Easy DKIM dans Amazon SES

Lorsque vous configurez la fonction Easy DKIM pour une identité de domaine, Amazon SES ajoute automatiquement une clé DKIM 2 048 bits à chaque e-mail que vous envoyez à partir de cette identité. Vous pouvez configurer Easy DKIM à l'aide de la console Amazon SES ou de l'API.

Note

Pour configurer Easy DKIM, vous devez modifier les paramètres DNS de votre domaine. Si vous utilisez Route 53 comme votre fournisseur DNS, Amazon SES peut créer automatiquement les registres appropriés pour vous. Si vous utilisez un autre fournisseur DNS, consultez la documentation de ce dernier pour en savoir plus sur la modification des paramètres DNS pour votre domaine.

Avertissement

Si BYODKIM est actuellement activé et que vous passez à Easy DKIM, sachez qu'Amazon SES n'utilisera pas BYODKIM pour signer vos e-mails pendant la configuration d'Easy DKIM et que votre statut DKIM est en attente. Entre le moment où vous passez l'appel pour activer Easy DKIM (via l'API ou la console) et le moment où SES peut confirmer votre configuration DNS, vos e-mails peuvent être envoyés par SES sans signature DKIM. Par conséquent, il est conseillé d'utiliser une étape intermédiaire pour migrer d'une méthode de signature DKIM à l'autre (par exemple, en utilisant un sous-domaine de votre domaine avec BYODKIM activé, puis en le supprimant une fois la vérification Easy DKIM passée), ou d'effectuer cette activité pendant les temps d'arrêt de votre application, le cas échéant.

Configuration de Easy DKIM pour une identité de domaine vérifiée

La procédure de cette section est simplifiée afin de présenter uniquement les étapes nécessaires pour configurer Easy DKIM sur une identité de domaine que vous avez déjà créée. Si vous n’avez pas encore créé d’identité de domaine ou si vous souhaitez voir toutes les options disponibles pour personnaliser une identité de domaine, telles que l'utilisation d'un jeu de configuration par défaut, d'un domaine MAIL FROM personnalisé et d'étiquettes, veuillez consulter Création d'une identité de domaine.

Une partie de la création d'une identité de domaine Easy DKIM consiste à configurer sa vérification basée sur DKIM. Vous aurez donc le choix d'accepter la valeur par défaut Amazon SES de 2 048 bits, ou de la remplacer en sélectionnant 1 024 bits. Voir Longueur de la clé DKIM pour en savoir plus sur les longueurs de clés de signature DKIM et sur la façon de les modifier.

Pour configurer Easy DKIM pour un domaine

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon SES à l'adresse https://console.aws.amazon.com/ses/.

2. Dans le panneau de navigation, sous Configuration, choisissez Verified identities (Identités vérifiées).

3. Dans la liste des identités, choisissez une identité dans laquelle le type d'identité est le Domaine.

   Note

   Si vous devez créer ou vérifier un domaine, veuillez consulter Création d'une identité de domaine.

4. Sous l'onglet Authentification, dans le conteneur norme DKIM (DomainKeys Identified Mail), choisissez Edit (Modifier).

5. Dans le conteneur Advanced DKIM settings (Paramètres avancés de DKIM), choisissez le bouton Easy DKIM dans la zoneIdentity type (Type d'identité).

6. Dans DKIM signing key length (Longueur de clé de signature DKIM), choisissez RSA_2048_BIT ou RSA_1024_BIT.

7. Dans DKIM signatures (Signatures DKIM), cochez la case Enabled (Activé).

8. Choisissez Enregistrer les modifications.

9. Maintenant que vous avez configuré votre identité de domaine avec Easy DKIM, vous devez terminer le processus de vérification avec votre fournisseur DNS. Passez à Vérification d’une identité de domaine DKIM auprès de votre fournisseur DNS et suivez les procédures d'authentification DNS pour Easy DKIM.

Modifier la longueur de la clé de signature Easy DKIM pour une identité

La procédure décrite dans cette section montre comment vous pouvez facilement modifier les bits Easy DKIM requis pour l'algorithme de signature. Bien qu'une longueur de signature de 2048 bits soit préférable pour le niveau de sécurité qu'elle procure, certaines situations peuvent vous obliger à utiliser la longueur de 1024 bits, par exemple si vous devez utiliser un fournisseur DNS qui ne prend en charge que DKIM 1024.

Pour préserver la délivrabilité des e-mails en transit, il existe des restrictions quant à la fréquence à laquelle vous pouvez modifier ou changer la longueur de votre clé DKIM.

Lorsque votre e-mail est en transit, DNS utilise votre clé publique pour l'authentifier. Par conséquent, si vous changez de clé trop rapidement ou trop fréquemment, DNS peut ne pas être en mesure d'authentifier votre e-mail par DKIM, car l'ancienne clé peut déjà avoir été annulée. Donc, les restrictions suivantes permettent d'éviter cela :

• Vous ne pouvez pas passer à la même longueur de clé que celle qui est déjà configurée.

• Vous ne pouvez pas passer à une longueur de clé différente plus d'une fois au cours d'une période de 24 heures (sauf s'il s'agit de la première rétrogradation à 1024 de cette période).

Lorsque vous utilisez les procédures suivantes pour modifier la longueur de votre clé, si vous dérogez à l'une de ces restrictions, la console renverra une bannière d'erreur indiquant que l'entrée que vous avez fournie n'est pas valide, ainsi que la raison pour laquelle elle ne l'est pas.

Pour modifier les bits de longueur de clé de signature DKIM

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon SES à l'adresse https://console.aws.amazon.com/ses/.

2. Dans le panneau de navigation, sous Configuration, choisissez Verified identities (Identités vérifiées).

3. Dans la liste des identités, choisissez celle pour laquelle vous souhaitez modifier la longueur de la clé de signature DKIM.

4. Sous l'onglet Authentification, dans le conteneur norme DKIM (DomainKeys Identified Mail), choisissez Edit (Modifier).

5. Dans le conteneur Advanced DKIM settings (Paramètres avancés de DKIM), choisissez RSA_2048_BIT ou RSA_1024_BIT dans le champ DKIM signing key length (Longueur de la clé DKIM).

6. Choisissez Enregistrer les modifications.