Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de la recepción de correo electrónico de Amazon SES
En esta sección se describen los requisitos previos necesarios para comenzar a configurar Amazon SES para recibir su correo. Es importante que haya leído [Conceptos y casos de uso de recepción de correo electrónico](receiving-email-concepts.md) para comprender los conceptos sobre el funcionamiento de Amazon SES y para plantearse la forma en que desea recibir, filtrar y procesar su correo electrónico.
Antes de configurar la recepción de correo electrónico mediante la creación de un *conjunto de reglas*, *reglas de recepción* y *filtros de direcciones IP*, primero debe completar los siguientes requisitos previos de configuración:
+ Verifique su dominio con Amazon SES. Para ello, publique los registros DNS para demostrar que es el propietario.
+ Permita que Amazon SES reciba correo electrónico para su dominio mediante la publicación de un registro MX.
+ Conceda permiso a Amazon SES para acceder a otros AWS recursos a fin de ejecutar acciones de reglas de recepción.
Al crear y verificar una identidad de dominio, publica registros en la configuración de DNS para completar el proceso de verificación, pero esto por sí solo no es suficiente para usar la recepción de correo electrónico. Específicamente para la recepción de correo electrónico, también es necesario publicar un registro MX para especificar un dominio de correo electrónico personalizado. Este registro se utiliza en la configuración de DNS de su dominio para permitir que SES reciba correo electrónico para su dominio. Es necesario conceder permisos porque las acciones que elijas en tus reglas de recepción no funcionarán a menos que Amazon SES tenga permiso para usar el AWS servicio correspondiente necesario para esas acciones.
**Topics**
+ [Verificación de su dominio para recepción de correo electrónico de Amazon SES](receiving-email-verification.md)
+ [Publicación de un registro MX para la recepción de correo electrónico de Amazon SES](receiving-email-mx-record.md)
+ [Otorgar permisos a Amazon SES para recepción de correo electrónico](receiving-email-permissions.md)
# Verificación de su dominio para recepción de correo electrónico de Amazon SES
Al igual que con cualquier dominio que desee utilizar para enviar o recibir correo electrónico a través de Amazon SES, primero debe demostrar que es de su propiedad. El procedimiento de verificación incluye iniciar la verificación del dominio con SES y luego publicar los registros DNS, ya sea CNAME o TXT, a su proveedor de DNS de acuerdo con el método de verificación que utilice.
Desde la consola, puede verificar sus dominios con [Easy DKIM](send-email-authentication-dkim-easy.md) o [Bring Your Own DKIM (BYODKIM)](send-email-authentication-dkim-bring-your-own.md) y copiar con facilidad sus registros DNS para publicarlos en su proveedor de DNS, procedimiento que se explica en [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure). Opcionalmente, puede utilizar el SES [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html)o [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html) APIs.
Puede confirmar fácilmente que su dominio o dirección de correo electrónico están verificados consultando su estado en la tabla de [identidades verificadas](view-verified-domains.md) de la consola de SES o utilizando el SES [https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html)o [https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html) APIs.
# Publicación de un registro MX para la recepción de correo electrónico de Amazon SES
Un registro de *intercambio de correo* (*registro MX* ) es una configuración que especifica los servidores de correo que pueden aceptar emails enviados al dominio.
Para que Amazon SES administre su correo electrónico entrante, debe agregar un registro MX a la configuración de DNS del dominio. El registro MX que cree hace referencia al punto final que recibe el correo electrónico de la AWS región en la que utiliza Amazon SES. Por ejemplo, el punto de enlace de la región EE. UU. Oeste (Oregón) es *inbound-smtp.us-west-2.amazonaws.com*. Para obtener una lista completa de puntos de enlace, consulte [Regiones y puntos de conexión de SES](regions.md#region-endpoints).
**nota**
Los puntos de enlace que reciben correo electrónico en Amazon SES no son servidores de POP3 correo electrónico o IMAP. No puede utilizarlos URLs como servidores de correo entrante en los clientes de correo electrónico. Si necesita una solución que pueda enviar y recibir correo electrónico mediante un cliente de correo electrónico, considere la posibilidad de utilizar [Amazon WorkMail](https://aws.amazon.com/workmail).
El siguiente procedimiento incluye pasos generales para crear un registro MX. *Los procedimientos específicos para crear un registro MX dependen del DNS o del proveedor de alojamiento.* Consulte la documentación del proveedor para obtener más información sobre cómo añadir un registro MX a la configuración DNS de su dominio.
**nota**
**Para añadir un registro MX a la configuración de DNS de su dominio.**
1. (Requisito previo) Para completar estos procedimientos, tendrá que modificar los registros DNS de su dominio. Si no puede obtener acceso a los registros de DNS o no está familiarizado con este proceso, póngase en contacto con el administrador del sistema para obtener ayuda.
1. Inicie sesión en la consola de administración del proveedor de DNS.
1. Cree un nuevo registro MX.
1. Para el **Name (Nombre)** del registro MX, especifique el dominio. Por ejemplo, si desea que Amazon SES administre el correo electrónico que se envía al dominio *example.com*, ingrese lo siguiente:
```
example.com.
```
**nota**
Según el proveedor de DNS: 1) Es posible que no sea necesario colocar el `.` final al final de la extensión de dominio. 2) El campo **Nombre** puede llamarse **Host**, **Dominio** o **Dominio de correo**.
1. En **Type (Tipo)**, seleccione **MX**.
**nota**
Algunos proveedores de DNS se refieren al campo **Type (Tipo)** como **Record Type (Tipo de registro)** o un nombre similar.
1. En **Value (Valor)**, introduzca lo siguiente:
```
10 inbound-smtp.region.amazonaws.com
```
En el ejemplo anterior, *region* sustitúyala por la dirección del punto final que recibe el correo electrónico de la AWS región que utilizas con Amazon SES. Por ejemplo, si utiliza la región EE.UU. Este (Norte de Virginia), *region* sustitúyala por`us-east-1`. Para obtener una lista completa de puntos de enlace, consulte [Regiones y puntos de conexión de SES](regions.md#region-endpoints).
**nota**
Las consolas de administración de algunos proveedores de DNS incluyen campos independientes para el registro **Value (Valor)** y el registro **Priority (Prioridad)**. Si es el caso para su proveedor de DNS, introduzca `10` para el valor **Priority (Prioridad)** e introduzca la siguiente URL de punto de enlace de correo entrante para **Value (Valor)**.
**importante**
Los procedimientos específicos para crear un registro MX dependen del proveedor de DNS o de alojamiento. Consulte la documentación del proveedor o póngase en contacto con este para obtener más información sobre cómo añadir un registro MX a la configuración DNS de su dominio.
## Instrucciones para crear registros MX para diversos proveedores
Los procedimientos para crear un registro MX para su dominio dependen del proveedor de DNS utilizado. Esta sección incluye enlaces a la documentación de diversos varios proveedores de DNS habituales. Este listado de proveedores no es exhaustivo. Si su proveedor no aparece en la lista siguiente, probablemente podrá seguir utilizándolo con Amazon SES. La inclusión en esta lista no supone ningún tipo de respaldo o recomendación de los productos o servicios de ninguna empresa.
| Nombre del proveedor de alojamiento/DNS | Enlace a la documentación |
| --- | --- |
| Amazon Route 53 | [Creación de registros con la consola de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) |
| GoDaddy | [Add an MX record](https://www.godaddy.com/help/add-an-mx-record-19234) (enlace externo) |
| DreamHost | [How do I change my MX records?](https://help.dreamhost.com/hc/en-us/articles/215035328) (enlace externo) |
| Cloudflare | [Configurar registros de correo electrónico](https://developers.cloudflare.com/dns/manage-dns-records/how-to/email-records/) (enlace externo) |
| HostGator | [Changing MX records - Windows](https://www.hostgator.com/help/article/changing-mx-records-windows) (enlace externo) |
| Namecheap | [How can I set up MX records required for mail service?](https://www.namecheap.com/support/knowledgebase/article.aspx/322/2237/how-can-i-set-up-mx-records-required-for-mail-service) (enlace externo) |
| Names.co.uk | [Changing your domain's DNS settings](https://www.names.co.uk/support/domains/1156-changing_your_domains_dns_settings.html) (enlace externo) |
| Wix | [Adding or Updating MX Records in Your Wix Account](https://support.wix.com/en/article/adding-or-updating-mx-records-in-your-wix-account) (enlace externo) |
# Otorgar permisos a Amazon SES para recepción de correo electrónico
Algunas de las tareas que puede realizar al recibir correos electrónicos en SES, como enviar correos electrónicos a un bucket de Amazon Simple Storage Service (Amazon S3) o llamar a AWS Lambda una función, requieren permisos especiales. Esta sección incluye políticas de ejemplo para diferentes casos de uso comunes.
**Topics**
+ [Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3](#receiving-email-permissions-s3-iam-role)
+ [Concesión de permiso a SES para escribir en un bucket de S3](#receiving-email-permissions-s3)
+ [Conceda permiso a SES para usar su AWS KMS clave](#receiving-email-permissions-kms)
+ [Otorgue permiso a SES para invocar una función AWS Lambda](#receiving-email-permissions-lambda)
+ [Otorgar permiso a SES para publicar en un tema de Amazon SNS que pertenezca a otra cuenta AWS](#receiving-email-permissions-sns)
## Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3
Las normas siguientes se aplican a este rol de IAM:
+ Solo se puede usar para [Acción Entregar al bucket de S3](receiving-email-action-s3.md).
+ Debe usarse si se desea escribir en un bucket de S3 que exista en una región donde [Recepción de correo electrónico](regions.md#region-receive-email) de SES no esté disponible.
Si desea escribir en un bucket de S3, puede proporcionar un rol de IAM con permisos para acceder a los recursos pertinentes de la [Acción Entregar al bucket de S3](receiving-email-action-s3.md). También tendrá que proporcionar permiso a SES para que asuma ese rol y lleve a cabo la acción mediante una política de confianza de IAM, tal y como se explica en la [sección siguiente](#receiving-email-permissions-s3-iam-role-trust).
Esta política de permisos debe pegarse en el editor de políticas insertadas del rol de IAM; consulte [Acción Entregar al bucket de S3](receiving-email-action-s3.md) y siga los pasos que se indican en el epígrafe **Rol de IAM**. (El siguiente ejemplo también incluye permisos opcionales por si desea utilizar la notificación de temas de SNS o una clave administrada por el cliente en la acción de S3).
**nota**
Tiene la opción de configurar la acción de S3 sin especificar un rol de IAM al permitir solo el servicio de SES en la política de bucket de S3, como se muestra en [Concesión de permiso a SES para escribir en un bucket de S3](#receiving-email-permissions-s3). Esto también funcionará en escenarios entre cuentas.
Si especifica una función de IAM para la acción de S3, SES asumirá esa función para la operación PutObject «» y los permisos de IAM especificados aquí serán suficientes para el uso de la misma cuenta. Sin embargo, para el uso entre cuentas, necesitará una política de segmento adicional que permita que la función de IAM esté «PutObject» en el segmento. Esto lo especifica el propietario del bucket que concede permisos de bucket entre cuentas, como se explica en [Propietario del bucket que concede permisos de bucket entre cuentas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:my-topic"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1::111122223333:key/key-id"
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ *amzn-s3-demo-bucket*Sustitúyalo por el nombre del bucket de S3 en el que desee escribir.
+ *region*Sustitúyala por la Región de AWS ubicación en la que creaste la regla de recepción.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *my-topic*Sustitúyalo por el nombre del tema de SNS en el que quieres publicar las notificaciones.
+ *key-id*Sustitúyala por el ID de tu clave KMS.
### Política de confianza del rol de IAM de la acción de S3
Es preciso agregar siguiente política de confianza siguiente a las *relaciones de confianza* del rol de IAM para que SES pueda asumir ese rol.
**nota**
Solo es preciso agregar esta política de confianza manualmente si no ha creado el rol de IAM en la consola de SES mediante los pasos que se indican en el epígrafe **Rol de IAM** del flujo de trabajo de [Acción Entregar al bucket de S3](receiving-email-action-s3.md). *Cuando el rol de IAM se crea en la consola, esta política de confianza se genera automáticamente y se aplica al rol, por lo que este paso no es necesario.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESAssume",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ *region*Sustitúyala por la Región de AWS ubicación en la que creaste la regla de recepción.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *rule\$1set\$1name*Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
+ *receipt\$1rule\$1name*Sustitúyalo por el nombre de la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
## Concesión de permiso a SES para escribir en un bucket de S3
Cuando se aplica la política siguiente a un bucket de S3, da permiso a SES para escribir en ese bucket, siempre y cuando exista en una región en la que esté disponible la [Recepción de correo electrónico](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_inbound_endpoints) de SES; si desea escribir en un bucket que esté fuera de una región de *Recepción de correo electrónico*, consulte [Configuración de los permisos de roles de IAM para la acción Entregar al bucket de S3](#receiving-email-permissions-s3-iam-role). Para obtener más información acerca de la creación de reglas de recepción que transfieren el correo electrónico entrante a Amazon S3, consulte [Acción Entregar al bucket de S3](receiving-email-action-s3.md).
Para obtener más información acerca de la asociación de políticas a buckets de S3, consulte [Uso de políticas de bucket y políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowSESPuts",
"Effect":"Allow",
"Principal":{
"Service":"ses.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ *amzn-s3-demo-bucket*Sustitúyalo por el nombre del bucket de S3 en el que desee escribir.
+ *region*Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *rule\$1set\$1name*Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
+ *receipt\$1rule\$1name*Sustitúyalo por el nombre de la regla de recepción que contiene la acción del bucket de entrega a Amazon S3.
## Conceda permiso a SES para usar su AWS KMS clave
Para que SES cifre los correos electrónicos, debe tener permiso para utilizar la clave de AWS KMS especificada al configurar la regla de recepción. Puede utilizar la clave de KMS predeterminada (**aws/ses**) de su cuenta o bien una clave administrada por el cliente que cree. Si utiliza la clave de KMS predeterminada, no tiene que realizar ningún paso adicional a fin de conceder permiso a SES para que la utilice. Si utiliza una clave administrada por el cliente, debe conceder permiso a SES para utilizarla mediante la adición de una instrucción a la política de la clave.
Utilice la siguiente instrucción de política como la política de claves para permitir que SES utilice su clave administrada por el cliente cuando reciba correo electrónico en su dominio.
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
En la política de ejemplo anterior, realice los siguientes cambios:
+ *region*Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *rule\$1set\$1name*Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción que has asociado a la recepción de correo electrónico.
+ *receipt\$1rule\$1name*Sustitúyala por el nombre de la regla de recepción que has asociado a la recepción de correo electrónico.
Si utilizas AWS KMS el envío de mensajes cifrados a un bucket de S3 con el cifrado del lado del servidor activado, tendrás que añadir la acción política,. `"kms:Decrypt"` Con el ejemplo anterior, agregar esta acción a la política aparecerá de la siguiente manera:
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
*Para obtener más información sobre cómo adjuntar políticas a las AWS KMS claves, consulte [Uso de políticas clave AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la AWS Key Management Service Guía para desarrolladores.*
## Otorgue permiso a SES para invocar una función AWS Lambda
Para permitir que SES llame a una AWS Lambda función, puede elegir la función al crear una regla de recepción en la consola de SES. Al hacerlo, SES agrega automáticamente los permisos necesarios a la función.
También puede utilizar la operación `AddPermission` en la API de AWS Lambda para adjuntar una política a una función. La siguiente llamada a la API de `AddPermission` concede permiso a SES para invocar su función de Lambda. Para obtener más información sobre cómo adjuntar políticas a funciones de Lambda, consulte [Permisos de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html) en la *Guía para desarrolladores de AWS Lambda *.
```
{
"Action": "lambda:InvokeFunction",
"Principal": "ses.amazonaws.com",
"SourceAccount": "111122223333",
"SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name",
"StatementId": "GiveSESPermissionToInvokeFunction"
}
```
En la política de ejemplo anterior, realice los siguientes cambios:
+ *region*Sustitúyala por la AWS región en la que creaste la regla de recepción.
+ Reemplace *111122223333* por su ID de cuenta de AWS .
+ *rule\$1set\$1name*Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción en la que creó la función Lambda.
+ *receipt\$1rule\$1name*Sustitúyalo por el nombre de la regla de recepción que contiene la función Lambda.
## Otorgar permiso a SES para publicar en un tema de Amazon SNS que pertenezca a otra cuenta AWS
Para publicar notificaciones sobre un tema en una AWS cuenta independiente, debes adjuntar una política al tema de Amazon SNS. El tema de SNS debe estar en la misma región que el conjunto de reglas de dominio y de recepción.
La siguiente política autoriza a SES a publicar en un tema de Amazon SNS en una cuenta independiente AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "444455556666",
"AWS:SourceArn": "arn:aws:ses:us-east-1:777788889999:receipt-rule-set/rule_set_name:receipt-rule/rule_name"
}
}
}
]
}
```
------
En la política de ejemplo anterior, realice los siguientes cambios:
+ *topic\$1region*Sustitúyalo por el tema en el Región de AWS que se creó el tema Amazon SNS.
+ *sns\$1topic\$1account\$1id*Sustitúyalo por el ID de la AWS cuenta propietaria del tema Amazon SNS.
+ *topic\$1name*Sustitúyalo por el nombre del tema de Amazon SNS en el que desee publicar las notificaciones.
+ *aws\$1account\$1id*Sustitúyalo por el ID de la AWS cuenta que está configurada para recibir correo electrónico.
+ *receipt\$1region*Sustitúyala por la Región de AWS que creaste la regla de recepción.
+ *rule\$1set\$1name*Sustitúyalo por el nombre del conjunto de reglas que contiene la regla de recepción en la que creaste la acción temática de publicar en Amazon SNS.
+ *receipt\$1rule\$1name*Sustitúyalo por el nombre de la regla de recepción que contiene la acción temática publicar en Amazon SNS.
Si tu tema de Amazon SNS utiliza AWS KMS el cifrado del lado del servidor, tienes que añadir permisos a la política de claves. AWS KMS Puede añadir permisos adjuntando la siguiente política a la política de claves: AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------