Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES
In alternativa all'utilizzo di Easy DKIM, è possibile configurare l'autenticazione DKIM utilizzando la propria coppia di chiavi pubblica-privata. Questo processo è noto come Bring Your Own DKIM (BYODKIM).
Con BYODKIM, è possibile utilizzare un singolo record DNS per configurare l'autenticazione DKIM per i domini, contrariamente a Easy DKIM, che richiede la pubblicazione di tre record DNS separati. Inoltre, l'utilizzo di BYODKIM consente di ruotare le chiavi DKIM per i domini tutte le volte che lo si desidera.
Argomenti in questa sezione:
avvertimento
Se attualmente hai abilitato Easy DKIM e stai passando a BYODKIM, tieni presente che Amazon SES non utilizzerà Easy DKIM per firmare le tue e-mail mentre BYODKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare BYODKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con Easy DKIM abilitato e quindi eliminarlo una volta superata la verifica BYODKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.
Fase 1: creazione della coppia di chiavi
Per utilizzare la funzione Bring Your Own DKIM, devi prima creare una coppia di chiavi RSA.
La chiave privata generata deve essere nel formato PKCS #1 o PKCS #8, utilizzare almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed essere codificata utilizzando la codifica base64 (PEM)
Nota
È possibile utilizzare applicazioni e strumenti di terze parti per generare coppie di chiavi RSA a condizione che la chiave privata venga generata con almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed sia codificata usando la base64 (PEM)
Nella procedura seguente, il codice di esempio che utilizza il comando openssl
genrsa
integrato nella maggior parte dei sistemi operativi Linux, macOS o Unix per creare la coppia di chiavi utilizzerà automaticamente la codifica base64 (PEM)
Creazione della coppia di chiavi dalla riga di comando Linux, macOS o Unix
-
Nella riga di comando, immetti il comando seguente per generare la chiave privata sostituendo
nnnn
con una lunghezza di almeno 1024 bit e fino a 2048:openssl genrsa -f4 -out private.key
nnnn
-
Nella riga di comando, immetti il comando seguente per generare la chiave pubblica:
openssl rsa -in private.key -outform PEM -pubout -out public.key
Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS
Una volta creata una coppia di chiavi, è necessario aggiungere la chiave pubblica alla configurazione DNS per il dominio come record TXT.
Aggiunta della chiave pubblica alla configurazione DNS per il dominio
-
Accedi alla console di gestione del provider DNS o di hosting.
-
Aggiunta di un record MX alla configurazione DNS per il dominio Il record deve utilizzare il seguente formato:
Nome Type (Tipo) Value (Valore) selettore
._chiavedominio.esempio.com
TXT p=
tuaChiavePubblica
In questo esempio, apporta le modifiche seguenti:
-
Sostituisci
selettore
con un nome univoco che identifichi la chiave.Nota
Alcuni provider di DNS non consentono di includere trattini di sottolineatura (_) nei nomi di record. Tuttavia, la sottolineatura nel nome di record DKIM è obbligatoria. Se il provider di DNS non consente di inserire un segno di sottolineatura nel nome del record, contatta il team di assistenza clienti del provider per ricevere assistenza.
-
Sostituisci
esempio.com
con il tuo dominio. -
Sostituisci
yourPublicKey
con la chiave pubblica creata in precedenza e includi il prefissop=
come mostrato nella colonna Value (Valore) in alto.Nota
Quando pubblichi (aggiungi) la chiave pubblica al tuo provider DNS, questa deve essere formattata come segue:
-
È necessario eliminare la prima e l'ultima riga (
-----BEGIN PUBLIC KEY-----
e-----END PUBLIC KEY-----
, rispettivamente) della chiave pubblica generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave pubblica generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga. -
È necessario includere il prefisso
p=
come mostrato nella colonna Value (Valore) nella tabella qui sopra.
-
Diversi provider dispongono di procedure diverse per l'aggiornamento dei record DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il tuo provider DNS non è elencato, ciò non implica che tu non possa utilizzare il dominio con Amazon SES.
Provider DNS/di hosting Collegamento alla documentazione Amazon Route 53
Modifica dei record nella Guida per sviluppatori di Amazon Route 53.
GoDaddy
Add a TXT record
(collegamento esterno) DreamHost
How do I add custom DNS records?
(collegamento esterno) Cloudflare
Gestione dei record DNS in Cloudflare
(collegamento esterno) HostGator
Manage DNS Records with HostGator/eNom
(collegamento esterno) Namecheap
How do I add TXT/SPF/DKIM/DMARC records for my domain?
(collegamento esterno) Names.co.uk
Changing your domains DNS Settings
(collegamento esterno) Wix
Aggiunta o aggiornamento di record TXT nell'account Wix
(collegamento esterno) -
Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM
È possibile impostare BYODKIM sia per i nuovi domini (ovvero i domini che attualmente non vengono utilizzati per inviare messaggi di posta elettronica tramite Amazon SES) che per quelli esistenti (ovvero i domini già configurati per l'utilizzo con Amazon SES) tramite al console o l'AWS CLI. Prima di completare le procedure con l'AWS CLI in questa sezione, è necessario prima installare e configurare l'AWS CLI. Per ulteriori informazioni, consulta la Guida per l'utente di AWS Command Line Interface.
Opzione 1: creazione di una nuova identità di dominio che utilizza BYODKIM
Questa sezione contiene una procedura per la creazione di una nuova identità di dominio che utilizza BYODKIM. Una nuova identità di dominio è un dominio che non è stato configurato in precedenza per inviare messaggi di posta elettronica utilizzando Amazon SES.
Se desideri configurare un dominio esistente per utilizzare BYODKIM, completa invece la procedura in Opzione 2: configurazione di un'identità di dominio esistente.
Creazione di un'identità usando BYODKIM dalla console
-
Segui le procedure indicate in Creazione di un'identità dominio e, quando arrivi al passaggio 8, segui le istruzioni specifiche per BYODKIM.
Creazione di un'identità usando BYODKIM dall'AWS CLI
Per impostare un nuovo dominio, utilizza l'operazione CreateEmailIdentity
nell'API Amazon SES.
-
Nell'editor, incollare il seguente codice:
{ "EmailIdentity":"
example.com
", "DkimSigningAttributes":{ "DomainSigningPrivateKey":"privateKey
", "DomainSigningSelector":"selector
" } }In questo esempio, apporta le modifiche seguenti:
-
Sostituisci
example.com
con il dominio che desideri creare. -
Sostituisci
privateKey
con la tua chiave privata.Nota
È necessario eliminare la prima e l'ultima riga (
-----BEGIN PRIVATE KEY-----
e-----END PRIVATE KEY-----
, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga. -
Sostituisci
selector
con il selettore univoco specificato al momento della creazione del record TXT nella configurazione DNS per il dominio.
Al termine, salva il file come
create-identity.json
. -
-
Nella riga di comando, inserisci il comando seguente:
aws sesv2 create-email-identity --cli-input-json file://
path/to/create-identity.json
Nel comando precedente, sostituisci
path/to/create-identity.json
con il percorso al file creato nella fase precedente.
Opzione 2: configurazione di un'identità di dominio esistente
Questa sezione contiene le procedure per l'aggiornamento di un'identità di dominio esistente per l'utilizzo di BYODKIM. Un'identità di dominio esistente è un dominio già configurato per l'invio di messaggi di posta elettronica utilizzando Amazon SES.
Aggiornamento di un'identità usando BYODKIM dalla console
Accedi alla AWS Management Console e apri la console Amazon SES all'indirizzo https://console.aws.amazon.com/ses/
. -
Nel pannello di navigazione, in Configuration (Configurazione), scegli Verified identities (Identità verificate).
-
Nell'elenco di identità scegli un'identità in cui l'opzione Identity type (Tipo di identità) è Domain (Dominio).
Nota
Per creare o verificare un dominio, consulta Creazione di un'identità dominio.
-
Nella scheda Authentication (Autenticazione), nel riquadro DomainKeys Identified Mail (DKIM), scegli Edit (Modifica).
-
Nel riquadro Advanced DKIM settings (Impostazioni avanzate di DKIM), scegli il pulsante Provide DKIM authentication token (Fornisci token di autenticazione DKIM) nel campo Identity type (Tipo di identità).
-
Per Private key (Chiave privata) incolla la chiave privata generata in precedenza.
Nota
È necessario eliminare la prima e l'ultima riga (
-----BEGIN PRIVATE KEY-----
e-----END PRIVATE KEY-----
, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga. -
Per Selector name (Nome del selettore), indica il nome del selettore specificato nelle impostazioni DNS del dominio.
-
Nel campo DKIM signatures (Firme DKIM), seleziona la casella Enabled (Abilitate).
-
Seleziona Salva modifiche.
Aggiornamento di un'identità usando BYODKIM dall'AWS CLI
Per configurare un dominio esistente, utilizza l'operazione PutEmailIdentityDkimSigningAttributes
nell'API Amazon SES.
-
Nell'editor, incollare il seguente codice:
{ "SigningAttributes":{ "DomainSigningPrivateKey":"
privateKey
", "DomainSigningSelector":"selector
" }, "SigningAttributesOrigin":"EXTERNAL" }In questo esempio, apporta le modifiche seguenti:
-
Sostituisci
privateKey
con la tua chiave privata.Nota
È necessario eliminare la prima e l'ultima riga (
-----BEGIN PRIVATE KEY-----
e-----END PRIVATE KEY-----
, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga. -
Sostituisci
selector
con il selettore univoco specificato al momento della creazione del record TXT nella configurazione DNS per il dominio.
Al termine, salva il file come
update-identity.json
. -
-
Nella riga di comando, inserisci il comando seguente:
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity
example.com
--cli-input-json file://path/to/update-identity.json
Nel comando precedente, apporta le modifiche seguenti:
-
Sostituisci
path/to/update-identity.json
con il percorso completo del file creato nella fase precedente. -
Sostituisci
example.com
con il dominio che desideri aggiornare.
-
Verifica dello stato DKIM per un dominio che utilizza BYODKIM
Per verificare lo stato DKIM di un dominio dalla console
Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare la console SES per confermare che DKIM sia configurato correttamente.
Accedi alla AWS Management Console e apri la console Amazon SES all'indirizzo https://console.aws.amazon.com/ses/
. -
Nel pannello di navigazione, in Configuration (Configurazione), scegli Verified identities (Identità verificate).
-
Nell'elenco di identità, scegli l'identità per la quale desideri verificare lo stato DKIM.
-
La propagazione delle modifiche alle impostazioni DNS può richiedere fino a 72 ore. La procedura di verifica è completata quando Amazon SES rileva tutti i registri DKIM richiesti nelle impostazioni DNS del dominio. Se tutto è stato configurato correttamente, il campo DKIM configuration (Configurazione DKIM) del tuo dominio visualizza Successful (Riuscito) nel riquadro DomainKeys Identified Mail (DKIM) e il campo Identity status (Stato dell'identità) visualizza Verified (Verificato) nel riquadro Summary (Riepilogo).
Per verificare lo stato DKIM di un dominio utilizzando AWS CLI
Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare l'operazione GetEmailIdentity per verificare che DKIM sia configurato correttamente.
-
Nella riga di comando, inserisci il comando seguente:
aws sesv2 get-email-identity --email-identity
example.com
Nel comando precedente, sostituisci
example.com
con il dominio.Questo comando restituisce un oggetto JSON contenente una sezione analoga al seguente esempio.
{ ... "DkimAttributes": { "SigningAttributesOrigin": "EXTERNAL", "SigningEnabled": true, "Status": "SUCCESS", "Tokens": [ ] }, ... }
Se tutte le condizioni seguenti sono vere, BYODKIM è configurato correttamente per il dominio:
-
Il valore della proprietà
SigningAttributesOrigin
èEXTERNAL
. -
Il valore di
SigningEnabled
ètrue
. -
Il valore di
Status
èSUCCESS
.
-