Autenticação de e-mail com DKIM no Amazon SES - Amazon Simple Email Service
Comprimento da chave de assinatura DKIMConsiderações sobre o DKIMCompreensão das propriedades da assinatura DKIM herdadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação de e-mail com DKIM no Amazon SES

DomainKeys O Identified Mail (DKIM) é um padrão de segurança de e-mail projetado para garantir que um e-mail que alega ter vindo de um domínio específico foi de fato autorizado pelo proprietário desse domínio. Ele usa criptografia de chave pública para assinar um e-mail com uma chave privada. Os servidores dos destinatários podem então usar uma chave pública publicada no DNS de um domínio para confirmar que partes do e-mail não foram modificadas durante o trânsito.

As assinaturas DKIM são opcionais. Você pode decidir assinar seu e-mail usando uma assinatura DKIM para aumentar a capacidade de entrega com os provedores de e-mail em conformidade com o DKIM. O Amazon SES fornece três opções para assinar suas mensagens usando uma assinatura DKIM:

  • Easy DKIM: o SES gera um par de chaves pública-privada e adiciona automaticamente uma assinatura DKIM a todas as mensagens enviadas dessa identidade, consulte Easy DKIM no Amazon SES.

  • Deterministic Easy DKIM (DEED): permite que você mantenha a assinatura consistente do DKIM em várias, Regiões da AWS criando identidades de réplica que herdam automaticamente os atributos de assinatura do DKIM como uma identidade principal que está usando o Easy DKIM, consulte. Usando o Deterministic Easy DKIM (DEED) no Amazon SES

  • BYODKIM (Traga seu próprio DKIM): você fornece seu próprio par de chaves pública-privada e o SES adiciona uma assinatura DKIM a todas as mensagens enviadas dessa identidade, consulte Fornecer seu próprio token de autenticação DKIM (BYODKIM) no Amazon SES.

  • Adicionar manualmente assinatura DKIM: você adiciona sua própria assinatura DKIM ao e-mail enviado usando a API SendRawEmail, consulte Assinatura DKIM manual no Amazon SES.

Comprimento da chave de assinatura DKIM

Como muitos provedores de DNS agora suportam totalmente a criptografia RSA DKIM de 2048 bits, o Amazon SES também suporta o DKIM 2048 para permitir uma autenticação mais segura de e-mails e, portanto, o usa como o comprimento de chave padrão quando você configura o Easy DKIM usando a API ou o console. As chaves de 2048 bits podem ser configuradas e usadas no Bring Your Own DKIM (BYODKIM) também, no qual o comprimento da chave de assinatura deve ser de, pelo menos, 1024 bits e de, no máximo, 2048 bits.

Por razões de segurança, e também da capacidade de entrega do seu e-mail, quando configurado com Easy DKIM, você tem a opção de usar comprimentos de chave de 1024 e 2048 bits, juntamente com a flexibilidade de reverter para 1024, caso existam problemas causados por algum provedor de DNS que ainda não suporte 2048. Quando você cria uma identidade, ela é criada com o DKIM 2048 por padrão, a menos que você especifique 1024.

Para preservar a capacidade de entrega dos e-mails em trânsito, há restrições sobre a frequência com que você pode alterar o comprimento da chave DKIM. As restrições incluem:

  • Não ser capaz de alternar para o mesmo comprimento de chave que já está configurado.

  • Não ser capaz de alternar para diferentes comprimentos de chave mais de uma vez em um período de 24 horas (a menos que seja a primeiro redução para 1024 nesse período).

Quando seu e-mail está em trânsito, o DNS está usando sua chave pública para autenticá-lo; portanto, se você alterar as chaves com muita rapidez ou frequência, o DNS pode não conseguir autenticar seu e-mail com DKIM, pois a chave anterior já pode estar invalidada, e essas restrições protegem contra isso.

Considerações sobre o DKIM

Ao usar o DKIM para autenticar seu e-mail, as seguintes regras serão aplicadas:

  • Você só precisa configurar o DKIM para o domínio que usa no seu endereço “From”. Você não precisa configurar o DKIM para domínios que usa em endereços “Return-Path” ou “Reply-to”.

  • O Amazon SES está disponível em várias AWS regiões. Se usar mais de uma região da AWS para enviar e-mails, é necessário concluir o processo de configuração do DKIM em cada uma dessas regiões para garantir que todos os seus e-mails sejam assinados pelo DKIM.

  • Como as propriedades DKIM são herdadas do domínio principal, quando você verifica um domínio com autenticação DKIM:

    • A autenticação DKIM também será aplicada a todos os subdomínios desse domínio.

      • As configurações DKIM para um subdomínio podem substituir as configurações do domínio principal ao desabilitar a herança se você não quiser que o subdomínio use a autenticação DKIM, bem como a capacidade de rehabilitar posteriormente.

    • A autenticação DKIM também será aplicada a todos os e-mails enviados de uma identidade de e-mail que faça referência em seu endereço ao domínio DKIM verificado.

      • As configurações DKIM para um endereço de e-mail podem substituir as configurações para o subdomínio (se for o caso) e o domínio principal ao desabilitar a herança se você quiser enviar e-mails sem autenticação DKIM, bem como a capacidade de rehabilitar posteriormente.

Compreensão das propriedades da assinatura DKIM herdadas

É importante primeiro entender que uma identidade de endereço de e-mail herdará suas propriedades de assinatura DKIM de seu domínio pai se esse domínio tiver sido configurado com DKIM, independentemente do Easy DKIM ou BYODKIM ter sido usado. Portanto, desabilitar ou habilitar a assinatura DKIM na identidade do endereço de e-mail está em vigor, substituindo as propriedades de assinatura DKIM do domínio com base nesses fatos principais:

  • Se você já configurou o DKIM para o domínio ao qual um endereço de e-mail pertence, também não precisa habilitar a assinatura DKIM para a identidade do endereço de e-mail.

    • Quando você configura o DKIM para um domínio, o Amazon SES autentica automaticamente todos os e-mails de todos os endereços nesse domínio por meio de propriedades DKIM herdadas do domínio pai.

  • As configurações do DKIM para um endereço de e-mail específico automaticamente substituem as configurações para o domínio ou subdomínio (se aplicável) pai ao qual o endereço pertence.

Como as propriedades de assinatura DKIM da identidade de endereço de e-mail são herdadas do domínio pai, se você estiver planejando substituir essas propriedades, deverá ter em mente as regras hierárquicas de substituição, conforme explicado na tabela abaixo.

O domínio pai não tem assinatura DKIM habilitada O domínio pai tem assinatura DKIM habilitada

Você não pode habilitar a assinatura DKIM na identidade do endereço de e-mail.

 Você não pode desabilitar a assinatura DKIM na identidade do endereço de e-mail.
Você não pode reabilitar a assinatura DKIM na identidade do endereço de e-mail.

Geralmente, nunca é recomendável desabilitar sua assinatura DKIM, pois há o risco da reputação do remetente ser prejudicada e do e-mail enviado terminar em pastas de lixo eletrônico ou spam, além da possibilidade do seu domínio ser falsificado.

No entanto, existe a capacidade de substituir as propriedades de assinatura DKIM herdadas por domínio em uma identidade de endereço de e-mail para qualquer caso de uso específico ou decisão comercial remota que você possa ter que desabilitar permanentemente ou temporariamente a assinatura DKIM ou reabilitá-la posteriormente. Consulte Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail.