----END PUBLIC KEY-----`, secara berturut-turut) dari kunci publik yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci publik yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
Anda harus menyertakan `p=` awalan seperti yang ditunjukkan pada kolom *Nilai* pada tabel di atas.
Penyedia yang berbeda memiliki prosedur yang berbeda untuk memperbarui catatan DNS. Tabel berikut mencakup tautan ke dokumentasi untuk beberapa penyedia DNS yang banyak digunakan. Daftar ini tidak lengkap dan tidak menandakan dukungan; demikian juga, jika penyedia DNS Anda tidak terdaftar, itu tidak berarti Anda tidak dapat menggunakan domain dengan Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Langkah 3: Konfigurasikan dan verifikasi domain untuk menggunakan BYODKIM
Anda dapat mengatur BYODKIM untuk kedua domain baru (yaitu, domain yang saat ini tidak Anda gunakan untuk mengirim email melalui Amazon SES) dan domain yang ada (yaitu, domain yang telah Anda atur untuk digunakan dengan Amazon SES) dengan menggunakan konsol atau. AWS CLI Sebelum Anda menggunakan AWS CLI prosedur di bagian ini, Anda harus terlebih dahulu menginstal dan mengkonfigurasi AWS CLI. Untuk informasi selengkapnya, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/)..
### Opsi 1: Membuat identitas domain baru yang menggunakan BYODKIM
Bagian ini berisi prosedur untuk membuat identitas domain baru yang menggunakan BYODKIM. Identitas domain baru adalah domain yang belum Anda siapkan untuk mengirim email menggunakan Amazon SES sebelumnya.
Jika Anda ingin mengonfigurasi domain yang ada untuk menggunakan BYODKIM, selesaikan prosedur di [Opsi 2: Mengonfigurasi identitas domain yang ada](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) sebagai gantinya.
**Untuk membuat identitas menggunakan BYODKIM dari konsol**
+ Ikuti prosedur di[Membuat identitas domain](creating-identities.md#verify-domain-procedure), dan ketika Anda sampai ke Langkah 8, ikuti instruksi khusus BYODKIM.
**Untuk membuat identitas menggunakan BYODKIM dari AWS CLI**
Untuk mengonfigurasi domain baru, gunakan `CreateEmailIdentity` operasi di Amazon SES API.
1. Di editor teks, tempel kode berikut:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *example.com* dengan domain yang ingin Anda buat.
+ Ganti *privateKey* dengan kunci pribadi Anda.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
+ Ganti *selector* dengan pemilih unik yang Anda tentukan saat Anda membuat catatan TXT dalam konfigurasi DNS untuk domain Anda.
Setelah selesai, simpan file sebagai `create-identity.json`.
1. Di baris perintah, masukkan perintah berikut:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
Pada perintah sebelumnya, ganti *path/to/create-identity.json* dengan path lengkap ke file yang Anda buat pada langkah sebelumnya.
### Opsi 2: Mengonfigurasi identitas domain yang ada
Bagian ini berisi prosedur untuk memperbarui identitas domain yang ada untuk menggunakan BYODKIM. Identitas domain yang ada adalah domain yang sebelumnya sudah Anda siapkan untuk mengirim email menggunakan Amazon SES.
**Untuk memperbarui identitas domain menggunakan BYODKIM dari konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Domain*.
**catatan**
Jika Anda perlu membuat atau memverifikasi domain, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. **Di bawah tab **Autentikasi**, di panel **DomainKeys Identified Mail (DKIM)**, pilih Edit.**
1. **Di panel **pengaturan DKIM lanjutan**, pilih tombol **Berikan token otentikasi DKIM (BYODKIM)** di bidang Jenis identitas.**
1. Untuk **kunci Privat**, tempel kunci pribadi yang Anda buat sebelumnya.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
1. Untuk **Nama pemilih**, masukkan nama pemilih yang Anda tentukan di pengaturan DNS domain Anda.
1. **Di bidang **tanda tangan DKIM**, centang kotak Diaktifkan.**
1. Pilih **Simpan perubahan**.
**Untuk memperbarui identitas domain menggunakan BYODKIM dari AWS CLI**
Untuk mengonfigurasi domain yang ada, gunakan `PutEmailIdentityDkimSigningAttributes` operasi di Amazon SES API.
1. Di editor teks, tempel kode berikut:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *privateKey* dengan kunci pribadi Anda.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
+ Ganti *selector* dengan pemilih unik yang Anda tentukan saat Anda membuat catatan TXT dalam konfigurasi DNS untuk domain Anda.
Setelah selesai, simpan file sebagai `update-identity.json`.
1. Di baris perintah, masukkan perintah berikut:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
Di perintah sebelumnya, lakukan perubahan berikut:
+ Ganti *path/to/update-identity.json* dengan path lengkap ke file yang Anda buat pada langkah sebelumnya.
+ Ganti *example.com* dengan domain yang ingin Anda perbarui.
### Memverifikasi status DKIM untuk domain yang menggunakan BYODKIM
**Untuk memverifikasi status DKIM domain dari konsol**
Setelah mengonfigurasi domain untuk menggunakan BYODKIM, Anda dapat menggunakan konsol SES untuk memverifikasi bahwa DKIM telah dikonfigurasi dengan benar.
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang status DKIM yang ingin Anda verifikasi.
1. Diperlukan waktu hingga 72 jam agar perubahan pada pengaturan DNS menyebar. Segera setelah Amazon SES mendeteksi semua catatan DKIM yang diperlukan dalam pengaturan DNS domain Anda, proses verifikasi selesai. **Jika semuanya telah dikonfigurasi dengan benar, bidang **konfigurasi DKIM** domain Anda menampilkan **Berhasil** di panel **DomainKeysIdentified Mail (DKIM)**, dan bidang **status Identitas** menampilkan **Terverifikasi** di panel Ringkasan.**
**Untuk memverifikasi status DKIM domain menggunakan AWS CLI**
Setelah Anda mengonfigurasi domain untuk menggunakan BYODKIM, Anda dapat menggunakan GetEmailIdentity operasi untuk memverifikasi bahwa DKIM telah dikonfigurasi dengan benar.
+ Di baris perintah, masukkan perintah berikut:
```
aws sesv2 get-email-identity --email-identity example.com
```
Pada perintah sebelumnya, ganti *example.com* dengan domain Anda.
Perintah ini mengembalikan sebuah objek JSON yang berisi bagian yang menyerupai contoh berikut.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
BYODKIM dikonfigurasi dengan benar untuk domain jika semua hal berikut betul:
+ Nilai dari properti `SigningAttributesOrigin` adalah `EXTERNAL`.
+ Nilai dari `SigningEnabled` adalah `true`.
+ Nilai dari `Status` adalah `SUCCESS`.
# Mengelola Mudah DKIM dan BYODKIM
Anda dapat mengelola pengaturan DKIM untuk identitas Anda yang diautentikasi dengan Easy DKIM atau BYODKIM dengan menggunakan konsol Amazon SES berbasis web, atau dengan menggunakan Amazon SES API. Anda dapat menggunakan salah satu dari metode ini untuk mendapatkan catatan DKIM untuk identitas, atau untuk mengaktifkan atau menonaktifkan penandatanganan DKIM untuk identitas.
## Memperoleh Catatan DKIM untuk identitas
Anda dapat memperoleh catatan DKIM untuk domain atau alamat email Anda kapan saja dengan menggunakan konsol Amazon SES.
**Untuk mendapatkan catatan DKIM untuk identitas dengan menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda dapatkan catatan DKIM.
1. Pada tab **Otentikasi** halaman detail identitas, perluas **Lihat catatan DNS**.
1. Salin ketiga catatan CNAME jika Anda menggunakan Easy DKIM, atau catatan TXT jika Anda menggunakan BYODKIM, yang muncul di bagian ini. Sebagai alternatif, Anda dapat memilih **Unduh set catatan .csv** untuk menyimpan salinan catatan ke komputer Anda.
Gambar berikut menunjukkan contoh bagian **View DNS records yang diperluas yang mengungkapkan catatan** CNAME yang terkait dengan Easy DKIM.
![\[\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/images/dkim_existing_dns.png)
Anda juga dapat memperoleh catatan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk mendapatkan catatan DKIM untuk identitas dengan menggunakan AWS CLI**
1. Di baris perintah, ketik perintah berikut:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang Anda inginkan untuk mendapatkan catatan DKIM. Anda dapat menentukan alamat email atau domain.
1. Output dari perintah ini berisi bagian `DkimTokens`, seperti yang ditunjukkan pada contoh berikut:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Anda dapat menggunakan token untuk membuat catatan CNAME yang ditambahkan ke pengaturan DNS untuk domain Anda. Untuk membuat catatan CNAME, gunakan templat berikut:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Ganti setiap instance *token1* dengan token pertama dalam daftar yang Anda terima saat menjalankan `get-identity-dkim-attributes` perintah, ganti semua instance *token2* dengan token kedua dalam daftar, dan ganti semua instance *token3* dengan token ketiga dalam daftar.
Misalnya, menerapkan templat ini ke token yang ditampilkan di contoh sebelumnya menghasilkan catatan berikut:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**catatan**
Tidak semua Wilayah AWS menggunakan domain SES DKIM default, `dkim.amazonses.com` —untuk melihat apakah wilayah Anda menggunakan domain DKIM khusus wilayah, periksa tabel domain [DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) di. *Referensi Umum AWS*
## Menonaktifkan Easy DKIM untuk identitas
Anda dapat dengan cepat menonaktifkan autentikasi DKIM untuk identitas dengan menggunakan konsol Amazon SES.
**Untuk menonaktifkan DKIM untuk identitas**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda nonaktifkan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Di **pengaturan DKIM lanjutan**, kosongkan kotak **Diaktifkan** di bidang **tanda tangan DKIM**.
Anda juga dapat menonaktifkan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk menonaktifkan DKIM untuk identitas dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang ingin Anda nonaktifkan DKIM. Anda dapat menentukan alamat email atau domain.
## Mengaktifkan Easy DKIM untuk identitas
Jika sebelumnya Anda menonaktifkan DKIM untuk identitas, Anda dapat mengaktifkannya lagi dengan menggunakan konsol Amazon SES.
**Untuk mengaktifkan DKIM untuk identitas**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda aktifkan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Di **Pengaturan DKIM lanjutan**, centang kotak **Diaktifkan** di bidang **tanda tangan DKIM**.
Anda juga dapat mengaktifkan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk mengaktifkan DKIM untuk identitas dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang ingin Anda aktifkan DKIM. Anda dapat menentukan alamat email atau domain.
## Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email
Di bagian ini Anda akan mempelajari cara mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan Amazon SES. Anda hanya dapat melakukan ini untuk identitas alamat email milik domain yang sudah Anda miliki karena pengaturan DNS dikonfigurasi pada tingkat domain.
**penting**
Anda tidak dapat menandatangani disable/enable DKIM untuk identitas alamat email...
pada domain yang tidak Anda miliki. *Misalnya, Anda tidak dapat mengaktifkan penandatanganan DKIM untuk alamat *gmail.com atau hotmail.com*,*
pada domain yang Anda miliki, tetapi belum diverifikasi di Amazon SES,
pada domain yang Anda miliki, tetapi belum mengaktifkan penandatanganan DKIM di domain.
Bagian ini berisi topik berikut:
+ [Memahami properti penandatanganan DKIM yang diwariskan](#dkim-easy-setup-email-key-points-mng)
+ [Mengesampingkan penandatanganan DKIM pada identitas alamat email (konsol)](#override-dkim-email-console-mng)
+ [Mengesampingkan penandatanganan DKIM pada identitas alamat email ()AWS CLI](#override-dkim-email-cli-mng)
### Memahami properti penandatanganan DKIM yang diwariskan
Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta kunci ini:
+ Jika Anda sudah menyiapkan DKIM untuk domain yang menjadi milik alamat email, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.
+ Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwarisi dari domain induk.
+ Pengaturan DKIM untuk identitas alamat email tertentu *secara otomatis mengganti pengaturan domain induk atau subdomain (jika ada) yang menjadi* milik alamat tersebut.
Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis penggantian seperti yang dijelaskan dalam tabel di bawah ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko email terkirim Anda masuk ke folder sampah atau spam atau domain Anda dipalsukan.
Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu.
### Mengesampingkan penandatanganan DKIM pada identitas alamat email (konsol)
Prosedur konsol SES berikut menjelaskan cara mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan Amazon SES.
**Ke disable/enable DKIM menandatangani identitas alamat email menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Alamat email* dan milik salah satu domain terverifikasi Anda.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeys Identified Mail (DKIM)**, pilih Edit.**
**catatan**
Tab **Otentikasi** hanya ada jika identitas alamat email yang dipilih milik domain yang telah diverifikasi oleh SES. Jika Anda belum memverifikasi domain Anda, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. Di bawah **Pengaturan DKIM lanjutan**, di bidang **tanda tangan DKIM**, kosongkan kotak centang **Diaktifkan** untuk menonaktifkan penandatanganan DKIM, atau pilih untuk mengaktifkan kembali penandatanganan DKIM (jika telah diganti sebelumnya).
1. Pilih **Simpan perubahan**.
### Mengesampingkan penandatanganan DKIM pada identitas alamat email ()AWS CLI
Contoh berikut menggunakan perintah AWS CLI with a SES API dan parameter yang akan mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan SES.
**Untuk penandatanganan disable/enable DKIM untuk identitas alamat email menggunakan AWS CLI**
+ Dengan asumsi Anda memiliki domain *example.com*, dan Anda ingin menonaktifkan penandatanganan DKIM untuk salah satu alamat email domain, pada baris perintah, ketikkan perintah berikut:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. Ganti *marketing@example.com* dengan identitas alamat email yang ingin Anda nonaktifkan penandatanganan DKIM.
1. `--no-signing-enabled`akan menonaktifkan penandatanganan DKIM. Untuk mengaktifkan kembali penandatanganan DKIM, gunakan. `--signing-enabled`
# Penandatanganan Manual DKIM di Amazon SES
Sebagai alternatif untuk menggunakan Easy DKIM, Anda dapat menambahkan tanda tangan DKIM secara manual ke pesan Anda, dan kemudian mengirim pesan tersebut menggunakan Amazon SES. Jika Anda memilih untuk menandatangani pesan secara manual, Anda harus membuat tanda tangan DKIM terlebih dahulu. Setelah Anda membuat pesan dan tanda tangan DKIM, Anda dapat menggunakan [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html)API untuk mengirimkannya.
Jika Anda memutuskan untuk menandatangani email secara manual, pertimbangkan faktor-faktor berikut:
+ Setiap pesan yang Anda kirim dengan menggunakan Amazon SES berisi header DKIM yang merujuk domain penandatanganan *amazonses.com* (yaitu, berisi string berikut: `d=amazonses.com`). Oleh karena itu, jika Anda menandatangani pesan secara manual, pesan Anda akan menyertakan *dua* header DKIM: satu untuk domain Anda, dan satu yang dibuat otomatis oleh Amazon SES untuk *amazonses.com*.
+ Amazon SES tidak memvalidasi tanda tangan DKIM yang Anda tambahkan secara manual ke pesan Anda. Jika ada kesalahan dengan tanda tangan DKIM di pesan, pesan tersebut mungkin ditolak oleh penyedia email.
+ Ketika Anda menandatangani pesan, Anda harus menggunakan panjang bit setidaknya 1024 bit.
+ Jangan menandatangani bidang berikut: ID Pesan, Tanggal, Jalur Kembali, Pentalan Ke.
**catatan**
Jika Anda menggunakan klien email untuk mengirim email menggunakan antarmuka SMTP Amazon SES, klien Anda mungkin secara otomatis melakukan penandatanganan DKIM pesan Anda. Beberapa klien mungkin menandatangani beberapa bidang ini. Untuk informasi tentang bidang yang ditandatangani secara default, lihat dokumentasi untuk klien email Anda.