Uso de Deterministic Easy DKIM (DEED) en Amazon SES - Amazon Simple Email Service
¿Qué es DEED?Cómo funciona DEEDConfiguración de una identidad de réplicaPrácticas recomendadasResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Deterministic Easy DKIM (DEED) en Amazon SES

Deterministic Easy DKIM (DEED) ofrece una solución para administrar múltiples configuraciones de DKIM. Regiones de AWS Al simplificar la administración del DNS y garantizar una firma de DKIM coherente, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, a mantener prácticas sólidas de autenticación del correo electrónico.

¿Qué es Deterministic Easy DKIM (DEED)?

El Easy DKIM (DEED) determinista es una función que genera tokens DKIM consistentes en todos los dominios a Regiones de AWS partir de un dominio principal configurado con Easy DKIM. Esto le permite replicar identidades diferentes Regiones de AWS que hereden y mantengan automáticamente la misma configuración de firma de DKIM que una identidad principal que esté configurada actualmente con Easy DKIM. Con DEED, solo necesita publicar los registros de DNS una vez para la identidad principal, y las identidades de réplica utilizarán los mismos registros de DNS para verificar la propiedad del dominio y administrar la firma de DKIM.

Al simplificar la administración del DNS y garantizar una firma DKIM uniforme, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, mantener las prácticas recomendadas de autenticación del correo electrónico.

Terminología utilizada para hablar de DEED:

  • Identidad principal: identidad verificada configurada con Easy DKIM que sirve de fuente en la configuración de DKIM para una identidad de réplica.

  • Identidad de réplica: copia de una identidad principal que comparte la misma configuración de DNS y la misma configuración de firma de DKIM.

  • Región principal: Región de AWS en la que se configura la identidad principal.

  • Región de réplica: Región de AWS en la que se configura una identidad de réplica.

  • Identidad DEED: cualquier identidad que se utilice como identidad principal o identidad de réplica. (Cuando se crea una nueva identidad, inicialmente se trata como una identidad normal (no DEED). Sin embargo, una vez que se crea una réplica, la identidad se considera una identidad de DEED.)

Los principales beneficios de utilizar DEED son:

  • Administración de DNS simplificada: publique los registros de DNS solo una vez para la identidad principal.

  • Operaciones multirregionales más sencillas: simplifique el proceso de expansión de las operaciones de envío de correo electrónico a nuevas regiones.

  • Reducción de gastos administrativos: administre las configuraciones de DKIM de forma centralizada desde la identidad principal.

Cómo funciona Deterministic Easy DKIM (DEED)

Al crear una identidad de réplica, Amazon SES replica automáticamente la clave de firma DKIM de la identidad principal a la identidad de réplica. Cualquier rotación posterior de la clave de DKIM o cualquier cambio en la longitud de la clave que se realice en la identidad principal se propagan automáticamente a todas las identidades de réplica.

El proceso consta del flujo de trabajo siguiente:

  1. Cree una identidad principal en un Easy DKIM mediante el Región de AWS uso de Easy DKIM.

  2. Configure los registros de DNS necesarios para la identidad principal.

  3. Cree réplicas de identidades en otras Regiones de AWS, especificando el nombre de dominio de la identidad principal y la región de firma del DKIM.

  4. Amazon SES replica automáticamente la configuración de DKIM principal en las identidades de réplica.

Consideraciones importantes:

  • No puede crear una réplica de una identidad que ya sea una réplica.

  • La identidad principal debe tener habilitado Easy DKIM; no se pueden crear réplicas de identidades BYODKIM ni firmadas manualmente.

  • Las identidades principales no se pueden eliminar hasta que se eliminen todas las identidades de réplica.

Configuración de una identidad de réplica mediante DEED

En esta sección se proporcionan ejemplos que muestran cómo crear y verificar una identidad de réplica mediante DEED, junto con los permisos necesarios.

Creación de una identidad de réplica

Cómo crear una identidad de réplica:

  1. En el Región de AWS lugar donde desee crear una identidad de réplica, abra la consola de SES en https://console.aws.amazon.com/ses/.

    (En la consola de SES, las identidades de réplica se denominan identidades globales).

  2. En el panel de navegación, seleccione Identidades.

  3. Elija Create identity (Crear identidad).

  4. Seleccione Dominio en Tipo de identidad e introduzca el nombre de dominio de una identidad existente configurada con Easy DKIM que desee replicar y que sirva como principal.

  5. Amplíe Configuración avanzada de DKIM y seleccione Deterministic Easy DKIM.

  6. En el menú desplegable Región principal, seleccione una región principal en la que resida una identidad firmada por Easy DKIM con el mismo nombre que introdujo para su identidad global (réplica). (La región de réplica es la región con la que ha iniciado sesión en la consola de SES forma predeterminada).

  7. Asegúrese de que estén habilitadas las Firmas de DKIM.

  8. (Opcional) Agregue una o varias Etiquetas a la identidad de su dominio.

  9. Revise la configuración y elija Crear identidad.

Uso de AWS CLI:

Para crear una identidad de réplica basada en una identidad principal configurada con Easy DKIM, debe especificar el nombre de dominio principal, la región donde desee crear la identidad de réplica y la región de firma de DKIM principal, como se muestra en este ejemplo:

aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'

En el ejemplo anterior:

  1. example.comSustitúyala por la identidad del dominio principal que se está replicando.

  2. us-west-2Sustitúyala por la región en la que se creará la identidad del dominio de réplica.

  3. AWS_SES_US_EAST_1Sustitúyala por la región de firma DKIM principal, que represente su configuración de firma de Easy DKIM, que se replicará en la identidad de la réplica.

    nota

    El AWS_SES_ prefijo indica que DKIM se configuró para la identidad principal mediante Easy DKIM y US_EAST_1 es el lugar donde se creó. Región de AWS

Verificación de la configuración de la identidad de réplica

Tras crear la identidad de réplica, puede comprobar que se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal.

Cómo verificar una identidad de réplica:

  1. En el Región de AWS lugar donde creó la identidad de la réplica, abra la consola de SES en. https://console.aws.amazon.com/ses/

  2. En el panel de navegación, elija Identidades y seleccione la identidad que desee verificar en la tabla Identidades.

  3. En la pestaña Autenticación, el campo Configuración de DKIM indicará el estado y el campo Región principal indicará la región que se utiliza para la configuración de firma de DKIM de la identidad mediante DEED.

Uso de AWS CLI:

Use el comando get-email-identity que especifica el nombre de dominio y la región de la réplica:

aws sesv2 get-email-identity --email-identity example.com --region us-west-2

La respuesta incluirá el valor de la región principal en el parámetro SigningAttributesOrigin, lo que significa que la identidad de réplica se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal:

{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}

Permisos necesarios para usar DEED

Para utilizar DEED, necesita:

  1. Permisos estándar para crear identidades de correo electrónico en la región de réplica.

  2. Permiso para replicar la clave de firma DKIM de la región principal.

Política de IAM de ejemplo para la replicación de DKIM

La siguiente política permite la replicación de claves de firma de DKIM desde una identidad principal a regiones de réplica específicas:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-west-2", "eu-west-1"]
        }
      }
    }
  ]
}

Prácticas recomendadas

A continuación se indican las prácticas recomendadas para utilizar:

  • Planifique las regiones principales y de réplica: tenga en cuenta la región principal que elija, ya que será la fuente de información sobre la configuración de DKIM utilizada en las regiones de réplica.

  • Utilice políticas de IAM coherentes: asegúrese de que sus políticas de IAM permitan la replicación del DKIM en todas las regiones previstas.

  • Mantenga activas las identidades principales: recuerde que las identidades de réplica heredan la configuración de firma de DKIM de la identidad principal. Debido a esta dependencia, no puede eliminar una identidad principal hasta que se eliminen todas las identidades de réplica.

Resolución de problemas

Si tiene problemas con DEED, tenga en cuenta lo siguiente:

  • Errores de verificación: asegúrese de que tiene los permisos de necesarios para la replicación de DKIM.

  • Retrasos en la replicación: espere un tiempo para que se complete la replicación, especialmente al crear nuevas identidades de réplica.

  • Problemas de DNS: compruebe que los registros de DNS de la identidad principal estén configurados y propagados correctamente.