Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de identidades en Amazon SES
Amazon Simple Email Service (Amazon SES) utiliza el Simple Mail Transfer Protocol (SMTP) para enviar correo electrónico. Dado que SMTP no ofrece por sí solo ninguna autenticación, los spammers pueden enviar mensajes de correo electrónico que afirmen proceder de otra persona, ocultando así su verdadero origen. Mediante la falsificación de encabezados de correo electrónico y la suplantación de direcciones IP de origen, los spammers pueden engañar a los destinatarios diciéndoles que los mensajes de correo electrónico que están recibiendo son auténticos.
La mayoría de los ISP que reenvían tráfico de correo electrónico adoptan medidas a fin de evaluar si el correo electrónico es legítimo. Una de las medidas que adoptan los ISP consiste en determinar si un correo electrónico está *autenticado*. La autenticación requiere que los remitentes verifiquen que son el propietario de la cuenta desde la que están enviando el correo. En algunos casos, los ISP rechazan reenviar el correo electrónico que no está autenticado. Para garantizar una capacidad de entrega óptima, le recomendamos que autentique su correo electrónico.
En las siguientes secciones, se describen dos mecanismos de autenticación que utilizan los ISP, el marco de políticas de remitentes (SPF) y DomainKeys Identified Mail (DKIM), asimismo se ofrecen instrucciones sobre cómo usar estos estándares con Amazon SES.
+ Para obtener más información acerca de SPF, que proporciona una forma de rastrear un mensaje de correo electrónico hasta el sistema desde el que se envió, consulte [Autenticación de correo electrónico con SPF en Amazon SES](send-email-authentication-spf.md).
+ Para obtener más información acerca de DKIM, una norma que le permite firmar los mensajes de correo electrónico para mostrar a los ISP que sus mensajes son legítimos y no han sido modificados en tránsito, consulte [Autenticación de correo electrónico con DKIM en Amazon SES](send-email-authentication-dkim.md).
+ Para obtener información sobre cómo cumplir con Domain-based Message Authentication, Reporting and Conformance (DMARC), que se basa en SPF y DKIM, consulte [Cumplimiento del protocolo de autenticación DMARC en Amazon SES](send-email-authentication-dmarc.md).
# Métodos de autenticación del correo electrónico
Amazon Simple Email Service (Amazon SES) utiliza el Simple Mail Transfer Protocol (SMTP) para enviar correo electrónico. Dado que SMTP no ofrece por sí solo ninguna autenticación, los spammers pueden enviar mensajes de correo electrónico que declaren proceder de otra persona, ocultando así su verdadero origen. Mediante la falsificación de encabezados de correo electrónico y la suplantación de direcciones IP de origen, los spammers pueden engañar a los destinatarios diciéndoles que los mensajes de correo electrónico que están recibiendo son auténticos.
La mayoría de los ISP que reenvían tráfico de correo electrónico adoptan medidas a fin de evaluar si el correo electrónico es legítimo. Una de las medidas que adoptan los ISP consiste en determinar si un correo electrónico está autenticado. La autenticación requiere que los remitentes verifiquen que son el propietario de la cuenta desde la que están enviando el correo. En algunos casos, los ISP rechazan reenviar el correo electrónico que no está autenticado. Para garantizar una capacidad de entrega óptima, le recomendamos que autentique su correo electrónico.
**Topics**
+ [Autenticación de correo electrónico con DKIM en Amazon SES](send-email-authentication-dkim.md)
+ [Autenticación de correo electrónico con SPF en Amazon SES](send-email-authentication-spf.md)
+ [Uso de un dominio MAIL FROM personalizado](mail-from.md)
+ [Cumplimiento del protocolo de autenticación DMARC en Amazon SES](send-email-authentication-dmarc.md)
+ [Uso de BIMI en Amazon SES](send-email-authentication-bimi.md)
# Autenticación de correo electrónico con DKIM en Amazon SES
DomainKeys El *correo identificado* (*DKIM*) es un estándar de seguridad de correo electrónico diseñado para garantizar que un correo electrónico que afirma provenir de un dominio específico esté autorizado por el propietario de ese dominio. Este estándar utiliza criptografía de clave pública para firmar un correo electrónico con una clave privada. Los servidores destinatarios pueden utilizar una clave pública publicada en el DNS de un dominio para verificar que partes del correo electrónico no se hayan modificado durante el tránsito.
Las firmas DKIM son opcionales. Puede decidir firmar sus correos electrónicos con una firma DKIM para mejorar la capacidad de entrega con proveedores de correo electrónico conformes con DKIM. Amazon SES le ofrece dos opciones para firmar sus mensajes con una firma DKIM:
+ **Easy DKIM**: SES genera un par de claves pública-privada y agrega automáticamente una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte [Easy DKIM en Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: permite mantener un registro DKIM uniforme en varios tipos de dominios Regiones de AWS mediante la creación de réplicas de identidades que heredan automáticamente los atributos de firma del DKIM como identidad principal que utiliza Easy DKIM, consulte. [Uso de Deterministic Easy DKIM (DEED) en Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Utilice su propio DKIM)**: puede proporcionar su propio par de claves pública-privada y SES agrega una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte [Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **Agregar manualmente una firma de DKIM**: puede agregar la firma de DKIM propia al correo electrónico que envíe con la API `SendRawEmail`, consulte [Firma DKIM manual en Amazon SES](send-email-authentication-dkim-manual.md).
## Longitud de clave de firma de DKIM
Dado que muchos proveedores de DNS ahora admiten totalmente el cifrado RSA DKIM de 2048 bits, Amazon SES también admite DKIM 2048 para permitir una autenticación más segura de los correos electrónicos y, por lo tanto, la utiliza como longitud de clave predeterminada al configurar Easy DKIM desde la API o la consola. También puede configurar y utilizar las claves de 2048 bits con el método de uso de su propio DKIM (BYODKIM), donde la longitud de la clave de firma debe ser de al menos 1024 bits y no superior a 2048 bits.
Por razones de seguridad capacidad de entrega del correo electrónico, cuando se configura con Easy DKIM, podrá utilizar las longitudes de clave de 1024 y 2048 bits junto y dispondrá de flexibilidad para volver a utilizar la longitud de 1024 bits en caso de problemas con cualquier proveedor de DNS que todavía no admita la longitud de 2048 bits. *Cuando cree una nueva identidad, esta se creará con DKIM 2048 de forma predeterminada, a menos que especifique la longitud de 1024 bits.*
Para preservar la capacidad de entrega del correo electrónico en tránsito, existen restricciones sobre la frecuencia con la que puede cambiar la longitud de la clave DKIM. Entre las restricciones se incluyen las siguientes:
+ No se puede cambiar a la misma longitud de clave que ya está configurada.
+ No se puede cambiar a una longitud de clave diferente más de una vez en un período de 24 horas (a menos que sea la primera actualización a 1024 en dicho período).
Cuando el correo electrónico está en tránsito, el DNS utiliza su clave pública para autenticar el correo electrónico; por lo tanto, si cambia las claves con demasiada rapidez o frecuencia, es posible que el DNS no pueda autenticar con DKIM el correo electrónico, ya que es posible que la clave anterior ya esté invalidada. Estas restricciones evitan este problema.
## Consideraciones de DKIM
Cuando se utiliza DKIM para autenticar el correo electrónico, se aplican las reglas siguientes:
+ Solo tiene que configurar DKIM para el dominio que utiliza en la dirección “From” (Remitente). No es necesario que configure DKIM para los dominios que utiliza en “Return-Path” (Ruta de devolución) o en la dirección “Reply-to” (Responder a).
+ Amazon SES está disponible en varias AWS regiones. Si utiliza más de una región de AWS para enviar un correo electrónico, tiene que completar el proceso de configuración de DKIM en cada una de esas regiones para garantizar que todos sus correos electrónicos se firmen con DKIM.
+ Ya que las propiedades DKIM se heredan del dominio principal, cuando se verifica un dominio con autenticación DKIM:
+ La autenticación DKIM también se aplicará a todos los subdominios de ese dominio.
+ La configuración de DKIM para un subdominio puede anular la configuración del dominio principal al desactivar la herencia si no desea que el subdominio utilice la autenticación DKIM, así como la posibilidad de volver a habilitarla posteriormente.
+ La autenticación DKIM también se aplicará a todo el correo electrónico enviado desde una identidad de correo electrónico que haga referencia al dominio verificado por DKIM en su dirección.
+ La configuración de DKIM para una dirección de correo electrónico puede anular la configuración del subdominio (si procede) y del dominio principal, al desactivar la herencia si desea enviar correo sin autenticación DKIM, así como la posibilidad de volver a habilitarla más adelante.
## Descripción de las propiedades de firma DKIM heredadas
Es importante entender en primer lugar que una identidad de dirección de correo electrónico hereda sus propiedades de firma DKIM de su dominio principal si ese dominio se configuró con DKIM, independientemente de si se utilizó Easy DKIM o BYODKIM. Por lo tanto, la desactivación o habilitación de la firma DKIM en la identidad de la dirección de correo electrónico anula las propiedades de firma DKIM del dominio, con base en los siguientes hechos clave:
+ Si ya ha configurado DKIM para el dominio al que pertenece la dirección de correo electrónico, no es necesario que también configure la firma DKIM para la dirección de correo electrónico.
+ A la hora de configurar DKIM para un dominio, Amazon SES autentica automáticamente cada correo electrónico de cada dirección en ese dominio mediante las propiedades DKIM heredadas del dominio principal.
+ La configuración de DKIM para una identidad de dirección de correo electrónico específica *anula automáticamente las configuraciones del dominio principal o subdominio (si corresponde)* al que pertenece la dirección.
Dado que las propiedades de firma DKIM de la identidad de la dirección de correo electrónico se heredan del dominio principal, si planea anular estas propiedades, debe tener en cuenta las reglas jerárquicas de anulación, tal como se explica en la tabla siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim.html)
Por lo general, nunca se recomienda desactivar la firma DKIM, ya que podría perjudicar la reputación del remitente y aumenta el riesgo de que el correo enviado vaya a carpetas de correo no deseado o spam o que suplanten el dominio.
Sin embargo, existe la capacidad de anular las propiedades de firma DKIM heredadas del dominio en una identidad de dirección de correo electrónico para cualquier caso de uso concreto o decisión empresarial subyacente en las que tenga que desactivar de forma permanente o temporal la firma DKIM, o volver a habilitarla más adelante. Consulte [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM en Amazon SES
A la hora de configurar Easy DKIM para una identidad de dominio, Amazon SES agrega automáticamente una clave DKIM de 2048 bits a cada correo electrónico que envíe desde dicha identidad. Puede configurar Easy DKIM mediante la consola de Amazon SES o mediante la API.
**nota**
Para configurar Easy DKIM, es necesario modificar la configuración de DNS del dominio. Si utiliza Route 53 como su proveedor de DNS, Amazon SES puede crear automáticamente los registros adecuados para usted. Si utiliza otro proveedor de DNS, consulte la documentación del proveedor para obtener más información sobre cómo cambiar la configuración de DNS de su dominio.
**aviso**
Si actualmente tiene BYODKIM habilitado y está haciendo la transición a Easy DKIM, tenga en cuenta que Amazon SES no utilizará BYODKIM para firmar los correos electrónicos mientras se está configurando Easy DKIM y el estado de DKIM esté pendiente. Desde el momento en que realiza la llamada para habilitar Easy DKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con BYODKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de Easy DKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
## Cómo configurar Easy DKIM para una identidad de dominio verificada
El procedimiento de esta sección es más simple y sólo muestra los pasos necesarios para configurar Easy DKIM en una identidad de dominio que ya creó. Si aun no ha creado una identidad de dominio o quiere ver todas las opciones disponibles de personalización de una identidad de dominio, como el uso de un conjunto de configuración predeterminado, un dominio MAIL FROM personalizado y etiquetas, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
Parte de la creación de una identidad de dominio Easy DKIM consiste en configurar su verificación basada en DKIM, en la que tendrá la opción de aceptar el valor predeterminado de Amazon SES de 2048 bits o de sobrescribir el valor predeterminado seleccionando la opción de 1024 bits. Consulte [Longitud de clave de firma de DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.
**Para configurara Easy DKIM para un dominio**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En la lista de identidades, elija una identidad en la que el **Identity type (Tipo de identidad)**sea *Domain (Dominio)*.
**nota**
Si necesita crear o verificar un dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el contenedor **Configuración avanzada de DKIM**, elija el botón **Easy DKIM** en el campo **Tipo de identidad**.
1. En el campo **DKIM signing key length (Longitud de clave de firma de DKIM)**, elija [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).
1. En el campo **DKIM signatures (Firmas DKIM)**, active la casilla **Enabled (Habilitada)**.
1. Seleccione **Save changes (Guardar cambios)**.
1. Ahora que ha configurado la identidad de dominio con Easy DKIM, debe completar el proceso de verificación con el proveedor de DNS; continuar con [Verificación de una identidad de dominio DKIM con el proveedor de DNS](creating-identities.md#just-verify-domain-proc) y seguir los procedimientos de autenticación de DNS para Easy DKIM.
## Cambiar la longitud de la clave de firma Easy DKIM para una identidad
El procedimiento que se describe en esta sección muestra cómo puede cambiar fácilmente los bits de Easy DKIM necesarios para el algoritmo de firma. Aunque siempre es preferible utilizar una longitud de firma de 2048 bits por la mayor seguridad que proporciona, puede haber situaciones que requieran utilizar la longitud de 1024 bits, como, por ejemplo, cuando tenga que utilizar un proveedor de DNS que solo admita DKIM 1024.
Para preservar la capacidad de entrega del correo electrónico en tránsito, existen restricciones sobre la frecuencia con la que puede cambiar o intercambiar la longitud de la clave DKIM.
Cuando el correo electrónico está en tránsito, el DNS utiliza su clave pública para autenticar el correo electrónico; por lo tanto, si cambia las claves con demasiada rapidez o frecuencia, es posible que el DNS no pueda autenticar con DKIM el correo electrónico, ya que es posible que la clave anterior ya esté invalidada. Las restricciones que se describen a continuación evitan este problema:
+ No se puede cambiar a la misma longitud de clave que la que ya está configurada.
+ No se puede cambiar a una longitud de clave diferente más de una vez en un período de 24 horas (a menos que sea la primera actualización a 1024 en dicho período).
Al utilizar los siguientes procedimientos para cambiar la longitud de la clave, si infringe una de estas restricciones, la consola mostrará un banner de error para indicar que *la entrada que proporcionó no es válida* junto con la razón de por qué no era válida.
**Para cambiar los bits de longitud de clave de firma DKIM**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration (Configuración)**, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija la identidad para la que desea cambiar la longitud de clave de firma DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el contenedor **Configuración avanzada de DKIM**, elija entre [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) en el campo **Longitud de clave de firma DKIM**.
1. Seleccione **Save changes (Guardar cambios)**.
# Uso de Deterministic Easy DKIM (DEED) en Amazon SES
Deterministic Easy DKIM (DEED) ofrece una solución para gestionar múltiples configuraciones de DKIM. Regiones de AWS Al simplificar la administración del DNS y garantizar una firma de DKIM coherente, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, a mantener prácticas sólidas de autenticación del correo electrónico.
## ¿Qué es Deterministic Easy DKIM (DEED)?
[El Easy DKIM (DEED) determinista es una función que genera tokens DKIM consistentes en todos los dominios a Regiones de AWS partir de un dominio principal configurado con Easy DKIM.](send-email-authentication-dkim-easy.md) Esto le permite replicar identidades diferentes Regiones de AWS que hereden y mantengan automáticamente la misma configuración de firma de DKIM que una identidad principal que esté configurada actualmente con Easy DKIM. Con DEED, solo necesita publicar los registros de DNS una vez para la identidad principal, y las identidades de réplica utilizarán los mismos registros de DNS para verificar la propiedad del dominio y administrar la firma de DKIM.
Al simplificar la administración del DNS y garantizar una firma DKIM uniforme, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, mantener las prácticas recomendadas de autenticación del correo electrónico.
Terminología utilizada para hablar de DEED:
+ **Identidad principal**: identidad verificada configurada con Easy DKIM que sirve de fuente en la configuración de DKIM para una identidad de réplica.
+ **Identidad de réplica**: copia de una identidad principal que comparte la misma configuración de DNS y la misma configuración de firma de DKIM.
+ **Región principal**: Región de AWS en la que se configura la identidad principal.
+ **Región de réplica**: Región de AWS en la que se configura una identidad de réplica.
+ **Identidad DEED**: cualquier identidad que se utilice como identidad principal o identidad de réplica. (Cuando se crea una nueva identidad, inicialmente se trata como una identidad normal (no DEED). Sin embargo, una vez que se crea una réplica, la identidad se considera una identidad de DEED.)
Los principales beneficios de utilizar DEED son:
+ **Administración de DNS simplificada**: publique los registros de DNS solo una vez para la identidad principal.
+ **Operaciones multirregionales más sencillas**: simplifique el proceso de expansión de las operaciones de envío de correo electrónico a nuevas regiones.
+ **Reducción de gastos administrativos**: administre las configuraciones de DKIM de forma centralizada desde la identidad principal.
## Cómo funciona Deterministic Easy DKIM (DEED)
Al crear una identidad de réplica, Amazon SES replica automáticamente la clave de firma DKIM de la identidad principal a la identidad de réplica. Cualquier rotación posterior de la clave de DKIM o cualquier cambio en la longitud de la clave que se realice en la identidad principal se propagan automáticamente a todas las identidades de réplica.
El proceso consta del flujo de trabajo siguiente:
1. Cree una identidad principal en un Easy DKIM mediante el Región de AWS uso de Easy DKIM.
1. Configure los registros de DNS necesarios para la identidad principal.
1. Cree réplicas de identidades en otras Regiones de AWS, especificando el nombre de dominio de la identidad principal y la región de firma del DKIM.
1. Amazon SES replica automáticamente la configuración de DKIM principal en las identidades de réplica.
Consideraciones importantes:
+ No puede crear una réplica de una identidad que ya sea una réplica.
+ La identidad principal debe tener habilitado [Easy DKIM](send-email-authentication-dkim-easy.md); no se pueden crear réplicas de identidades BYODKIM ni firmadas manualmente.
+ Las identidades principales no se pueden eliminar hasta que se eliminen todas las identidades de réplica.
## Configuración de una identidad de réplica mediante DEED
En esta sección se proporcionan ejemplos que muestran cómo crear y verificar una identidad de réplica mediante DEED, junto con los permisos necesarios.
**Topics**
+ [Creación de una identidad de réplica](#creating-replica-identity)
+ [Verificación de la configuración de la identidad de réplica](#verifying-replica-identity)
+ [Permisos necesarios para usar DEED](#required-permissions)
### Creación de una identidad de réplica
Cómo crear una identidad de réplica:
1. En el Región de AWS lugar donde desee crear una identidad de réplica, abra la consola de SES en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(En la consola de SES, las identidades de réplica se denominan *identidades globales*).
1. En el panel de navegación, seleccione **Identidades**.
1. Elija **Create identity (Crear identidad)**.
1. Seleccione **Dominio** en **Tipo de identidad** e introduzca el nombre de dominio de una identidad existente configurada con Easy DKIM que desee replicar y que sirva como principal.
1. Amplíe **Configuración avanzada de DKIM** y seleccione **Deterministic Easy DKIM**.
1. En el menú desplegable **Región principal**, seleccione una región principal en la que resida una identidad firmada por Easy DKIM con el mismo nombre que introdujo para su identidad global (réplica). (La región de réplica es la región con la que ha iniciado sesión en la consola de SES forma predeterminada).
1. Asegúrese de que estén habilitadas las **Firmas de DKIM**.
1. (Opcional) Agregue una o varias **Etiquetas** a la identidad de su dominio.
1. Revise la configuración y elija **Crear identidad**.
Usando AWS CLI:
Para crear una identidad de réplica basada en una identidad principal configurada con Easy DKIM, debe especificar el nombre de dominio principal, la región donde desee crear la identidad de réplica y la región de firma de DKIM principal, como se muestra en este ejemplo:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
En el ejemplo anterior:
1. *example.com*Sustitúyala por la identidad del dominio principal que se está replicando.
1. *us-west-2*Sustitúyala por la región en la que se creará la identidad del dominio de réplica.
1. *AWS\$1SES\$1US\$1EAST\$11*Sustitúyala por la región de firma DKIM principal, que represente su configuración de firma de Easy DKIM, que se replicará en la identidad de la réplica.
**nota**
El `AWS_SES_` prefijo indica que DKIM se configuró para la identidad principal mediante Easy DKIM y `US_EAST_1` es el lugar donde se creó. Región de AWS
### Verificación de la configuración de la identidad de réplica
Tras crear la identidad de réplica, puede comprobar que se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal.
**Cómo verificar una identidad de réplica:**
1. En el Región de AWS lugar donde creó la identidad de la réplica, abra la consola de SES en. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
1. En el panel de navegación, elija **Identidades** y seleccione la identidad que desee verificar en la tabla **Identidades**.
1. En la pestaña **Autenticación**, el campo **Configuración de DKIM** indicará el estado y el campo **Región principal** indicará la región que se utiliza para la configuración de firma de DKIM de la identidad mediante DEED.
Usando AWS CLI:
Use el comando `get-email-identity` que especifica el nombre de dominio y la región de la réplica:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
La respuesta incluirá el valor de la región principal en el parámetro `SigningAttributesOrigin`, lo que significa que la identidad de réplica se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Permisos necesarios para usar DEED
Para utilizar DEED, necesita:
1. Permisos estándar para crear identidades de correo electrónico en la región de réplica.
1. Permiso para replicar la clave de firma DKIM de la región principal.
#### Política de IAM de ejemplo para la replicación de DKIM
La siguiente política permite la replicación de claves de firma de DKIM desde una identidad principal a regiones de réplica específicas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Prácticas recomendadas
A continuación se indican las prácticas recomendadas para utilizar:
+ **Planifique las regiones principales y de réplica**: tenga en cuenta la región principal que elija, ya que será la fuente de información sobre la configuración de DKIM utilizada en las regiones de réplica.
+ **Utilice políticas de IAM coherentes**: asegúrese de que sus políticas de IAM permitan la replicación del DKIM en todas las regiones previstas.
+ **Mantenga activas las identidades principales**: recuerde que las identidades de réplica heredan la configuración de firma de DKIM de la identidad principal. Debido a esta dependencia, no puede eliminar una identidad principal hasta que se eliminen todas las identidades de réplica.
## Resolución de problemas
Si tiene problemas con DEED, tenga en cuenta lo siguiente:
+ **Errores de verificación**: asegúrese de que tiene los permisos de necesarios para la replicación de DKIM.
+ **Retrasos en la replicación**: espere un tiempo para que se complete la replicación, especialmente al crear nuevas identidades de réplica.
+ **Problemas de DNS**: compruebe que los registros de DNS de la identidad principal estén configurados y propagados correctamente.
# Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES
En lugar de usar [Easy DKIM](send-email-authentication-dkim-easy.md), puede configurar la autenticación de DKIM con su propio par de claves públicas-privadas. Este proceso se conoce como *Utilice su propio DKIM* (*BYODKIM*).
Con BYODKIM, puede utilizar un solo registro DNS para configurar la autenticación de DKIM de sus dominios, a diferencia de Easy DKIM, que requiere que publique tres registros DNS independientes. Además, con BYODKIM, podrá rotar las claves DKIM de sus dominios tantas veces como desee.
**Topics**
+ [Paso 1: Crear el par de claves](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Paso 3: Configurar y verificar un dominio para usar BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**aviso**
Si actualmente tiene Easy DKIM habilitado y está haciendo la transición a BYODKIM, tenga en cuenta que Amazon SES no utilizará Easy DKIM para firmar los correos electrónicos mientras se está configurando BYODKIM y el estado de DKIM está pendiente. Desde el momento en que realiza la llamada para habilitar BYODKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con Easy DKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de BYODKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
## Paso 1: Crear el par de claves
Para utilizar la característica de uso de DKIM propio, primero debe crear un par de claves RSA.
La clave privada que genere tiene que estar en formato PKCS \$11 o PKCS \$18, debe utilizar al menos un cifrado RSA de 1024 bits y hasta 2048 bits y debe estar codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulte [Longitud de clave de firma de DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.
**nota**
Puede usar aplicaciones y herramientas de terceros para generar pares de claves RSA siempre que la clave privada se genere con al menos un cifrado RSA de 1024 bits y de hasta 2048 bits, y esté codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
En el siguiente procedimiento, el código de ejemplo que utiliza el comando `openssl genrsa` integrado en la mayoría de los sistemas operativos Linux, macOS o Unix para crear el par de claves utilizará automáticamente codificación base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Para crear el par de claves desde la línea de comandos de Linux, macOS o Unix**
1. En la línea de comandos, introduzca el siguiente comando para generar la clave privada que se *nnnn* sustituya por una longitud de 1024 bits como mínimo y hasta 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. En la línea de comandos, escriba el comando siguiente para generar la clave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio
Ahora que ha creado un par de claves, debe agregar la clave pública como registro TXT a la configuración de DNS de su dominio.
**Para añadir la clave pública a la configuración de DNS de su dominio**
1. Inicie sesión en la consola de administración del proveedor de DNS o de alojamiento.
1. Añada un nuevo registro de texto a la configuración de DNS de su dominio. El registro debe usar el siguiente formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
En el ejemplo anterior, realice los siguientes cambios:
+ *selector*Sustitúyala por un nombre único que identifique la clave.
**nota**
Un pequeño número de proveedores de DNS no le permiten incluir guiones bajos (\$1) en los nombres de registro. Sin embargo, el guion bajo el nombre de registro de DKIM es obligatorio. Si su proveedor de DNS no le permite introducir un guion bajo en el nombre del registro, póngase en contacto con el equipo de atención al cliente del proveedor para obtener ayuda.
+ *example.com*Sustitúyalo por tu dominio.
+ *yourPublicKey*Sustitúyala por la clave pública que creaste anteriormente e incluye el `p=` prefijo tal y como se muestra en la columna *Valor* de arriba.
**nota**
Cuando publica (agrega) su clave pública a su proveedor de DNS, debe tener el siguiente formato:
Debe eliminar la primera y la última línea (`-----BEGIN PUBLIC KEY-----` y `-----END PUBLIC KEY-----`, respectivamente) de la clave pública generada. Además, debe eliminar los saltos de línea en la clave pública generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
Debe incluir en prefijo `p=` tal y como se muestra en la columna *Value* (Valor) de la tabla anterior.
Cada proveedor tiene diferentes procedimientos para actualizar los registros de DNS. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no pueda usar el dominio con Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Paso 3: Configurar y verificar un dominio para usar BYODKIM
Puede configurar BYODKIM tanto para los dominios nuevos (es decir, los dominios que no utiliza actualmente para enviar correo electrónico a través Amazon SES) como para los dominios existentes (es decir, los dominios que ya ha configurado para utilizar con Amazon SES) mediante la consola o la AWS CLI. Antes de utilizar los AWS CLI procedimientos de esta sección, primero debe instalar y configurar el AWS CLI. Para obtener más información, consulte la [Guía AWS Command Line Interface del usuario](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opción 1: Crear una nueva identidad de dominio que utiliza BYODKIM
Esta sección contiene procedimientos para crear una nueva identidad de dominio que utiliza BYODKIM. Una nueva identidad de dominio es un dominio que no ha configurado previamente para enviar correo electrónico mediante Amazon SES.
Si desea configurar un dominio existente para utilizar BYODKIM, complete el procedimiento de [Opción 2: Configuración de una identidad de dominio existente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) en su lugar.
**Para crear una identidad mediante BYODKIM desde la consola**
+ Siga los procedimientos indicados en [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure), y cuando llegue al paso 8, siga las instrucciones específicas para BYODKIM.
**Para crear una identidad mediante BYODKIM desde AWS CLI**
Para configurar un nuevo dominio, utilice la operación `CreateEmailIdentity` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *example.com*Sustitúyala por el dominio que deseas crear.
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `create-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
En el comando anterior, *path/to/create-identity.json* reemplácelo por la ruta completa del archivo que creó en el paso anterior.
### Opción 2: Configuración de una identidad de dominio existente
Esta sección contiene procedimientos para actualizar una identidad de dominio existente para utilizar BYODKIM. Una identidad de dominio existente es un dominio que ya ha configurado para enviar correo electrónico mediante Amazon SES.
**Para actualizar una identidad de dominio mediante BYODKIM desde la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration (Configuración)**, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija una identidad en la que el **Identity type (Tipo de identidad)**sea *Domain (Dominio)*.
**nota**
Si necesita crear o verificar un dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En la pestaña **Autenticación**, en el panel **Correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el panel **Advanced DKIM settings** (Configuración avanzada de DKIM), elija el botón **Provide DKIM authentication token (BYODKIM)** [Proporcionar token de autenticación DKIM (BYODKIM)] en el campo **Identity type** (Tipo de identidad).
1. Pegue en **Private key** (Clave privada) la clave privada que generó anteriormente.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
1. En **Selector name (Nombre del selector)**, ingrese el nombre del selector que especificó en la configuración de DNS de su dominio.
1. En el campo **DKIM signatures (Firmas DKIM)**, active la casilla **Enabled (Habilitada)**.
1. Seleccione **Save changes (Guardar cambios)**.
**Para actualizar la identidad de un dominio mediante BYODKIM desde AWS CLI**
Para configurar un dominio existente, utilice la operación `PutEmailIdentityDkimSigningAttributes` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `update-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
En el comando anterior, realice los siguientes cambios:
+ *path/to/update-identity.json*Sustitúyalo por la ruta completa del archivo que creaste en el paso anterior.
+ *example.com*Sustitúyalo por el dominio que deseas actualizar.
### Verificación del estado de DKIM de un dominio que utiliza BYODKIM
**Para verificar el estado de DKIM de un dominio desde la consola**
Después de configurar un dominio para utilizar BYODKIM, puede utilizar la consola SES para verificar que DKIM se haya configurado correctamente.
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad cuyo estado de DKIM desee verificar.
1. Los cambios en la configuración del DNS pueden tardar hasta 72 horas en propagarse. Tan pronto como Amazon SES detecte todos los registros DKIM requeridos en la configuración DNS de su dominio, el proceso de verificación quedará completado. Si todo se ha configurado correctamente, el campo de **configuración de DKIM** de su dominio aparece **correctamente** en el panel **Correo DomainKeys identificado (DKIM)** y el campo de **estado de identidad** muestra **Verificado** en el panel de **resumen**.
**Para comprobar el estado del DKIM de un dominio mediante el AWS CLI**
Tras configurar un dominio para que utilice BYODKIM, puede utilizar la GetEmailIdentity operación para comprobar que el DKIM está configurado correctamente.
+ En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 get-email-identity --email-identity example.com
```
En el comando anterior, *example.com* sustitúyalo por tu dominio.
Este comando devuelve un objeto JSON que contiene una sección similar al siguiente ejemplo.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
Si todo lo que se describe a continuación es verdadero, BYODKIM se ha configurado correctamente para el dominio:
+ El valor de la propiedad `SigningAttributesOrigin` es `EXTERNAL`.
+ El valor de `SigningEnabled` es `true`.
+ El valor de `Status` es `SUCCESS`.
# Administración de Easy DKIM y BYODKIM
Puede administrar la configuración de DKIM para sus identidades autenticadas con Easy DKIM o BYODKIM mediante la consola de Amazon SES basada en la web o mediante la API de Amazon SES. Puede utilizar cualquiera de estos métodos para obtener los registros de DKIM para una identidad, o para habilitar o desactivar la firma DKIM de una identidad.
## Obtención de registros de DKIM para una identidad
Puede obtener los registros de DKIM para su dominio o la dirección de correo electrónico en cualquier momento mediante la consola de Amazon SES.
**Para obtener los registros de DKIM para una identidad mediante la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea obtener los registros de DKIM.
1. En la pestaña **Authentication** (Autenticación) de la página de detalles de identidad, expanda **View DNS records** (Ver registros DNS).
1. Copie los tres registros CNAME si utilizó Easy DKIM, o el registro TXT si utilizó BYODKIM, que aparecen en esta sección. También puede elegir **Download .csv record set** (Descargar el conjunto de registro .csv) para guardar una copia de los registros en su computadora.
La siguiente imagen muestra un ejemplo de la sección ampliada **View DNS records** (Ver registros DNS) que muestra los registros CNAME asociados a Easy DKIM.
![\[\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/dkim_existing_dns.png)
También puede obtener los registros de DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para obtener los registros DKIM de una identidad mediante el AWS CLI**
1. En la línea de comando, escriba el comando siguiente:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
En el ejemplo anterior, *example.com* sustitúyalos por la identidad para la que deseas obtener los registros DKIM. Puede especificar una dirección de correo electrónico o un dominio.
1. El resultado de este comando contiene una sección de `DkimTokens`, tal y como se muestra en el siguiente ejemplo:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Puede utilizar los tokens para crear los registros de CNAME que añade a la configuración de DNS de su dominio. Para crear los registros de CNAME, utilice la siguiente plantilla:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Sustituya cada instancia de *token1* por el primer token de la lista que recibió al ejecutar el `get-identity-dkim-attributes` comando, sustituya todas las instancias por el segundo token de *token2* la lista y sustituya todas las instancias por el tercer token de *token3* la lista.
Por ejemplo, la aplicación de esta plantilla a los tokens que se muestran en el anterior ejemplo produce los siguientes registros:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**nota**
No todas Regiones de AWS utilizan el dominio DKIM de SES predeterminado. `dkim.amazonses.com` Para comprobar si su región utiliza un dominio DKIM específico de la región, consulte la tabla de [dominios DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) del. *Referencia general de AWS*
## Desactivación de Easy DKIM para una identidad
Puede desactivar rápidamente la autenticación DKIM para una identidad mediante la consola de Amazon SES.
**Para desactivar DKIM para una identidad**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea desactivar los registros de DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En **Advanced DKIM settings (Configuración avanzada de DKIM)**, desmarque la casilla **Enabled (Habilitado)** en el cuadro de diálogo **DKIM signatures (Firmas DKIM)**.
También puede desactivar DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para deshabilitar el DKIM para una identidad mediante el AWS CLI**
+ En la línea de comando, escriba el comando siguiente:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
En el ejemplo anterior, *example.com* sustitúyalo por la identidad para la que deseas deshabilitar el DKIM. Puede especificar una dirección de correo electrónico o un dominio.
## Habilitación de Easy DKIM para una identidad
Si previamente ha desactivado DKIM para una identidad, puede habilitarlo de nuevo mediante la consola de Amazon SES.
**Para habilitar DKIM para una identidad**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea habilitar los registros de DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En **Advanced DKIM settings (Configuración avanzada de DKIM)**, active la casilla **Enabled (Habilitado)** en el cuadro de diálogo **DKIM signatures (Firmas DKIM)**.
También puede habilitar DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para habilitar el DKIM para una identidad mediante el AWS CLI**
+ En la línea de comando, escriba el comando siguiente:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
En el ejemplo anterior, *example.com* sustitúyalo por la identidad para la que deseas habilitar el DKIM. Puede especificar una dirección de correo electrónico o un dominio.
## Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico
En esta sección aprenderá a anular (desactivar o habilitar) las propiedades de firma de DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya haya verificado con Amazon SES. Solo puede hacerlo para las identidades de dirección de correo electrónico que pertenecen a dominios que ya posea porque la configuración de DNS se configura a nivel de dominio.
**importante**
No puedes firmar con disable/enable DKIM las identidades de direcciones de correo electrónico...
en dominios que no le pertenecen Por ejemplo, no puede alternar la firma DKIM para una dirección *gmail.com* o *hotmail.com*,
en dominios que le pertenecen, pero que aún no se han verificado en Amazon SES
en dominios que le pertenecen, pero para los que no se ha habilitado la firma DKIM en el dominio.
Esta sección contiene los siguientes temas:
+ [Descripción de las propiedades de firma DKIM heredadas](#dkim-easy-setup-email-key-points-mng)
+ [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (consola)](#override-dkim-email-console-mng)
+ [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (AWS CLI)](#override-dkim-email-cli-mng)
### Descripción de las propiedades de firma DKIM heredadas
Es importante entender en primer lugar que una identidad de dirección de correo electrónico hereda sus propiedades de firma DKIM de su dominio principal si ese dominio se configuró con DKIM, independientemente de si se utilizó Easy DKIM o BYODKIM. Por lo tanto, la desactivación o habilitación de la firma DKIM en la identidad de la dirección de correo electrónico anula las propiedades de firma DKIM del dominio, con base en los siguientes hechos clave:
+ Si ya ha configurado DKIM para el dominio al que pertenece la dirección de correo electrónico, no es necesario que también configure la firma DKIM para la dirección de correo electrónico.
+ A la hora de configurar DKIM para un dominio, Amazon SES autentica automáticamente cada correo electrónico de cada dirección en ese dominio mediante las propiedades DKIM heredadas del dominio principal.
+ La configuración de DKIM para una identidad de dirección de correo electrónico específica *anula automáticamente las configuraciones del dominio principal o subdominio (si corresponde)* al que pertenece la dirección.
Dado que las propiedades de firma DKIM de la identidad de la dirección de correo electrónico se heredan del dominio principal, si planea anular estas propiedades, debe tener en cuenta las reglas jerárquicas de anulación, tal como se explica en la tabla siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Por lo general, nunca se recomienda desactivar la firma DKIM, ya que podría perjudicar la reputación del remitente y aumenta el riesgo de que el correo enviado vaya a carpetas de correo no deseado o spam o que suplanten el dominio.
Sin embargo, existe la capacidad de anular las propiedades de firma DKIM heredadas del dominio en una identidad de dirección de correo electrónico para cualquier caso de uso concreto o decisión empresarial subyacente en las que tenga que desactivar de forma permanente o temporal la firma DKIM, o volver a habilitarla más adelante.
### Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (consola)
En el siguiente procedimiento de la consola de SES, se explica cómo anular (desactivar o habilitar) las propiedades de firma DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya verificó con Amazon SES.
**Para firmar con disable/enable DKIM una identidad de dirección de correo electrónico mediante la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija una identidad donde **Identity type** (Tipo de identidad) sea *Email address* (Dirección de correo electrónico) y pertenezca a uno de sus dominios verificados.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
**nota**
La pestaña **Authentication** (Autenticación) solo está presente si la identidad de la dirección de correo electrónico seleccionada pertenece a un dominio que SES ya ha verificado. Si todavía no ha verificado su dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En **Advanced DKIM settings** (Configuración avanzada de DKIM), en el campo **DKIM signatures** (Firmas de DKIM), desmarque la casilla **Enabled** (Habilitado) para desactivar la firma DKIM o selecciónela a fin de volver a habilitar la firma DKIM (si se había anulado anteriormente).
1. Seleccione **Save changes (Guardar cambios)**.
### Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (AWS CLI)
En el siguiente ejemplo, se utiliza un comando y parámetros de la AWS CLI API de SES que anularán (deshabilitarán o habilitarán) las propiedades de firma DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya haya verificado con SES.
**Para firmar con disable/enable DKIM la identidad de una dirección de correo electrónico mediante el AWS CLI**
+ Suponiendo que usted sea el titular del dominio *example.com* y desea desactivar la firma DKIM para una de las direcciones de correo electrónico del dominio, en la línea de comandos, escriba el siguiente comando:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*Sustitúyala por la identidad de la dirección de correo electrónico para la que deseas deshabilitar la firma con DKIM.
1. `--no-signing-enabled` desactivará la firma DKIM. Para volver a habilitar la firma DKIM, utilice `--signing-enabled`.
# Firma DKIM manual en Amazon SES
Como alternativa al uso de Easy DKIM, puede agregar manualmente firmas DKIM para sus mensajes y enviar esos mensajes a través de Amazon SES. Si decide firmar sus mensajes de forma manual, primero debe crear una firma DKIM. Después de crear el mensaje y la firma DKIM, puede utilizar la API [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) para enviarlo.
Si decide firmar su correo electrónico de forma manual, tenga en cuenta los siguientes factores:
+ Cada mensaje que envíe mediante Amazon SES contiene un encabezado DKIM que hace referencia a un dominio de firma de *amazonses.com* (es decir, contiene la siguiente cadena: `d=amazonses.com`). Por lo tanto, si firma sus mensajes de forma manual, sus mensajes incluirán *dos* encabezados DKIM: uno para su dominio y el que cree automáticamente Amazon SES para *amazonses.com*.
+ Amazon SES no valida las firmas DKIM que agregue de forma manual a sus mensajes. Si hay errores con la firma DKIM en un mensaje, puede ser rechazado por los proveedores de correo electrónico..
+ Cuando firma sus mensajes, debe utilizar una longitud bits de al menos 1024 bits.
+ No firme los siguientes campos: ID de mensaje, fecha, ruta de retorno (Return-Path), reenvío de devolución (Bounces-To).
**nota**
Si utiliza un cliente de correo electrónico para enviar correo electrónico a través de la interfaz SMTP de Amazon SES, el cliente puede realizar automáticamente la firma DKIM de sus mensajes. Algunos clientes podrían firmar algunos de estos campos. Para obtener información acerca de los campos que se firman de forma predeterminada, consulte la documentación de su cliente de correo electrónico.
# Autenticación de correo electrónico con SPF en Amazon SES
*El marco de directivas de remitente* (SPF) es un estándar de validación de correo electrónico que ha sido diseñado para prevenir la suplantación de correo electrónico. Los propietarios de dominios utilizan SPF para indicar a los proveedores de correo electrónico qué servidores pueden enviar correo electrónico desde sus dominios. SPF se define en [RFC 7208](https://tools.ietf.org/html/rfc7208).
Los mensajes que envíe a través de Amazon SES automáticamente utilizan un subdominio de `amazonses.com` como el dominio MAIL FROM predeterminado. La autenticación de SPF valida correctamente estos mensajes porque el dominio MAIL FROM predeterminado coincide con la aplicación que envió el correo electrónico, en este caso, SES. Por lo tanto, en SES, SPF se configura implícitamente para usted.
Sin embargo, si no quiere usar el dominio MAIL FROM predeterminado de SES y prefiere usar un subdominio de un dominio de su propiedad, en SES se denomina uso de un dominio MAIL FROM *personalizado*. Para ello, es necesario que publique su propio registro SPF para el dominio MAIL FROM personalizado. Además, SES también le exige que configure un registro de MX para que el dominio MAIL FROM personalizado pueda recibir las notificaciones de rebotes y reclamaciones que los proveedores de correo electrónico le envían.
**Información sobre cómo configurar la autenticación de SPF**
Se proporcionan instrucciones para configurar el dominio con SPF y cómo publicar los registros de MX y de SPF (tipo TXT) en [Uso de un dominio MAIL FROM personalizado](mail-from.md).
# Uso de un dominio MAIL FROM personalizado
Cuando se envía un correo electrónico, tiene dos direcciones que indican su origen: una dirección From que se muestra al destinatario del mensaje y una dirección MAIL FROM que indica dónde se originó el mensaje. La dirección MAIL FROM a veces recibe el nombre de dirección *envelope sender*, *envelope from*, *bounce address* o *Return Path*. Los servidores de correo utilizan la dirección MAIL FROM para devolver mensajes de rebote y otras notificaciones de error. Normalmente, los destinatarios solo pueden ver la dirección MAIL FROM si ven el código fuente del mensaje.
Amazon SES establece el dominio MAIL FROM para los mensajes que envía a un valor predeterminado a menos que especifique su propio dominio (personalizado). En esta sección se explican los beneficios de configurar un dominio MAIL FROM personalizado y se incluyen procedimientos de configuración.
## Razones para utilizar un dominio MAIL FROM personalizado
Los mensajes que envíe a través de Amazon SES automáticamente utilizan un subdominio de `amazonses.com` como el dominio MAIL FROM predeterminado. La autenticación del marco de políticas de remitentes (SPF) valida correctamente estos mensajes porque el dominio MAIL FROM predeterminado coincide con la aplicación que envió el correo electrónico, en este caso, SES.
Si no quiere usar el dominio MAIL FROM predeterminado de SES y prefiere usar un subdominio de un dominio de su propiedad, en SES se denomina uso de un dominio MAIL FROM *personalizado*. Para ello, es necesario que publique su propio registro SPF para el dominio MAIL FROM personalizado. Además, SES también le exige que configure un registro de MX para que el dominio pueda recibir las notificaciones de rebotes y reclamaciones que los proveedores de correo electrónico le envían.
Al usar un dominio MAIL FROM personalizado, tiene la flexibilidad de usar SPF, DKIM o ambos para lograr la validación [Autenticación, informe y conformidad del mensaje basado en el dominio (DMARC)](send-email-authentication-dmarc.md). DMARC permite al dominio de un remitente indicar que los correos electrónicos enviados desde el dominio están protegidos por uno o varios sistemas de autenticación. Existen dos maneras de conseguir la validación de DMARC: [Conformidad con DMARC a través de SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) y [Conformidad con DMARC a través de DKIM](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim).
## Elección de un dominio MAIL FROM personalizado
En adelante, el término *dominio MAIL FROM* siempre se referirá a un subdominio de un dominio que posea; este subdominio que utilice para el dominio MAIL FROM personalizado no debe utilizarse para ningún otro fin y debe cumplir los siguientes requisitos:
+ El dominio MAIL FROM tiene que ser un subdominio del dominio principal de una identidad verificada (dirección de correo electrónico o dominio).
+ El dominio MAIL FROM no debe ser un subdominio que también utilice para enviar correo electrónico.
+ El dominio MAIL FROM no debe ser un subdominio que utilice para recibir correo electrónico.
## Uso de SPF con el dominio MAIL FROM personalizado
*El marco de directivas de remitente* (SPF) es un estándar de validación de correo electrónico que ha sido diseñado para prevenir la suplantación de correo electrónico. Puede configurar el dominio MAIL FROM personalizado con SPF para indicar a los proveedores de correo electrónico qué servidores pueden enviar correo electrónico desde el dominio MAIL FROM personalizado. SPF se define en [RFC 7208](https://tools.ietf.org/html/rfc7208).
Para configurar un SPF, tiene que publicar un registro TXT en la configuración de DNS del dominio MAIL FROM personalizado. Este registro contiene una lista de los servidores que autoriza a enviar correo electrónico desde el dominio MAIL FROM personalizado. Cuando un proveedor de correo electrónico recibe un mensaje del dominio MAIL FROM personalizado, comprueba los registros DNS del dominio para asegurarse de que el correo electrónico se envió desde un servidor autorizado.
Si desea utilizar este registro SPF como forma de cumplir con DMARC, el dominio de la dirección FROM debe coincidir con el dominio MAIL FROM. Consulte [Conformidad con DMARC a través de SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf).
En la siguiente sección, [Configuración del dominio MAIL FROM personalizado](#mail-from-set) explica cómo configurar SPF para el dominio MAIL FROM personalizado.
## Configuración del dominio MAIL FROM personalizado
El proceso de configuración de un dominio MAIL FROM personalizado requiere que añada registros a la configuración de DNS del dominio. SES requiere que publique un registro de MX para que su dominio pueda recibir las notificaciones de rebotes y quejas que los proveedores de correo electrónico le envían. También tiene que publicar un registro SPF (tipo TXT) para demostrar que Amazon SES está autorizado a enviar correo electrónico desde su dominio.
Puede configurar un dominio MAIL FROM personalizado para un dominio completo o un subdominio, así como para direcciones de correo electrónico individuales. Los siguientes procedimientos muestran cómo utilizar la consola de Amazon SES para configurar un dominio MAIL FROM personalizado. También puedes configurar un dominio MAIL FROM personalizado mediante la operación de [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API.
### Configuración de un dominio MAIL FROM personalizado para un dominio verificado
En estos procedimientos, se muestra cómo configurar un dominio MAIL FROM personalizado para un dominio o subdominio completo, de modo que todos los mensajes enviados desde las direcciones de ese dominio utilicen este dominio MAIL FROM personalizado.
**Configuración de un dominio verificado a fin de utilizar un dominio MAIL FROM personalizado especificado**
1. Abra la consola Amazon SES en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En la lista de identidades, elija la identidad que desea configurar en la que **Identity type** (Tipo de identidad) es **Domain** (Dominio) y **Status** (Estado) es *Verified* (Verificado).
1. Si **Status** (Estado) es *Unverified* (No verificado), complete los procedimientos indicados en [Verificación de una identidad de dominio DKIM con el proveedor de DNS](creating-identities.md#just-verify-domain-proc) para verificar el dominio de la dirección de correo electrónico.
1. En la parte inferior de la pantalla en el panel **Dominios MAIL FROM personalizados**, elija **Editar**.
1. En el panel **General details** (Detalles generales), haga lo siguiente:
1. Seleccione la casilla de verificación **Use a custom MAIL FROM domain** (Utilizar un dominio MAIL FROM personalizado).
1. En **MAIL FROM domain**, escriba el subdominio que desea utilizar como dominio MAIL FROM.
1. Para **Behavior on MX failure** (Comportamiento ante error de MX), elija una de las siguientes opciones:
+ **Use default MAIL FROM domain (Utilizar dominio MAIL FROM predeterminado)**: si el registro MX del dominio MAIL FROM personalizado no se ha configurado correctamente, Amazon SES utilizará un subdominio de `amazonses.com`. El subdominio varía en función del lugar en el Región de AWS que utilices Amazon SES.
+ **Reject message (Rechazar mensaje)**: si el registro MX del dominio MAIL FROM personalizado no está correctamente configurado, Amazon SES devolverá un error `MailFromDomainNotVerified`. Los mensajes de correo electrónico que intente enviar desde este dominio se rechazarán automáticamente.
1. Elija **Save changes** (Guardar cambios). Volverá a la pantalla anterior.
1. Publique los registros MX y SPF (tipo TXT) en el servidor DNS del dominio MAIL FROM personalizado:
En el panel **Custom MAIL FROM domain** (Dominio MAIL FROM personalizado), la tabla **Publish DNS records** (Publicar registros DNS) mostrará los registros MX y SPF (tipo TXT) que debe publicar (agregar) a la configuración de DNS del dominio. Estos registros utilizan los formatos que se muestran en la siguiente tabla.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/mail-from.html)
En los registros anteriores,
+ *subdomain*. *domain*. *com*se rellenará con tu subdominio MAIL FROM
+ *region*se rellenará con el nombre del dominio Región de AWS en el que deseas verificar el dominio MAIL FROM (por ejemplo`us-west-2`,`us-east-1`, o`eu-west-1`, etc.)
+ El número *10* que aparece junto con el valor MX es el orden de preferencia del servidor de correo y deberá introducirse en un campo de valor independiente según lo especificado por la GUI de su proveedor de DNS.
+ El valor del registro TXT de SPF normalmente debe incluir las comillas, pero algunos proveedores de DNS no las requieren.
Desde la tabla **Publish DNS records** (Publicar registros DNS), copie los registros MX y SPF (tipo TXT) eligiendo el icono de copia junto a cada valor y péguelos en los campos correspondientes de la GUI de su proveedor de DNS. También puede elegir **Download .csv record set** (Descargar el conjunto de registro .csv) para guardar una copia de los registros en su computadora.
**importante**
Los procedimientos para publicar los registros MX y SPF (tipo TXT) dependen del proveedor de alojamiento o de DNS. Consulte la documentación del proveedor para obtener más información sobre cómo añadir estos registros a la configuración DNS de su dominio.
Para configurar correctamente un dominio MAIL FROM personalizado con Amazon SES, debe publicar exactamente un registro MX en el servidor DNS de su dominio MAIL FROM. Si el dominio MAIL FROM tiene varios registros MX, la configuración MAIL FROM personalizada con Amazon SES devolverá un error.
Si Route 53 proporciona el servicio DNS para su dominio MAIL FROM y ha iniciado sesión en él Consola de administración de AWS con la misma cuenta que utiliza para Route 53, elija **Publicar registros con Route 53**. Los registros DNS se aplican automáticamente a la configuración de DNS de su dominio.
Si utiliza otro proveedor de DNS, tendrá que publicar manualmente los registros DNS en el servidor DNS del dominio MAIL FROM. El procedimiento para añadir registros DNS al servidor DNS de su dominio varía en función del servicio de alojamiento web o del proveedor de DNS.
Los procedimientos para publicar los registros de DNS de su dominio dependen del proveedor de DNS utilizado. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no admita la configuración de dominio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/mail-from.html)
Cuando Amazon SES detecta que los registros están en vigor, recibe un correo electrónico informándole de que su dominio MAIL FROM personalizado se ha configurado correctamente. En función de su proveedor de DNS, es posible que haya un retraso de hasta 72 horas antes de que Amazon SES detecte el registro MX.
### Configuración de un dominio MAIL FROM personalizado para una dirección de correo electrónico verificada
También puede configurar un dominio MAIL FROM personalizado para una dirección de correo electrónico específica. Para configurar un dominio MAIL FROM personalizado para una dirección de correo electrónico, debe modificar los registros DNS del dominio al que está asociada la dirección de correo electrónico.
**nota**
No puede configurar un dominio MAIL FROM personalizado para direcciones de un dominio que no sea de su propiedad (por ejemplo, no puede crear un dominio MAIL FROM personalizado para una dirección del dominio `gmail.com` ya que no puede agregar los registros DNS necesarios al dominio).
**Para configurar una dirección de correo electrónico verificada para utilizar un dominio MAIL FROM especificado**
1. Abra la consola Amazon SES en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En la lista de identidades, elija la identidad que desea configurar en la que **Identity type** (Tipo de identidad) es **Email address** (Dirección de correo electrónico) y **Status** (Estado) es *Verified* (Verificado).
1. Si **Status** (Estado) es *Unverified* (No verificado), complete los procedimientos indicados en [Verificación de una identidad de dirección de correo electrónico](creating-identities.md#just-verify-email-proc) para verificar el dominio de la dirección de correo electrónico.
1. En la pestaña **MAIL FROM Dominio** (Dominio MAIL FROM), elija **Edit** (Editar) en el panel **Custom MAIL FROM domain** (Dominio MAIL FROM personalizado).
1. En el panel **General details** (Detalles generales), haga lo siguiente:
1. Seleccione la casilla de verificación **Use a custom MAIL FROM domain** (Utilizar un dominio MAIL FROM personalizado).
1. En **MAIL FROM domain**, escriba el subdominio que desea utilizar como dominio MAIL FROM.
1. Para **Behavior on MX failure** (Comportamiento ante error de MX), elija una de las siguientes opciones:
+ **Use default MAIL FROM domain (Utilizar dominio MAIL FROM predeterminado)**: si el registro MX del dominio MAIL FROM personalizado no se ha configurado correctamente, Amazon SES utilizará un subdominio de `amazonses.com`. El subdominio varía en función del lugar en el Región de AWS que utilices Amazon SES.
+ **Reject message (Rechazar mensaje)**: si el registro MX del dominio MAIL FROM personalizado no está correctamente configurado, Amazon SES devolverá un error `MailFromDomainNotVerified`. Los mensajes de correo electrónico que intente enviar desde esta dirección se rechazarán automáticamente.
1. Elija **Save changes** (Guardar cambios). Volverá a la pantalla anterior.
1. Publique los registros MX y SPF (tipo TXT) en el servidor DNS del dominio MAIL FROM personalizado:
En el panel **Custom MAIL FROM domain** (Dominio MAIL FROM personalizado), la tabla **Publish DNS records** (Publicar registros DNS) mostrará los registros MX y SPF (tipo TXT) que debe publicar (agregar) a la configuración de DNS del dominio. Estos registros utilizan los formatos que se muestran en la siguiente tabla.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/mail-from.html)
En los registros anteriores,
+ *subdomain*. *domain*. *com*se rellenará con tu subdominio MAIL FROM
+ *region*se rellenará con el nombre del dominio Región de AWS en el que deseas verificar el dominio MAIL FROM (por ejemplo`us-west-2`,`us-east-1`, o`eu-west-1`, etc.)
+ El número *10* que aparece junto con el valor MX es el orden de preferencia del servidor de correo y deberá introducirse en un campo de valor independiente según lo especificado por la GUI de su proveedor de DNS.
+ El valor del registro TXT de SPF debe incluir las comillas.
Desde la tabla **Publish DNS records** (Publicar registros DNS), copie los registros MX y SPF (tipo TXT) eligiendo el icono de copia junto a cada valor y péguelos en los campos correspondientes de la GUI de su proveedor de DNS. También puede elegir **Download .csv record set** (Descargar el conjunto de registro .csv) para guardar una copia de los registros en su computadora.
**importante**
Para configurar correctamente un dominio MAIL FROM personalizado con Amazon SES, debe publicar exactamente un registro MX en el servidor DNS de su dominio MAIL FROM. Si el dominio MAIL FROM tiene varios registros MX, la configuración MAIL FROM personalizada con Amazon SES devolverá un error.
Si Route 53 proporciona el servicio DNS para su dominio MAIL FROM y ha iniciado sesión en él Consola de administración de AWS con la misma cuenta que utiliza para Route 53, elija **Publicar registros con Route 53**. Los registros DNS se aplican automáticamente a la configuración de DNS de su dominio.
Si utiliza otro proveedor de DNS, tendrá que publicar manualmente los registros DNS en el servidor DNS del dominio MAIL FROM. El procedimiento para añadir registros DNS al servidor DNS de su dominio varía en función del servicio de alojamiento web o del proveedor de DNS.
Los procedimientos para publicar los registros de DNS de su dominio dependen del proveedor de DNS utilizado. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no admita la configuración de dominio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/mail-from.html)
Cuando Amazon SES detecta que los registros están en vigor, recibe un correo electrónico informándole de que su dominio MAIL FROM personalizado se ha configurado correctamente. En función de su proveedor de DNS, es posible que haya un retraso de hasta 72 horas antes de que Amazon SES detecte el registro MX.
## Estados de configuración de dominio MAIL FROM personalizado con Amazon SES
Después de configurar una identidad para utilizar un dominio MAIL FROM personalizado, el estado de la configuración es “pending” (pendiente) mientras Amazon SES intenta detectar el registro MX necesarios en su configuración de DNS. El estado cambia a continuación, en función de si Amazon SES detecta el registro MX. En la siguiente tabla se describen los comportamientos de envío de correo electrónico y las acciones de Amazon SES asociadas a cada estado. Cada vez que el estado cambia, Amazon SES envía una notificación a la dirección de correo electrónico asociada a su Cuenta de AWS.
****
| Estado | Comportamiento de envío de correo electrónico | Acciones de Amazon SES |
| --- | --- | --- |
| Pending (Pendiente) | Utiliza una configuración alternativa de MAIL FROM personalizada | Amazon SES intenta detectar el registro MX necesario durante 72 horas. Si no tiene éxito, el estado cambia a "Failed". |
| Success | Utiliza dominio MAIL FROM personalizado | Amazon SES comprueba continuamente que el registro MX está en vigor. |
| TemporaryFailure | Utiliza una configuración alternativa de MAIL FROM personalizada | Amazon SES intenta detectar el registro MX necesario durante 72 horas. Si no tiene éxito, el estado cambia a "Failed"; en caso de éxito, el estado cambia a "Success". |
| Con error | Utiliza una configuración alternativa de MAIL FROM personalizada | Amazon SES ya no intenta detectar el registro MX necesario. Para utilizar un dominio MAIL FROM personalizado, debe reiniciar el proceso de configuración en [Configuración del dominio MAIL FROM personalizado](#mail-from-set). |
# Cumplimiento del protocolo de autenticación DMARC en Amazon SES
La autenticación, la presentación de informes y la conformidad de los mensajes basados en el dominio (DMARC) es un protocolo de autenticación de correo electrónico que utiliza el Sender Policy Framework (SPF) y el correo DomainKeys identificado (DKIM) para detectar la suplantación de identidad y la suplantación de identidad del correo electrónico. Para cumplir con DMARC, los mensajes deben autenticarse mediante SPF o DKIM, pero lo ideal es que ambos se utilicen con DMARC para garantizar el máximo nivel de protección posible para el envío de correos electrónicos.
Vamos a repasar brevemente lo que hace cada uno de ellos y cómo se interrelacionan mediante DMARC:
+ **SPF**: identifica qué servidores de correo tienen autorización para enviar correo en nombre del dominio MAIL FROM personalizado mediante un registro TXT de DNS que DNS utiliza. Los sistemas de correo de los destinatarios consultan el registro TXT de SPF para determinar si un mensaje del dominio personalizado proviene de un servidor de mensajería autorizado. En esencia, SPF está diseñado prevenir la suplantación de identidad, pero en la práctica es susceptible a algunas de las técnicas de este tipo de estafa. Por ello, es preciso utilizar también DKIM combinado con DMARC.
+ **DKIM**: agrega una firma digital en el encabezado de correo electrónico de los mensajes salientes. Los sistemas de recepción de correo electrónico pueden usar esta firma digital para comprobar si el correo entrante está firmado mediante una clave propiedad del dominio. Sin embargo, cuando un sistema de correo electrónico receptor reenvía un mensaje, el sobre del mensaje se modifica de tal forma que la autenticación de SPF queda invalidada. Puesto que la firma digital permanece en el mensaje de correo electrónico, ya que forma parte de su encabezado, DKIM surte efecto aunque un mensaje se reenvíe de un servidor de correo a otro (siempre y cuando no se modifique el contenido del mensaje).
+ **DMARC**: garantiza la conformidad del dominio con al menos SPF o DKIM. El uso de SPF y DKIM por sí solos no garantiza que se autentique la dirección de origen (esta es la dirección de correo electrónico que el destinatario ve en su cliente de correo electrónico). SPF se limita a comprobar el dominio especificado en la dirección de MAIL FROM (que el destinatario no ve). DKIM únicamente comprueba el dominio especificado en la firma de DKIM (que el destinatario tampoco ve). Para resolver estos dos problemas, DMARC exige que la conformidad de los dominios sea correcta en SPF o en DKIM:
+ Para que DMARC considere correcta la conformidad de SPF, el dominio de la dirección de origen debe coincidir con el dominio de la dirección de MAIL FROM (también denominada dirección de ruta de retorno y del remitente del sobre). Esto casi nunca es posible con el correo reenviado, puesto que se elimina, o cuando el correo se envía a través de proveedores externos de correo masivo, ya que la ruta de retorno (MAIL FROM) se utiliza para los rebotes y las quejas cuyo seguimiento realiza el proveedor (SES) mediante una dirección de su propiedad.
+ Para que DMARC considere correcta la conformidad de DKIM, el dominio especificado en la firma de DKIM debe coincidir con el dominio de la dirección de origen. Para que esto se cumpla si utiliza remitentes o servicios de terceros que envían correo en su nombre, asegúrese de que el remitente externo esté correctamente configurado para la firma de DKIM y de haber agregado a su dominio los registros de DNS apropiados. De este modo, los servidores de correo receptores podrán verificar el correo que les haya enviado un tercero como si lo hubiera enviado una persona autorizada para usar una dirección perteneciente al dominio.
**Interconexión mediante DMARC**
Las comprobaciones de conformidad de DMARC que hemos analizado muestran cómo SPF, DKIM y DMARC operan juntos para aumentar la confianza en el dominio y la entrega de los correos electrónicos a las bandejas de entrada. Para ello, DMARC se asegura de que la dirección de origen, la que ve el destinatario, se haya autenticado mediante SPF o DKIM:
+ Un mensaje solo pasa por DMARC si ha superado una de las comprobaciones de SPF o DKIM descritas o ambas.
+ Un mensaje no pasa por DMARC si no se supera ninguna de las comprobaciones de SPF o DKIM descritas.
Por lo tanto, se requieren tanto SPF como DKIM para que DMARC disponga de las máximas oportunidades de autenticar el correo electrónico enviado. Además, usar los tres protocolos permite asegurarse de disponer de un dominio de envío totalmente protegido.
DMARC también permite indicar a los servidores de correo electrónico cómo deben gestionar los correos electrónicos cuando no superan la autenticación de DMARC mediante las políticas que se han establecido. Esto se explica en la siguiente sección, [Configuración de la política de DMARC en un dominio](#send-email-authentication-dmarc-dns), que contiene información sobre cómo configurar los dominios de SES para que los correos electrónicos que envíe cumplan con el protocolo de autenticación de DMARC mediante SPF y DKIM.
## Configuración de la política de DMARC en un dominio
Para configurar DMARC, es necesario modificar la configuración de DNS del dominio. La configuración de DNS del dominio debe incluir un registro TXT que especifique la configuración de DMARC del dominio. Los procedimientos para añadir registros TXT a la configuración de DNS dependen del proveedor de DNS o de alojamiento que utilice. Si utiliza Route 53, consulte [Trabajar con registros](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) en la *Guía para desarrolladores de Amazon Route 53*. Si utiliza otro proveedor, consulte la documentación de configuración de DNS correspondiente.
El nombre del registro TXT que cree debe ser `_dmarc.example.com`, donde `example.com` es el dominio. El valor del registro TXT contiene la política de DMARC que se aplica al dominio. A continuación, se muestra un ejemplo de un registro TXT que contiene una política de DMARC:
| Nombre | Tipo | Valor |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
En el ejemplo anterior, se muestra una política de DMARC que indica a los proveedores de correo electrónico que hagan lo siguiente:
+ En el caso de los mensajes que no superen la autenticación, enviarlos a la carpeta de correo no deseado según lo especificado en el parámetro de la política, `p=quarantine`. Otras opciones incluyen no hacer nada, mediante `p=none`, o rechazar el mensaje directamente, mediante `p=reject`.
+ En la siguiente sección se explica cómo y cuándo utilizar estas tres configuraciones de políticas. *Si se utiliza una configuración incorrecta en un momento inoportuno, puede suceder que el correo electrónico no se entregue*; consulte [Prácticas recomendadas para implementar DMARC](#send-email-authentication-dmarc-implement).
+ Enviar informes sobre todos los correos electrónicos que no han superado la autenticación en un archivo de resumen (es decir, un informe que agrega los datos correspondientes a un determinado periodo de tiempo, en lugar de enviar informes individuales para cada evento), según lo especificado en el parámetro de informe `rua=mailto:my_dmarc_report@example.com` (*rua* representa las siglas en inglés de URI de informes para informes agregados). Normalmente, los proveedores de correo electrónico envían estos informes agregados una vez al día, aunque estas políticas difieren de un proveedor a otro.
Para obtener más información sobre la configuración de DMARC en el dominio, consulte la página [Overview](https://dmarc.org/overview/) en el sitio web de DMARC.
Para ver las especificaciones completas del sistema de DMARC, consulte [Internet Engineering Task Force (IETF) DMARC Draft](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/).
## Prácticas recomendadas para implementar DMARC
Lo mejor es implementar la aplicación de las políticas de DMARC de forma gradual y por fases, de tal forma que no interrumpa el resto del flujo de correo. Cree e implemente un plan de despliegue que siga estos pasos. Antes de avanzar al siguiente paso, realice cada uno de estos pasos primero con cada uno de los subdominios y, por último, con el dominio de nivel superior de la organización.
1. Supervise el impacto de la implementación de DMARC (p=none).
+ Comience por un registro sencillo en modo de supervisión para un subdominio o dominio, que solicite que las organizaciones destinatarias de correo le envíen estadísticas sobre los mensajes vistos que utilicen ese dominio. Un registro en modo de supervisión es un registro TXT de DMARC cuya política está establecida en ninguno `p=none`.
+ Los informes generados mediante DMARC indicarán las cifras y los orígenes de los mensajes que superen estas comprobaciones, en comparación con los que no. Resulta fácil ver qué parte del tráfico legítimo figura o no en ellos. Verá indicios de reenvíos, puesto que los mensajes reenviados no superan SPF ni DKIM si su contenido se ha modificado. También comenzará a ver cuántos mensajes fraudulentos se envían, y desde dónde.
+ La finalidad de este paso consiste en saber qué correos electrónicos se verán afectados al implementar uno de los dos pasos siguientes, así como asegurarse de que las políticas de SPF o DKIM de todos los terceros y remitentes autorizados sean conformes.
+ Es idóneo para los dominios existentes.
1. Solicite que los sistemas de correo externos pongan en cuarentena el correo que no supere las comprobaciones de DMARC (p=quarantine).
+ Si cree que la totalidad o la mayor parte de su tráfico legítimo se envía a dominios conformes con SPF o DKIM, y es consciente del impacto de la implementación de DMARC, puede implementar una política de cuarentena. Una política de cuarentena es un registro TXT de DMARC cuya política se ha establecido en cuarentena `p=quarantine`. De este modo, se solicita a los destinatarios de DMARC que pongan los mensajes de su dominio que no hayan superado las comprobaciones de DMARC en el equivalente local de una carpeta de correo no deseado, en lugar de en las bandejas de entrada de sus clientes.
+ Es ideal para dominios en transición que han analizado los informes de DMARC durante el paso 1.
1. Solicite que los sistemas de correo externos no acepten mensajes que no superen las comprobaciones de DMARC (p=reject).
+ La implementación de una política de rechazo suele ser el último paso. Una política de rechazo es un registro TXT de DMARC cuya política se ha establecido en rechazar `p=reject`. Al hacerlo, se pide a los destinatarios de DMARC que no acepten los mensajes que no hayan superado las comprobaciones de DMARC. Esto significa que ni siquiera se pondrán en cuarentena en una carpeta de correo no deseado o basura, sino que se rechazarán directamente.
+ Si utiliza una política de rechazo, sabrá exactamente qué mensajes no cumplen con la política de DMARC, ya que el rechazo provocará un rebote de SMTP. Con la cuarentena, los datos agregados proporcionan información sobre los porcentajes de correos electrónicos que superan o no superan las comprobaciones de SPF, DKIM y DMARC.
+ Es ideal para dominios nuevos o existentes para los que ya se hayan realizado los dos pasos anteriores.
## Conformidad con DMARC a través de SPF
Para que un correo electrónico cumpla los requisitos de DMARC basado en SPF, se deben cumplir estas dos condiciones:
+ El mensaje debe superar una comprobación de SPF que requiere disponer de un registro SPF (de tipo TXT) válido que ya se haya publicado en la configuración de DNS del dominio MAIL FROM personalizado.
+ El dominio de la dirección de origen del encabezado de correo electrónico debe ser conforme (coincidir) con el dominio que se especifica en la dirección MAIL FROM, o con un subdominio de este. Para que SPF sea conforme con SES, la política de DMARC del dominio no debe especificar una política de SPF estricta (aspf=s).
Para cumplir estos requisitos, siga los pasos que se describen a continuación:
+ Configure un dominio MAIL FROM personalizado realizando los procedimientos que se describen en [Uso de un dominio MAIL FROM personalizado](mail-from.md).
+ Asegúrese de que el dominio de envío use una política laxa para SPF. Si no ha cambiado la conformidad de política de su dominio, se utilizará una política laxa de forma predeterminada, como sucede en SES.
**nota**
Puede determinar la conformidad con DMARC para SPF del dominio escribiendo el siguiente comando en la línea de comandos y reemplazando `example.com` por su dominio:
```
dig TXT _dmarc.example.com
```
En el resultado de este comando, bajo **Non-authoritative answer**, busque un registro que empiece por `v=DMARC1`. Si este registro incluye la cadena `aspf=r` o si la cadena `aspf` no aparece, entonces el dominio usa la conformidad laxa para SPF. Si el registro incluye la cadena `aspf=s`, entonces el dominio usa la conformidad estricta para SPF. El administrador del sistema tendrá que eliminar esta etiqueta del registro TXT DMARC en la configuración de DNS del dominio.
Como alternativa, puede utilizar una herramienta de búsqueda de DMARC basada en la web, como el [Inspector de DMARC](https://dmarcian.com/dmarc-inspector/) del sitio web de dmarcian o la [herramienta de verificación de DMARC](https://mxtoolbox.com/dmarc.aspx) del sitio MxToolBox web, para determinar la alineación de las políticas de su dominio con respecto al SPF.
## Conformidad con DMARC a través de DKIM
Para que un correo electrónico cumpla los requisitos de DMARC basado en DKIM, se deben cumplir estas dos condiciones:
+ El mensaje debe tener una firma de DKIM válida y superar la comprobación de DKIM.
+ El dominio especificado en la firma de DKIM debe ser conforme (coincidir) con el dominio de la dirección de origen. Si la política de DMARC del dominio especifica una conformidad estricta para DKIM, estos dominios deben coincidir exactamente (de forma predeterminada, SES utiliza una política de DKIM estricta).
Para cumplir estos requisitos, siga los pasos que se describen a continuación:
+ Configure Easy DKIM realizando los procedimientos que se describen en [Easy DKIM en Amazon SES](send-email-authentication-dkim-easy.md). Cuando se utiliza Easy DKIM, Amazon SES firma automáticamente los mensajes de correo electrónico.
**nota**
En lugar de utilizar Easy DKIM, también puede [firmar manualmente sus mensajes](send-email-authentication-dkim-manual.md). Sin embargo, en tal caso, debe tener cuidado, ya que Amazon SES no valida la firma DKIM que usted crea. Por este motivo, le recomendamos que utilice Easy DKIM.
+ Asegúrese de que el dominio especificado en la firma de DKIM sea conforme con el dominio de la dirección de origen. O bien, si lo envía desde un subdominio del dominio en la dirección de origen, asegúrese de que su política de DMARC se haya establecido con conformidad laxa.
**nota**
Puede determinar la conformidad con DMARC para DKIM del dominio escribiendo el siguiente comando en la línea de comandos y reemplazando `example.com` por su dominio:
```
dig TXT _dmarc.example.com
```
En el resultado de este comando, bajo **Non-authoritative answer**, busque un registro que empiece por `v=DMARC1`. Si este registro incluye la cadena `adkim=r` o si la cadena `adkim` no aparece, entonces el dominio usa la conformidad laxa para DKIM. Si el registro incluye la cadena `adkim=s`, entonces el dominio usa la conformidad estricta para DKIM. El administrador del sistema tendrá que eliminar esta etiqueta del registro TXT DMARC en la configuración de DNS del dominio.
Como alternativa, puede utilizar una herramienta de búsqueda de DMARC basada en la web, como el [Inspector de DMARC](https://dmarcian.com/dmarc-inspector/) del sitio web de dmarcian o la [herramienta de verificación de DMARC](https://mxtoolbox.com/dmarc.aspx) del sitio MxToolBox web, para determinar la alineación de las políticas de su dominio con respecto al DKIM.
# Uso de BIMI en Amazon SES
Los indicadores de marca para la identificación de mensajes (BIMI) son una especificación de correo electrónico que permite que las bandejas de entrada de correo electrónico muestren el logotipo de una marca junto a los mensajes de correo electrónico autenticados de la marca en los clientes de correo electrónico compatibles.
BIMI es una especificación de correo electrónico que se conecta directamente a la autenticación, pero no es un protocolo de autenticación de correo electrónico independiente, ya que requiere que todo el correo electrónico cumpla con la autenticación [DMARC](send-email-authentication-dmarc.md).
Aunque BIMI requiere DMARC, DMARC requiere que el dominio tenga registros SPF o DKIM para alinearlos, pero es mejor incluir registros SPF y DKIM para mayor seguridad y porque algunos proveedores de servicios de correo electrónico (ESP) requieren ambos cuando utilizan BIMI. En la siguiente sección se describen los pasos para implementar BIMI en Amazon SES.
## Configuración de BIMI en SES
Puede configurar BIMI para un dominio de correo electrónico que posea; en SES, se denomina dominio MAIL FROM *personalizado*. Una vez configurados, todos los mensajes que envíe desde ese dominio mostrarán el logotipo de BIMI en [clientes de correo electrónico compatibles con BIMI](https://bimigroup.org/bimi-infographic/).
Para permitir que los correos electrónicos muestren un logotipo de BIMI, es necesario cumplir algunos requisitos previos en SES. En el siguiente procedimiento, estos requisitos previos se generalizan y harán referencia a secciones específicas que abordan estos temas en detalle. Los pasos específicos de BIMI y lo que se necesita para configurarlo en SES se detallarán aquí.
**Para configurar BIMI en un dominio MAIL FROM personalizado**
1. Debe tener un dominio MAIL FROM personalizado configurado en SES con registros SPF (tipo TXT) y MX publicados para ese dominio. Si todavía no tiene un dominio MAIL FROM personalizado o desea crear uno nuevo para el logotipo de BIMI, consulte [Uso de un dominio MAIL FROM personalizado](mail-from.md).
1. Configure el dominio con Easy DKIM. Consulte [Easy DKIM en Amazon SES](send-email-authentication-dkim-easy.md).
1. Configure el dominio con DMARC publicando un registro TXT con el proveedor de DNS con las siguientes especificaciones de política de cumplimiento necesarias para BIMI, de forma parecida a cualquiera de estos dos ejemplos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-bimi.html)
En el ejemplo de política DMARC anterior, tal como se requiere para BIMI:
+ `example.com` se debe sustituir por el nombre de dominio o subdominio.
+ El valor `p=` puede ser:
+ *poner en cuarentena* con un valor *pct* establecido en *100*, como se muestra, o
+ *rechazar* como se muestra.
+ Si envía desde un subdominio, BIMI exige que el dominio principal también cuente con esta política de cumplimiento. Los subdominios se regirán por la política del dominio principal. Sin embargo, si agrega un registro de DMARC para el subdominio además del que se publica para el dominio principal, el subdominio también debe tener la misma política de cumplimiento para ser elegible para BIMI.
+ Si nunca ha configurado una política de DMARC para el dominio, consulte [Cumplimiento del protocolo de autenticación DMARC en Amazon SES](send-email-authentication-dmarc.md) y asegúrese de que solo usa los valores de la política de DMARC específicos de BIMI, tal como se muestra.
1. Cree el logotipo de BIMI como un archivo `.svg` de gráficos vectoriales escalables (SVG); el perfil SVG específico que requiere BIMI se define como SVG Portable/Secure (SVG P/S). Para que el logotipo se muestre en el cliente de correo electrónico, debe cumplir exactamente con estas especificaciones. Consulte la guía del [Grupo de BIMI](https://bimigroup.org/) sobre la [creación de archivos de logotipos SVG](https://bimigroup.org/creating-bimi-svg-logo-files/) y las [herramientas de conversión SVG](https://bimigroup.org/svg-conversion-tools-released/) recomendadas.
1. (Opcional) Obtenga un certificado de marca verificada (VMC). Algunos ESP, como Gmail y Apple, exigen que un VMC demuestre que es el propietario de la marca comercial y el contenido del logotipo de BIMI. Si bien esto no es un requisito para implementar el BIMI en el dominio, el logotipo de BIMI no se mostrará en el cliente de correo electrónico si el ESP al que envíe el correo cumple con el VMC. Consulte las referencias del Grupo de BIMI a las [autoridades de certificación participantes](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) para obtener un VMC para el logotipo.
1. Aloje el archivo SVG del logotipo de BIMI en un servidor al que tenga acceso para que sea accesible públicamente a través de HTTPS. Por ejemplo, puede cargarlo en un [bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html).
1. Cree y publique un registro de DNS de BIMI que incluya una URL para el logotipo. Cuando un [ESP compatible con BIMI](https://bimigroup.org/bimi-infographic/) compruebe el registro de DMARC, también buscará un registro de BIMI que contenga la URL del archivo `.svg` del logotipo y, si está configurado, la URL del archivo `.pem` de VMC. Si los registros coinciden, mostrarán el logotipo de BIMI.
Configure el dominio con BIMI publicando un registro TXT con el proveedor de DNS con los siguientes valores, tal como se muestra: el envío desde un dominio se representa en el primer ejemplo; el envío desde un subdominio se representa en el segundo ejemplo:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-bimi.html)
En los ejemplos de registros de BIMI anteriores:
+ El valor del nombre se debe especificar literalmente `default._bimi.` como un subdominio de `example.com` o `marketing.example.com` que se debe sustituir por el nombre de dominio o subdominio.
+ El valor `v=` es la *versión* del registro de BIMI.
+ El valor `l=` es el *logotipo* que representa la URL que apunta al archivo `.svg` de la imagen.
+ El valor `a=` es la *autoridad* que representa la URL que apunta al archivo `.pem` del certificado.
Puede validar el registro de BIMI con una herramienta como el [Inspector de BIMI](https://bimigroup.org/bimi-generator/) del grupo de BIMI.
El último paso de este proceso es tener un patrón de envío regular a los ESP que admitan la colocación del logotipo de BIMI. El dominio debe tener una cadencia de entrega regular y debe tener una buena reputación entre los ESP a los que envía. La colocación del logotipo de BIMI puede tardar en llegar a los ESP en los que no tenga una reputación o una cadencia de envío establecidos.
Puede encontrar más información y recursos relacionados con el BIMI a través de la organización del [Grupo de BIMI](https://bimigroup.org/).
# Configuración de las notificaciones de eventos para Amazon SES
Para poder enviar correo electrónico con Amazon SES, debe disponer de un sistema para administrar los rebotes y los reclamos. Amazon SES puede informarle de eventos de rebotes o reclamos de tres maneras: mediante el envío de un correo electrónico de notificación, con la notificación de un tema de Amazon SNS o con la publicación de eventos de envío. Esta sección contiene información acerca de cómo configurar Amazon SES para enviar determinados tipos de notificaciones, bien por correo electrónico, bien mediante la notificación a un tema de Amazon SNS. Para obtener más información sobre cómo publicar eventos de envío, consulte [Monitoreo del envío de correo electrónico mediante la publicación de eventos de Amazon SES](monitor-using-event-publishing.md).
Puede configurar notificaciones utilizando la consola de Amazon SES o la API de Amazon SES.
**Topics**
+ [Consideraciones importantes](#monitor-sending-activity-using-notifications-considerations)
+ [Recepción de notificaciones de Amazon SES por correo electrónico](monitor-sending-activity-using-notifications-email.md)
+ [Recepción de notificaciones de Amazon SES mediante Amazon SNS](monitor-sending-activity-using-notifications-sns.md)
## Consideraciones importantes
Hay que tener en cuenta varios puntos importantes al configurar Amazon SES para enviar notificaciones:
+ Las notificaciones de correo electrónico y de Amazon SNS se aplican a identidades individuales (las direcciones de correo electrónico o los dominios verificados que se utilizan para enviar correo electrónico). Cuando habilita las notificaciones para una identidad, Amazon SES solo envía notificaciones para los correos electrónicos enviados desde esa identidad y solo en la AWS región en la que configuró las notificaciones.
+ Es necesario habilitar un método de recepción de notificaciones de rebotes o reclamaciones. Puede enviar notificaciones al dominio o a la dirección de correo electrónico que generó el rebote o el reclamo, o a un tema de Amazon SNS. También puede utilizar la [publicación de eventos](monitor-using-event-publishing.md) para enviar notificaciones sobre los distintos tipos de eventos (incluidos rebotes, quejas, entregas, etc.) a un tema de Amazon SNS o un flujo de Firehose.
Si no se configura uno de estos métodos de recepción de notificaciones de rebotes y reclamos, Amazon SES reenvía automáticamente las notificaciones de rebotes y reclamos a la dirección Return-Path (o la dirección Source, si no se ha especificado una dirección Return-Path) del mensaje que generó el evento de rebote o de reclamo, aunque se haya desactivado el reenvío de retroalimentación de correo electrónico.
Si deshabilita el reenvío de retroalimentación de correo electrónico y habilita la publicación de eventos, debe aplicar el conjunto de configuración que contiene la regla de publicación de eventos a todos los mensajes de correo electrónico que envíe. En esta situación, si no se utiliza el conjunto de configuración, Amazon SES reenvía automáticamente las notificaciones de rebotes y reclamos a la dirección Return-Path o Source del correo electrónico que generó el evento de rebote o reclamo.
+ Si configura Amazon SES para enviar eventos de rebotes y reclamos utilizando varios métodos (como, por ejemplo, mediante el envío de notificaciones de correo electrónico o el uso de eventos de envío), es posible que reciba más de una notificación para el mismo evento.
# Recepción de notificaciones de Amazon SES por correo electrónico
Amazon SES puede enviarle correo electrónico cuando reciba rebotes y reclamos mediante un proceso denominado *reenvío de retroalimentación de correo electrónico*.
Para poder enviar correo electrónico con Amazon SES, debe configurarlo para enviar las notificaciones de rebotes y reclamos mediante uno de los siguientes métodos:
+ Habilitando el reenvío de retroalimentación de correo electrónico. El procedimiento para configurar este tipo de notificación se incluye en esta sección.
+ Enviando notificaciones a un tema de Amazon SNS. Para obtener más información, consulte [Recepción de notificaciones de Amazon SES mediante Amazon SNS](monitor-sending-activity-using-notifications-sns.md).
+ Publicando notificaciones de eventos. Para obtener más información, consulte [Monitoreo del envío de correo electrónico mediante la publicación de eventos de Amazon SES](monitor-using-event-publishing.md).
**importante**
Para conocer varios puntos importantes acerca de las notificaciones, consulte [Configuración de las notificaciones de eventos para Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Habilitar el reenvío de retroalimentación de correo electrónico](#monitor-sending-activity-using-notifications-email-enabling)
+ [Deshabilitar el reenvío de retroalimentación de correo electrónico](#monitor-sending-activity-using-notifications-email-disabling)
+ [Destino de reenvío de retroalimentación de correo electrónico](#monitor-sending-activity-using-notifications-email-destination)
## Habilitar el reenvío de retroalimentación de correo electrónico
El reenvío de retroalimentación de correo electrónico está habilitado de forma predeterminada. Si anteriormente lo deshabilitó, puede habilitarlo siguiendo los procedimientos de esta sección.
**Para habilitar el reenvío de rebotes y reclamos a través de correo electrónico utilizando la consola de Amazon SES**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de direcciones de correo electrónico o dominios verificados, elija la dirección de correo electrónico o el dominio en los que desea configurar las notificaciones de rebotes y reclamaciones.
1. En el panel de detalles de la derecha, expanda la sección **Notifications**.
1. Elija **Edit Configuration**.
1. En **Email Feedback Forwarding**, elija **Enabled**.
**nota**
Los cambios que realice en esta página pueden tardar varios minutos en surtir efecto.
También puede activar las notificaciones de devoluciones y quejas por correo electrónico mediante la operación de [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Deshabilitar el reenvío de retroalimentación de correo electrónico
Si configura un método diferente para proporcionar notificaciones de rebotes y reclamaciones, puede deshabilitar el reenvío de retroalimentación de correo electrónico para no recibir varias notificaciones cuando se produzca un evento de rebote o reclamación.
**Para desactivar el reenvío de rebotes y reclamos a través de correo electrónico utilizando la consola de Amazon SES**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de direcciones de correo electrónico o dominios verificados, elija la dirección de correo electrónico o el dominio en los que desea configurar las notificaciones de rebotes y reclamaciones.
1. En el panel de detalles de la derecha, expanda la sección **Notifications**.
1. Elija **Edit Configuration**.
1. En **Email Feedback Forwarding**, elija **Disabled**.
**nota**
Debe configurar un método de recepción de notificaciones de rebotes y reclamos para poder enviar correo electrónico a través de Amazon SES. Si desactiva el reenvío de retroalimentación de correo electrónico, debe habilitar las notificaciones enviadas por Amazon SNS o publicar eventos de rebotes y quejas en un tema de Amazon SNS o un flujo de Firehose mediante la [publicación de eventos](monitor-using-event-publishing.md). Si utiliza la publicación de eventos, debe aplicar también el conjunto de configuración que contiene la regla de publicación de eventos a cada mensaje de correo electrónico que envíe. Si no se configura un método de recepción de notificaciones de rebotes y reclamos, Amazon SES reenvía automáticamente las notificaciones de retroalimentación por correo electrónico a las direcciones que figuran en el campo Return-Path (o en el campo Source, si no se ha especificado una dirección Return-Path) del mensaje que generó el evento de rebote o de reclamo. En esta situación, Amazon SES reenvía las notificaciones de rebotes y reclamos incluso si se han desactivado las notificaciones de retroalimentación de correo electrónico.
1. Para guardar su configuración de notificaciones, elija **Save Config (Guardar configuración)**.
**nota**
Los cambios que realice en esta página podrían tardar varios minutos en surtir efecto.
También puede deshabilitar las notificaciones de devoluciones y quejas por correo electrónico mediante la operación de [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Destino de reenvío de retroalimentación de correo electrónico
Al recibir notificaciones por correo electrónico, Amazon SES vuelve a escribir el encabezado `From` y le envía la notificación. La dirección a la que Amazon SES reenvía la notificación depende de cómo haya enviado el mensaje original.
Si ha utilizado la interfaz de SMTP para enviar el mensaje, las notificaciones se entregan de acuerdo con las siguientes normas:
+ Si ha especificado un encabezado `Return-Path` en la sección `SMTP DATA`, las notificaciones se envían a esa dirección.
+ De lo contrario, las notificaciones se envían a la dirección que especificó al ejecutar el comando MAIL FROM.
Si ha utilizado la operación de la API `SendEmail` para enviar el mensaje, las notificaciones se entregan de acuerdo con las siguientes reglas:
+ Si ha especificado el parámetro `ReturnPath` opcional en la llamada a la API `SendEmail`, las notificaciones se envían a esa dirección.
+ De lo contrario, las notificaciones se envían a la dirección especificada en el parámetro `Source` obligatorio de `SendEmail`.
Si ha utilizado la operación de la API `SendRawEmail` para enviar el mensaje, las notificaciones se entregan de acuerdo con las siguientes reglas:
+ Si ha especificado un encabezado `Return-Path` en el mensaje sin procesar, las notificaciones se envían a esa dirección.
+ Sin embargo, si ha especificado un parámetro `Source` en la llamada a la API `SendRawEmail`, las notificaciones se envían a esa dirección.
+ De lo contrario, las notificaciones se envían a la dirección del encabezado `From` del mensaje sin procesar.
**nota**
Cuando se especifica una dirección `Return-Path` en un mensaje de correo electrónico, las notificaciones se reciben en esa dirección. Sin embargo, la versión del mensaje que recibe el destinatario contiene un encabezado `Return-Path` que incluye una dirección de correo electrónico anónima (como *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*). Esta dirección anónima se utiliza independientemente de la forma en que se haya enviado el correo electrónico.
# Recepción de notificaciones de Amazon SES mediante Amazon SNS
Puede configurar Amazon SES para notificar a un tema de Amazon SNS cuando se reciban rebotes o reclamos, o cuando se entreguen mensajes de correo electrónico. Las notificaciones de Amazon SNS están en formato de [notación de JavaScript objetos (JSON)](http://www.json.org), lo que le permite procesarlas mediante programación.
Para poder enviar correo electrónico con Amazon SES, debe configurarlo para enviar las notificaciones de rebotes y reclamos mediante uno de los siguientes métodos:
+ Enviando notificaciones a un tema de Amazon SNS. El procedimiento para configurar este tipo de notificación se incluye en esta sección.
+ Habilitando el reenvío de retroalimentación de correo electrónico. Para obtener más información, consulte [Recepción de notificaciones de Amazon SES por correo electrónico](monitor-sending-activity-using-notifications-email.md).
+ Publicando notificaciones de eventos. Para obtener más información, consulte [Monitoreo del envío de correo electrónico mediante la publicación de eventos de Amazon SES](monitor-using-event-publishing.md).
**importante**
Consulte [Configuración de las notificaciones de eventos para Amazon SES](monitor-sending-activity-using-notifications.md) para obtener información importante sobre las notificaciones.
**Topics**
+ [Configuración de notificaciones de Amazon SNS para Amazon SES](configure-sns-notifications.md)
+ [Contenidos de notificaciones de Amazon SNS para Amazon SES](notification-contents.md)
+ [Ejemplos de notificaciones de Amazon SNS para Amazon SES](notification-examples.md)
# Configuración de notificaciones de Amazon SNS para Amazon SES
Amazon SES puede informarle de los rebotes, los reclamos y las entregas mediante [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns).
Puede configurar las notificaciones en la consola de Amazon SES o mediante la API de Amazon SES.
**Topics**
+ [Requisitos previos](#configure-feedback-notifications-prerequisites)
+ [Configuración de notificaciones con la consola de Amazon SES](#configure-feedback-notifications-console)
+ [Configuración de notificaciones con la API de Amazon SES](#configure-feedback-notifications-api)
+ [Solución de problemas de notificaciones de retroalimentación](#configure-feedback-notifications-troubleshooting)
## Requisitos previos
Realice los pasos siguientes antes de configurar notificaciones de Amazon SNS en Amazon SES:
1. Cree un tema en Amazon SNS. Para obtener más información, consulte [Creación de un tema](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
**importante**
Al crear un tema con Amazon SNS, en **Type** (Tipo), solo elija **Standard** (Estándar). (SES no admite temas de tipo FIFO).
Tanto si crea un nuevo tema de SNS como si selecciona uno existente, debe conceder acceso a SES para publicar notificaciones en el tema.
Para conceder permiso a Amazon SES para publicar notificaciones en el tema, en la pantalla **Edit topic** (Editar tema) de la consola de SNS, expanda **Access policy** (Política de acceso) y en el **editor de JSON**, agregue la siguiente política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ *topic\$1region*Sustitúyalo por la AWS región en la que creó el tema de SNS.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *topic\$1name*Sustitúyalo por el nombre de tu tema de SNS.
+ *identity\$1name*Sustitúyelo por la identidad verificada (dirección de correo electrónico o dominio) a la que te estás suscribiendo al tema de SNS.
1. Suscriba al menos un punto de conexión al tema. Por ejemplo, si desea recibir notificaciones por mensaje de texto, suscriba un punto de enlace de SMS (es decir, un número de teléfono móvil) al tema. Para recibir notificaciones por correo electrónico, suscriba un punto de enlace de correo electrónico (una dirección de correo electrónico) al tema.
Para obtener más información, consulte [Introducción](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
1. (Opcional) Si su tema de Amazon SNS utiliza AWS Key Management Service (AWS KMS) para el cifrado del lado del servidor, debe añadir permisos a la política de claves. AWS KMS Puede añadir permisos adjuntando la siguiente política a la política clave: AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Configuración de notificaciones con la consola de Amazon SES
**Para configurar notificaciones mediante la consola de Amazon SES**
1. Abra la consola Amazon SES en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En el contenedor **Identities** (Identidades), seleccione la identidad verificada de la que desea recibir notificaciones de valoraciones cuando un mensaje enviado desde esta identidad produzca un rebote, un reclamo o una entrega.
**importante**
La configuración de notificaciones de dominio verificada se aplican a todos los correos electrónicos enviados desde las direcciones de correo electrónico en dicho dominio *excepto* para las direcciones de correo electrónico que también se han verificado.
1. En la pantalla de detalles de la identidad verificada que seleccionó, elija la pestaña **Notifications** (Notificaciones) y seleccione **Edit** (Editar) en el contenedor **Feedback notifications** (Notificaciones de valoración).
1. Expanda el cuadro de lista de temas de SNS de cada tipo de valoración para la que desee recibir notificaciones y seleccione un tema de SNS que le pertenezca, **No SNS topic** (Sin tema de SNS), o bien **SNS topic you don’t own** (Tema de SNS que no le pertenece).
1. Si eligió **SNS topic you don’t own** (Tema de SNS que no le pertenece), aparecerá el campo **SNS topic ARN** (ARN del tema de SNS) y deberá introducir el ARN del tema de SNS que el remitente delegado le ha compartido. (Solo el remitente delegado recibirá estas notificaciones porque es propietario del tema de SNS. Para obtener más información acerca de los envíos delegados, consulte [Información general de la autorización de envío](sending-authorization-overview.md)).
**importante**
Los temas de Amazon SNS que utilices para las notificaciones de devoluciones, quejas y entregas deben estar en los mismos términos en los Región de AWS que utilizas Amazon SES.
Además, tiene que suscribir uno o varios puntos de enlace al tema para recibir notificaciones. Por ejemplo, si desea que las notificaciones se envíen a una dirección de correo electrónico, tiene que suscribir un punto de enlace de correo electrónico al tema. Para obtener más información, consulte [Introducción](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
1. (Opcional) Si desea que la notificación del tema incluya los encabezados del correo electrónico original, marque la casilla **Include original email headers** (Incluir encabezados de correo electrónico originales) directamente debajo del nombre del tema de SNS de cada tipo de valoración. Esta opción solo está disponible si ha asignado un tema de Amazon SNS al tipo de notificación asociado. Para obtener información sobre el contenido de los encabezados de correo electrónico originales, consulte el objeto `mail` en [Contenido de las notificaciones](notification-contents.md).
1. Seleccione **Save changes (Guardar cambios)**. Los cambios que haya realizado en su configuración de notificaciones podrían tardar varios minutos en surtir efecto.
1. (Opcional) Si eligió las notificaciones de tema de Amazon SNS tanto para rebotes como para reclamos, puede desactivar las notificaciones por correo electrónico en su totalidad para que no reciba notificaciones dobles a través de correo electrónico y notificaciones de SNS. Para desactivar las notificaciones por correo electrónico de rebotes y reclamos, en la pestaña **Notifications** (Notificaciones) en la pantalla de detalles de la identidad verificada, en el contenedor **Email Feedback Forwarding** (Reenvío de valoración de correo), elija **Edit** (Editar), desmarque la casilla **Enabled** (Habilitado), y elija **Save changes** (Guardar los cambios).
Después de configurar sus ajustes, comenzará a recibir notificaciones de rebotes, reclamos o entregas en sus temas de Amazon SNS. Estas notificaciones están en formato de notación de JavaScript objetos (JSON) y siguen la estructura descrita en. [Contenido de las notificaciones](notification-contents.md)
Se le cobrarán las tarifas estándar de Amazon SNS para notificaciones de rebotes, reclamos y entregas. Para obtener más información, consulte la [Página de precios de Amazon SNS](https://aws.amazon.com/sns/pricing).
**nota**
Si se produce un error al intentar publicar en su tema de Amazon SNS porque el tema se ha eliminado o ya Cuenta de AWS no tiene permisos para publicar en él, Amazon SES elimina la configuración de ese tema si se ha configurado para rechazos o quejas (no para entregas; en el caso de las notificaciones de entrega, SES no eliminará el ajuste de configuración del tema de SNS). Además, Amazon SES volverá a habilitar las notificaciones por correo electrónico de rebotes y reclamos para la identidad y se recibirá una notificación del cambio por correo electrónico. Si se configuran varias identidades para utilizar el tema, la configuración del tema de cada identidad cambia cuando cada identidad experimenta un error al publicar en el tema.
## Configuración de notificaciones con la API de Amazon SES
También puede configurar notificaciones de rebotes, reclamos y entregas con la API de Amazon SES. Utilice las siguientes operaciones para configurar las notificaciones:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
Puede utilizar estas acciones de la API para escribir una aplicación front-end personalizada para notificaciones. Para obtener una descripción completa de las acciones de la API relacionadas con las notificaciones, consulte la [Referencia de la API de Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
## Solución de problemas de notificaciones de retroalimentación
**No recibir notificaciones**
Si no recibe notificaciones, asegúrese de que ha suscrito un punto de enlace al tema a través del que se envían notificaciones. Cuando suscriba un punto de conexión de correo electrónico a un tema, recibirá un correo electrónico que le pedirá que confirme su suscripción. Debe confirmar su suscripción antes de empezar a recibir notificaciones por correo electrónico. Para obtener más información, consulte [Introducción](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
**Error `InvalidParameterValue` al elegir un tema**
Si recibe un error que indica que se ha producido un error `InvalidParameterValue`, consulte el tema de Amazon SNS para ver si está cifrado con AWS KMS. Si es así, debe modificar la política de la clave. AWS KMS Consulte [Requisitos previos](#configure-feedback-notifications-prerequisites) para ver un ejemplo de política.
# Contenidos de notificaciones de Amazon SNS para Amazon SES
Las notificaciones de rebote, queja y entrega se publican en los temas del [Amazon Simple Notification Service (Amazon SNS) en formato JavaScript Object Notation (JSON)](https://aws.amazon.com/sns). El objeto JSON de nivel superior contiene una cadena `notificationType`, un objeto `mail` y un objeto `bounce`, un objeto `complaint` o un objeto `delivery`.
Consulte las secciones siguientes para las descripciones de los diferentes tipos de objetos:
+ [Objeto JSON de nivel superior](#top-level-json-object)
+ [Objeto `mail`](#mail-object)
+ [Objeto `bounce`](#bounce-object)
+ [Objeto `complaint`](#complaint-object)
+ [Objeto `delivery`](#delivery-object)
A continuación se muestran algunas notas importantes acerca del contenido de las notificaciones de Amazon SNS para Amazon SES:
+ Para un tipo de notificación determinado, es posible que reciba una notificación de Amazon SNS para varios destinatarios o puede recibir una sola notificación de Amazon SNS por destinatario. El código debe ser capaz de analizar la notificación de Amazon SNS y administrar ambos casos; SES no garantiza el orden ni la agrupación de las notificaciones enviadas a través de Amazon SNS. Sin embargo, distintos tipos de notificación de Amazon SNS (por ejemplo, rebotes y reclamos) nunca se combinan en una sola notificación.
+ Podría recibir varios tipos de notificaciones de Amazon SNS para un destinatario. Por ejemplo, el servidor de correo electrónico receptor podría aceptar el correo electrónico (activando una notificación de entrega), pero después de procesar el correo electrónico, el servidor de correo electrónico receptor podría determinar que el correo electrónico da lugar en realidad a un rebote (desencadenando una notificación de rebote). Sin embargo, estas notificaciones siempre son independientes, ya que son tipos de notificación distintos.
+ SES se reserva el derecho de añadir campos adicionales a las notificaciones. Por tanto, las aplicaciones que analizan estas notificaciones deben ser lo suficientemente flexibles como para gestionar campos desconocidos.
+ SES sobrescribe los encabezados del mensaje cuando envía el correo electrónico. Puede recuperar los encabezados del mensaje original desde los campos `headers` y `commonHeaders` del objeto `mail`.
## Objeto JSON de nivel superior
El objeto JSON de nivel superior en una notificación SES contiene los siguientes campos.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| notificationType | Una cadena que contiene el tipo de notificación representado por el objeto JSON. Los valores posibles son `Bounce`, `Complaint` o `Delivery`. Si [configuró la publicación de eventos](monitor-sending-using-event-publishing-setup.md), este campo se denomina `eventType`. |
| mail | Un objeto JSON que contiene información sobre el correo original al que pertenece la notificación. Para obtener más información, consulte [Objeto Mail](#mail-object). |
| bounce | Este campo está presente solo si `notificationType` es `Bounce` y contiene un objeto JSON que mantiene información sobre el rebote. Para obtener más información, consulte [Objeto Bounce](#bounce-object). |
| complaint | Este campo está presente solo si `notificationType` es `Complaint` y contiene un objeto JSON que mantiene información sobre la reclamación. Para obtener más información, consulte [Objeto Complaint](#complaint-object). |
| delivery | Este campo está presente solo si `notificationType` es `Delivery` y contiene un objeto JSON que mantiene información sobre la entrega. Para obtener más información, consulte [Objeto Delivery](#delivery-object). |
## Objeto Mail
Cada notificación de rebote, reclamación o entrega contiene información sobre el correo electrónico original en el objeto `mail`. El objeto JSON que contiene información acerca de un objeto `mail` tiene los campos siguientes.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| timestamp | La hora a la que se envió el mensaje original (en ISO8601 formato). |
| messageId | Un identificador exclusivo que SES asignó al mensaje. SES le devolvió este valor cuando usted envió el mensaje. Este ID de mensaje lo asignó SES. Puede encontrar el ID de mensaje del correo electrónico original en el campo `headers` del objeto `mail`. |
| source | La dirección de correo electrónico desde la que se envió el mensaje original (la dirección MAIL FROM del sobre). |
| sourceArn | El nombre de recurso de Amazon (ARN) de la identidad que se utilizó para enviar el correo electrónico. En el caso de una autorización de envío, el `sourceArn` es el ARN de la identidad que el propietario de la identidad autorizó utilizar al remitente delegado para enviar el correo electrónico. Para obtener más información acerca de la autorización de envío, consulte [Métodos de autenticación del correo electrónicoUso de la autorización de envío](sending-authorization.md). |
| sourceIp | La dirección IP pública de origen del cliente que realizó la solicitud de envío de correo electrónico a SES. |
| sendingAccountId | El Cuenta de AWS ID de la cuenta que se utilizó para enviar el correo electrónico. En el caso de la autorización de envío, el `sendingAccountId` es el ID de cuenta del remitente delegado. |
| callerIdentity | Identidad de IAM del usuario de SES que ha enviado el correo electrónico. |
| destination | Una lista de direcciones de correo electrónico que han sido destinatarios del correo electrónico original. |
| headersTruncated | Este objeto solo está presente si configuró la configuración de las notificaciones para incluir los encabezados del correo electrónico original. Indica si los encabezados están truncados en la notificación. SES trunca los encabezados en la notificación cuando los encabezados del mensaje original tienen un tamaño de 10 KB o superior. Los posibles valores son `true` y `false`. |
| headers | Este objeto solo está presente si configuró la configuración de las notificaciones para incluir los encabezados del correo electrónico original. Una lista de los encabezados originales del correo electrónico. Cada encabezado de la lista tiene un campo `name` y un campo `value`. Cualquier ID de mensaje dentro del objeto `headers` procede del mensaje original que pasó a SES. El ID de mensaje que SES asignó seguidamente al mensaje está en el campo `messageId` del objeto `mail`. |
| commonHeaders | Este objeto solo está presente si configuró la configuración de las notificaciones para incluir los encabezados del correo electrónico original. Incluye información sobre los encabezados de correo electrónico comunes del correo electrónico original, incluido los campos Desde, A y Asunto. Dentro de este objeto, cada encabezado es una clave. Los campos Desde y A se representan por matrices que contienen varios valores. Para eventos, el ID de mensaje dentro del campo `commonHeaders` es el ID de mensaje que Amazon SES asignó seguidamente al mensaje en el campo `messageId` del objeto del correo. Las notificaciones contendrán el ID de mensaje del correo electrónico original. |
A continuación, se muestra un ejemplo de un objeto `mail` que incluye los encabezados de correo electrónico originales. Cuando este tipo de notificación no está configurado para incluir los encabezados de correo electrónico originales, el objeto `mail` no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" "
},
{
"name":"To",
"value":"\"Recipient Name\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Mon, 08 Oct 2018 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"Sender Name "
],
"date":"Mon, 08 Oct 2018 14:05:45 +0000",
"to":[
"Recipient Name "
],
"messageId":" custom-message-ID",
"subject":"Message sent using SES"
}
}
```
## Objeto Bounce
El objeto JSON que contiene información acerca de rebotes contiene los campos siguientes.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| bounceType | El tipo de rebote, tal como determina SES. Para obtener más información, consulte [Tipos de rebote](#bounce-types). |
| bounceSubType | El subtipo de rebote, tal como determina SES. Para obtener más información, consulte [Tipos de rebote](#bounce-types). |
| bouncedRecipients | Una lista que contiene información acerca de los destinatarios del mensaje de correo electrónico original que dio lugar a un rebote. Para obtener más información, consulte [Destinatarios con rebote](#bounced-recipients). |
| timestamp | La fecha y la hora en que se envió el rebote (en ISO8601 formato). Tenga en cuenta que se trata de la hora a la que el ISP envió la notificación y no la hora a la que la recibió SES. |
| feedbackId | Un ID único para el rebote. |
Si SES pudo ponerse en contacto con la autoridad de transferencia de mensajes (MTA) remota, también está presente el siguiente campo.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| remoteMtaIp | La dirección IP de la MTA al que SES intentó entregar el correo electrónico. |
Si se adjunta una notificación de estado de entrega (DSN) al rebote, también está presente el siguiente campo.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| reportingMTA | El valor del campo `Reporting-MTA` del DSN. Se trata del valor de la autoridad de transferencia de mensajes (MTA) que intentó realizar la operación de entrega, retransmisión o gateway descrita en el DSN. |
A continuación se muestra un ejemplo de un objeto `bounce`.
```
{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"status":"5.0.0",
"action":"failed",
"diagnosticCode":"smtp; 550 user unknown",
"emailAddress":"recipient1@example.com"
},
{
"status":"4.0.0",
"action":"delayed",
"emailAddress":"recipient2@example.com"
}
],
"reportingMTA": "example.com",
"timestamp":"2012-05-25T14:59:38.605Z",
"feedbackId":"000001378603176d-5a4b5ad9-6f30-4198-a8c3-b1eb0c270a1d-000000",
"remoteMtaIp":"127.0.2.0"
}
```
### Destinatarios con rebote
Una notificación de rebote podría pertenecer a un único destinatario o a varios destinatarios. El campo `bouncedRecipients` aloja una lista de objetos (un objeto por destinatario a quien pertenece la notificación de rebote) y siempre contiene el campo siguiente.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| emailAddress | La dirección de correo electrónico del destinatario. Si hay un DSN disponible, se trata del valor del campo `Final-Recipient` del DSN. |
Opcionalmente, si hay un DSN adjunto al rebote, los siguientes campos también podrían estar presentes.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| action | El valor del campo `Action` del DSN. Esto indica la acción que realiza el Reporting-MTA como resultado de su intento de entregar el mensaje a este destinatario. |
| status | El valor del campo `Status` del DSN. Se trata del código de estado independiente del transporte por destinatario que indica el estado de entrega del mensaje. |
| diagnosticCode | El código de estado emitido por la MTA de notificación. Este es el valor del campo `Diagnostic-Code` del DSN. Este campo puede estar ausente en el DSN (y, por lo tanto, también ausente en el JSON). |
A continuación se muestra un ejemplo de objeto que podría estar en la lista `bouncedRecipients`.
```
{
"emailAddress": "recipient@example.com",
"action": "failed",
"status": "5.0.0",
"diagnosticCode": "X-Postfix; unknown user"
}
```
### Tipos de rebote
El objeto de rebote contiene un tipo de rebote `Undetermined`, `Permanent` *(permanente)* o `Transient` *(provisional)*. Los tipos de rebote `Permanent` *(permanente)* y `Transient` *(provisional)* también pueden contener uno de varios subtipos de rebote.
Cuando reciba una notificación de rebote con un tipo `Transient` *(provisional)*, es posible que pueda enviar correo electrónico a ese destinatario en el futuro si se resuelve el problema que provocó el rebote del mensaje.
Cuando recibes una notificación de rebote con un tipo `Permanent` *(permanente)*, es poco probable que pueda enviar correo electrónico a ese destinatario en el futuro. Por este motivo, debe quitar inmediatamente el destinatario cuya dirección produjo el rebote de las listas de correo.
**nota**
Cuando se produce un *rebote temporal* (un rebote relacionado con un problema temporal, por ejemplo, que se llene la bandeja de entrada del destinatario), SES intenta entregar de nuevo el correo electrónico durante un determinado periodo de tiempo. Al final de ese periodo de tiempo, si SES sigue sin poder entregar el correo electrónico, deja de intentarlo.
SES ofrece notificaciones de los rebotes permanentes, así como de los rebotes temporales cuya entrega ha dejado de intentar. Si desea recibir una notificación cada vez que se produzca un rebote temporal, [habilite la publicación de eventos](monitor-sending-using-event-publishing-setup.md) y configúrela para que envíe notificaciones cuando se produzcan eventos en de retraso en la entrega.
| bounceType | bounceSubType | Description (Descripción) |
| --- | --- | --- |
| Undetermined | Undetermined | El proveedor de correo electrónico del destinatario envió un mensaje de rebote. El mensaje de rebote no contenía información suficiente para que SES determinara el motivo del rebote. El correo electrónico de rebote, que se envió a la dirección del encabezado Return-Path del correo electrónico que generó el rebote, podría contener información adicional sobre el problema que provocó que rebotara el correo electrónico. |
| Permanent | General | El proveedor de correo electrónico del destinatario envió un mensaje de devolución permanente. Cuando reciba este tipo de notificación de rebote, debe quitar inmediatamente la dirección de correo electrónico del destinatario de su lista de correo. El envío de mensajes a direcciones que producen rebotes permanentes puede tener un impacto negativo en su reputación como remitente. Si sigue enviando correos electrónicos a direcciones que producen rebotes permanentes, podríamos detener su capacidad para enviar correo electrónico adicional. Consulte [Uso de la lista de supresión de nivel de cuenta de Amazon SES](sending-email-suppression-list.md). |
| Permanent | NoEmail | No fue posible recuperar la dirección de correo electrónico del destinatario del mensaje de rebote. |
| Permanent | Suppressed | La dirección de correo electrónico del destinatario está en la lista de supresión de SES porque tiene un historial reciente de generar rebotes permanentes. Para anular la lista de supresión global, consulte [Uso de la lista de supresión de nivel de cuenta de Amazon SES](sending-email-suppression-list.md). |
| Permanent | OnAccountSuppressionList | SES ha suprimido el envío a esta dirección porque está en la [lista de supresión de nivel de cuenta](sending-email-suppression-list.md). Esto no se toma en cuenta para calcular la métrica de porcentaje de rebotes. |
| Permanent | UnsubscribedRecipient | Este tipo de rebote se produce cuando el contacto destinatario se ha dado de baja del tema y se le envía un correo mediante las [opciones de administración de listas](sending-email-list-management.md#configuring-list-management-list-contacts). SES respeta las preferencias de contacto y no intenta entregarlo. Además, este rebote no afecta a la reputación del remitente, ya que no se ha intentado realizar la entrega, ni se añade el contacto destinatario a una lista de supresión debido al rebote. Se recomienda suscribirse a los UnsubscribedRecipient eventos para evitar que se sigan enviando a destinatarios que no se hayan suscrito. Considere [Uso de la administración de listas](sending-email-list-management.md). La administración de listas debe ser la fuente de información fiable de su lista de suscriptores. Desde el punto de vista de la aplicación de cumplimiento de SES, si sigue realizando envíos a destinatarios suprimidos o dados de baja, tendrá la reputación de no seguir las prácticas recomendadas para el envío de correo electrónico. |
| Transient | General | El proveedor de correo electrónico del destinatario envió un mensaje de rebote general. Puede enviar un mensaje al mismo destinatario en el futuro si se resolviera el problema que provocó el rebote del mensaje. Si envía un correo electrónico a un destinatario que tiene una regla de respuesta automática activa (como, por ejemplo, un mensaje de "fuera de la oficina"), es posible que reciba este tipo de notificación. Aunque la respuesta tiene un tipo de notificación de `Bounce`, SES no cuenta las respuestas automáticas cuando calcula la tasa de rebotes de su cuenta. |
| Transient | MailboxFull | El proveedor de correo electrónico del destinatario envió un mensaje de rebote porque la bandeja de entrada del destinatario estaba llena. Podría realizar el envío al mismo destinatario en el futuro cuando la bandeja de entrada deje de estar llena. |
| Transient | MessageTooLarge | El proveedor de correo electrónico del destinatario envió un mensaje de rebote porque el mensaje enviado era demasiado grande. Podría enviar un mensaje al mismo destinatario si reduce el tamaño del mensaje. |
| Transient | ContentRejected | El proveedor de correo electrónico del destinatario envió un mensaje de rebote porque el mensaje enviado incluye contenido que el proveedor no permite. Podría enviar un mensaje al mismo destinatario si cambia el contenido del mensaje. |
| Transient | AttachmentRejected | El proveedor de correo electrónico del destinatario envió un mensaje de rebote porque el mensaje contenía un archivo adjunto inaceptable. Por ejemplo, algunos proveedores de correo electrónico pueden rechazar mensajes con archivos adjuntos de un determinado tipo de archivo o mensajes con archivos adjuntos muy grandes. Podría enviar un mensaje al mismo destinatario si quita o cambia el contenido del archivo adjunto. |
## Objeto Complaint
El objeto JSON que contiene información acerca de reclamaciones tiene los campos siguientes.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| complainedRecipients | Una lista que contiene información sobre destinatarios que podrían haber sido responsables de la reclamación. Para obtener más información, consulte [Destinatarios con reclamaciones](#complained-recipients). |
| timestamp | La fecha y la hora a la que el ISP envió la notificación de reclamación, en formato ISO 8601. La fecha y la hora de este campo podrían no ser las mismas en las que SES recibió la notificación. |
| feedbackId | Un ID único asociado con la reclamación. |
| complaintSubType | El valor del campo `complaintSubType` puede ser nulo o `OnAccountSuppressionList`. Si el valor es `OnAccountSuppressionList`, SES aceptó el mensaje, pero no intentó enviarlo porque estaba en la [lista de supresión de nivel de cuenta](sending-email-suppression-list.md). |
Además, si se adjunta un informe de retroalimentación a la reclamación, podrían estar presentes los siguientes campos.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| userAgent | El valor del campo `User-Agent` del informe de retroalimentación. Esto indica el nombre y la versión del sistema que generó el informe. |
| complaintFeedbackType | El valor del campo `Feedback-Type` del informe de retroalimentación recibido desde el ISP. Contiene el tipo de retroalimentación. |
| arrivalDate | El valor del `Received-Date` campo `Arrival-Date` o del informe de comentarios (en ISO8601 formato). Este campo puede estar ausente en el informe (y, por lo tanto, también ausente en el JSON). |
A continuación se muestra un ejemplo de un objeto `complaint`.
```
{
"userAgent":"ExampleCorp Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"recipient1@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2009-12-03T04:24:21.000-05:00",
"timestamp":"2012-05-25T14:59:38.623Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
}
```
### Destinatarios con reclamaciones
El campo `complainedRecipients` contiene una lista de destinatarios que podrían haber enviado la reclamación. Debe utilizar esta información para determinar qué destinatario envió la reclamación y, a continuación, quitar inmediatamente a ese destinatario de sus listas de correo.
**importante**
La mayoría ISPs elimina la dirección de correo electrónico del destinatario que presentó la queja de su notificación de queja. Por este motivo, esta lista contiene información acerca de los destinatarios que podrían haber enviado el reclamo, en función de los destinatarios del mensaje original y el ISP del que hemos recibido el reclamo. SES realiza una búsqueda en el mensaje original para determinar esta lista de destinatarios.
Los objetos JSON de esta lista contienen el siguiente campo.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| emailAddress | La dirección de correo electrónico del destinatario. |
A continuación se muestra un ejemplo de un objeto de destinatario con reclamo.
```
{ "emailAddress": "recipient1@example.com" }
```
**nota**
Debido a este comportamiento, puede estar más seguro de que sabe qué dirección de correo electrónico ha presentado una reclamación por su mensaje si limita el envío a un mensaje por destinatario (en lugar de enviar un mensaje con 30 direcciones de correo electrónico distintas en la línea CCO).
#### Tipos de reclamación
Es posible que vea los siguientes tipos de reclamación en el campo `complaintFeedbackType` tal como los ha asignado el ISP que realiza la notificación, de acuerdo con el [sitio web de Internet Assigned Numbers Authority](http://www.iana.org/assignments/marf-parameters/marf-parameters.xml#marf-parameters-2):
+ `abuse`: indica correo electrónico no solicitado o algún otro tipo de abuso de correo electrónico.
+ `auth-failure`: informe de error de autenticación de correo electrónico.
+ `fraud`: indica algún tipo de fraude o actividad de phishing.
+ `not-spam`: indica que la entidad que proporciona el informe no considera el mensaje como spam. Esto se puede utilizar para corregir un mensaje que estaba mal etiquetado o clasificado como spam.
+ `other`: indica cualquier otra retroalimentación que no encaje en otros tipos registrados.
+ `virus`: notifica que se ha encontrado un virus en el mensaje de origen.
## Objeto Delivery
El objeto JSON que contiene información sobre entregas tiene siempre los campos siguientes.
| Nombre del campo | Description (Descripción) |
| --- | --- |
| timestamp | La hora en que SES entregó el correo electrónico al servidor de correo del destinatario (en ISO8601 formato). |
| processingTimeMillis | El tiempo en milisegundos desde el momento en que SES acepta la solicitud del remitente para transferir el mensaje al servidor de correo del destinatario. |
| recipients | Una lista de sus destinatarios de los correos electrónicos a los que corresponde la notificación de entrega. |
| smtpResponse | El mensaje de respuesta SMTP del ISP remoto que ha aceptado el correo electrónico desde SES. Este mensaje varía por correo electrónico, por servidor de correo electrónico de recepción y por ISP de recepción. |
| reportingMTA | El nombre de host del servidor de correo de SES que envió el mensaje de correo electrónico. |
| remoteMtaIp | La dirección IP de la MTA al que SES entregó el correo electrónico. |
A continuación se muestra un ejemplo de un objeto `delivery`.
```
{
"timestamp":"2014-05-28T22:41:01.184Z",
"processingTimeMillis":546,
"recipients":["success@simulator.amazonses.com"],
"smtpResponse":"250 ok: Message 64111812 accepted",
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"remoteMtaIp":"127.0.2.0"
}
```
# Ejemplos de notificaciones de Amazon SNS para Amazon SES
En las secciones siguientes se ofrecen ejemplos de los tres tipos de notificaciones:
+ Para obtener ejemplos de notificaciones de rebote, consulte [Ejemplos de notificaciones de rebote de Amazon SNS](#notification-examples-bounce).
+ Para obtener ejemplos de notificaciones de reclamaciones, consulte [Ejemplos de notificaciones de reclamos de Amazon SNS](#notification-examples-complaint).
+ Para obtener ejemplos de notificaciones de entrega, consulte [Ejemplo de notificación de entrega de Amazon SNS](#notification-examples-delivery).
## Ejemplos de notificaciones de rebote de Amazon SNS
Esta sección contiene ejemplos de notificaciones de rebote con y sin una notificación de estado de entrega (DSN) proporcionada por el receptor de correo electrónico que envió la retroalimentación.
### Notificación de rebote con una DSN
A continuación, se muestra un ejemplo de una notificación de rebote que contiene una DSN y los encabezados de correo electrónico originales. Cuando las notificaciones de rebote no se configuran para incluir los encabezados de correo electrónico originales, el objeto `mail` con las notificaciones no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"reportingMTA":"dns; email.example.com",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com",
"status":"5.1.1",
"action":"failed",
"diagnosticCode":"smtp; 550 5.1.1 ... User"
}
],
"bounceSubType":"General",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa068a-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"messageId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa0680-000000",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notificación de rebote sin DSN
A continuación, se muestra un ejemplo de una notificación de rebote que incluye los encabezados de correo electrónico originales pero no incluye una DSN. Cuando las notificaciones de rebote no se configuran para incluir los encabezados de correo electrónico originales, el objeto `mail` con las notificaciones no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com"
},
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000137860315fd-869464a4-8680-4114-98d3-716fe35851f9-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"00000137860315fd-34208509-5b74-41f3-95c5-22c1edc3c924-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Ejemplos de notificaciones de reclamos de Amazon SNS
Esta sección contiene ejemplos de notificaciones de reclamos con y sin un informe de retroalimentación proporcionado por el receptor de correo electrónico que envió el comentario.
### Notificación de reclamo con un informe de retroalimentación
A continuación, se muestra un ejemplo de una notificación de reclamación que contiene un informe de retroalimentación y los encabezados de correo electrónico originales. Cuando las notificaciones de reclamación no se configuran para incluir los encabezados de correo electrónico originales, el objeto `mail` con las notificaciones no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"userAgent":"AnyCompany Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2016-01-27T14:59:38.237Z",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notificación de reclamo sin informe de retroalimentación
A continuación, se muestra un ejemplo de una notificación de reclamación que incluye los encabezados de correo electrónico originales, pero no incluye un informe de retroalimentación. Cuando las notificaciones de reclamación no se configuran para incluir los encabezados de correo electrónico originales, el objeto `mail` con las notificaciones no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"0000013786031775-fea503bc-7497-49e1-881b-a0379bb037d3-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000013786031775-163e3910-53eb-4c8e-a04a-f29debf88a84-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Ejemplo de notificación de entrega de Amazon SNS
A continuación, se muestra un ejemplo de una notificación de entrega que incluye los encabezados de correo electrónico originales. Cuando las notificaciones de entrega no se configuran para incluir los encabezados de correo electrónico originales, el objeto `mail` con las notificaciones no incluye los campos `headersTruncated`, `headers` y `commonHeaders`.
```
{
"notificationType":"Delivery",
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000014644fe5ef6-9a483358-9170-4cb4-a269-f5dcdf415321-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:58:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:58:45 +0000",
"to":[
"Jane Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
},
"delivery":{
"timestamp":"2016-01-27T14:59:38.237Z",
"recipients":["jane@example.com"],
"processingTimeMillis":546,
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"smtpResponse":"250 ok: Message 64111812 accepted",
"remoteMtaIp":"127.0.2.0"
}
}
```
# Uso de la autorización de identidad en Amazon SES
Las políticas de autorización de identidad definen cómo las identidades verificadas individuales pueden utilizar Amazon SES especificando qué acciones de la API de SES están permitidas o rechazadas para la identidad y en qué condiciones.
Con el uso de estas políticas de autorización, podrá mantener el control sobre sus identidades cambiando o revocando los permisos en cualquier momento. Incluso puede autorizar que otros usuarios usen las identidades de su propiedad (dominios o direcciones de correo electrónico) mediante sus propias cuentas de SES.
**Topics**
+ [Anatomía de las políticas de Amazon SES](policy-anatomy.md)
+ [Creación de una política de autorización de identidad en Amazon SES](identity-authorization-policies-creating.md)
+ [Ejemplos de políticas de identidad en Amazon SES](identity-authorization-policy-examples.md)
+ [Administración de las políticas de autorización de identidad de Amazon SES](managing-policies.md)
# Anatomía de las políticas de Amazon SES
Las directivas se adhieren a una estructura específica, contienen elementos y deben cumplir ciertos requisitos.
## Estructura de la política
Cada política de autorización es un documento JSON asociado a una identidad. Cada política incluye las siguientes secciones.
+ Información aplicable a toda la política en la parte superior del documento.
+ Una o varias instrucciones individuales, cada una de las cuales describe un conjunto de permisos.
*El siguiente ejemplo de política otorga al ID de AWS cuenta *123456789012* los permisos especificados en la sección *Acción para el dominio* verificado example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Encontrará más ejemplos de política de autorización en [Ejemplos de políticas de identidad](identity-authorization-policy-examples.md).
## Elementos de una política
Esta sección describe los elementos que contienen las políticas de autorización de identidad. En primer lugar, describimos elementos aplicables a toda la política y, a continuación, describimos los elementos que se aplican únicamente a la instrucción en la que están incluidos. Se sigue con una exposición sobre cómo añadir condiciones a sus instrucciones.
Para obtener información específica acerca de la sintaxis de los elementos, consulte [Gramática del lenguaje de las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) en la *Guía del usuario de IAM*.
### Información aplicable a toda la política
Existen dos elementos a escala de política: `Id` y `Version`. La tabla siguiente proporciona información acerca de estos elementos.
****
| Name | Description (Descripción) | Obligatorio | Valores válidos |
| --- | --- | --- | --- |
| `Id` | Identifica de forma exclusiva la política. | No | Cualquier cadena |
| `Version` | Especifica la versión de idioma de acceso de la política. | No | Cualquier cadena. Como práctica recomendada, le aconsejamos que incluya este campo con un valor de "2012-10-17". |
### Instrucciones específicas de la política
Las políticas de autorización de identidad requieren al menos una instrucción. Cada instrucción puede incluir los elementos que se describen en la siguiente tabla.
****
| Name | Description (Descripción) | Obligatorio | Valores válidos |
| --- | --- | --- | --- |
| `Sid` | Identifica de forma exclusiva la instrucción. | No | Cualquier cadena. |
| `Effect` | Especifica el resultado que desea que devuelva la instrucción de política en tiempo de evaluación. | Sí | "Allow" o "Deny". |
| `Resource` | Especifica la identidad a la que se aplica la política. (Esta es la dirección de correo electrónico o dominio que el propietario de identidad autoriza utilizar al remitente delegado para [autorización de envío](sending-authorization-identity-owner-tasks-policy.md)). | Sí | El nombre de recurso de Amazon (ARN) de la identidad. |
| `Principal` | Especifica el Cuenta de AWS usuario o el AWS servicio que recibe el permiso en la declaración. | Sí | Un Cuenta de AWS ID, un ARN de usuario o AWS un servicio válidos. Cuenta de AWS IDs y el usuario ARNs se especifican mediante `"AWS"` (por ejemplo, `"AWS": ["123456789012"]` o`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS los nombres de los servicios se especifican mediante `"Service"` (por ejemplo,`"Service": ["cognito-idp.amazonaws.com"]`). Para ver ejemplos del formato de usuario ARNs, consulte [Referencia general de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Especifica la acción a la que se refiere la instrucción. | Sí | «ses: BatchGetMetricData «, «ses: CancelExportJob «, CreateDeliverabilityTestReport «ses: «, CreateEmailIdentityPolicy «ses: «, CreateExportJob «ses: DeleteEmailIdentity «, «ses: DeleteEmailIdentityPolicy «, «ses: GetDomainStatisticsReport «, «ses: GetEmailIdentity «, "ses: GetEmailIdentityPolicies «, GetExportJob «ses: «, ListExportJobs «ses: ListRecommendations «, «ses: PutEmailIdentityConfigurationSetAttributes «, «ses: PutEmailIdentityDkimAttributes «, «ses: PutEmailIdentityDkimSigningAttributes «, PutEmailIdentityFeedbackAttributes «ses: «, PutEmailIdentityMailFromAttributes «ses: «, TagResource «ver: UntagResource «, «ver:UpdateEmailIdentityPolicy» ([Envío de acciones de autorización](sending-authorization-identity-owner-tasks-policy.md): «ses: SendEmail «, «ses: SendRawEmail «, «ses: SendTemplatedEmail «, «ses: SendBulkTemplatedEmail «) Puede especificar una o varias de estas operaciones. |
| `Condition` | Especifica alguna limitación o información sobre el permiso. | No | Consulte la información acerca de las condiciones siguiendo esta tabla. |
### Condiciones
Una *condición* es cualquier restricción sobre el permiso en la instrucción. La parte de la instrucción que especifica las condiciones puede ser la más detallada de todas las partes. Una *clave* es la característica específica que es la base para la restricción de acceso, como la fecha y hora de la solicitud.
Las condiciones y las claves se utilizan conjuntamente para expresar la restricción. Por ejemplo, si desea impedir que el remitente delegado realice solicitudes a Amazon SES en su nombre después del 30 de julio de 2019, utilice la condición denominada `DateLessThan`. Usted utiliza la clave denominada `aws:CurrentTime` y la define con el valor `2019-07-30T00:00:00Z`.
SES implementa solo las siguientes claves AWS de política generales:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Para obtener más información acerca de estas claves, consulte la [Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Requisitos de la política
Las políticas deben cumplir todos los requisitos siguientes:
+ Cada política tiene que incluir al menos una instrucción.
+ Cada política tiene que incluir al menos una entidad principal válida.
+ Cada política tiene que especificar un recurso y ese recurso debe ser el ARN de la identidad a la que está asociada la política.
+ Los propietarios de identidad pueden asociar hasta 20 políticas con cada identidad única.
+ Las políticas no pueden tener más de 4 kilobytes (KB) de tamaño.
+ Los nombres de política no pueden superar los 64 caracteres. Además, solo pueden incluir caracteres alfanuméricos, guiones y guiones bajos.
# Creación de una política de autorización de identidad en Amazon SES
Una política de autorización de identidad se compone de instrucciones que especifican qué acciones de la API están permitidas o denegadas para una identidad y en qué condiciones.
Para autorizar a un dominio de Amazon SES o a una identidad de dirección de correo electrónico de su propiedad, debe crear una política de autorización y, a continuación, adjuntar dicha política a la identidad. Una identidad puede tener cero, una o varias políticas. Sin embargo, una única política solo se puede asociar a una única identidad.
Para obtener una lista de las acciones de la API que se pueden usar en una política de autorización de envío, consulte la fila *Acción* de la tabla [Instrucciones específicas de la política](policy-anatomy.md#identity-authorization-policy-statements).
Puede crear una política de autorización de envío de las siguientes formas:
+ **Mediante el generador de políticas**: puede crear una política sencilla utilizando el generador de políticas de la consola de SES. Además de permitir o denegar permisos en las acciones de la API de SES, puede restringir las acciones con condiciones. También puede usar el generador de políticas para crear la estructura básica de una política y, a continuación, personalizarla más adelante editando la política.
+ **Creando una política personalizada**: si desea incluir condiciones más avanzadas o utilizar un AWS servicio como principal, puede crear una política personalizada y adjuntarla a la identidad mediante la consola de SES o la API de SES.
**Topics**
+ [Uso del generador de políticas](using-policy-generator.md)
+ [Creación de una política personalizada](creating-custom-policy.md)
# Uso del generador de políticas
Puede usar el generador de políticas para crear una política de autorización sencilla mediante los pasos que se indican a continuación.
**Para crear una política mediante el generador de políticas**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En el contenedor **Identidades** de la pantalla **Identidades verificadas**, seleccione la identidad verificada para la que desea crear una política de autorización.
1. En la pantalla de detalles de la identidad verificada que seleccionó en el paso anterior, elija la pestaña **Authorization** (Autorización).
1. En el panel **Authorization policies** (Políticas de autorización), elija **Create policy** (Crear política) y seleccione **Use policy generator** (Utilizar generador de políticas) en el menú desplegable.
1. En el panel **Create statement** (Crear instrucción), elija **Allow** (Permitir) en el campo **Effect** (Efecto). (Si desea crear una política para restringir esta identidad, elija **Deny** (Rechazar) en su lugar).
1. **En el campo **Principales,** introduce el *Cuenta de AWS ID, el ARN* del usuario de *IAM* o el AWS servicio que deseas recibir los permisos que deseas autorizar para esta identidad y, a continuación, selecciona Agregar.** (Si desea autorizar a más de una, repita este paso para cada una).
1. En el campo **Actions** (Acciones), marque la casilla de verificación de cada acción que desea autorizar para sus entidades principales.
1. (Opcional) Expanda **Specify conditions** (Especificar condiciones) si desea añadir una instrucción calificada al permiso.
1. Seleccione un operador de la lista desplegable **Operator** (Operador).
1. Seleccione un tipo de la lista desplegable **Key** (Clave).
1. Respecto del tipo de clave que ha seleccionado, introduzca su valor en el campo **Value** (Valor). (Si desea agregar más condiciones, elija **Add new condition** [Agregar nueva condición] y repita este paso para cada condición adicional.)
1. Elija **Save statement** (Guardar instrucción).
1. (Opcional) Expanda **Create another statement (Crear otra instrucción)** si desea agregar más instrucciones a su política y repita los pasos 6 a 10.
1. Elija **Siguiente** y, en la pantalla **Personalizar política**, el contenedor **Editar detalles de la política** incluye campos en los que puede cambiar o personalizar el **Nombre** y el **Documento de la política**.
1. Elija **Next** (Siguiente) y en la pantalla **Review and apply** (Revisar y aplicar), el contenedor **Overview** (Información general) mostrará la identidad verificada que está autorizando, así como el nombre de esta política. En el panel **Policy document (Documento de la política)** encontrará la política real que acaba de escribir junto con cualquier condición que haya agregado: revise la política y, si parece correcta, elija **Apply policy (Aplicar política)**. (Si necesita cambiar o corregir algo, elija **Previous [Anterior]** y trabaje en el contenedor **Edit policy details [Editar detalles de la política]**.
# Creación de una política personalizada
Si desea crear una política personalizada y asociarla a una identidad, dispone de las siguientes opciones:
+ **Mediante la API de Amazon SES**: cree una política en un editor de texto y, a continuación, adjúntela a la identidad a través de la API de `PutIdentityPolicy`, que se describe en la [Referencia de la API de Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Mediante la consola de Amazon SES**: cree una política en un editor de texto y adjúntela a una identidad pegándola en el editor de políticas personalizadas en la consola de Amazon SES. El siguiente procedimiento describe este método.
**Para crear una política personalizada utilizando el editor de políticas personalizadas**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En el contenedor **Identidades** de la pantalla **Identidades verificadas**, seleccione la identidad verificada para la que desea crear una política de autorización.
1. En la pantalla de detalles de la identidad verificada que seleccionó en el paso anterior, elija la pestaña **Authorization** (Autorización).
1. En el panel **Authorization policies** (Políticas de autorización), elija **Create policy** (Crear política) y seleccione **Create custom policy** (Crear política personalizada) en el menú desplegable.
1. En el panel **Policy document** (Documento de la política), pegue el texto de su política en formato JSON. También puede usar el generador de políticas para crear rápidamente la estructura básica de una política y, a continuación, personalizarla aquí.
1. Seleccione **Apply Policy**. (Si alguna vez necesita modificar su política personalizada, marque la casilla de verificación debajo de la pestaña **Authorization [Autorización]**, elija **Edit [Editar]** y realice los cambios en el panel **Policy document (Documento de la política)**, seguido de **Save changes [Guardar los cambios]**).
# Ejemplos de políticas de identidad en Amazon SES
La autorización de identidad le permite especificar las condiciones detalladas en las que permite o deniega las acciones de la API para una identidad.
**Topics**
+ [Especificación de la entidad principal](#identity-authorization-policy-example-delegate-user)
+ [Restricción de la acción](#sending-authorization-policy-example-restricting-action)
+ [Uso de varias instrucciones](#identity-authorization-policy-example-multiple-statements)
## Especificación de la entidad principal
El *principal*, que es la entidad a la que se concede el permiso, puede ser un Cuenta de AWS usuario AWS Identity and Access Management (de IAM) o un AWS servicio que pertenezca a la misma cuenta.
*El siguiente ejemplo muestra una política sencilla que permite al AWS ID *123456789012* controlar la identidad verificada *example.com*, que también es propiedad de 123456789012. Cuenta de AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
La siguiente política de ejemplo otorga permiso a dos usuarios para controlar la identidad verificada *example.com*. Los usuarios se especifican por su nombre de recurso de Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Restricción de la acción
Se pueden especificar varias acciones en una política de autorización de identidad en función del nivel de control que desee autorizar:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Las políticas de autorización de identidad también le permiten restringir la entidad principal a solo una de esas acciones.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Uso de varias instrucciones
Su política de autorización de envío puede incluir varias instrucciones. La siguiente política de ejemplo contiene dos instrucciones. La primera instrucción niega a dos usuarios el acceso a `getemailidentity` de *sender@example.com* desde de la misma cuenta `123456789012`. La segunda instrucción niega `UpdateEmailIdentityPolicy` a la entidad principal, *Jack*, dentro de la misma cuenta `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Administración de las políticas de autorización de identidad de Amazon SES
Además de crear y asociar políticas a identidades, puede editar, quitar, enumerar y recuperar las políticas de una identidad, tal y como se describe en las secciones siguientes.
## Administración de políticas mediante la consola de Amazon SES
La administración de las políticas de Amazon SES permite visualizar, editar o eliminar una política asociada a una identidad mediante la consola de Amazon SES.
**Para administrar políticas en Amazon SES mediante la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija la identidad que desea administrar.
1. En la página de detalles de la identidad, diríjase a la pestaña **Authorization (Autorización)**. Aquí encontrará una lista de todas las políticas adjuntas a esta identidad.
1. Seleccione la política que desea administrar al marcar la casilla de verificación correspondiente.
1. En función de la tarea de administración deseada, elija el botón correspondiente de la siguiente manera:
1. Para visualizar una política, elija **View policy (Visualizar política)**. Si necesita copiarla, elija el botón **Copy** (Copiar) y se copiará en su portapapeles.
1. Para editar la política, elija **Edit (Editar)**. En el panel **Policy document (Documento de la política)**, edite la política, y luego elija **Save changes (Guardar los cambios)**.
**nota**
Para revocar los permisos, puede editar la política o eliminarla.
1. Para eliminar la política, elija **Delete (Borrar)**.
**importante**
Eliminar una política es una acción permanente. Le recomendamos que copie y pegue la política en un archivo de texto antes de eliminarla.
## Administración de políticas mediante la API de Amazon SES
La administración de las políticas de Amazon SES permite visualizar, editar o eliminar una política asociada a una identidad mediante la API de Amazon SES.
**Para enumerar y ver políticas mediante la API de Amazon SES**
+ Puede enumerar las políticas asociadas a una identidad mediante la [operación de ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). También puede recuperar las propias políticas mediante la [operación de GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Para editar una política mediante la API de Amazon SES**
+ Puedes editar una política asociada a una identidad mediante la [operación de PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Para borrar una política mediante la API de Amazon SES**
+ Puedes eliminar una política asociada a una identidad mediante la [operación de DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).
# Uso de la autorización de envío con Amazon SES
Puede configurar Amazon SES para permitir que otros usuarios envíen correo electrónico desde las identidades de su propiedad (dominios o direcciones de correo electrónico) mediante sus propias cuentas de Amazon SES. Con la característica *autorización de envío*, podrá mantener el control sobre sus identidades de modo que pueda cambiar o revocar los permisos en cualquier momento. Por ejemplo, si es el propietario de una compañía, puede usar la autorización de envío para permitir a un tercero (como una empresa de marketing por correo electrónico) enviar correo electrónico desde un dominio de su propiedad.
En este capítulo se describen las características específicas de la autorización de envío, que sustituye a la antigua función de notificaciones entre cuentas. En primer lugar, debe comprender los conceptos básicos de la autorización basada en la identidad mediante el uso de políticas de autorización, tal como se explica en [Uso de la autorización de identidad en Amazon SES](identity-authorization-policies.md) que aborda temas importantes, como la estructura de una política de autorización y la forma de administrar las políticas.
## Soporte heredado de notificaciones entre cuentas
Las notificaciones de valoración de rebotes, reclamos y entregas asociadas con el correo electrónico enviado desde un remitente delegado, autorizado por un propietario de identidad para enviar desde una de sus identidades verificadas, se han configurado tradicionalmente mediante notificaciones entre cuentas en las que el remitente delegado asociaría un tema con una identidad de la que no era propietario (es decir, entre cuentas). Sin embargo, las notificaciones entre cuentas se han sustituido por el uso de conjuntos de configuración e identidades verificadas en asociación con el envío delegado, en el que el propietario de la identidad ha autorizado al remitente delegado para usar una de sus identidades verificadas desde las que enviar correos electrónicos. Este nuevo método permite la flexibilidad de configurar notificaciones de rebote, reclamo, entrega y otros eventos mediante los siguientes dos componentes fijos, dependiendo de si es el remitente delegado o el propietario de la identidad verificada:
+ **Conjuntos de configuración**: el remitente delegado puede configurar la publicación de eventos en su propio conjunto de configuración que puede especificar al enviar un correo electrónico desde una identidad verificada que no le pertenece, pero desde la que el propietario ha autorizado envíos a través de una política de autorización. La publicación de eventos permite publicar notificaciones de rebotes, quejas, entregas y otros eventos en Amazon CloudWatch, Amazon Data Firehose, Amazon Pinpoint y Amazon SNS. Consulte [Crear destinos de eventos](event-destinations-manage.md).
+ **Identidades verificadas**: además de que el propietario de la identidad autorice al remitente delegado el uso de una de sus identidades verificadas para enviar correos electrónicos, también puede, a petición del remitente delegado, configurar notificaciones de valoraciones sobre la identidad compartida para utilizar temas de SNS propiedad del remitente delegado. Solo el remitente delegado recibirá estas notificaciones porque es propietario del tema de SNS. Consulte el paso 14 para obtener información sobre cómo [configurar un "SNS topic you don't own" (Tema de SNS que no le pertenece)](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) en los procedimientos de la política de autorización.
**nota**
Para fines de compatibilidad, se soportan notificaciones entre cuentas para las notificaciones entre cuentas heredadas que se están utilizando actualmente en su cuenta. Este soporte se limita a poder modificar y utilizar la opción entre cuentas actuales que haya creado en la consola clásica de Amazon SES; sin embargo, ya no puede crear *nuevas* notificaciones entre cuentas. Para crear otras nuevas opciones en la nueva consola de Amazon SES, utilice los nuevos métodos de envío delegado con conjuntos de configuración mediante [publicación de eventos](event-destinations-manage.md), o con identidades verificadas [configuradas con sus propios temas de SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Topics**
+ [Soporte heredado de notificaciones entre cuentas](#sending-authorization-cross-account-sunsetting)
+ [Información general de la autorización de envío de Amazon SES](sending-authorization-overview.md)
+ [Tareas de propietario de identidad para autorización de envío de Amazon SES](sending-authorization-identity-owner-tasks.md)
+ [Tareas de remitente delegado para la autorización de envío de Amazon SES](sending-authorization-delegate-sender-tasks.md)
# Información general de la autorización de envío de Amazon SES
En este tema, se proporciona información general acerca del proceso de autorización de envío y, a continuación, se explica cómo las características de envío de correo electrónico de Amazon SES, tales como las cuotas de envío y las notificaciones, funcionan con la autorización de envío.
En esta sección, se usan los siguientes términos:
+ **Identidad**: dirección o dominio de correo electrónico que los usuarios de Amazon SES utilizan para enviar correo electrónico.
+ **Propietario de identidad**: un usuario de Amazon SES cuya propiedad de dirección o dominio de correo electrónico se ha verificado utilizando el procedimiento descrito en [Identidades verificadas](verify-addresses-and-domains.md).
+ **Remitente delegado**: una AWS cuenta, un usuario AWS Identity and Access Management (de IAM) o un AWS servicio que ha sido autorizado mediante una política de autorización para enviar correos electrónicos en nombre del propietario de la identidad.
+ **Política de autorización de envío**: un documento que adjunta a una identidad para especificar quién puede realizar envíos para esa identidad y en qué condiciones.
+ **Nombre de recurso de Amazon (ARN)**: una forma estandarizada de identificar de forma exclusiva un AWS recurso en todos los AWS servicios. Para la autorización de envío, el recurso es la identidad que el propietario de la identidad ha autorizado al remitente delegado a utilizar. Un ejemplo de ARN es *arn:aws:ses:us-east-1:123456789012:identity/example.com*.
## Proceso de autorización de envío
La autorización de envío se basa en políticas de autorización de envío. Si desea habilitar un remitente delegado para que realice envíos en su nombre, debe crear una política de autorización de envío y asociar la política a su identidad a través de la consola de Amazon SES o la API de Amazon SES. Cuando el remitente delegado intenta enviar un correo electrónico a través de Amazon SES en su nombre, el remitente delegado transfiere el ARN de su identidad en la solicitud o en el encabezado del correo electrónico.
Cuando Amazon SES recibe la solicitud para enviar el correo electrónico, comprueba la política de su identidad (si la hay) a fin de determinar si ha autorizado al remitente delegado para enviar en nombre de la identidad. Si el remitente delegado está autorizado, Amazon SES acepta el correo electrónico; en caso contrario, devuelve un mensaje de error.
En el siguiente diagrama se muestra la relación de alto nivel entre los conceptos de autorización de envío:
![\[Información general de la autorización de envío\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/sending_authorization_overview.png)
El proceso de autorización de envío consta de los siguientes pasos:
1. El propietario de la identidad selecciona una identidad verificada para que la utilice el remitente delegado. (Si no ha verificado una identidad, consulte [Identidades verificadas](verify-addresses-and-domains.md)).
**nota**
La identidad verificada que elija para el remitente delegado no puede tener un [conjunto de configuración predeterminado](managing-configuration-sets.md#default-config-sets) asignado a ella.
1. El remitente delegado informa al propietario de la identidad qué ID de AWS cuenta o ARN de usuario de IAM quiere usar para el envío.
1. Si el propietario de identidad acepta permitir al remitente delegado el envío desde una de las cuentas del propietario, el propietario crea una política de autorización de envío y asocia la política a la identidad elegida mediante la consola de Amazon SES o la API de Amazon SES.
1. El propietario de identidad ofrece el remitente delegado el ARN de la identidad autorizada, de modo que el remitente delegado puede proporcionar el ARN a Amazon SES en el momento en que se envía el correo electrónico.
1. El remitente delegado puede configurar notificaciones de rebotes y reclamos a través de la habilitación de [publicación de eventos](monitor-using-event-publishing.md) en el conjunto de configuración especificado durante el envío delegado. El propietario de la identidad también puede configurar notificaciones de valoración por correo electrónico para los eventos de rebotes y reclamos que se enviarán a los temas de Amazon SNS del remitente delegado.
**nota**
Si el propietario de identidad desactiva las notificaciones de eventos de envío, el remitente delegado debe configurar la publicación de eventos para publicar los eventos de rebotes y quejas en un tema de Amazon SNS o un flujo de Firehose. El remitente debe aplicar también el conjunto de configuración que contiene la regla de publicación de eventos a cada mensaje de correo electrónico que envíe. Si ni el propietario de identidad ni el remitente delegado configuran un método de envío de notificaciones para eventos de rebotes y reclamos, Amazon SES envía automáticamente notificaciones de eventos por correo electrónico a la dirección que figura en el campo Return-Path del mensaje (o a la dirección del campo Source, si no se ha especificado una dirección Return-Path), aunque el propietario de identidad haya desactivado el reenvío de retroalimentación de correo electrónico.
1. El remitente delegado intenta enviar un correo electrónico a través de Amazon SES en nombre del propietario de identidad al transferir el ARN de la identidad del propietario de identidad en la solicitud o en el encabezado del correo electrónico. El remitente delegado puede enviar el correo electrónico mediante la interfaz de SMTP de Amazon SES o la API de Amazon SES. Tras recibir la solicitud, Amazon SES examina las políticas que se han asociado a la identidad y acepta el correo electrónico si el remitente delegado está autorizado para utilizar la dirección de remitente “From” especificada y la dirección de ruta de retorno “Return Path”; de lo contrario, Amazon SES devuelve un error y no acepta el mensaje.
**importante**
La AWS cuenta del remitente delegado debe eliminarse del entorno limitado para poder utilizarla para enviar correos electrónicos a direcciones no verificadas.
1. Si el propietario de identidad necesita anular la autorización del remitente delegado, deberá editar la política de autorización de envío o eliminar la política en su totalidad. El propietario de identidad puede realizar ambas acciones a través de la consola de Amazon SES o la API de Amazon SES.
Para obtener más información acerca de cómo el propietario de la identidad o el remitente delegado realizan estas tareas, consulte [Tareas del propietario de identidad](sending-authorization-identity-owner-tasks.md) o [Tareas del remitente delegado](sending-authorization-delegate-sender-tasks.md), respectivamente.
## Atribución de características de envío de correo electrónico
Es importante entender el rol del remitente delegado y del propietario de identidad con respecto a las características de envío de correo electrónico de Amazon SES, tales como la cuota de envío diaria, los rebotes y reclamos, la firma de DKIM, el reenvío de retroalimentación, etc. La atribución es la siguiente:
+ **Cuotas de envío**: el correo electrónico enviado desde las identidades del propietario de identidad se contabiliza en las cuotas del remitente.
+ **Rebotes y reclamo**: los eventos de rebotes y reclamos se contabilizan en la cuenta de Amazon SES del remitente y, por tanto, afectan a la reputación del remitente delegado.
+ **Firma de DKIM**: si el propietario de identidad ha habilitado la firma de Easy DKIM para una identidad, todo el correo electrónico enviado desde dicha identidad estará firmado por DKIM, incluido el correo electrónico enviado por el remitente delegado. Solo el propietario de identidad puede controlar si los correos electrónicos están firmados con DKIM.
+ **Notificaciones**: el propietario de identidad y el remitente delegado pueden configurar notificaciones para rebotes y reclamos. El propietario de la identidad de correo electrónico también puede habilitar el reenvío de retroalimentación de correo electrónico. Para obtener información sobre la configuración de notificaciones, consulte [Monitoreo de la actividad de envío de Amazon SES](monitor-sending-activity.md).
+ **Verificación**: los propietarios de identidad son responsables de realizar el procedimiento que se describe en [Identidades verificadas](verify-addresses-and-domains.md) para verificar que son los propietarios de las direcciones de correo electrónico y de los dominios cuyo uso autorizan a los remitentes delegados. Los remitentes delegados no tienen que comprobar ninguna dirección de correo electrónico o dominios específicamente para la autorización de envío.
**importante**
La AWS cuenta del remitente delegado debe eliminarse del entorno limitado para poder utilizarla para enviar correos electrónicos a direcciones no verificadas.
+ **AWS Regiones**: el remitente delegado debe enviar los correos electrónicos desde la AWS región en la que se verifica la identidad del propietario de la identidad. La política de autorización de envío que otorga permiso al remitente delegado debe estar asociada a la identidad en dicha región.
+ **Facturación**: todos los mensajes que se envían desde la cuenta del remitente delegado, incluidos los correos electrónicos que este envía utilizando las direcciones del propietario de la identidad, se facturan al remitente delegado.
# Tareas de propietario de identidad para autorización de envío de Amazon SES
En esta sección, se describen los pasos que los propietarios de identidad deben realizar al configurar la autorización de envío.
**Topics**
+ [Verificación de una identidad para autorización de envío de Amazon SES](sending-authorization-identity-owner-tasks-verification.md)
+ [Configuración de notificaciones de propietario de identidad para autorización de envío de Amazon SES](sending-authorization-identity-owner-tasks-notifications.md)
+ [Obtención de información del remitente delegado para la autorización de envío de Amazon SES](sending-authorization-identity-owner-tasks-information.md)
+ [Creación de una política de autorización de envío en Amazon SES](sending-authorization-identity-owner-tasks-policy.md)
+ [Ejemplos de políticas de envío](sending-authorization-policy-examples.md)
+ [Proporcionar al remitente delegado la información de identidad para la autorización de envío de Amazon SES](sending-authorization-identity-owner-tasks-identity.md)
# Verificación de una identidad para autorización de envío de Amazon SES
El primer paso para configurar la autorización de envío es demostrar que usted es el propietario de la dirección de correo electrónico o el dominio que el remitente delegado usará para enviar correo electrónico. El procedimiento de verificación se describe en [Identidades verificadas](verify-addresses-and-domains.md).
Puede confirmar que una dirección de correo electrónico o un dominio están verificados comprobando su estado en la sección Identidades verificadas [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)o mediante la operación de `GetIdentityVerificationAttributes` API.
Antes de que usted o el remitente delegado puedan enviar correo electrónico a direcciones de correo electrónico no verificadas, debe enviar una solicitud para que su cuenta se elimine del entorno de pruebas de Amazon SES. Para obtener más información, consulte [Solicitud de acceso de producción (salida del entorno de pruebas de Amazon SES)](request-production-access.md).
**importante**
El Cuenta de AWS nombre del remitente delegado debe eliminarse del entorno limitado para poder utilizarlo para enviar correos electrónicos a direcciones no verificadas o desde ellas.
Si su cuenta está en un entorno de pruebas, no puede realizar envíos a direcciones de correo electrónico que no se hayan verificado en su cuenta, aunque esos dominios o direcciones de correo electrónico se hayan verificado en la cuenta de identidad.
# Configuración de notificaciones de propietario de identidad para autorización de envío de Amazon SES
Si autoriza a un remitente delegado a enviar correo electrónico en su nombre, Amazon SES contabiliza todos los rebotes o reclamos que generan dichos correos electrónicos en los límites de rebotes y reclamos del remitente delegado en lugar de en los de usted. Sin embargo, si su dirección IP aparece en listas negras (DNSBLs) antispam y basadas en DNS de terceros como resultado de los mensajes enviados por un remitente delegado, la reputación de sus identidades podría verse afectada. Por este motivo, si usted es propietario de identidades, debería configurar el reenvío de valoraciones de correo electrónico para todas sus identidades, incluso las que ha autorizado para el envío delegado. Para obtener más información, consulte [Recepción de notificaciones de Amazon SES por correo electrónico](monitor-sending-activity-using-notifications-email.md).
Los remitentes delegados pueden y deben configurar sus propias notificaciones de rebotes y reclamos para las identidades cuyo uso se les ha autorizado. También pueden configurar la [publicación de eventos](monitor-using-event-publishing.md) para publicar eventos de rebotes y quejas en un tema de Amazon SNS o en un flujo de Firehose.
Si ni el propietario de identidad ni el remitente delegado configuran un método de envío de notificaciones para eventos de rebotes y reclamos, o si el remitente no aplica el conjunto de configuración que utiliza la regla de publicación de eventos, Amazon SES envía automáticamente notificaciones de eventos por correo electrónico a la dirección que figura en el campo Return-Path del mensaje (o a la dirección del campo Source, si no se ha especificado una dirección Return-Path), aunque se haya desactivado el reenvío de retroalimentación de correo electrónico. Este proceso se ilustra en la imagen siguiente.
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/feedback_forwarding.png)
# Obtención de información del remitente delegado para la autorización de envío de Amazon SES
Su política de autorización de envío debe especificar al menos una *entidad principal*, que es la entidad del remitente delegado al que está concediendo acceso para que pueda enviar en nombre de una de sus identidades verificadas. En el caso de las políticas de autorización de envío de Amazon SES, el principal puede ser la AWS cuenta del remitente delegado, el ARN del usuario AWS Identity and Access Management (IAM) o AWS un servicio.
Una forma de considerar esto es que la *entidad principal* (remitente delegado) es el beneficiario, y usted (propietario de la identidad) es el otorgante en la política de autorización en la que le concede el permiso, *Permitir*, para enviar cualquier combinación de correo electrónico, correo electrónico sin procesar, correo electrónico con plantilla o correo electrónico con plantilla masiva desde el *recurso* (identidad verificada) que le pertenece.
Si desea un control más detallado, solicite al remitente delegado que configure un usuario de IAM de modo que solo un remitente delegado pueda enviarle correo electrónico a usted en lugar de cualquier usuario de la cuenta de AWS del remitente delegado. El remitente delegado encontrará información acerca de la configuración de un usuario de IAM en [Creación de un usuario de IAM en su cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html) en la *Guía del usuario de IAM*.
Solicita a tu remitente delegado el ID de AWS cuenta o el nombre de recurso de Amazon (ARN) del usuario de IAM para que puedas incluirlo en tu política de autorización de envío. Puede remitir a su remitente delegado a las instrucciones para buscar esta información en [Proporcionar información al propietario de identidad](sending-authorization-delegate-sender-tasks-information.md). Si el remitente delegado es un AWS servicio, consulte la documentación de ese servicio para determinar el nombre del servicio.
En el siguiente ejemplo de política se ilustran los elementos básicos necesarios en una política creada por el propietario de la identidad para autorizar al remitente delegado a enviar desde el recurso del propietario de identidad. El propietario de la identidad entraría en el flujo de trabajo de Verified identities (Identidades verificadas) y, en Authorization (Autorización) utilizaría el Policy generator (Generador de políticas) para crear, en su forma más sencilla, la siguiente política básica que permita al remitente delegado enviar en nombre de un recurso del propietario de la identidad:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
Para la política anterior, en la siguiente leyenda se explican los elementos clave y quién es el propietario:
+ **Entidad principal**: este campo se rellena con el ARN de usuario de IAM del remitente delegado.
+ **Acción**: este campo se rellena con dos acciones de SES (`SendEmail` y `SendRawEmail`) que el propietario de identidad permite que el remitente delegado realice desde el recurso del propietario de identidad.
+ **Recurso**: este campo se rellena con el recurso verificado del propietario de identidad desde el que autoriza al remitente delegado el envío.
# Creación de una política de autorización de envío en Amazon SES
De forma similar a la creación de una política de autorización en Amazon SES, tal como se explica en [Creación de una política de autorización de identidad](identity-authorization-policies-creating.md), para autorizar a un remitente delegado a enviar correos electrónicos con una dirección de correo electrónico o un dominio (una *identidad*) de su propiedad, debe crear una política especificando las acciones de la API de envío de SES y, a continuación, asociar dicha política a la identidad.
Para obtener una lista de las acciones de la API que se pueden especificar en una política de autorización de envío, consulte la fila *Acción* de la tabla [Instrucciones específicas de la política](policy-anatomy.md#identity-authorization-policy-statements).
Puede crear una política de autorización de envío mediante el generador de políticas o mediante la creación de una política personalizada. Se proporcionan procedimientos específicos para crear una política de autorización de envío para cualquiera de los métodos.
**nota**
Las políticas de autorización de envío que asocia a identidades de direcciones de correo electrónico prevalecen sobre las políticas que asocia a sus identidades de dominio correspondientes. Por ejemplo, si crea una política para *example.com* que deshabilita a un remitente delegado y crea una política para *sender@example.com* que habilita al remitente delegado, el remitente delegado podrá enviar correos electrónicos desde *sender@example.com*, pero no desde cualquier otra dirección del dominio *example.com*.
Si crea una política para *example.com* que permita a un remitente delegado y crea una política para *sender@example.com* que no permite al remitente delegado, el remitente delegado puede enviar correo electrónico desde cualquier dirección del dominio *example.com* excepto *sender@example.com*.
Si no está familiarizado con la estructura de las políticas de autorización de SES, consulte[Anatomía de las políticas](policy-anatomy.md).
Si la identidad que está autorizando está duplicada en una región secundaria como parte de la característica [Puntos de conexión globales](global-endpoints.md), tendrá que crear políticas de autorización de envío sobre la identidad tanto en la región principal como en la secundaria para que el remitente delegado tenga permiso para usar esta identidad para enviar en ambas regiones.
## Creación de una política de autorización de envío mediante el generador de políticas
Puede usar el generador de políticas para crear una política de autorización de envío mediante los pasos que se indican a continuación.
**Para crear una política de autorización de envío mediante el generador de políticas**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En el contenedor **Identities** (Identidades) en la pantalla **Verified identities** (Identidades verificadas), seleccione la identidad verificada que desea autorizar para que el remitente delegado envíe en su nombre.
1. Elija la pestaña **Autorización** de la identidad verificada.
1. En el panel **Authorization policies** (Políticas de autorización), elija **Create policy** (Crear política) y seleccione **Use policy generator** (Utilizar generador de políticas) en el menú desplegable.
1. En el panel **Create statement** (Crear instrucción), elija **Allow** (Permitir) en el campo **Effect** (Efecto). (Si desea crear una política para restringir al remitente delegado, elija **Deny** [Rechazar] en su lugar.)
1. En el campo **Principals** (Entidades principales), introduzca el *ID de Cuenta de AWS * o *ARN de usuario de IAM* que el remitente delegado compartió con usted para autorizar el envío de correos electrónicos en nombre de su cuenta para esta identidad y, a continuación, elija **Add** (Agregar). (Si desea autorizar a más de un remitente delegado, repita este paso para cada uno).
1. En el campo **Actions** (Acciones), marque la casilla de verificación de cada tipo de envío que desea autorizar para su remitente delegado.
1. (Opcional) Expanda **Specify conditions** (Especificar condiciones) si desea agregar una instrucción calificada al permiso del remitente delegado.
1. Seleccione un operador de la lista desplegable **Operator** (Operador).
1. Seleccione un tipo de la lista desplegable **Key** (Clave).
1. Respecto del tipo de clave que ha seleccionado, introduzca su valor en el campo **Value** (Valor). (Si desea agregar más condiciones, elija **Add new condition** [Agregar nueva condición] y repita este paso para cada condición adicional.)
1. Elija **Save statement** (Guardar instrucción).
1. (Opcional) Expanda **Create another statement (Crear otra instrucción)** si desea agregar más instrucciones a su política y repita los pasos 6 a 10.
1. Elija **Siguiente** y, en la pantalla **Personalizar política**, el contenedor **Editar detalles de la política** incluye campos en los que puede cambiar o personalizar el **Nombre** y el **Documento de la política**.
1. Elija **Next (Siguiente)** y en la pantalla **Review and apply (Revisar y aplicar)**, el contenedor **Overview (Información general)** mostrará la identidad verificada que está autorizando para su remitente delegado, así como el nombre de esta política. En el panel **Policy document (Documento de la política)** encontrará la política real que acaba de escribir junto con cualquier condición que haya agregado: revise la política y, si parece correcta, elija **Apply policy (Aplicar política)**. (Si necesita cambiar o corregir algo, elija **Previous [Anterior]** y trabaje en el contenedor **Edit policy details [Editar detalles de la política]**. La política que acaba de crear permitirá a su remitente delegado enviar en su nombre.
1. (Opcional) Si el remitente delegado también quiere utilizar un tema de SNS de su propiedad, recibir notificaciones de valoraciones cuando recibe rebotes o reclamos, o cuando se entregan correos electrónicos, deberá configurar su tema de SNS en esta identidad verificada. (El remitente delegado tendrá que compartir con usted su ARN de tema de SNS). Seleccione la pestaña **Notifications (Notificaciones)** y seleccione **Edit (Editar)** en el contenedor **Feedback notifications (Notificaciones de valoración)**:
1. En el panel **Configure SNS topics (Configurar temas de SNS)**, en cualquiera de los campos de valoración, (Rebote, Reclamo o Entrega), seleccione **SNS topic you don’t own (Tema de SNS del que no es propietario)** e introduzca el **SNS topic ARN (ARN del tema de SNS)** propiedad de su remitente delegado, compartido con usted. (Solo el remitente delegado recibirá estas notificaciones porque es propietario del tema de SNS; usted, como propietario de la identidad, no lo hará).
1. (Opcional) Si desea que la notificación del tema incluya los encabezados del correo electrónico original, marque la casilla **Include original email headers (Incluir encabezados de correo electrónico originales)** directamente debajo del nombre del tema de SNS de cada tipo de valoración. Esta opción solo está disponible si ha asignado un tema de Amazon SNS al tipo de notificación asociado. Para obtener información sobre el contenido de los encabezados de correo electrónico originales, consulte el objeto `mail` en [Contenido de las notificaciones](notification-contents.md).
1. Seleccione **Save changes (Guardar cambios)**. Los cambios que haya realizado en su configuración de notificaciones podrían tardar varios minutos en surtir efecto.
1. (Opcional) Dado que el remitente delegado recibirá notificaciones de temas de Amazon SNS para rebotes y reclamos, puede desactivar por completo las notificaciones por correo electrónico si no quiere recibir valoraciones sobre los envíos de esta identidad. Para desactivar las valoraciones por correo electrónico de rebotes y reclamos, en la pestaña **Notifications (Notificaciones)** en el contenedor **Email Feedback Forwarding (Reenvío de valoración de correo)**, elija **Edit (Editar)**, desmarque la casilla **Enabled (Habilitado)**, y elija **Save changes (Guarde los cambios)**. Ahora, las notificaciones de estado de entrega solo se enviarán a los temas de SNS propiedad de su remitente delegado.
## Creación de una política de autorización de envío personalizada
Si desea crear una política de autorización de envío personalizada y asociarla a una identidad, dispone de las siguientes opciones:
+ **Mediante la API de Amazon SES**: cree una política en un editor de texto y, a continuación, adjúntela a la identidad a través de la API de `PutIdentityPolicy`, que se describe en la [Referencia de la API de Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Mediante la consola de Amazon SES**: cree una política en un editor de texto y adjúntela a una identidad pegándola en el editor de políticas personalizadas en la consola de Amazon SES. El siguiente procedimiento describe este método.
**Para crear una política de autorización de envío personalizada mediante el editor de políticas personalizadas**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En el contenedor **Identities** (Identidades) en la pantalla **Verified identities** (Identidades verificadas), seleccione la identidad verificada que desea autorizar para que el remitente delegado envíe en su nombre.
1. En la pantalla de detalles de la identidad verificada que seleccionó en el paso anterior, elija la pestaña **Authorization** (Autorización).
1. En el panel **Authorization policies** (Políticas de autorización), elija **Create policy** (Crear política) y seleccione **Create custom policy** (Crear política personalizada) en el menú desplegable.
1. En el panel **Policy document** (Documento de la política), pegue el texto de su política en formato JSON. También puede usar el generador de políticas para crear rápidamente la estructura básica de una política y, a continuación, personalizarla aquí.
1. Seleccione **Apply Policy**. (Si alguna vez necesita modificar su política personalizada, marque la casilla de verificación debajo de la pestaña **Authorization [Autorización]**, elija **Edit [Editar]** y realice los cambios en el panel **Policy document (Documento de la política)**, seguido de **Save changes [Guardar los cambios]**).
1. (Opcional) Si el remitente delegado también quiere utilizar un tema de SNS de su propiedad, recibir notificaciones de valoraciones cuando recibe rebotes o reclamos, o cuando se entregan correos electrónicos, deberá configurar su tema de SNS en esta identidad verificada. (El remitente delegado tendrá que compartir con usted su ARN de tema de SNS). Seleccione la pestaña **Notifications (Notificaciones)** y seleccione **Edit (Editar)** en el contenedor **Feedback notifications (Notificaciones de valoración)**:
1. En el panel **Configure SNS topics (Configurar temas de SNS)**, en cualquiera de los campos de valoración, (Rebote, Reclamo o Entrega), seleccione **SNS topic you don’t own (Tema de SNS del que no es propietario)** e introduzca el **SNS topic ARN (ARN del tema de SNS)** propiedad de su remitente delegado, compartido con usted. (Solo el remitente delegado recibirá estas notificaciones porque es propietario del tema de SNS; usted, como propietario de la identidad, no lo hará).
1. (Opcional) Si desea que la notificación del tema incluya los encabezados del correo electrónico original, marque la casilla **Include original email headers (Incluir encabezados de correo electrónico originales)** directamente debajo del nombre del tema de SNS de cada tipo de valoración. Esta opción solo está disponible si ha asignado un tema de Amazon SNS al tipo de notificación asociado. Para obtener información sobre el contenido de los encabezados de correo electrónico originales, consulte el objeto `mail` en [Contenido de las notificaciones](notification-contents.md).
1. Seleccione **Save changes (Guardar cambios)**. Los cambios que haya realizado en su configuración de notificaciones podrían tardar varios minutos en surtir efecto.
1. (Opcional) Dado que el remitente delegado recibirá notificaciones de temas de Amazon SNS para rebotes y reclamos, puede desactivar por completo las notificaciones por correo electrónico si no quiere recibir valoraciones sobre los envíos de esta identidad. Para desactivar las valoraciones por correo electrónico de rebotes y reclamos, en la pestaña **Notifications (Notificaciones)** en el contenedor **Email Feedback Forwarding (Reenvío de valoración de correo)**, elija **Edit (Editar)**, desmarque la casilla **Enabled (Habilitado)**, y elija **Save changes (Guarde los cambios)**. Ahora, las notificaciones de estado de entrega solo se enviarán a los temas de SNS propiedad de su remitente delegado.
# Ejemplos de políticas de envío
La autorización de envío le permite especificar las condiciones detalladas según las cuales permite a los remitentes delegados enviar en su nombre.
**Topics**
+ [Condiciones específicas para la autorización de envío](#sending-authorization-policy-conditions)
+ [Especificación del remitente delegado](#sending-authorization-policy-example-sender)
+ [Restricción de la dirección de remitente (“From”)](#sending-authorization-policy-example-from)
+ [Restricción del periodo de tiempo en el que el delegado puede enviar correo electrónico](#sending-authorization-policy-example-time)
+ [Restricción de la acción de envío de correo electrónico](#sending-authorization-policy-example-action)
+ [Restricción del nombre de visualización del remitente de correo electrónico](#sending-authorization-policy-example-display-name)
+ [Uso de varias instrucciones](#sending-authorization-policy-example-multiple-statements)
## Condiciones específicas para la autorización de envío
Una *condición* es cualquier restricción sobre el permiso en la instrucción. La parte de la instrucción que especifica las condiciones puede ser la más detallada de todas las partes. Una *clave* es la característica específica que es la base para la restricción de acceso, como la fecha y hora de la solicitud.
Las condiciones y las claves se utilizan conjuntamente para expresar la restricción. Por ejemplo, si desea impedir que el remitente delegado realice solicitudes a Amazon SES en su nombre después del 30 de julio de 2019, utilice la condición denominada `DateLessThan`. Usted utiliza la clave denominada `aws:CurrentTime` y la define con el valor `2019-07-30T00:00:00Z`.
Puede usar cualquiera de las claves AWS de ancho que se enumeran en [Claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys) en la *Guía del usuario de IAM*, o puede usar una de las siguientes claves específicas de SES que son útiles para enviar políticas de autorización:
****
| Clave de condición | Description (Descripción) |
| --- | --- |
| `ses:Recipients` | Restringe las direcciones del destinatario, que incluyen las direcciones To:, "CC" y "BCC". |
| `ses:FromAddress` | Restringe la dirección de remitente ("From"). |
| `ses:FromDisplayName` | Restringe el contenido de la cadena que se utiliza como el nombre de visualización "From" (a veces denominado "remitente descriptivo"). Por ejemplo, el nombre de visualización de "John Doe " es John Doe. |
| `ses:FeedbackAddress` | Restringe la dirección de "ruta de retorno", que es la dirección donde se pueden enviar los rebotes y reclamaciones mediante reenvío de retroalimentación de correo electrónico. Para obtener información acerca del reenvío de retroalimentación de correo electrónico, consulte [Recepción de notificaciones de Amazon SES por correo electrónico](monitor-sending-activity-using-notifications-email.md). |
Puede utilizar las condiciones `StringEquals` y `StringLike` con claves de Amazon SES. Las condiciones son para coincidencia de cadenas con distinción entre mayúsculas y minúsculas. Para `StringLike`, los valores pueden incluir un comodín de coincidencias de varios caracteres (\$1) o un comodín de coincidencia de un único carácter (?) en cualquier parte de la cadena. Por ejemplo, la siguiente condición especifica que el remitente delegado solo puede enviar desde una dirección de remitente ("From") que empieza por *invoicing* y termina por *@example.com*:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
También puede utilizar la condición `StringNotLike` para evitar que los remitentes delegados envíen correo electrónico desde determinadas direcciones de correo electrónico. Por ejemplo, puede deshabilitar el envío desde *admin@example.com* y direcciones similares como *“admin”@example.com*, *admin\$11@example.com* o *sender@admin.example.com* al incluir la siguiente condición en su instrucción de política:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
Para obtener más información acerca de cómo especificar condiciones, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
## Especificación del remitente delegado
El *principal*, que es la entidad a la que se concede el permiso, puede ser un Cuenta de AWS usuario AWS Identity and Access Management (de IAM) o un servicio. AWS
*El siguiente ejemplo muestra una política sencilla que permite al AWS ID *123456789012* enviar correos electrónicos desde la identidad verificada *example.com* (propiedad de 888888888888). Cuenta de AWS * *La `Condition` declaración de esta política solo permite al delegado (es decir, el AWS ID *123456789012*) enviar correos electrónicos desde la dirección marketing\$1. **\$1 @example .com, donde *\$1* es cualquier cadena que el remitente quiera añadir después de marketing\$1.* .
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
La siguiente política de ejemplo otorga a dos usuarios de IAM permiso para enviar desde la identidad *example.com*. Los usuarios de IAM se especifican por su nombre de recurso de Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
La siguiente política de ejemplo otorga a Amazon Cognito permiso para enviar desde la identidad *example.com*.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
La siguiente política de ejemplo otorga permiso a todas las cuentas dentro de una organización de AWS para enviar desde la identidad example.com. La AWS organización se especifica mediante la clave de condición global del [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## Restricción de la dirección de remitente (“From”)
Si utiliza un dominio verificado, puede crear una política que permita únicamente a un remitente delegado enviar correo electrónico desde una dirección de correo electrónico especificada. Para restringir la dirección «De», estableces una condición en la clave llamada *ses: FromAddress*. *La siguiente política permite enviar el Cuenta de AWS ID *123456789012* desde la identidad *example.com*, pero solo desde la dirección de correo electrónico sender@example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## Restricción del periodo de tiempo en el que el delegado puede enviar correo electrónico
También puede configurar la política de autorización del remitente de forma que un remitente delegado solo pueda enviar correo electrónico a una hora determinada del día o en un determinado intervalo de fechas. Por ejemplo, si tiene previsto enviar su campaña de correo electrónico durante el mes de septiembre de 2021, puede utilizar la siguiente política para restringir la capacidad del delegado de enviar correo electrónico solo durante ese mes.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## Restricción de la acción de envío de correo electrónico
Hay dos acciones que los remitentes pueden utilizar para enviar correo electrónico con Amazon SES: `SendEmail` y `SendRawEmail`, en función del control que el remitente desee tener sobre el formato del correo electrónico. Las políticas de autorización de envío le permiten limitar al remitente delegado a una de las dos acciones. Sin embargo, muchos propietarios de identidad habilitan ambas acciones en sus políticas, lo que permite que sea el remitente delegado quien decida los detalles de las llamadas de envío de correo electrónico.
**nota**
Si desea habilitar al remitente delegado para acceder a Amazon SES a través de la interfaz de SMTP, debe elegir `SendRawEmail` como mínimo.
Si su caso de uso es tal que desea restringir la acción, puede hacerlo incluyendo solo una de las acciones en su política de autorización de envío. El siguiente ejemplo muestra cómo restringir la acción a `SendRawEmail`.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## Restricción del nombre de visualización del remitente de correo electrónico
Algunos clientes de correo electrónico muestran el nombre "descriptivo" del remitente de correo electrónico (si el encabezado de correo electrónico lo proporciona), en lugar de la dirección de remitente ("From") real. Por ejemplo, el nombre de visualización de "John Doe " es John Doe. Por ejemplo, podría enviar correos electrónicos desde *user@example.com*, pero prefiere que dichos destinatarios vean que el correo electrónico procede de *marketing* en lugar de *user@example.com*. *La siguiente política permite enviar el Cuenta de AWS ID 123456789012 desde la identidad *example.com*, pero solo si el nombre visible de la dirección «De» incluye marketing.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## Uso de varias instrucciones
La política de autorización de envío puede incluir varias instrucciones. La siguiente política de ejemplo contiene dos instrucciones. *La primera declaración autoriza Cuentas de AWS a dos personas a enviar mensajes desde *sender@example.com*, siempre y cuando la dirección «De» y la dirección de comentarios utilicen el dominio example.com.* La segunda instrucción autoriza a un usuario de IAM a enviar correo electrónico desde *sender@example.com* siempre que la dirección de correo electrónico del destinatario esté en el dominio *example.com*.
# Proporcionar al remitente delegado la información de identidad para la autorización de envío de Amazon SES
Después de crear su política de autorización de envío y asociarla a su identidad, puede proporcionar al remitente delegado el nombre de recurso de Amazon (ARN) de la identidad. El remitente delegado transferirá dicho ARN a Amazon SES en la operación de envío de correo electrónico o en el encabezado del correo electrónico. Para buscar el ARN de su identidad, siga los pasos que se describen a continuación.
**Para buscar el ARN de una identidad**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad a la que asoció la política de autorización de envío.
1. En el panel **Summary (Resumen)**, la segunda columna, **Amazon Resource Name (ARN) [Nombre de recurso de Amazon (ARN)]**, contendrá el ARN de la identidad. Tendrá un aspecto similar a *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*. Copie todo el ARN y proporciónelo a su remitente delegado.
**importante**
Si la identidad que está autorizando está duplicada en una región secundaria como parte de la característica [Puntos de conexión globales](global-endpoints.md), sustituya el parámetro de región, por ejemplo, `us-east-1`, por un asterisco `*`, como en el siguiente ejemplo: `arn:aws:ses:*:123456789012:identity/user@example.com`.
# Tareas de remitente delegado para la autorización de envío de Amazon SES
Como remitente delegado, enviará correos electrónicos en nombre de una identidad que no le pertenece, pero que está autorizado a utilizar. Aunque envíes mensajes en nombre del propietario de la identidad, los rebotes y las quejas se tienen en cuenta para las estadísticas de devoluciones y quejas de tu AWS cuenta, y la cantidad de mensajes que envíes se tiene en cuenta para tu cuota de envíos. Usted también tiene la responsabilidad de solicitar los aumentos de cuota de envío que pueda necesitar para enviar correo electrónico del propietario de identidad.
Como remitente delegado, debe realizar las siguientes tareas:
+ [Proporcionar información al propietario de identidad](sending-authorization-delegate-sender-tasks-information.md)
+ [Uso de notificaciones de remitente delegado](sending-authorization-delegate-sender-tasks-notifications.md)
+ [Envío de correo electrónico para el propietario de la identidad](sending-authorization-delegate-sender-tasks-email.md)
# Proporcionar información al propietario de identidad para la autorización de envío de Amazon SES
Como remitente delegado, debes proporcionar al propietario de la identidad tu ID de AWS cuenta o el nombre de Amazon Resource Name (ARN) de tu usuario de IAM, ya que enviarás correos electrónicos en nombre del propietario de la identidad. El propietario de identidad necesita la información de su cuenta para poder crear una política que le conceda a usted permiso para realizar envíos desde una de las identidades verificadas.
Si desea utilizar sus propios temas de SNS, puede solicitar que el propietario de la identidad configure notificaciones de valoraciones para rebotes, reclamos o entregas que se enviarán a uno o varios de sus temas de SNS. Para ello, tendrá que compartir el ARN de su tema de SNS con su propietario de identidad para que pueda configurar su tema de SNS en la identidad verificada desde la que le autoriza a enviar.
En los siguientes procedimientos se explica cómo encontrar la información de su cuenta y el tema del SNS ARNs para compartirlo con el propietario de su identidad.
**Para encontrar el ID de tu AWS cuenta**
1. Inicia sesión Consola de administración de AWS en [https://console.aws.amazon.com](https://console.aws.amazon.com/).
1. En la esquina superior derecha de la consola, amplía tu name/account número y selecciona **Mi cuenta** en el menú desplegable.
1. Se abrirá la página de configuración de la cuenta y mostrará toda la información de tu cuenta, incluida tu ID de AWS cuenta.
**Para encontrar el ARN de su usuario de IAM**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Usuarios**.
1. En la lista de usuarios, elija el nombre de usuario. La sección **Summary (Resumen)** muestra el ARN de usuario de IAM. El ARN es similar al siguiente ejemplo: *arn:aws:iam::123456789012:user/John*.
**Para encontrar el ARN de su tema de SNS**
1. [Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.](https://console.aws.amazon.com/sns/v3/home)
1. En el panel de navegación, elija **Temas**.
1. En la lista de temas, el tema de SNS ARNs se muestra en la columna **ARN.** El ARN se parece al siguiente ejemplo: *arn:aws:sns:us-east* - 1:444455556666:. my-sns-topic
# Uso de notificaciones de remitente delegado para autorización de envío de Amazon SES
Como remitente delegado, enviará mensajes de correo electrónico en nombre de una identidad que no le pertenece, pero que está autorizado a utilizar; sin embargo, los rebotes y los reclamos siguen contando en *sus* métricas de rebotes y reclamos, no en las del propietario de la identidad.
Si la tasa de rebotes o de reclamos de su cuenta es demasiado alta, su cuenta corre el riesgo de someterse a revisión o de que se suspenda su capacidad para enviar correo electrónico. Por este motivo, es importante que configure las notificaciones y que disponga de un proceso para monitorizarlas. También debe contar con un proceso para eliminar de sus listas de correo las direcciones que generen rebotes o reclamaciones.
Por lo tanto, como remitente delegado, puede configurar Amazon SES para que envíe notificaciones cuando se produzcan eventos de rebote y reclamos para los mensajes de correo electrónico que envíe en nombre de cualquier identidad que no le pertenezca, pero que el propietario de la identidad lo haya autorizado a utilizar. También puede configurar la [publicación de eventos](monitor-using-event-publishing.md) para publicar notificaciones de rebotes y quejas en Amazon SNS o en Firehose.
**nota**
Si configura Amazon SES para enviar notificaciones mediante Amazon SNS, se le cobrarán las tarifas estándar de Amazon SNS para las notificaciones que reciba. Para obtener más información, consulte la [Página de precios de Amazon SNS](https://aws.amazon.com/sns/pricing).
## Creación de una nueva notificación de remitente delegado
Puede configurar el envío delegado de notificaciones con conjuntos de configuración mediante la [publicación de eventos](event-destinations-manage.md) o con identidades verificadas [configuradas con sus propios temas de SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
A continuación se detallan los procedimientos para configurar nuevas notificaciones de envío delegado, mediante cualquiera de los métodos a continuación:
+ Publicación de eventos mediante un conjunto de configuración
+ Notificaciones de valoraciones a los temas de SNS que le pertenecen
**Para configurar la publicación de eventos mediante un conjunto de configuración para el envío delegado**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Siga los procedimientos indicados en [Crear destinos de eventos](event-destinations-manage.md).
1. Después de configurar la publicación de eventos en el conjunto de configuración, especifique el nombre del conjunto de configuración cuando envíe correo electrónico como remitente delegado mediante la identidad verificada desde la que el propietario de la identidad le autorizó a enviar. Consulte [Envío de correo electrónico para el propietario de la identidad](sending-authorization-delegate-sender-tasks-email.md).
**Para configurar notificaciones de valoraciones a los temas de SNS que le pertenecen para el envío delegado**
1. Después de decidir cuál de los temas de SNS desea utilizar para las notificaciones de valoraciones, siga los procedimientos [para encontrar el ARN de su tema de SNS](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) y copie el ARN completo y compártalo con el propietario de su identidad.
1. Pídale al propietario de identidad que configure los temas de SNS para las notificaciones de valoraciones sobre la identidad compartida desde la que lo ha autorizado a enviar. (El propietario de identidad deberá seguir los procedimientos indicados para [configuración de temas de SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) en los procedimientos de la política de autorización.)
# Envío de correo electrónico al propietario de la identidad para la autorización de envío de Amazon SES
Como remitente delegado, envía correos electrónicos de la misma forma que lo hacen otros remitentes de Amazon SES, salvo que proporciona el Nombre de recurso de Amazon (ARN) de la identidad que el propietario de identidad lo ha autorizado a utilizar. Cuando llama a Amazon SES para enviar el correo electrónico, Amazon SES comprueba si la identidad que ha especificado tiene una política que lo autoriza a enviarlo.
Existen diferentes maneras en las que puede especificar el ARN de la identidad al enviar un correo electrónico. El método que puede utilizar depende de si envía el correo electrónico mediante las operaciones de la API de Amazon SES o la interfaz de SMTP de Amazon SES.
**importante**
Para enviar un correo electrónico correctamente, debe conectarse al punto de conexión de Amazon SES en la AWS región en la que el propietario de la identidad verificó la identidad.
**Además, las AWS cuentas del propietario de la identidad y del remitente delegado deben eliminarse del entorno limitado para que cualquiera de las dos cuentas pueda enviar correos electrónicos a direcciones no verificadas.** Para obtener más información, consulte [Solicitud de acceso de producción (salida del entorno de pruebas de Amazon SES)](request-production-access.md).
Si la identidad que tiene autorización para usar está duplicada en una región secundaria como parte de la característica [Puntos de conexión globales](global-endpoints.md):
El propietario de la identidad debería haberle proporcionado un ARN de identidad en el que el parámetro de región, por ejemplo, `us-east-1`, estuviera reemplazado por un asterisco `*`, como en el siguiente ejemplo: `arn:aws:ses:*:123456789012:identity/user@example.com`.
El propietario de la identidad debería haber creado políticas de autorización de envío para usted tanto en la región principal como en la secundaria.
## Uso de la API de Amazon SES
Al igual que con cualquier remitente de correo electrónico de Amazon SES, si accede a Amazon SES a través de la API de Amazon SES (directamente a través de HTTPS o indirectamente a través de un AWS SDK), puede elegir entre una de las tres acciones de envío de correo electrónico: `SendEmail``SendTemplatedEmail`, y. `SendRawEmail` La [referencia de la API de Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/) describe sus detalles APIs, pero aquí ofrecemos una descripción general de los parámetros de autorización de envío.
### SendRawEmail
Si desea utilizar `SendRawEmail` para poder controlar el formato de sus mensajes de correo electrónico, puede especificar la identidad autorizada delegada de alguna de las dos formas siguientes:
+ **Pasar parámetros opcionales a la API `SendRawEmail`**. Los parámetros obligatorios se describen en la siguiente tabla:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **Incluir encabezados X en el correo electrónico**. Los encabezados X son encabezados personalizados que puede utilizar además de los encabezados de correo electrónico estándar (como los encabezados From, Reply-To o Subject). Amazon SES reconoce tres encabezados X que puede utilizar para especificar parámetros de autorización de envío:
**importante**
No incluya estos encabezados X en la firma DKIM, ya que Amazon SES los elimina antes de enviar el correo electrónico.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
Amazon SES elimina todos los encabezados X del correo electrónico antes de enviarlo. Si se incluyen varias instancias de un encabezado X, Amazon SES solo utiliza la primera instancia.
El siguiente ejemplo muestra un correo electrónico que incluya encabezados X de autorización de envío:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail y SendTemplatedEmail
Si utiliza la operación `SendEmail` o `SendTemplatedEmail`, puede especificar la identidad autorizada delegada al transferir los parámetros opcionales que se indican a continuación. No puede utilizar el método de encabezado X cuando utiliza la operación `SendEmail` o `SendTemplatedEmail`.
****
| Parámetro | Description (Descripción) |
| --- | --- |
| `SourceArn` | El ARN de la identidad que está asociada a la política de autorización de envío que le permite enviar para la dirección de correo electrónico especificada en el parámetro `Source` de `SendEmail` o `SendTemplatedEmail`. |
| `ReturnPathArn` | El ARN de la identidad que está asociada a la política de autorización de envío que le permite utilizar la dirección de correo electrónico especificada en el parámetro `ReturnPath` de `SendEmail` o `SendTemplatedEmail`. |
En el siguiente ejemplo, se muestra cómo enviar un correo electrónico que incluye los atributos `SourceArn` y `ReturnPathArn` mediante la operación `SendEmail` o `SendTemplatedEmail` y el [SDK para Python](https://aws.amazon.com/sdk-for-python).
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## Uso de la interfaz de SMTP de Amazon SES
Cuando utilice la interfaz de SMTP de Amazon SES para el envío delegado, deberá incluir los encabezados `X-SES-SOURCE-ARN`, `X-SES-FROM-ARN` y `X-SES-RETURN-PATH-ARN` en el mensaje. Pase estos encabezados después enviar el comando `DATA` en la conversación SMTP.