Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autenticazione delle e-mail con DKIM in Amazon SES
<a name="send-email-authentication-dkim"></a>

*DomainKeys Identified Mail* (*DKIM*) è uno standard di sicurezza delle e-mail progettato per garantire che un'e-mail che afferma di provenire da un dominio specifico sia effettivamente autorizzata dal proprietario di quel dominio. Utilizza la crittografia a chiave pubblica per firmare un'e-mail con una chiave privata. I server destinatari possono quindi utilizzare una chiave pubblica pubblicata nel DNS di un dominio per verificare che le parti del messaggio di posta elettronica non siano state modificate durante il transito.

Le firme DKIM sono opzionali. Puoi decidere di firmare le tue e-mail utilizzando una firma DKIM per migliorare la capacità di recapitare i messaggi con gli ISP conformi allo standard DKIM. Amazon SES offre due opzioni per firmare i messaggi utilizzando una firma DKIM:
+ **Easy DKIM**: SES genera una coppia di chiavi pubblica-privata e aggiunge automaticamente una firma DKIM per ogni messaggio inviato da tale identità, consulta [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: consente di mantenere una firma DKIM coerente tra più utenti Regioni AWS creando identità di replica che ereditano automaticamente gli attributi di firma DKIM come identità principale che utilizza Easy DKIM, vedi. [Utilizzo di Deterministic Easy DKIM (DEED) in Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Bring Your Own DKIM)**: fornisci la tua coppia di chiavi pubblica-privata e SES aggiunge una firma DKIM per ogni messaggio inviato da tale identità, consulta [Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **Aggiunta manuale della firma DKIM**: aggiungi la tua firma DKIM a ogni e-mail che invii utilizzando l'API `SendRawEmail`, consulta [Firma DKIM manuale in Amazon SES](send-email-authentication-dkim-manual.md).

## Lunghezza della chiave di firma DKIM
<a name="send-email-authentication-dkim-1024-2048"></a>

Poiché molti provider DNS ora supportano completamente la crittografia DKIM a 2048 bit RSA, Amazon SES supporta anche DKIM 2048 per consentire un'autenticazione più sicura delle e-mail e, quindi, la utilizza come lunghezza predefinita della chiave quando configuri Easy DKIM dall'API o dalla console. Le chiavi a 2048 bit possono essere configurate e utilizzate in BYODKIM (Bring Your Own DKIM), in cui la lunghezza della chiave di firma deve essere di almeno 1024 bit e di massimo 2048 bit.

Per motivi di sicurezza e di recapitabilità della posta elettronica, in caso di configurazione con Easy DKIM, puoi scegliere di utilizzare le lunghezze di chiave a 1024 e 2048 bit insieme alla flessibilità di tornare a 1024 nel caso in cui ci siano problemi causati da provider DNS che ancora non supportano 2048. *Nella creazione di una nuova identità, questa verrà creata con DKIM 2048 per impostazione predefinita, a meno che non specifichi 1024.*

Per preservare la capacità di recapitare i messaggi di posta elettronica in transito, esistono restrizioni sulla frequenza con cui è possibile modificare la lunghezza della chiave DKIM. Le restrizioni includono le seguenti:
+ Non è possibile passare alla stessa lunghezza della chiave già configurata.
+ Non è possibile passare a una lunghezza di chiave diversa più di una volta in un periodo di 24 ore (a meno che non si tratti del primo downgrade a 1024 in quel periodo).

Quando la tua e-mail è in transito, DNS utilizza la tua chiave pubblica per autenticare la tua e-mail; pertanto, se cambi le chiavi troppo rapidamente o frequentemente, il DNS potrebbe non essere in grado di effettuare l'autenticazione DKIM della tua e-mail in quanto la chiave precedente potrebbe già essere invalidata, quindi queste restrizioni impediscono che ciò accada.

## Considerazioni su DKIM
<a name="send-email-authentication-dkim-easy-considerations"></a>

Quando utilizzi DKIM per autenticare il tuo indirizzo e-mail, vengono applicate le regole seguenti:
+ Devi configurare DKIM solo per il dominio che usi nel tuo indirizzo "Da". Non devi configurare DKIM per i domini che utilizzi negli indirizzi "Percorso di ritorno" o "Rispondi a".
+ Amazon SES è disponibile in diverse AWS regioni. Se utilizzi più di una regione AWS per l'invio di e-mail, devi completare il processo di configurazione di DKIM in ciascuna regione per assicurarti che tutte le tue e-mail siano provviste di firma DKIM.
+ Poiché le proprietà DKIM vengono ereditate dal dominio padre, quando effettui la verifica di un dominio con autenticazione DKIM:
  + L'autenticazione DKIM si applica anche a tutti i sottodomini di quel dominio.
    + Le impostazioni DKIM per un sottodominio consentono di sovrascrivere le impostazioni per il dominio padre, permettendo di disabilitare l'ereditarietà (se non desideri che il sottodominio utilizzi l'autenticazione DKIM) e di riabilitarla in un secondo momento.
  + L'autenticazione DKIM si applica anche a tutte le e-mail inviate da un'identità e-mail che fa riferimento al dominio verificato DKIM nel rispettivo indirizzo.
    + Le impostazioni DKIM per un indirizzo e-mail consentono di sovrascrivere le impostazioni per il sottodominio (se applicabile) e il dominio padre, permettendo di disabilitare l'ereditarietà (se desideri inviare e-mail senza l'autenticazione DKIM) e di riabilitarla in un secondo momento.

## Informazioni sulle proprietà della firma DKIM ereditate
<a name="dkim-easy-setup-email-key-points"></a>

È importante comprendere innanzitutto che un'identità di indirizzo e-mail eredita le proprietà della firma DKIM dal proprio dominio padre se quest'ultimo è stato configurato con DKIM, indipendentemente dal fatto che sia stato utilizzato Easy DKIM o BYODKIM. Pertanto, la disabilitazione o l'abilitazione della firma DKIM sull'identità dell'indirizzo e-mail, in effetti, sovrascrive le proprietà della firma DKIM del dominio in base a questi fattori chiave:
+ Se hai già configurato DKIM per il dominio a cui appartiene l'indirizzo e-mail, non è necessario abilitare la firma DKIM anche per l'identità dell'indirizzo e-mail.
  + Quando configuri DKIM per un dominio, Amazon SES esegue automaticamente l'autenticazione di ogni e-mail da ogni indirizzo di tale dominio, attraverso le proprietà DKIM ereditate per il dominio padre.
+ Le impostazioni DKIM per un'identità di indirizzo e-mail specifica *sovrascrivono automaticamente le impostazioni del dominio padre o del sottodominio (se applicabile)* cui l'indirizzo appartiene.

Poiché le proprietà della firma DKIM dell'identità dell'indirizzo e-mail vengono ereditate dal dominio padre, se prevedi di sovrascriverle, devi tenere presente le regole gerarchiche di sovrascrittura, come spiegato nella tabella seguente.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim.html)

In genere non è consigliabile disabilitare la firma DKIM, in quanto rischia di compromettere la reputazione del mittente e aumenta il rischio che la posta inviata venga trasferita nelle cartelle della posta indesiderata o dello spam o che il dominio venga falsificato.

Tuttavia, esiste la possibilità di sovrascrivere le proprietà della firma DKIM ereditate dal dominio sull'identità di un indirizzo e-mail per eventuali casi d'uso particolari o decisioni aziendali esterne per cui sia necessario disabilitare in modo permanente o temporaneo la firma DKIM o abilitarla nuovamente in un secondo momento. Per informazioni, consulta [Sovrascrittura della firma DKIM ereditata su un'identità di indirizzo e-mail](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).

# Easy DKIM in Amazon SES
<a name="send-email-authentication-dkim-easy"></a>

Quando imposti Easy DKIM per un'identità di dominio, Amazon SES aggiunge automaticamente una chiave DKIM a 2048 bit per ogni e-mail che invii da quell'identità. Puoi configurare Easy DKIM usando la console Amazon SES oppure usando l'API.

**Nota**  
Per configurare Easy DKIM, devi modificare le impostazioni DNS per il tuo dominio. Se utilizzi Route 53 come provider di DNS, Amazon SES è in grado di creare automaticamente i registri appropriati per te. Se utilizzi un altro provider di DNS, consulta la documentazione del provider per ulteriori informazioni sulla modifica delle impostazioni DNS per il tuo dominio.

**avvertimento**  
Se attualmente è abilitato BYODKIM e stai passando a Easy DKIM, tieni presente che Amazon SES non utilizzerà BYODKIM per firmare le tue e-mail mentre Easy DKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare Easy DKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con BYODKIM abilitato e quindi eliminarlo una volta superata la verifica Easy DKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.

## Configurazione di Easy DKIM per un'identità di dominio verificata
<a name="send-email-authentication-dkim-easy-setup-domain"></a>

La procedura di questa sezione è semplificata per mostrare solo i passaggi necessari per configurare Easy DKIM su un'identità di dominio che hai già creato. Se non hai ancora creato un'identità del dominio o vuoi visualizzare tutte le opzioni disponibili per personalizzare l'identità di un dominio, ad esempio l'utilizzo di un set di configurazione predefinito, del dominio MAIL FROM personalizzato e dei tag, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure). 

Parte della creazione di un'identità di dominio Easy DKIM consiste nella configurazione della verifica basata su DKIM, in cui avrai la possibilità di accettare il valore predefinito di Amazon SES di 2.048 bit o di modificarlo selezionando 1.024 bit. Consulta [Lunghezza della chiave di firma DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) per ulteriori informazioni sulla lunghezza delle chiavi di firma DKIM e su come modificarle.

**Configurazione di Easy DKIM per un dominio**

1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**

1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type** (Tipo di identità) è *Domain* (Dominio).
**Nota**  
Per creare o verificare un dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).

1. **Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli Modifica.**

1. Nel container **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli il pulsante **Easy DKIM** nel campo **Identity type** (Tipo di identità).

1. Nel campo **DKIM signing key length** (Lunghezza chiave di firma DKIM), scegli [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).

1. Nel campo **DKIM signatures** (Firme DKIM), seleziona la casella **Enabled** (Abilitate).

1. Scegli **Save changes** (Salva modifiche).

1. Ora che hai configurato la tua identità di dominio con Easy DKIM, devi completare il processo di verifica con il tuo provider DNS: a tale scopo, vvai su [Verifica dell'identità di un dominio DKIM con il provider DNS](creating-identities.md#just-verify-domain-proc) e segui le procedure di autenticazione DNS per Easy DKIM.

## Modifica della lunghezza della chiave di firma DKIM Easy per un'identità
<a name="send-email-authentication-dkim-easy-managing-change-key-length"></a>

La procedura descritta in questa sezione mostra come modificare facilmente i bit DKIM Easy necessari per l'algoritmo di firma. Mentre una lunghezza di firma di 2048 bit è sempre preferibile per la protezione avanzata che offre, potrebbero verificarsi situazioni che richiedono l'utilizzo della lunghezza di 1024 bit, ad esempio la necessità di utilizzare un provider DNS che supporta solo DKIM 1024.

Per preservare la capacità di recapitare i messaggi di posta elettronica in transito, esistono restrizioni sulla frequenza con cui è possibile modificare o ripristinare la lunghezza della chiave DKIM.

Quando la tua e-mail è in transito, DNS utilizza la tua chiave pubblica per autenticare la tua e-mail; pertanto, se cambi le chiavi troppo rapidamente o frequentemente, il DNS potrebbe non essere in grado di effettuare l'autenticazione DKIM della tua e-mail in quanto la chiave precedente potrebbe già essere invalidata, quindi le seguenti restrizioni impediscono che ciò accada:
+ Non puoi passare alla stessa lunghezza della chiave già configurata.
+ Non è possibile passare a una lunghezza di chiave diversa più di una volta in un periodo di 24 ore (a meno che non si tratti del primo downgrade a 1024 in quel periodo).

Utilizzando le procedure seguenti per modificare la lunghezza della chiave, se violi una di queste restrizioni, la console restituirà un banner di errore che indica che *l'input fornito non è valido*, insieme al motivo per cui non è valido.

**Modifica dei bit di lunghezza della chiave di firma DKIM**

1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco di identità, scegli l'identità per la quale desideri modificare la lunghezza della chiave di firma Easy DKIM.

1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.

1. Nel container **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) nel campo **DKIM signing key length** (Lunghezza della chiave di firma DKIM).

1. Scegli **Save changes (Salva modifiche)**.

# Utilizzo di Deterministic Easy DKIM (DEED) in Amazon SES
<a name="send-email-authentication-dkim-deed"></a>

Deterministic Easy DKIM (DEED) offre una soluzione per la gestione delle configurazioni DKIM su più configurazioni. Regioni AWS Semplificando la gestione DNS e garantendo una firma DKIM coerente, DEED consente di semplificare le operazioni di invio di e-mail in più regioni mantenendo al contempo solide pratiche di autenticazione e-mail.

## Che cos'è Deterministic Easy DKIM (DEED)?
<a name="what-is-deed"></a>

[Deterministic Easy DKIM (DEED) è una funzionalità che genera token DKIM coerenti in tutto in Regioni AWS base a un dominio principale configurato con Easy DKIM.](send-email-authentication-dkim-easy.md) Ciò consente di replicare identità diverse Regioni AWS che ereditano e mantengono automaticamente la stessa configurazione di firma DKIM di un'identità principale attualmente configurata con Easy DKIM. Con DEED, è sufficiente pubblicare i record DNS una sola volta per l'identità principale e le identità di replica utilizzeranno gli stessi record DNS per verificare la proprietà del dominio e gestire la firma DKIM.

Semplificando la gestione DNS e garantendo una firma DKIM coerente, DEED consente di semplificare le operazioni di invio di e-mail in più regioni mantenendo al contempo le migliori pratiche di autenticazione e-mail.

Terminologia utilizzata quando si parla di DEED:
+ **Identità principale: un'identità** verificata configurata con Easy DKIM che funge da origine per la configurazione DKIM per un'identità di replica.
+ Identità di **replica: una copia di un'identità** principale che condivide la stessa configurazione DNS e la stessa configurazione di firma DKIM.
+ **Regione principale**: la posizione Regione AWS in cui è configurata l'identità principale.
+ **Regione di replica**: Regione AWS luogo in cui è configurata un'identità di replica.
+ **Identità DEED**: qualsiasi identità utilizzata come identità principale o identità di replica. (Quando viene creata una nuova identità, questa viene inizialmente considerata come un'identità normale (non DEED). Tuttavia, una volta creata una replica, l'identità viene quindi considerata un'identità DEED.)

I vantaggi principali dell'utilizzo di DEED includono:
+ **Gestione DNS semplificata**: pubblica i record DNS una sola volta per l'identità principale.
+ **Operazioni più semplici in più regioni**: semplifica il processo di espansione delle operazioni di invio di e-mail a nuove regioni.
+ **Sovraccarico amministrativo ridotto**: gestisci le configurazioni DKIM centralmente dall'identità principale.

## Come funziona Deterministic Easy DKIM (DEED)
<a name="how-deed-works"></a>

Quando crei un'identità di replica, Amazon SES replica automaticamente la chiave di firma DKIM dall'identità principale all'identità di replica. Qualsiasi successiva rotazione della chiave DKIM o modifica della lunghezza della chiave apportata all'identità principale viene propagata automaticamente a tutte le identità di replica.

Il processo prevede il seguente flusso di lavoro:

1. Crea un'identità principale Regione AWS utilizzando Easy DKIM.

1. Imposta i record DNS richiesti per l'identità principale.

1. Crea identità di replica in altro Regioni AWS, specificando il nome di dominio dell'identità principale e la regione di firma DKIM.

1. Amazon SES replica automaticamente la configurazione DKIM del genitore nelle identità di replica.

Considerazioni importanti:
+ Non è possibile creare una replica di un'identità che è già una replica.
+ L'identità principale deve avere [Easy DKIM](send-email-authentication-dkim-easy.md) abilitato: non è possibile creare repliche di BYODKIM o identità firmate manualmente.
+ Le identità principali non possono essere eliminate finché non vengono eliminate tutte le identità di replica.

## Configurazione di un'identità di replica utilizzando DEED
<a name="setting-up-replica-identity"></a>

Questa sezione fornirà esempi che mostrano come creare e verificare un'identità di replica utilizzando DEED insieme alle autorizzazioni necessarie richieste.

**Topics**
+ [Creazione di un'identità di replica](#creating-replica-identity)
+ [Verifica della configurazione dell'identità della replica](#verifying-replica-identity)
+ [Autorizzazioni richieste per utilizzare DEED](#required-permissions)

### Creazione di un'identità di replica
<a name="creating-replica-identity"></a>

Per creare un'identità di replica:

1. Nel Regione AWS punto in cui desideri creare un'identità di replica, apri la console SES all'indirizzo. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)

   (Nella console SES, le identità di replica vengono chiamate identità *globali*.)

1. **Nel riquadro di navigazione, scegli Identità.**

1. Scegli **Crea identità**.

1. Seleziona **Dominio** in **Tipo di identità** e inserisci il nome di dominio di un'identità esistente configurata con Easy DKIM che desideri replicare e fungere da genitore.

1. Espandi **le impostazioni DKIM avanzate** e seleziona **Deterministic** Easy DKIM.

1. Dal menu a discesa **Regione principale**, seleziona una regione principale in cui risiede un'identità firmata da Easy DKIM con lo stesso nome inserito per l'identità globale (replica). (Per impostazione predefinita, la regione di replica è la regione con cui hai effettuato l'accesso alla console SES).

1. Assicurati che le firme **DKIM** siano abilitate.

1. (Facoltativo) Aggiungi uno o più **tag all'identità** del tuo dominio.

1. Controlla la configurazione e scegli **Crea identità**.

Utilizzando AWS CLI:

Per creare un'identità di replica basata su un'identità principale configurata con Easy DKIM, è necessario specificare il nome di dominio del genitore, la regione in cui si desidera creare l'identità di replica e la regione di firma DKIM del genitore, come mostrato in questo esempio:

```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```

Nell'esempio precedente:

1. Sostituisci *example.com* con l'identità del dominio principale da replicare.

1. Sostituisci *us-west-2* con la regione in cui verrà creata l'identità del dominio di replica.

1. Sostituiscila *AWS\$1SES\$1US\$1EAST\$11* con la regione di firma DKIM del genitore che rappresenta la relativa configurazione di firma Easy DKIM che verrà replicata nell'identità di replica.
**Nota**  
Il `AWS_SES_` prefisso indica che DKIM è stato configurato per l'identità principale utilizzando Easy DKIM ed `US_EAST_1` è il punto in cui è stato creato. Regione AWS 

### Verifica della configurazione dell'identità della replica
<a name="verifying-replica-identity"></a>

Dopo aver creato l'identità di replica, puoi verificare che sia stata configurata correttamente con la configurazione di firma DKIM dell'identità principale.

**Per verificare l'identità di una replica:**

1. Nel punto in Regione AWS cui hai creato l'identità di replica, apri la console SES all'indirizzo. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)

1. Nel riquadro di navigazione, scegli **Identità** e seleziona l'identità che desideri verificare dalla tabella **Identità**.

1. Nella scheda **Autenticazione**, il campo di **configurazione DKIM** indicherà lo stato e il campo **Regione principale indicherà la regione** utilizzata per la configurazione della firma DKIM dell'identità utilizzando DEED.

Utilizzando: AWS CLI

Usa il `get-email-identity` comando che specifica il nome di dominio e la regione della replica:

```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```

La risposta includerà il valore della regione principale nel `SigningAttributesOrigin` parametro che indica che l'identità della replica è stata configurata correttamente con la configurazione di firma DKIM dell'identità principale:

```
{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}
```

### Autorizzazioni richieste per utilizzare DEED
<a name="required-permissions"></a>

Per utilizzare DEED, è necessario:

1. Autorizzazioni standard per la creazione di identità e-mail nell'area di replica.

1. Autorizzazione a replicare la chiave di firma DKIM dalla regione principale.

#### Esempio di policy IAM per la replica DKIM
<a name="example-iam-policy"></a>

La seguente politica consente la replica delle chiavi di firma DKIM da un'identità principale a regioni di replica specificate:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-east-1", "us-east-1"]
        }
      }
    }
  ]
}
```

------

## Best practice
<a name="deed-best-practices"></a>

Sono consigliate le seguenti procedure consigliate:
+ **Pianifica le aree principale e di replica**: prendi in considerazione l'area principale che scegli, poiché sarà la fonte di riferimento per la configurazione DKIM utilizzata nelle aree di replica.
+ **Utilizza policy IAM coerenti: assicurati che le** tue policy IAM consentano la replica DKIM in tutte le regioni previste.
+ **Mantieni attive le identità principali**: ricorda che le identità di replica ereditano la configurazione di firma DKIM dell'identità principale. A causa di questa dipendenza, non puoi eliminare un'identità principale finché non vengono eliminate tutte le identità di replica.

## Risoluzione dei problemi
<a name="troubleshooting"></a>

Se riscontri problemi con DEED, considera quanto segue:
+ **Errori di verifica**: assicurati di disporre delle autorizzazioni necessarie per la replica DKIM.
+ **Ritardi nella replica**: il completamento della replica richiede un po' di tempo, soprattutto quando si creano nuove identità di replica.
+ **Problemi DNS**: verifica che i record DNS per l'identità principale siano configurati e propagati correttamente.

# Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES
<a name="send-email-authentication-dkim-bring-your-own"></a>

In alternativa all'utilizzo di [Easy DKIM](send-email-authentication-dkim-easy.md), è possibile configurare l'autenticazione DKIM utilizzando la propria coppia di chiavi pubblica-privata. Questo processo è noto come *Bring Your Own DKIM* (*BYODKIM*).

Con BYODKIM, è possibile utilizzare un singolo record DNS per configurare l'autenticazione DKIM per i domini, contrariamente a Easy DKIM, che richiede la pubblicazione di tre record DNS separati. Inoltre, l'utilizzo di BYODKIM consente di ruotare le chiavi DKIM per i domini tutte le volte che lo si desidera.

**Topics**
+ [Fase 1: creazione della coppia di chiavi](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)

**avvertimento**  
Se attualmente hai abilitato Easy DKIM e stai passando a BYODKIM, tieni presente che Amazon SES non utilizzerà Easy DKIM per firmare le tue e-mail mentre BYODKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare BYODKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con Easy DKIM abilitato e quindi eliminarlo una volta superata la verifica BYODKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.

## Fase 1: creazione della coppia di chiavi
<a name="send-email-authentication-dkim-bring-your-own-create-key-pair"></a>

Per utilizzare la funzione Bring Your Own DKIM, devi prima creare una coppia di chiavi RSA.

La chiave privata generata deve essere nel formato PKCS \$11 o PKCS \$18, utilizzare almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed essere codificata utilizzando la codifica base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulta [Lunghezza della chiave di firma DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) per ulteriori informazioni sulla lunghezza delle chiavi di firma DKIM e su come modificarle.

**Nota**  
È possibile utilizzare applicazioni e strumenti di terze parti per generare coppie di chiavi RSA a condizione che la chiave privata venga generata con almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed sia codificata usando la base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).

Nella procedura seguente, il codice di esempio che utilizza il comando `openssl genrsa` integrato nella maggior parte dei sistemi operativi Linux, macOS o Unix per creare la coppia di chiavi utilizzerà automaticamente la codifica base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).

**Creazione della coppia di chiavi dalla riga di comando Linux, macOS o Unix**

1. Nella riga di comando, inserisci il seguente comando per generare la chiave privata sostituendola *nnnn* con una lunghezza di bit di almeno 1024 e fino a 2048:

   ```
   openssl genrsa -f4 -out private.key nnnn
   ```

1. Nella riga di comando, immetti il comando seguente per generare la chiave pubblica:

   ```
   openssl rsa -in private.key -outform PEM -pubout -out public.key
   ```

## Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS
<a name="send-email-authentication-dkim-bring-your-own-update-dns"></a>

Una volta creata una coppia di chiavi, è necessario aggiungere la chiave pubblica alla configurazione DNS per il dominio come record TXT.

**Aggiunta della chiave pubblica alla configurazione DNS per il dominio**

1. Accedi alla console di gestione del provider DNS o di hosting.

1. Aggiunta di un record MX alla configurazione DNS per il dominio Il record deve utilizzare il seguente formato:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)

   In questo esempio, apporta le modifiche seguenti:
   + Sostituire *selector* con un nome univoco che identifichi la chiave.
**Nota**  
Alcuni provider di DNS non consentono di includere trattini di sottolineatura (\$1) nei nomi di record. Tuttavia, la sottolineatura nel nome di record DKIM è obbligatoria. Se il provider di DNS non consente di inserire un segno di sottolineatura nel nome del record, contatta il team di assistenza clienti del provider per ricevere assistenza.
   + *example.com*Sostituiscilo con il tuo dominio.
   + Sostituiscilo *yourPublicKey* con la chiave pubblica che hai creato in precedenza e includi il `p=` prefisso come mostrato nella colonna *Valore* precedente.
**Nota**  
Quando pubblichi (aggiungi) la chiave pubblica al tuo provider DNS, questa deve essere formattata come segue:  
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PUBLIC KEY-----` e `-----END PUBLIC KEY-----`, rispettivamente) della chiave pubblica generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave pubblica generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
È necessario includere il prefisso `p=` come mostrato nella colonna *Value* (Valore) nella tabella qui sopra.

   Diversi provider dispongono di procedure diverse per l'aggiornamento dei record DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il tuo provider DNS non è elencato, ciò non implica che tu non possa utilizzare il dominio con Amazon SES.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)

## Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity"></a>

È possibile impostare BYODKIM sia per i nuovi domini (ovvero i domini che attualmente non vengono utilizzati per inviare messaggi di posta elettronica tramite Amazon SES) che per quelli esistenti (ovvero i domini già configurati per l'utilizzo con Amazon SES) tramite al console o l' AWS CLI. Prima di utilizzare le AWS CLI procedure descritte in questa sezione, è necessario installare e configurare il AWS CLI. Per ulteriori informazioni, consulta la [Guida AWS Command Line Interface per l'utente](https://docs.aws.amazon.com/cli/latest/userguide/).

### Opzione 1: creazione di una nuova identità di dominio che utilizza BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-new-domain"></a>

Questa sezione contiene una procedura per la creazione di una nuova identità di dominio che utilizza BYODKIM. Una nuova identità di dominio è un dominio che non è stato configurato in precedenza per inviare messaggi di posta elettronica utilizzando Amazon SES.

Se desideri configurare un dominio esistente per utilizzare BYODKIM, completa invece la procedura in [Opzione 2: configurazione di un'identità di dominio esistente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain).

**Creazione di un'identità usando BYODKIM dalla console**
+ Segui le procedure indicate in [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure) e, quando arrivi al passaggio 8, segui le istruzioni specifiche per BYODKIM.

**Per creare un'identità utilizzando BYODKIM dal AWS CLI**

Per impostare un nuovo dominio, utilizza l'operazione `CreateEmailIdentity` nell'API Amazon SES.

1. Nell'editor, incollare il seguente codice:

   ```
   {
       "EmailIdentity":"example.com",
       "DkimSigningAttributes":{
           "DomainSigningPrivateKey":"privateKey",
           "DomainSigningSelector":"selector"
       }
   }
   ```

   In questo esempio, apporta le modifiche seguenti:
   + Sostituisci *example.com* con il dominio che desideri creare.
   + *privateKey*Sostituiscilo con la tua chiave privata.
**Nota**  
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
   + Sostituiscilo *selector* con il selettore univoco che hai specificato quando hai creato il record TXT nella configurazione DNS del tuo dominio.

   Al termine, salva il file come `create-identity.json`.

1. Nella riga di comando, inserisci il comando seguente:

   ```
   aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
   ```

   Nel comando precedente, sostituiscilo *path/to/create-identity.json* con il percorso completo del file creato nel passaggio precedente.

### Opzione 2: configurazione di un'identità di dominio esistente
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain"></a>

Questa sezione contiene le procedure per l'aggiornamento di un'identità di dominio esistente per l'utilizzo di BYODKIM. Un'identità di dominio esistente è un dominio già configurato per l'invio di messaggi di posta elettronica utilizzando Amazon SES.

**Aggiornamento di un'identità usando BYODKIM dalla console**

1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type** (Tipo di identità) è *Domain* (Dominio).
**Nota**  
Per creare o verificare un dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).

1. Nella scheda **Autenticazione**, nel riquadro **DomainKeys Identified Mail (DKIM)**, scegli **Modifica**.

1. Nel riquadro **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli il pulsante **Provide DKIM authentication token** (Fornisci token di autenticazione DKIM) nel campo **Identity type** (Tipo di identità).

1. Per **Private key** (Chiave privata) incolla la chiave privata generata in precedenza.
**Nota**  
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.

1. Per **Selector name** (Nome del selettore), indica il nome del selettore specificato nelle impostazioni DNS del dominio.

1. Nel campo **DKIM signatures** (Firme DKIM), seleziona la casella **Enabled** (Abilitate).

1. Scegli **Save changes** (Salva modifiche).

**Per aggiornare l'identità di un dominio utilizzando BYODKIM dal AWS CLI**

Per configurare un dominio esistente, utilizza l'operazione `PutEmailIdentityDkimSigningAttributes` nell'API Amazon SES.

1. Nell'editor, incollare il seguente codice:

   ```
   {
       "SigningAttributes":{
           "DomainSigningPrivateKey":"privateKey",
           "DomainSigningSelector":"selector"
       },
       "SigningAttributesOrigin":"EXTERNAL"
   }
   ```

   In questo esempio, apporta le modifiche seguenti:
   + Sostituiscila *privateKey* con la tua chiave privata.
**Nota**  
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
   + Sostituiscilo *selector* con il selettore univoco che hai specificato quando hai creato il record TXT nella configurazione DNS del tuo dominio.

   Al termine, salva il file come `update-identity.json`.

1. Nella riga di comando, inserisci il comando seguente:

   ```
   aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
   ```

   Nel comando precedente, apporta le modifiche seguenti:
   + Sostituiscilo *path/to/update-identity.json* con il percorso completo del file creato nel passaggio precedente.
   + Sostituiscilo *example.com* con il dominio che desideri aggiornare.

### Verifica dello stato DKIM per un dominio che utilizza BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-check"></a>

**Per verificare lo stato DKIM di un dominio dalla console**

Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare la console SES per confermare che DKIM sia configurato correttamente.

1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco di identità, scegli l'identità per la quale desideri verificare lo stato DKIM.

1. La propagazione delle modifiche alle impostazioni DNS può richiedere fino a 72 ore. La procedura di verifica è completata quando Amazon SES rileva tutti i registri DKIM richiesti nelle impostazioni DNS del dominio. Se tutto è stato configurato correttamente, nel campo di **configurazione DKIM** del dominio viene visualizzato Operato **correttamente** nel riquadro **DomainKeysIdentified Mail (DKIM)** e nel campo **Identity status** viene visualizzato **Verificato** nel **riquadro Riepilogo**.

**Per verificare lo stato DKIM di un dominio utilizzando il AWS CLI**

Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare l' GetEmailIdentityoperazione per verificare che DKIM sia configurato correttamente.
+ Nella riga di comando, inserisci il comando seguente:

  ```
  aws sesv2 get-email-identity --email-identity example.com
  ```

  Nel comando precedente, sostituiscilo con il tuo dominio. *example.com*

  Questo comando restituisce un oggetto JSON contenente una sezione analoga al seguente esempio.

  ```
  {
      ...
      "DkimAttributes": { 
          "SigningAttributesOrigin": "EXTERNAL",
          "SigningEnabled": true,
          "Status": "SUCCESS",
          "Tokens": [ ]
      },
      ...
  }
  ```

  Se tutte le condizioni seguenti sono vere, BYODKIM è configurato correttamente per il dominio:
  + Il valore della proprietà `SigningAttributesOrigin` è `EXTERNAL`.
  + Il valore di `SigningEnabled` è `true`.
  + Il valore di `Status` è `SUCCESS`.

# Gestione di Easy DKIM e BYODKIM
<a name="send-email-authentication-dkim-easy-managing"></a>

Sono disponibili due metodi per gestire le impostazioni di DKIM per le tue identità autenticate con Easy DKIM o BYODKIM: la console Amazon SES basata sul Web e l'API Amazon SES. Puoi usare uno di questi metodi per ottenere i registri DKIM per un'identità oppure per abilitare o disabilitare la firma DKIM per un'identità. 

## Ottenimento dei registri DKIM per un'identità
<a name="send-email-authentication-dkim-easy-managing-obtain-records"></a>

Puoi ottenere i registri DKIM per il tuo dominio o indirizzo e-mail in qualsiasi momento tramite la console Amazon SES.

**Ottenimento dei registri DKIM per un'identità tramite la console**

1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco delle identità, scegli quella per la quale desideri ottenere i registri DKIM.

1. Nella scheda **Authentication** (Autenticazione) della pagina di dettaglio delle identità, espandi **View DNS records** (Mostra record DNS).

1. Copia i tre registri CNAME (se hai utilizzato Easy DKIM) o il registro TXT (se hai usato BYODKIM) che appaiono in questa sezione. In alternativa, puoi scegliere **Download .csv record set** (Scarica il set di record .csv) per salvare una copia dei record sul tuo computer.

   L'immagine seguente mostra un esempio della sezione **View DNS records** (Mostra registri DNS) ampliata che rivela i registri CNAME associati a Easy DKIM.  
![\[\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/images/dkim_existing_dns.png)

Puoi inoltre ottenere i registri DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.

**Per ottenere i record DKIM per un'identità utilizzando il AWS CLI**

1. Nella riga di comando, digita il comando seguente:

   ```
   aws ses get-identity-dkim-attributes --identities "example.com"
   ```

   Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri ottenere i record DKIM. Puoi specificare un indirizzo e-mail o un dominio.

1. L'output di questo comando contiene una sezione `DkimTokens`, come nell'esempio seguente:

   ```
   {
       "DkimAttributes": {
           "example.com": {
               "DkimEnabled": true,
               "DkimVerificationStatus": "Success",
               "DkimTokens": [
                   "hirjd4exampled5477y22yd23ettobi",
                   "v3rnz522czcl46quexamplek3efo5o6x",
                   "y4examplexbhyhnsjcmtvzotfvqjmdqoj"
               ]
           }
       }
   }
   ```

   Puoi utilizzare i token per creare i record CNAME aggiunti alle impostazioni DNS per il tuo dominio. Per creare i record CNAME, utilizza il seguente modello:

   ```
   token1._domainkey.example.com CNAME token1.dkim.amazonses.com
   token2._domainkey.example.com CNAME token2.dkim.amazonses.com
   token3._domainkey.example.com CNAME token3.dkim.amazonses.com
   ```

   Sostituisci ogni istanza di *token1* con il primo token dell'elenco che hai ricevuto quando hai eseguito il `get-identity-dkim-attributes` comando, sostituisci tutte le istanze di *token2* con il secondo token dell'elenco e sostituisci tutte le istanze *token3* con il terzo token dell'elenco. 

   Ad esempio, applicando questo modello ai token mostrati nell'esempio precedente otterrai i seguenti record:

   ```
   hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
   v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
   y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
   ```

**Nota**  
Non tutte Regioni AWS utilizzano il dominio SES DKIM predefinito. `dkim.amazonses.com` Per vedere se la tua regione utilizza un dominio DKIM specifico della regione, consulta la tabella dei domini [DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) nel. *Riferimenti generali di AWS*

## Disabilitazione di Easy DKIM per un'identità
<a name="send-email-authentication-dkim-easy-managing-disabling"></a>

Puoi disabilitare in modo rapido l'autenticazione DKIM per un'identità utilizzando la console Amazon SES.

**Disabilitazione di DKIM per un'identità**

1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco delle identità, scegli l'identità per la quale desideri disabilitare DKIM.

1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.

1. In **Advanced DKIM settings (Impostazioni DKIM avanzate)**, deseleziona la casella **Enabled (Abilitate)** nel campo **DKIM signatures (Firme DKIM)**.

Puoi anche disabilitare DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.

**Per disabilitare DKIM per un'identità utilizzando il AWS CLI**
+ Nella riga di comando, digita il comando seguente:

  ```
  aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
  ```

  Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri disabilitare DKIM. Puoi specificare un indirizzo e-mail o un dominio.

## Abilitazione di Easy DKIM per un'identità
<a name="send-email-authentication-dkim-easy-managing-enabling"></a>

Se hai già disabilitato DKIM per un'identità, puoi abilitarlo di nuovo tramite la console Amazon SES.

**Abilitazione di DKIM per un'identità**

1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco di identità, scegli l'identità per la quale desideri abilitare DKIM.

1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.

1. In **Advanced DKIM settings** (Impostazioni avanzate di DKIM), seleziona la casella **Enabled** (Abilitate) nel campo **DKIM signatures** (Firme DKIM).

Puoi anche abilitare DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.

**Per abilitare DKIM per un'identità utilizzando il AWS CLI**
+ Nella riga di comando, digita il comando seguente:

  ```
  aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
  ```

  Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri abilitare DKIM. Puoi specificare un indirizzo e-mail o un dominio.

## Sovrascrittura della firma DKIM ereditata su un'identità di indirizzo e-mail
<a name="send-email-authentication-dkim-easy-setup-email"></a>

Questa sezione illustra come sovrascrivere (disabilitare o abilitare) le proprietà della firma DKIM ereditate dal dominio padre su un'identità di indirizzo e-mail specifica che hai già verificato con Amazon SES. Puoi eseguire questa operazione solo per le identità degli indirizzi e-mail appartenenti a domini già di tua proprietà, perché le impostazioni DNS sono configurate a livello di dominio. 

**Importante**  
Non puoi firmare tramite disable/enable DKIM le identità degli indirizzi e-mail...  
su domini che non sono di tua proprietà; Ad esempio, non puoi impostare la firma DKIM per un indirizzo *gmail.com* o *hotmail.com*
su domini di tua proprietà, ma che non sono ancora stati verificati in Amazon SES;
su domini di tua proprietà, ma su cui non hai abilitato la firma DKIM.

Questa sezione contiene i seguenti argomenti:
+ [Informazioni sulle proprietà della firma DKIM ereditate](#dkim-easy-setup-email-key-points-mng)
+ [Sovrascrittura della firma DKIM sull'identità di un indirizzo e-mail (console)](#override-dkim-email-console-mng)
+ [Sovrascrittura della firma DKIM su un'identità di indirizzo e-mail (AWS CLI)](#override-dkim-email-cli-mng)

### Informazioni sulle proprietà della firma DKIM ereditate
<a name="dkim-easy-setup-email-key-points-mng"></a>

È importante comprendere innanzitutto che un'identità di indirizzo e-mail eredita le proprietà della firma DKIM dal proprio dominio padre se quest'ultimo è stato configurato con DKIM, indipendentemente dal fatto che sia stato utilizzato Easy DKIM o BYODKIM. Pertanto, la disabilitazione o l'abilitazione della firma DKIM sull'identità dell'indirizzo e-mail, in effetti, sovrascrive le proprietà della firma DKIM del dominio in base a questi fattori chiave:
+ Se hai già configurato DKIM per il dominio a cui appartiene l'indirizzo e-mail, non è necessario abilitare la firma DKIM anche per l'identità dell'indirizzo e-mail.
  + Quando configuri DKIM per un dominio, Amazon SES esegue automaticamente l'autenticazione di ogni e-mail da ogni indirizzo di tale dominio, attraverso le proprietà DKIM ereditate per il dominio padre.
+ Le impostazioni DKIM per un'identità di indirizzo e-mail specifica *sovrascrivono automaticamente le impostazioni del dominio padre o del sottodominio (se applicabile)* cui l'indirizzo appartiene.

Poiché le proprietà della firma DKIM dell'identità dell'indirizzo e-mail vengono ereditate dal dominio padre, se prevedi di sovrascriverle, devi tenere presente le regole gerarchiche di sovrascrittura, come spiegato nella tabella seguente.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)

In genere non è consigliabile disabilitare la firma DKIM, in quanto rischia di compromettere la reputazione del mittente e aumenta il rischio che la posta inviata venga trasferita nelle cartelle della posta indesiderata o dello spam o che il dominio venga falsificato.

Tuttavia, esiste la possibilità di sovrascrivere le proprietà della firma DKIM ereditate dal dominio sull'identità di un indirizzo e-mail per eventuali casi d'uso particolari o decisioni aziendali esterne per cui sia necessario disabilitare in modo permanente o temporaneo la firma DKIM o abilitarla nuovamente in un secondo momento.

### Sovrascrittura della firma DKIM sull'identità di un indirizzo e-mail (console)
<a name="override-dkim-email-console-mng"></a>

La seguente procedura della console SES illustra come sovrascrivere (disabilitare o abilitare) le proprietà della firma DKIM ereditate dal dominio padre sull'identità di un indirizzo e-mail specifico che hai già verificato con Amazon SES.

**Alla firma disable/enable DKIM per l'identità di un indirizzo e-mail utilizzando la console**

1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).

1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type (Tipo di identità)** è *Email address (Indirizzo e-mail)* e appartiene a uno dei tuoi domini verificati.

1. Nella scheda **Autenticazione**, nel contenitore **DomainKeys Identified Mail (DKIM)**, scegli **Modifica**.
**Nota**  
La scheda **Authentication (Autenticazione)** è presente solo se l'identità dell'indirizzo e-mail selezionato appartiene a un dominio che è già stato verificato da SES. Se non hai ancora verificato il tuo dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).

1. In **Advanced DKIM settings (Impostazioni avanzate di DKIM)**, nel campo **DKIM signatures (Firme DKIM)**, deseleziona la casella di controllo **Enabled (Abilitata)** per disabilitare la firma DKIM o selezionarla per riabilitare la firma DKIM (se era stata sovrascritta in precedenza).

1. Scegli **Save changes** (Salva modifiche).

### Sovrascrittura della firma DKIM su un'identità di indirizzo e-mail (AWS CLI)
<a name="override-dkim-email-cli-mng"></a>

L'esempio seguente utilizza il comando e AWS CLI i parametri dell'API SES che sostituiranno (disabiliteranno o abiliteranno) le proprietà di firma DKIM ereditate dal dominio principale su un'identità di indirizzo e-mail specifica che hai già verificato con SES.

**Per firmare l'identità di un indirizzo e-mail tramite disable/enable DKIM utilizzando il AWS CLI**
+  Ipotizzando che tu possieda il dominio *example.com* e desideri disabilitare la firma DKIM per uno degli indirizzi e-mail del dominio, digita il comando seguente nella riga di comando:

  ```
  aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
  ```

  1. Sostituiscila *marketing@example.com* con l'identità dell'indirizzo e-mail per cui desideri disabilitare la firma DKIM.

  1. `--no-signing-enabled` disabilita la firma DKIM. Per riabilitare la firma DKIM, utilizza il comando `--signing-enabled`.

# Firma DKIM manuale in Amazon SES
<a name="send-email-authentication-dkim-manual"></a>

In alternativa all'utilizzo di Easy DKIM, puoi aggiungere manualmente firme DKIM per i tuoi messaggi e quindi inviare i messaggi utilizzando Amazon SES. Se scegli di firmare manualmente i tuoi messaggi, devi prima creare una firma DKIM. Dopo aver creato il messaggio e la firma DKIM, puoi utilizzare l'[SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html)API per inviarlo.

Se decidi di firmare manualmente la tua e-mail, considera i seguenti fattori:
+ Ogni messaggio inviato utilizzando Amazon SES contiene un'intestazione DKIM che fa riferimento a un dominio di firma di *amazonses.com*, il quale contiene la seguente stringa: `d=amazonses.com`. Se firmi manualmente i tuoi messaggi, tali messaggi dovranno includere *due* intestazioni DKIM: una per il tuo dominio e una che Amazon SES crea automaticamente per *amazonses.com*.
+ Amazon SES non convalida le firme DKIM aggiunte manualmente ai tuoi messaggi. In caso di errori con la firma DKIM in un messaggio, il medesimo potrebbe essere rifiutato dal provider di posta elettronica.
+ Quando firmi i tuoi messaggi, ti consigliamo di utilizzare una lunghezza di almeno 1024 bit. 
+ Non firmare i seguenti campi: ID messaggio, Data, Percorso di ritorno, Rinvia a.
**Nota**  
Se utilizzi un client e-mail per l'invio di e-mail utilizzando l'interfaccia SMTP Amazon SES, il client potrebbe eseguire automaticamente la firma DKIM dei tuoi messaggi. Alcuni client potrebbero firmare solo alcuni di questi campi. Consulta la documentazione relativa al tuo client e-mail per verificare quali campi vengono firmati per impostazione predefinita.