Creazione della coppia di chiavi Aggiungi il selettore e la chiave pubblica al tuo provider DNS Configurazione e verifica di un dominio per utilizzare BYODKIM

Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES

In alternativa all'utilizzo di Easy DKIM, è possibile configurare l'autenticazione DKIM utilizzando la propria coppia di chiavi pubblica-privata. Questo processo è noto come Bring Your Own DKIM (BYODKIM).

Con BYODKIM, è possibile utilizzare un singolo record DNS per configurare l'autenticazione DKIM per i domini, contrariamente a Easy DKIM, che richiede la pubblicazione di tre record DNS separati. Inoltre, l'utilizzo di BYODKIM consente di ruotare le chiavi DKIM per i domini tutte le volte che lo si desidera.

Argomenti in questa sezione:

Fase 1: creazione della coppia di chiavi
Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS
Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM

avvertimento

Se attualmente hai abilitato Easy DKIM e stai passando a BYODKIM, tieni presente che Amazon SES non utilizzerà Easy DKIM per firmare le tue e-mail mentre BYODKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare BYODKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con Easy DKIM abilitato e quindi eliminarlo una volta superata la verifica BYODKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.

Fase 1: creazione della coppia di chiavi

Per utilizzare la funzione Bring Your Own DKIM, devi prima creare una coppia di chiavi RSA.

La chiave privata generata deve essere nel formato PKCS #1 o PKCS #8, utilizzare almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed essere codificata utilizzando la codifica base64 (PEM). Consulta Lunghezza della chiave di firma DKIM per ulteriori informazioni sulla lunghezza delle chiavi di firma DKIM e su come modificarle.

Nota

È possibile utilizzare applicazioni e strumenti di terze parti per generare coppie di chiavi RSA a condizione che la chiave privata venga generata con almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed sia codificata usando la base64 (PEM).

Nella procedura seguente, il codice di esempio che utilizza il comando openssl genrsa integrato nella maggior parte dei sistemi operativi Linux, macOS o Unix per creare la coppia di chiavi utilizzerà automaticamente la codifica base64 (PEM).

Creazione della coppia di chiavi dalla riga di comando Linux, macOS o Unix

Nella riga di comando, immetti il comando seguente per generare la chiave privata sostituendo nnnn con una lunghezza di almeno 1024 bit e fino a 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
Nella riga di comando, immetti il comando seguente per generare la chiave pubblica:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```

Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS

Una volta creata una coppia di chiavi, è necessario aggiungere la chiave pubblica alla configurazione DNS per il dominio come record TXT.

Aggiunta della chiave pubblica alla configurazione DNS per il dominio

Accedi alla console di gestione del provider DNS o di hosting.

Aggiunta di un record MX alla configurazione DNS per il dominio Il record deve utilizzare il seguente formato:

Nome	Type (Tipo)	Value (Valore)
`selettore`._chiavedominio.`esempio.com`	TXT	p=`tuaChiavePubblica`

In questo esempio, apporta le modifiche seguenti:

Sostituisci selettore con un nome univoco che identifichi la chiave.

Nota
Alcuni provider di DNS non consentono di includere trattini di sottolineatura (_) nei nomi di record. Tuttavia, la sottolineatura nel nome di record DKIM è obbligatoria. Se il provider di DNS non consente di inserire un segno di sottolineatura nel nome del record, contatta il team di assistenza clienti del provider per ricevere assistenza.
Sostituisci esempio.com con il tuo dominio.
Sostituisci yourPublicKey con la chiave pubblica creata in precedenza e includi il prefisso p= come mostrato nella colonna Value (Valore) in alto.
Nota
Quando pubblichi (aggiungi) la chiave pubblica al tuo provider DNS, questa deve essere formattata come segue:
- È necessario eliminare la prima e l'ultima riga (-----BEGIN PUBLIC KEY----- e -----END PUBLIC KEY-----, rispettivamente) della chiave pubblica generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave pubblica generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
- È necessario includere il prefisso p= come mostrato nella colonna Value (Valore) nella tabella qui sopra.

Diversi provider dispongono di procedure diverse per l'aggiornamento dei record DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il tuo provider DNS non è elencato, ciò non implica che tu non possa utilizzare il dominio con Amazon SES.

Provider DNS/di hosting	Collegamento alla documentazione
Amazon Route 53	Modifica dei record nella Guida per sviluppatori di Amazon Route 53.
GoDaddy	Add a TXT record (collegamento esterno)
DreamHost	How do I add custom DNS records? (collegamento esterno)
Cloudflare	Gestione dei record DNS in Cloudflare (collegamento esterno)
HostGator	Manage DNS Records with HostGator/eNom (collegamento esterno)
Namecheap	How do I add TXT/SPF/DKIM/DMARC records for my domain? (collegamento esterno)
Names.co.uk	Changing your domains DNS Settings (collegamento esterno)
Wix	Aggiunta o aggiornamento di record TXT nell'account Wix (collegamento esterno)

Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM

È possibile impostare BYODKIM sia per i nuovi domini (ovvero i domini che attualmente non vengono utilizzati per inviare messaggi di posta elettronica tramite Amazon SES) che per quelli esistenti (ovvero i domini già configurati per l'utilizzo con Amazon SES) tramite al console o l'AWS CLI. Prima di completare le procedure con l'AWS CLI in questa sezione, è necessario prima installare e configurare l'AWS CLI. Per ulteriori informazioni, consulta la Guida per l'utente di AWS Command Line Interface.

Opzione 1: creazione di una nuova identità di dominio che utilizza BYODKIM

Questa sezione contiene una procedura per la creazione di una nuova identità di dominio che utilizza BYODKIM. Una nuova identità di dominio è un dominio che non è stato configurato in precedenza per inviare messaggi di posta elettronica utilizzando Amazon SES.

Se desideri configurare un dominio esistente per utilizzare BYODKIM, completa invece la procedura in Opzione 2: configurazione di un'identità di dominio esistente.

Creazione di un'identità usando BYODKIM dalla console

Segui le procedure indicate in Creazione di un'identità dominio e, quando arrivi al passaggio 8, segui le istruzioni specifiche per BYODKIM.

Creazione di un'identità usando BYODKIM dall'AWS CLI

Per impostare un nuovo dominio, utilizza l'operazione CreateEmailIdentity nell'API Amazon SES.

Nell'editor, incollare il seguente codice:
```
{
    "EmailIdentity":"example.com",
    "DkimSigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    }
}
```
In questo esempio, apporta le modifiche seguenti:
- Sostituisci example.com con il dominio che desideri creare.
- Sostituisci privateKey con la tua chiave privata.
  
  Nota
  È necessario eliminare la prima e l'ultima riga (-----BEGIN PRIVATE KEY----- e -----END PRIVATE KEY-----, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
- Sostituisci selector con il selettore univoco specificato al momento della creazione del record TXT nella configurazione DNS per il dominio.
Al termine, salva il file come create-identity.json.
Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
Nel comando precedente, sostituisci path/to/create-identity.json con il percorso al file creato nella fase precedente.

Opzione 2: configurazione di un'identità di dominio esistente

Questa sezione contiene le procedure per l'aggiornamento di un'identità di dominio esistente per l'utilizzo di BYODKIM. Un'identità di dominio esistente è un dominio già configurato per l'invio di messaggi di posta elettronica utilizzando Amazon SES.

Aggiornamento di un'identità usando BYODKIM dalla console

Accedi alla AWS Management Console e apri la console Amazon SES all'indirizzo https://console.aws.amazon.com/ses/.
Nel pannello di navigazione, in Configuration (Configurazione), scegli Verified identities (Identità verificate).
Nell'elenco di identità scegli un'identità in cui l'opzione Identity type (Tipo di identità) è Domain (Dominio).

Nota
Per creare o verificare un dominio, consulta Creazione di un'identità dominio.
Nella scheda Authentication (Autenticazione), nel riquadro DomainKeys Identified Mail (DKIM), scegli Edit (Modifica).
Nel riquadro Advanced DKIM settings (Impostazioni avanzate di DKIM), scegli il pulsante Provide DKIM authentication token (Fornisci token di autenticazione DKIM) nel campo Identity type (Tipo di identità).
Per Private key (Chiave privata) incolla la chiave privata generata in precedenza.

Nota
È necessario eliminare la prima e l'ultima riga (-----BEGIN PRIVATE KEY----- e -----END PRIVATE KEY-----, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
Per Selector name (Nome del selettore), indica il nome del selettore specificato nelle impostazioni DNS del dominio.
Nel campo DKIM signatures (Firme DKIM), seleziona la casella Enabled (Abilitate).
Seleziona Salva modifiche.

Aggiornamento di un'identità usando BYODKIM dall'AWS CLI

Per configurare un dominio esistente, utilizza l'operazione PutEmailIdentityDkimSigningAttributes nell'API Amazon SES.

Nell'editor, incollare il seguente codice:
```
{
    "SigningAttributes":{
        "DomainSigningPrivateKey":"privateKey",
        "DomainSigningSelector":"selector"
    },
    "SigningAttributesOrigin":"EXTERNAL"
}
```
In questo esempio, apporta le modifiche seguenti:
- Sostituisci privateKey con la tua chiave privata.
  
  Nota
  È necessario eliminare la prima e l'ultima riga (-----BEGIN PRIVATE KEY----- e -----END PRIVATE KEY-----, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
- Sostituisci selector con il selettore univoco specificato al momento della creazione del record TXT nella configurazione DNS per il dominio.
Al termine, salva il file come update-identity.json.
Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
Nel comando precedente, apporta le modifiche seguenti:
- Sostituisci path/to/update-identity.json con il percorso completo del file creato nella fase precedente.
- Sostituisci example.com con il dominio che desideri aggiornare.

Verifica dello stato DKIM per un dominio che utilizza BYODKIM

Per verificare lo stato DKIM di un dominio dalla console

Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare la console SES per confermare che DKIM sia configurato correttamente.

Accedi alla AWS Management Console e apri la console Amazon SES all'indirizzo https://console.aws.amazon.com/ses/.
Nel pannello di navigazione, in Configuration (Configurazione), scegli Verified identities (Identità verificate).
Nell'elenco di identità, scegli l'identità per la quale desideri verificare lo stato DKIM.
La propagazione delle modifiche alle impostazioni DNS può richiedere fino a 72 ore. La procedura di verifica è completata quando Amazon SES rileva tutti i registri DKIM richiesti nelle impostazioni DNS del dominio. Se tutto è stato configurato correttamente, il campo DKIM configuration (Configurazione DKIM) del tuo dominio visualizza Successful (Riuscito) nel riquadro DomainKeys Identified Mail (DKIM) e il campo Identity status (Stato dell'identità) visualizza Verified (Verificato) nel riquadro Summary (Riepilogo).

Per verificare lo stato DKIM di un dominio utilizzando AWS CLI

Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare l'operazione GetEmailIdentity per verificare che DKIM sia configurato correttamente.

Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 get-email-identity --email-identity example.com
```
Nel comando precedente, sostituisci example.com con il dominio.

Questo comando restituisce un oggetto JSON contenente una sezione analoga al seguente esempio.
```
{
    ...
    "DkimAttributes": { 
        "SigningAttributesOrigin": "EXTERNAL",
        "SigningEnabled": true,
        "Status": "SUCCESS",
        "Tokens": [ ]
    },
    ...
}
```
Se tutte le condizioni seguenti sono vere, BYODKIM è configurato correttamente per il dominio:
- Il valore della proprietà SigningAttributesOrigin è EXTERNAL.
- Il valore di SigningEnabled è true.
- Il valore di Status è SUCCESS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Easy DKIM

Gestione di Easy DKIM e BYODKIM