Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES
En lugar de usar Easy DKIM, puede configurar la autenticación de DKIM con su propio par de claves públicas-privadas. Este proceso se conoce como Utilice su propio DKIM (BYODKIM).
Con BYODKIM, puede utilizar un solo registro DNS para configurar la autenticación de DKIM de sus dominios, a diferencia de Easy DKIM, que requiere que publique tres registros DNS independientes. Además, con BYODKIM, podrá rotar las claves DKIM de sus dominios tantas veces como desee.
Temas de esta sección:
aviso
Si actualmente tiene Easy DKIM habilitado y está haciendo la transición a BYODKIM, tenga en cuenta que Amazon SES no utilizará Easy DKIM para firmar los correos electrónicos mientras se está configurando BYODKIM y el estado de DKIM está pendiente. Desde el momento en que realiza la llamada para habilitar BYODKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con Easy DKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de BYODKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
Paso 1: Crear el par de claves
Para utilizar la característica de uso de DKIM propio, primero debe crear un par de claves RSA.
La clave privada que genere tiene que estar en formato PKCS #1 o PKCS #8, debe utilizar al menos un cifrado RSA de 1024 bits y hasta 2048 bits y debe estar codificada con base64 (PEM)
nota
Puede usar aplicaciones y herramientas de terceros para generar pares de claves RSA siempre que la clave privada se genere con al menos un cifrado RSA de 1024 bits y de hasta 2048 bits, y esté codificada con base64 (PEM)
En el siguiente procedimiento, el código de ejemplo que utiliza el comando openssl
genrsa
integrado en la mayoría de los sistemas operativos Linux, macOS o Unix para crear el par de claves utilizará automáticamente codificación base64 (PEM)
Para crear el par de claves desde la línea de comandos de Linux, macOS o Unix
-
En la línea de comandos, ingrese el comando siguiente para generar la clave privada reemplazando
nnnn
con una longitud de bits de al menos 1024 bits y hasta 2048 bits:openssl genrsa -f4 -out private.key
nnnn
-
En la línea de comandos, escriba el comando siguiente para generar la clave pública:
openssl rsa -in private.key -outform PEM -pubout -out public.key
Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio
Ahora que ha creado un par de claves, debe agregar la clave pública como registro TXT a la configuración de DNS de su dominio.
Para añadir la clave pública a la configuración de DNS de su dominio
-
Inicie sesión en la consola de administración del proveedor de DNS o de alojamiento.
-
Añada un nuevo registro de texto a la configuración de DNS de su dominio. El registro debe usar el siguiente formato:
Nombre Tipo Valor selector
._domainkey.example.com
TXT p=
yourPublicKey
En el ejemplo anterior, realice los siguientes cambios:
-
Reemplace
selector
por un nombre único que identifique la clave.nota
Un pequeño número de proveedores de DNS no le permiten incluir guiones bajos (_) en los nombres de registro. Sin embargo, el guion bajo el nombre de registro de DKIM es obligatorio. Si su proveedor de DNS no le permite introducir un guion bajo en el nombre del registro, póngase en contacto con el equipo de atención al cliente del proveedor para obtener ayuda.
-
Reemplace
example.com
por su dominio. -
Reemplace
yourPublicKey
con la clave pública que creó anteriormente e incluya el prefijop=
tal y como se muestra en la columna Value (Valor) anterior.nota
Cuando publica (agrega) su clave pública a su proveedor de DNS, debe tener el siguiente formato:
-
Debe eliminar la primera y la última línea (
-----BEGIN PUBLIC KEY-----
y-----END PUBLIC KEY-----
, respectivamente) de la clave pública generada. Además, debe eliminar los saltos de línea en la clave pública generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea. -
Debe incluir en prefijo
p=
tal y como se muestra en la columna Value (Valor) de la tabla anterior.
-
Cada proveedor tiene diferentes procedimientos para actualizar los registros de DNS. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no pueda usar el dominio con Amazon SES.
Proveedor de DNS/alojamiento Enlace a la documentación Amazon Route 53
Edición de registros en la Guía para desarrolladores de Amazon Route 53
GoDaddy
Añadir un registro TXT
(enlace externo) DreamHost
How do I add custom DNS records?
(enlace externo) Cloudflare
Managing DNS records in CloudFlare
(enlace externo) HostGator
Manage DNS Records with HostGator/eNom
(enlace externo) Namecheap
How do I add TXT/SPF/DKIM/DMARC records for my domain?
(enlace externo) Names.co.uk
Changing your domains DNS Settings
(enlace externo) Wix
Adding or Updating TXT Records in Your Wix Account
(enlace externo) -
Paso 3: Configurar y verificar un dominio para usar BYODKIM
Puede configurar BYODKIM tanto para los dominios nuevos (es decir, los dominios que no utiliza actualmente para enviar correo electrónico a través Amazon SES) como para los dominios existentes (es decir, los dominios que ya ha configurado para utilizar con Amazon SES) mediante la consola o la AWS CLI. Antes de utilizar los procedimientos de la AWS CLI que se describen en esta sección, primero debe instalar y configurar la AWS CLI. Para obtener más información, consulte la Guía del usuario de AWS Command Line Interface.
Opción 1: Crear una nueva identidad de dominio que utiliza BYODKIM
Esta sección contiene procedimientos para crear una nueva identidad de dominio que utiliza BYODKIM. Una nueva identidad de dominio es un dominio que no ha configurado previamente para enviar correo electrónico mediante Amazon SES.
Si desea configurar un dominio existente para utilizar BYODKIM, complete el procedimiento de Opción 2: Configuración de una identidad de dominio existente en su lugar.
Para crear una identidad mediante BYODKIM desde la consola
-
Siga los procedimientos indicados en Creación de una identidad de dominio, y cuando llegue al paso 8, siga las instrucciones específicas para BYODKIM.
Para crear una identidad mediante BYODKIM desde la AWS CLI
Para configurar un nuevo dominio, utilice la operación CreateEmailIdentity
de la API de Amazon SES.
-
En el editor de texto, pegue el siguiente código:
{ "EmailIdentity":"
example.com
", "DkimSigningAttributes":{ "DomainSigningPrivateKey":"privateKey
", "DomainSigningSelector":"selector
" } }En el ejemplo anterior, realice los siguientes cambios:
-
Reemplace
example.com
por el dominio que desea crear. -
Reemplace
privateKey
por su clave privada.nota
Debe eliminar la primera y la última línea (
-----BEGIN PRIVATE KEY-----
y-----END PRIVATE KEY-----
, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea. -
Reemplace
selector
por el selector único que especificó al crear el registro TXT en la configuración de DNS de su dominio.
Cuando haya terminado, guarde el archivo como
create-identity.json
. -
-
En la línea de comandos, escriba el comando siguiente.
aws sesv2 create-email-identity --cli-input-json file://
path/to/create-identity.json
En el comando anterior, reemplace
path/to/create-identity.json
por la ruta completa al archivo que creó en el paso anterior.
Opción 2: Configuración de una identidad de dominio existente
Esta sección contiene procedimientos para actualizar una identidad de dominio existente para utilizar BYODKIM. Una identidad de dominio existente es un dominio que ya ha configurado para enviar correo electrónico mediante Amazon SES.
Para actualizar una identidad de dominio mediante BYODKIM desde la consola
Inicie sesión en la AWS Management Console y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/
. -
En el panel de navegación, en Configuration (Configuración), elija Verified identities (Identidades verificadas).
-
En la lista de identidades, elija una identidad en la que el Identity type (Tipo de identidad)sea Domain (Dominio).
nota
Si necesita crear o verificar un dominio, consulte Creación de una identidad de dominio.
-
En la pestaña Authentication (Autenticación), en el panel DomainKeys Identified Mail (DKIM), (Correo identificado con claves de dominio) (DKIM), elija Edit (Editar).
-
En el panel Advanced DKIM settings (Configuración avanzada de DKIM), elija el botón Provide DKIM authentication token (BYODKIM) [Proporcionar token de autenticación DKIM (BYODKIM)] en el campo Identity type (Tipo de identidad).
-
Pegue en Private key (Clave privada) la clave privada que generó anteriormente.
nota
Debe eliminar la primera y la última línea (
-----BEGIN PRIVATE KEY-----
y-----END PRIVATE KEY-----
, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea. -
En Selector name (Nombre del selector), ingrese el nombre del selector que especificó en la configuración de DNS de su dominio.
-
En el campo DKIM signatures (Firmas DKIM), active la casilla Enabled (Habilitada).
-
Elija Save changes (Guardar cambios).
Para actualizar una identidad de dominio mediante BYODKIM desde la AWS CLI
Para configurar un dominio existente, utilice la operación PutEmailIdentityDkimSigningAttributes
de la API de Amazon SES.
-
En el editor de texto, pegue el siguiente código:
{ "SigningAttributes":{ "DomainSigningPrivateKey":"
privateKey
", "DomainSigningSelector":"selector
" }, "SigningAttributesOrigin":"EXTERNAL" }En el ejemplo anterior, realice los siguientes cambios:
-
Reemplace
privateKey
por su clave privada.nota
Debe eliminar la primera y la última línea (
-----BEGIN PRIVATE KEY-----
y-----END PRIVATE KEY-----
, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea. -
Reemplace
selector
por el selector único que especificó al crear el registro TXT en la configuración de DNS de su dominio.
Cuando haya terminado, guarde el archivo como
update-identity.json
. -
-
En la línea de comandos, escriba el comando siguiente.
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity
example.com
--cli-input-json file://path/to/update-identity.json
En el comando anterior, realice los siguientes cambios:
-
Reemplace
path/to/update-identity.json
por la ruta completa al archivo que creó en el paso anterior. -
Reemplace
example.com
por el dominio que desea actualizar.
-
Verificación del estado de DKIM de un dominio que utiliza BYODKIM
Para verificar el estado de DKIM de un dominio desde la consola
Después de configurar un dominio para utilizar BYODKIM, puede utilizar la consola SES para verificar que DKIM se haya configurado correctamente.
Inicie sesión en la AWS Management Console y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/
. -
En el panel de navegación, en Configuration (Configuración), elija Verified identities (Identidades verificadas).
-
En la lista de identidades, elija la identidad cuyo estado de DKIM desee verificar.
-
Los cambios en la configuración del DNS pueden tardar hasta 72 horas en propagarse. Tan pronto como Amazon SES detecte todos los registros DKIM requeridos en la configuración DNS de su dominio, el proceso de verificación quedará completado. Si todo se ha configurado correctamente, el campo DKIM configuration (Configuración de DKIM) del dominio mostrará Successful (Correcto) en el panel DomainKeys Identified Mail (DKIM) [Correo identificado de claves de dominio (DKIM)], y el campo Identity status (Estado de identidad) mostrará Verified (Verificado) en el panel Summary (Resumen).
Para verificar el estado de DKIM de un dominio mediante la AWS CLI
Después de configurar un dominio para utilizar BYODKIM, puede utilizar la operación GetEmailIdentity para verificar que DKIM se haya configurado correctamente.
-
En la línea de comandos, escriba el comando siguiente.
aws sesv2 get-email-identity --email-identity
example.com
En el comando anterior, reemplace
example.com
por su dominio.Este comando devuelve un objeto JSON que contiene una sección similar al siguiente ejemplo.
{ ... "DkimAttributes": { "SigningAttributesOrigin": "EXTERNAL", "SigningEnabled": true, "Status": "SUCCESS", "Tokens": [ ] }, ... }
Si todo lo que se describe a continuación es verdadero, BYODKIM se ha configurado correctamente para el dominio:
-
El valor de la propiedad
SigningAttributesOrigin
esEXTERNAL
. -
El valor de
SigningEnabled
estrue
. -
El valor de
Status
esSUCCESS
.
-