Solução de problemas do DKIM no Amazon SES - Amazon Simple Email Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas do DKIM no Amazon SES

Esta seção lista alguns dos problemas que você pode encontrar ao configurar a autenticação DKIM no Amazon SES. Se você tentar configurar o DKIM e encontrar problemas, veja as possíveis causas e soluções abaixo.

Você configurou o DKIM com êxito, mas suas mensagens não estão sendo assinadas pelo DKIM

Se você usou o Easy DKIM ou o BYODKIM para configurar o DKIM de um domínio, mas as mensagens enviadas não estiverem assinadas pelo DKIM, faça o seguinte:

  • Certifique-se de que o DKIM esteja habilitado para a identidade apropriada. Para habilitar o DKIM para uma identidade no console do Amazon SES, escolha o domínio de e-mail na lista Identities (Identidades). Na página de detalhes domínio, expanda DKIM e escolha Enable (Habilitar) para habilitar o DKIM.

  • Certifique-se de que você não está enviando mensagens de um endereço de e-mail verificado no mesmo domínio. Se você configurar o DKIM para um domínio, todas as mensagens enviadas desse domínio serão assinadas pelo DKIM, exceto os endereços de e-mail que você verificou individualmente. Os endereços de e-mail verificados individualmente usam configurações separadas. Por exemplo, se você configurou o DKIM para o domínio example.com e verificou separadamente o endereço de e-mail mary@example.com (mas não configurou o DKIM para o endereço), os e-mails enviados de mary@example.com são enviados sem a autenticação DKIM. Para resolver esse problema, exclua a identidade do endereço de e-mail da lista de identidades da conta.

  • Se você utiliza a mesma identidade em mais de uma região da AWS, é preciso configurar o DKIM para cada região separadamente. Da mesma forma, se utiliza o mesmo domínio com mais de uma conta da AWS, é necessário configurar o DKIM para cada conta. Se você remover os registros DNS necessários para uma região ou conta específica, o Amazon SES desabilitará a assinatura DKIM para essa região ou conta. Se a assinatura DKIM ficar desabilitada, o Amazon SES enviará uma notificação por e-mail para você.

Os detalhes do DKIM do seu domínio no console do Amazon SES mostram DKIM: waiting on sender verification... (DKIM: aguardando a verificação do remetente...) Status de verificação do DKIM: verificação pendente.

Se você seguiu os procedimentos em Easy DKIM ou BYODKIM - Bring Your Own DKIM (Traga seu próprio DKIM) para configurar DKIM para um domínio, mas o console do Amazon SES ainda indica que a verificação do DKIM está pendente, faça o seguinte:

  • Aguarde até 72 horas. Em casos raros, pode haver uma demora para que os registros DNS se tornem visíveis para o Amazon SES.

  • Confirme se o registro CNAME (para Easy DKIM) ou o registro TXT (para BYODKIM) usa o nome correto. Alguns provedores de DNS anexam automaticamente o nome do domínio aos registros que você cria. Por exemplo, se você criar um registro com um nome de example._domainkey.example.com, seu provedor DNS poderá adicionar o nome do domínio ao final dessa sequência de caracteres, resultando em example._domainkey.example.com.example.com. Para obter mais informações, consulte a documentação do seu provedor de DNS.

Você recebeu um e-mail do Amazon SES dizendo que sua configuração do DKIM foi (ou será) revogada.

Isso significa que o Amazon SES não pode mais encontrar os registros CNAME necessários (se você usou Easy DKIM) ou o registro TXT necessário (se você usou BYODKIM) no servidor DNS. O e-mail de notificação informará a você o período em que você deve publicar novamente os registros DNS antes que o status de configuração do DKIM seja revogado e a assinatura do DKIM seja desabilitada. Caso sua configuração do DKIM seja revogada, você deverá reiniciar o procedimento de configuração do DKIM desde o início.

Ao tentar configurar o BYODKIM, o processo de verificação do DKIM falha.

Certifique-se de que sua chave privada tem o formato correto. A chave privada deve estar no formato PKCS #1 ou PKCS #8 e usar a criptografia RSA de 1.024 bits ou de 2.048 bits. Além disso, ela tem que ser codificada em Base64.

Durante a configuração do BYODKIM, você recebeu um erro BadRequestException ao tentar especificar uma chave pública para o domínio.

Se você recebeu um erro BadRequestException, faça o seguinte:

  • Certifique-se de que o seletor especificado para a chave pública contenha de 1 a 63 caracteres alfanuméricos. O seletor não pode incluir ponto final, outros símbolos ou pontuação.

  • Certifique-se de que você removeu as linhas de cabeçalho e rodapé e todas as quebras de linha da chave pública.

Ao usar o Easy DKIM, os servidores DNS retornam os registros de CNAME para DKIM do Amazon SES com sucesso, mas retornam SERVFAIL para o registro TXT de verificação do domínio.

O provedor DNS pode não conseguir redirecionar registros CNAME. Observe que o Amazon SES e os ISPs consultam registros TXT. Para estar em conformidade com a especificação DKIM, os servidores DNS precisam ser capazes de responder a consultas de registro TXT, bem como de registro CNAME. Se o provedor DNS não conseguir responder às consultas de registro TXT, uma alternativa é usar o Route 53 como provedor de hospedagem de DNS.

Seus e-mails contêm duas assinaturas DKIM

A assinatura DKIM adicional, que contém d=amazonses.com, é automaticamente adicionada pelo Amazon SES. Você pode ignorá-la.