Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación de correo electrónico con DKIM en Amazon SES
DomainKeys Identified Mail (DKIM) es un estándar de seguridad de correo electrónico diseñado para asegurarse de que un correo electrónico que supuestamente procede de un dominio específico haya sido autorizado por el propietario de dicho dominio. Este estándar utiliza criptografía de clave pública para firmar un correo electrónico con una clave privada. Los servidores destinatarios pueden utilizar una clave pública publicada en el DNS de un dominio para verificar que partes del correo electrónico no se hayan modificado durante el tránsito.
Las firmas DKIM son opcionales. Puede decidir firmar sus correos electrónicos con una firma DKIM para mejorar la capacidad de entrega con proveedores de correo electrónico conformes con DKIM. Amazon SES le ofrece dos opciones para firmar sus mensajes con una firma DKIM:
-
Easy DKIM: SES genera un par de claves pública-privada y agrega automáticamente una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte Easy DKIM en Amazon SES.
-
BYODKIM (Utilice su propio DKIM): puede proporcionar su propio par de claves pública-privada y SES agrega una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES.
-
Agregar manualmente una firma de DKIM: puede agregar la firma de DKIM propia al correo electrónico que envíe con la API
SendRawEmail
, consulte Firma DKIM manual en Amazon SES.
Longitud de clave de firma de DKIM
Dado que muchos proveedores de DNS ahora admiten totalmente el cifrado RSA DKIM de 2048 bits, Amazon SES también admite DKIM 2048 para permitir una autenticación más segura de los correos electrónicos y, por lo tanto, la utiliza como longitud de clave predeterminada al configurar Easy DKIM desde la API o la consola. También puede configurar y utilizar las claves de 2048 bits con el método de uso de su propio DKIM (BYODKIM), donde la longitud de la clave de firma debe ser de al menos 1024 bits y no superior a 2048 bits.
Por razones de seguridad capacidad de entrega del correo electrónico, cuando se configura con Easy DKIM, podrá utilizar las longitudes de clave de 1024 y 2048 bits junto y dispondrá de flexibilidad para volver a utilizar la longitud de 1024 bits en caso de problemas con cualquier proveedor de DNS que todavía no admita la longitud de 2048 bits. Cuando cree una nueva identidad, esta se creará con DKIM 2048 de forma predeterminada, a menos que especifique la longitud de 1024 bits.
Para preservar la capacidad de entrega del correo electrónico en tránsito, existen restricciones sobre la frecuencia con la que puede cambiar la longitud de la clave DKIM. Entre las restricciones se incluyen las siguientes:
-
No se puede cambiar a la misma longitud de clave que ya está configurada.
-
No se puede cambiar a una longitud de clave diferente más de una vez en un período de 24 horas (a menos que sea la primera actualización a 1024 en dicho período).
Cuando el correo electrónico está en tránsito, el DNS utiliza su clave pública para autenticar el correo electrónico; por lo tanto, si cambia las claves con demasiada rapidez o frecuencia, es posible que el DNS no pueda autenticar con DKIM el correo electrónico, ya que es posible que la clave anterior ya esté invalidada. Estas restricciones evitan este problema.
Consideraciones de DKIM
Cuando se utiliza DKIM para autenticar el correo electrónico, se aplican las reglas siguientes:
-
Solo tiene que configurar DKIM para el dominio que utiliza en la dirección “From” (Remitente). No es necesario que configure DKIM para los dominios que utiliza en “Return-Path” (Ruta de devolución) o en la dirección “Reply-to” (Responder a).
-
Amazon SES está disponible en distintas regiones de AWS. Si utiliza más de una región de AWS para enviar un correo electrónico, tiene que completar el proceso de configuración de DKIM en cada una de esas regiones para garantizar que todos sus correos electrónicos se firmen con DKIM.
-
Ya que las propiedades DKIM se heredan del dominio principal, cuando se verifica un dominio con autenticación DKIM:
-
La autenticación DKIM también se aplicará a todos los subdominios de ese dominio.
-
La configuración de DKIM para un subdominio puede anular la configuración del dominio principal al desactivar la herencia si no desea que el subdominio utilice la autenticación DKIM, así como la posibilidad de volver a habilitarla posteriormente.
-
-
La autenticación DKIM también se aplicará a todo el correo electrónico enviado desde una identidad de correo electrónico que haga referencia al dominio verificado por DKIM en su dirección.
-
La configuración de DKIM para una dirección de correo electrónico puede anular la configuración del subdominio (si procede) y del dominio principal, al desactivar la herencia si desea enviar correo sin autenticación DKIM, así como la posibilidad de volver a habilitarla más adelante.
-
-
Descripción de las propiedades de firma DKIM heredadas
Es importante entender en primer lugar que una identidad de dirección de correo electrónico hereda sus propiedades de firma DKIM de su dominio principal si ese dominio se configuró con DKIM, independientemente de si se utilizó Easy DKIM o BYODKIM. Por lo tanto, la desactivación o habilitación de la firma DKIM en la identidad de la dirección de correo electrónico anula las propiedades de firma DKIM del dominio, con base en los siguientes hechos clave:
-
Si ya ha configurado DKIM para el dominio al que pertenece la dirección de correo electrónico, no es necesario que también configure la firma DKIM para la dirección de correo electrónico.
-
A la hora de configurar DKIM para un dominio, Amazon SES autentica automáticamente cada correo electrónico de cada dirección en ese dominio mediante las propiedades DKIM heredadas del dominio principal.
-
-
La configuración de DKIM para una identidad de dirección de correo electrónico específica anula automáticamente las configuraciones del dominio principal o subdominio (si corresponde) al que pertenece la dirección.
Dado que las propiedades de firma DKIM de la identidad de la dirección de correo electrónico se heredan del dominio principal, si planea anular estas propiedades, debe tener en cuenta las reglas jerárquicas de anulación, tal como se explica en la tabla siguiente.
El dominio principal no tiene habilitada la firma DKIM | El dominio principal tiene habilitada la firma DKIM |
---|---|
No se puede habilitar la firma DKIM en la identidad de la dirección de correo electrónico. |
Puede desactivar la firma DKIM en la identidad de la dirección de correo electrónico. |
Puede volver a habilitar la firma DKIM en la identidad de la dirección de correo electrónico. |
Por lo general, nunca se recomienda desactivar la firma DKIM, ya que podría perjudicar la reputación del remitente y aumenta el riesgo de que el correo enviado vaya a carpetas de correo no deseado o spam o que suplanten el dominio.
Sin embargo, existe la capacidad de anular las propiedades de firma DKIM heredadas del dominio en una identidad de dirección de correo electrónico para cualquier caso de uso concreto o decisión empresarial subyacente en las que tenga que desactivar de forma permanente o temporal la firma DKIM, o volver a habilitarla más adelante. Consulte Sustituir la identidad de inicio de DKIM sesión heredada en una dirección de correo electrónico.