Crear el par de claves Agregar el selector y la clave pública a su proveedor de DNS Configurar y verificar un dominio para usar BYODKIM

Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES

En lugar de usar Easy DKIM, puede configurar la autenticación de DKIM con su propio par de claves públicas-privadas. Este proceso se conoce como Utilice su propio DKIM (BYODKIM).

Con BYODKIM, puede utilizar un solo registro DNS para configurar la autenticación de DKIM de sus dominios, a diferencia de Easy DKIM, que requiere que publique tres registros DNS independientes. Además, con BYODKIM, podrá rotar las claves DKIM de sus dominios tantas veces como desee.

Temas de esta sección:

Paso 1: Crear el par de claves
Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio
Paso 3: Configurar y verificar un dominio para usar BYODKIM

aviso

Si actualmente tiene Easy DKIM habilitado y está haciendo la transición a BYODKIM, tenga en cuenta que Amazon SES no utilizará Easy DKIM para firmar los correos electrónicos mientras se está configurando BYODKIM y el estado de DKIM está pendiente. Desde el momento en que realiza la llamada para habilitar BYODKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con Easy DKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de BYODKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.

Paso 1: Crear el par de claves

Para utilizar la característica de uso de DKIM propio, primero debe crear un par de claves RSA.

La clave privada que genere tiene que estar en formato PKCS #1 o PKCS #8, debe utilizar al menos un cifrado RSA de 1024 bits y hasta 2048 bits y debe estar codificada con base64 (PEM). Consulte Longitud de clave de firma de DKIM para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.

nota

Puede usar aplicaciones y herramientas de terceros para generar pares de claves RSA siempre que la clave privada se genere con al menos un cifrado RSA de 1024 bits y de hasta 2048 bits, y esté codificada con base64 (PEM).

En el siguiente procedimiento, el código de ejemplo que utiliza el comando openssl genrsa integrado en la mayoría de los sistemas operativos Linux, macOS o Unix para crear el par de claves utilizará automáticamente codificación base64 (PEM).

Para crear el par de claves desde la línea de comandos de Linux, macOS o Unix

En la línea de comandos, ingrese el comando siguiente para generar la clave privada reemplazando nnnn con una longitud de bits de al menos 1024 bits y hasta 2048 bits:
```
openssl genrsa -f4 -out private.key nnnn
```
En la línea de comandos, escriba el comando siguiente para generar la clave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```

Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio

Ahora que ha creado un par de claves, debe agregar la clave pública como registro TXT a la configuración de DNS de su dominio.

Para añadir la clave pública a la configuración de DNS de su dominio

Inicie sesión en la consola de administración del proveedor de DNS o de alojamiento.

Añada un nuevo registro de texto a la configuración de DNS de su dominio. El registro debe usar el siguiente formato:

Nombre	Tipo	Valor
`selector`._domainkey.`example.com`	TXT	p=`yourPublicKey`

En el ejemplo anterior, realice los siguientes cambios:

Reemplace selector por un nombre único que identifique la clave.

nota
Un pequeño número de proveedores de DNS no le permiten incluir guiones bajos (_) en los nombres de registro. Sin embargo, el guion bajo el nombre de registro de DKIM es obligatorio. Si su proveedor de DNS no le permite introducir un guion bajo en el nombre del registro, póngase en contacto con el equipo de atención al cliente del proveedor para obtener ayuda.
Reemplace example.com por su dominio.
Reemplace yourPublicKey con la clave pública que creó anteriormente e incluya el prefijo p= tal y como se muestra en la columna Value (Valor) anterior.
nota
Cuando publica (agrega) su clave pública a su proveedor de DNS, debe tener el siguiente formato:
- Debe eliminar la primera y la última línea (-----BEGIN PUBLIC KEY----- y -----END PUBLIC KEY-----, respectivamente) de la clave pública generada. Además, debe eliminar los saltos de línea en la clave pública generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
- Debe incluir en prefijo p= tal y como se muestra en la columna Value (Valor) de la tabla anterior.

Cada proveedor tiene diferentes procedimientos para actualizar los registros de DNS. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no pueda usar el dominio con Amazon SES.

Proveedor de DNS/alojamiento	Enlace a la documentación
Amazon Route 53	Edición de registros en la Guía para desarrolladores de Amazon Route 53
GoDaddy	Añadir un registro TXT (enlace externo)
DreamHost	How do I add custom DNS records? (enlace externo)
Cloudflare	Managing DNS records in CloudFlare (enlace externo)
HostGator	Manage DNS Records with HostGator/eNom (enlace externo)
Namecheap	How do I add TXT/SPF/DKIM/DMARC records for my domain? (enlace externo)
Names.co.uk	Changing your domains DNS Settings (enlace externo)
Wix	Adding or Updating TXT Records in Your Wix Account (enlace externo)

Paso 3: Configurar y verificar un dominio para usar BYODKIM

Puede configurar BYODKIM tanto para los dominios nuevos (es decir, los dominios que no utiliza actualmente para enviar correo electrónico a través Amazon SES) como para los dominios existentes (es decir, los dominios que ya ha configurado para utilizar con Amazon SES) mediante la consola o la AWS CLI. Antes de utilizar los procedimientos de la AWS CLI que se describen en esta sección, primero debe instalar y configurar la AWS CLI. Para obtener más información, consulte la Guía del usuario de AWS Command Line Interface.

Opción 1: Crear una nueva identidad de dominio que utiliza BYODKIM

Esta sección contiene procedimientos para crear una nueva identidad de dominio que utiliza BYODKIM. Una nueva identidad de dominio es un dominio que no ha configurado previamente para enviar correo electrónico mediante Amazon SES.

Si desea configurar un dominio existente para utilizar BYODKIM, complete el procedimiento de Opción 2: Configuración de una identidad de dominio existente en su lugar.

Para crear una identidad mediante BYODKIM desde la consola

Siga los procedimientos indicados en Creación de una identidad de dominio, y cuando llegue al paso 8, siga las instrucciones específicas para BYODKIM.

Para crear una identidad mediante BYODKIM desde la AWS CLI

Para configurar un nuevo dominio, utilice la operación CreateEmailIdentity de la API de Amazon SES.

En el editor de texto, pegue el siguiente código:
```
{
    "EmailIdentity":"example.com",
    "DkimSigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    }
}
```
En el ejemplo anterior, realice los siguientes cambios:
- Reemplace example.com por el dominio que desea crear.
- Reemplace privateKey por su clave privada.
  
  nota
  Debe eliminar la primera y la última línea (-----BEGIN PRIVATE KEY----- y -----END PRIVATE KEY-----, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
- Reemplace selector por el selector único que especificó al crear el registro TXT en la configuración de DNS de su dominio.
Cuando haya terminado, guarde el archivo como create-identity.json.
En la línea de comandos, escriba el comando siguiente.
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
En el comando anterior, reemplace path/to/create-identity.json por la ruta completa al archivo que creó en el paso anterior.

Opción 2: Configuración de una identidad de dominio existente

Esta sección contiene procedimientos para actualizar una identidad de dominio existente para utilizar BYODKIM. Una identidad de dominio existente es un dominio que ya ha configurado para enviar correo electrónico mediante Amazon SES.

Para actualizar una identidad de dominio mediante BYODKIM desde la consola

Inicie sesión en la AWS Management Console y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/.
En el panel de navegación, en Configuration (Configuración), elija Verified identities (Identidades verificadas).
En la lista de identidades, elija una identidad en la que el Identity type (Tipo de identidad)sea Domain (Dominio).

nota
Si necesita crear o verificar un dominio, consulte Creación de una identidad de dominio.
En la pestaña Authentication (Autenticación), en el panel DomainKeys Identified Mail (DKIM), (Correo identificado con claves de dominio) (DKIM), elija Edit (Editar).
En el panel Advanced DKIM settings (Configuración avanzada de DKIM), elija el botón Provide DKIM authentication token (BYODKIM) [Proporcionar token de autenticación DKIM (BYODKIM)] en el campo Identity type (Tipo de identidad).
Pegue en Private key (Clave privada) la clave privada que generó anteriormente.

nota
Debe eliminar la primera y la última línea (-----BEGIN PRIVATE KEY----- y -----END PRIVATE KEY-----, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
En Selector name (Nombre del selector), ingrese el nombre del selector que especificó en la configuración de DNS de su dominio.
En el campo DKIM signatures (Firmas DKIM), active la casilla Enabled (Habilitada).
Elija Save changes (Guardar cambios).

Para actualizar una identidad de dominio mediante BYODKIM desde la AWS CLI

Para configurar un dominio existente, utilice la operación PutEmailIdentityDkimSigningAttributes de la API de Amazon SES.

En el editor de texto, pegue el siguiente código:
```
{
    "SigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    },
    "SigningAttributesOrigin":"EXTERNAL"
}
```
En el ejemplo anterior, realice los siguientes cambios:
- Reemplace privateKey por su clave privada.
  
  nota
  Debe eliminar la primera y la última línea (-----BEGIN PRIVATE KEY----- y -----END PRIVATE KEY-----, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
- Reemplace selector por el selector único que especificó al crear el registro TXT en la configuración de DNS de su dominio.
Cuando haya terminado, guarde el archivo como update-identity.json.
En la línea de comandos, escriba el comando siguiente.
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
En el comando anterior, realice los siguientes cambios:
- Reemplace path/to/update-identity.json por la ruta completa al archivo que creó en el paso anterior.
- Reemplace example.com por el dominio que desea actualizar.

Verificación del estado de DKIM de un dominio que utiliza BYODKIM

Para verificar el estado de DKIM de un dominio desde la consola

Después de configurar un dominio para utilizar BYODKIM, puede utilizar la consola SES para verificar que DKIM se haya configurado correctamente.

Inicie sesión en la AWS Management Console y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/.
En el panel de navegación, en Configuration (Configuración), elija Verified identities (Identidades verificadas).
En la lista de identidades, elija la identidad cuyo estado de DKIM desee verificar.
Los cambios en la configuración del DNS pueden tardar hasta 72 horas en propagarse. Tan pronto como Amazon SES detecte todos los registros DKIM requeridos en la configuración DNS de su dominio, el proceso de verificación quedará completado. Si todo se ha configurado correctamente, el campo DKIM configuration (Configuración de DKIM) del dominio mostrará Successful (Correcto) en el panel DomainKeys Identified Mail (DKIM) [Correo identificado de claves de dominio (DKIM)], y el campo Identity status (Estado de identidad) mostrará Verified (Verificado) en el panel Summary (Resumen).

Para verificar el estado de DKIM de un dominio mediante la AWS CLI

Después de configurar un dominio para utilizar BYODKIM, puede utilizar la operación GetEmailIdentity para verificar que DKIM se haya configurado correctamente.

En la línea de comandos, escriba el comando siguiente.
```
aws sesv2 get-email-identity --email-identity example.com
```
En el comando anterior, reemplace example.com por su dominio.

Este comando devuelve un objeto JSON que contiene una sección similar al siguiente ejemplo.
```
{
    ...
    "DkimAttributes": { 
        "SigningAttributesOrigin": "EXTERNAL",
        "SigningEnabled": true,
        "Status": "SUCCESS",
        "Tokens": [ ]
    },
    ...
}
```
Si todo lo que se describe a continuación es verdadero, BYODKIM se ha configurado correctamente para el dominio:
- El valor de la propiedad SigningAttributesOrigin es EXTERNAL.
- El valor de SigningEnabled es true.
- El valor de Status es SUCCESS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Easy DKIM

Administración de Easy DKIM y BYODKIM