Usar o Easy DKIM determinístico (DEED) no Amazon SES - Amazon Simple Email Service
O que é DEED?Como funciona o DEEDConfigurar uma identidade de réplicaPráticas recomendadasSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o Easy DKIM determinístico (DEED) no Amazon SES

O Deterministic Easy DKIM (DEED) oferece uma solução para gerenciar configurações de DKIM em várias. Regiões da AWS Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo práticas robustas de autenticação de e-mails.

O que é Easy DKIM determinístico (DEED)?

O Deterministic Easy DKIM (DEED) é um recurso que gera tokens DKIM consistentes em todos, Regiões da AWS com base em um domínio principal configurado com o Easy DKIM. Isso permite replicar identidades diferentes Regiões da AWS que herdam e mantêm automaticamente a mesma configuração de assinatura DKIM de uma identidade principal que está atualmente configurada com o Easy DKIM. Com o DEED, você só precisa publicar registros DNS uma vez para a identidade principal, e as identidades de réplica usarão os mesmos registros DNS para verificar a propriedade do domínio e gerenciar a assinatura DKIM.

Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo as práticas recomendadas de autenticação de e-mails.

Terminologia usada ao falar sobre o DEED:

  • Identidade principal: uma identidade verificada configurada com o Easy DKIM que serve como origem da configuração do DKIM para uma identidade de réplica.

  • Identidade de réplica: uma cópia de uma identidade principal que compartilha a mesma configuração DNS e a mesma configuração de assinatura DKIM.

  • Região principal: a Região da AWS em que a identidade principal é configurada.

  • Região de réplica: a Região da AWS em que uma identidade de réplica é configurada.

  • Identidade DEED: qualquer identidade usada como identidade principal ou de réplica. Quando uma identidade é criada, ela é inicialmente tratada como uma identidade normal (não DEED). No entanto, depois que uma réplica é criada, a identidade passa a ser considerada uma identidade DEED.

Os principais benefícios de usar o DEED incluem:

  • Gerenciamento simplificado de DNS: publique registros DNS somente uma vez para a identidade principal.

  • Operações multirregionais facilitadas: simplifique o processo de expansão das operações de envio de e-mails para novas regiões.

  • Redução da sobrecarga administrativa: gerencie as configurações DKIM centralmente por meio da identidade principal.

Como funciona o Easy DKIM determinístico (DEED)

Quando você cria uma identidade de réplica, o Amazon SES replica automaticamente a chave de assinatura DKIM da identidade principal para a identidade da réplica. Quaisquer rotações de chave do DKIM subsequentes ou alterações no comprimento de chave feitas na identidade principal são propagadas automaticamente para todas as identidades de réplica.

O processo inclui o seguinte fluxo:

  1. Crie uma identidade principal Região da AWS usando o Easy DKIM.

  2. Configure os registros DNS necessários para a identidade principal.

  3. Crie identidades de réplica em outras Regiões da AWS, especificando o nome de domínio da identidade principal e a região de assinatura do DKIM.

  4. O Amazon SES replica automaticamente a configuração DKIM da identidade principal para as réplicas.

Considerações importantes:

  • Não é possível criar uma réplica de uma identidade que já é uma réplica.

  • A identidade principal deve ter o Easy DKIM habilitado, então não é possível criar réplicas de identidades BYODKIM ou assinadas manualmente.

  • As identidades principais não podem ser excluídas até que todas as identidades de réplica sejam excluídas.

Configurar uma identidade de réplica usando o DEED

Esta seção fornecerá exemplos que mostram como criar e verificar uma identidade de réplica usando o DEED junto com as permissões necessárias.

Criar uma identidade de réplica

Para criar uma identidade de réplica:

  1. No Região da AWS local em que você deseja criar uma identidade de réplica, abra o console do SES em https://console.aws.amazon.com/ses/.

    (No console do SES, as identidades de réplica são chamadas de Identidades globais.)

  2. No painel de navegação, escolha Identidades.

  3. Escolha Create identity (Criar identidade).

  4. Selecione Domínio em Tipo de identidade e insira o nome de domínio de uma identidade existente configurada com o Easy DKIM que você deseja replicar e tratar como principal.

  5. Expanda Configurações avançadas do DKIM e selecione Easy DKIM determinístico.

  6. No menu suspenso Região principal, selecione uma região principal na qual resida uma identidade assinada pelo Easy DKIM com o mesmo nome que você inseriu para sua identidade global (réplica). (Sua região de réplica é padronizada como a região em que você se conectou ao console do SES.)

  7. Habilite a opção Assinaturas DKIM.

  8. (Opcional) Adicione uma ou mais Etiquetas à identidade do seu domínio.

  9. Revise a configuração e selecione Criar identidade.

Usando o AWS CLI:

Para criar uma identidade de réplica com base em uma identidade principal configurada com o Easy DKIM, é necessário especificar o nome de domínio da identidade principal, a região em que deseja criar a identidade de réplica e a região de assinatura DKIM da identidade principal, conforme mostrado neste exemplo:

aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'

No exemplo anterior:

  1. example.comSubstitua pela identidade do domínio principal que está sendo replicada.

  2. us-west-2Substitua pela região em que a identidade do domínio de réplica será criada.

  3. AWS_SES_US_EAST_1Substitua pela região de assinatura DKIM do pai, que representa sua configuração de assinatura Easy DKIM, que será replicada para a identidade da réplica.

    nota

    O AWS_SES_ prefixo indica que o DKIM foi configurado para a identidade principal usando o Easy DKIM e US_EAST_1 é Região da AWS onde ele foi criado.

Verificar a configuração de identidades de réplica

Depois de criar a identidade de réplica, é possível verificar se ela foi configurada corretamente com a configuração de assinatura DKIM da identidade principal.

Para verificar identidade de réplica:

  1. No Região da AWS local em que você criou a identidade da réplica, abra o console do SES em https://console.aws.amazon.com/ses/.

  2. No painel de navegação, escolha Identidades e selecione a identidade que deseja verificar na tabela Identidades.

  3. Na guia Autenticação, o campo Configuração do DKIM indicará o status e o campo Região principal indicará a região que está sendo usada para a configuração de assinatura DKIM da identidade utilizando o DEED.

Usando o AWS CLI:

Use o comando get-email-identity especificando o nome de domínio e a região da réplica:

aws sesv2 get-email-identity --email-identity example.com --region us-west-2

A resposta incluirá o valor da região principal no parâmetro SigningAttributesOrigin, significando que a identidade de réplica foi configurada com êxito com a configuração de assinatura DKIM da identidade principal:

{
  "DkimAttributes": {
    "SigningAttributesOrigin": "AWS_SES_US_EAST_1"
  }
}

Permissões necessárias para usar o DEED

Para usar o DEED, você precisa de:

  1. Permissões padrão para criar identidades de e-mail na região de réplica.

  2. Permissão para replicar a chave de assinatura DKIM da região principal.

Exemplo de política do IAM para replicação do DKIM

A política a seguir permite a replicação da chave de assinatura DKIM de uma identidade principal para regiões de réplica especificadas:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowDKIMReplication",
      "Effect": "Allow",
      "Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
      "Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
      "Condition": {
        "ForAllValues:StringEquals": {
           "ses:ReplicaRegion": ["us-west-2", "eu-west-1"]
        }
      }
    }
  ]
}

Práticas recomendadas

As seguintes práticas são recomendadas:

  • Planeje suas regiões principal e de réplica: pense na região principal que deseja escolher, pois ela será a fonte da verdade para a configuração DKIM usada nas regiões de réplica.

  • Use políticas do IAM consistentes: garanta que suas políticas do IAM permitam a replicação do DKIM em todas as regiões pretendidas.

  • Mantenha as identidades principais ativas: lembre-se de que suas identidades de réplica herdam a configuração de assinatura DKIM da identidade principal. Devido a essa dependência, você não pode excluir uma identidade principal até que todas as identidades de réplica sejam excluídas.

Solução de problemas

Se você encontrar problemas com o DEED, considere o seguinte:

  • Erros de verificação: garanta que você tem as permissões necessárias para a replicação do DKIM.

  • Atrasos na replicação: aguarde algum tempo para que a replicação seja concluída, principalmente ao criar identidades de réplica.

  • Problemas de DNS: verifique se os registros DNS da identidade principal estão configurados e propagados corretamente.