Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Autenticación de correo electrónico con DKIM en Amazon SES
DomainKeys El *correo identificado* (*DKIM*) es un estándar de seguridad de correo electrónico diseñado para garantizar que un correo electrónico que afirma provenir de un dominio específico esté autorizado por el propietario de ese dominio. Este estándar utiliza criptografía de clave pública para firmar un correo electrónico con una clave privada. Los servidores destinatarios pueden utilizar una clave pública publicada en el DNS de un dominio para verificar que partes del correo electrónico no se hayan modificado durante el tránsito.
Las firmas DKIM son opcionales. Puede decidir firmar sus correos electrónicos con una firma DKIM para mejorar la capacidad de entrega con proveedores de correo electrónico conformes con DKIM. Amazon SES le ofrece dos opciones para firmar sus mensajes con una firma DKIM:
+ **Easy DKIM**: SES genera un par de claves pública-privada y agrega automáticamente una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte [Easy DKIM en Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: permite mantener un registro DKIM uniforme en varios tipos de dominios Regiones de AWS mediante la creación de réplicas de identidades que heredan automáticamente los atributos de firma del DKIM como identidad principal que utiliza Easy DKIM, consulte. [Uso de Deterministic Easy DKIM (DEED) en Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Utilice su propio DKIM)**: puede proporcionar su propio par de claves pública-privada y SES agrega una firma de DKIM a cada mensaje que envíe desde dicha identidad, consulte [Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **Agregar manualmente una firma de DKIM**: puede agregar la firma de DKIM propia al correo electrónico que envíe con la API `SendRawEmail`, consulte [Firma DKIM manual en Amazon SES](send-email-authentication-dkim-manual.md).
## Longitud de clave de firma de DKIM
Dado que muchos proveedores de DNS ahora admiten totalmente el cifrado RSA DKIM de 2048 bits, Amazon SES también admite DKIM 2048 para permitir una autenticación más segura de los correos electrónicos y, por lo tanto, la utiliza como longitud de clave predeterminada al configurar Easy DKIM desde la API o la consola. También puede configurar y utilizar las claves de 2048 bits con el método de uso de su propio DKIM (BYODKIM), donde la longitud de la clave de firma debe ser de al menos 1024 bits y no superior a 2048 bits.
Por razones de seguridad capacidad de entrega del correo electrónico, cuando se configura con Easy DKIM, podrá utilizar las longitudes de clave de 1024 y 2048 bits junto y dispondrá de flexibilidad para volver a utilizar la longitud de 1024 bits en caso de problemas con cualquier proveedor de DNS que todavía no admita la longitud de 2048 bits. *Cuando cree una nueva identidad, esta se creará con DKIM 2048 de forma predeterminada, a menos que especifique la longitud de 1024 bits.*
Para preservar la capacidad de entrega del correo electrónico en tránsito, existen restricciones sobre la frecuencia con la que puede cambiar la longitud de la clave DKIM. Entre las restricciones se incluyen las siguientes:
+ No se puede cambiar a la misma longitud de clave que ya está configurada.
+ No se puede cambiar a una longitud de clave diferente más de una vez en un período de 24 horas (a menos que sea la primera actualización a 1024 en dicho período).
Cuando el correo electrónico está en tránsito, el DNS utiliza su clave pública para autenticar el correo electrónico; por lo tanto, si cambia las claves con demasiada rapidez o frecuencia, es posible que el DNS no pueda autenticar con DKIM el correo electrónico, ya que es posible que la clave anterior ya esté invalidada. Estas restricciones evitan este problema.
## Consideraciones de DKIM
Cuando se utiliza DKIM para autenticar el correo electrónico, se aplican las reglas siguientes:
+ Solo tiene que configurar DKIM para el dominio que utiliza en la dirección “From” (Remitente). No es necesario que configure DKIM para los dominios que utiliza en “Return-Path” (Ruta de devolución) o en la dirección “Reply-to” (Responder a).
+ Amazon SES está disponible en varias AWS regiones. Si utiliza más de una región de AWS para enviar un correo electrónico, tiene que completar el proceso de configuración de DKIM en cada una de esas regiones para garantizar que todos sus correos electrónicos se firmen con DKIM.
+ Ya que las propiedades DKIM se heredan del dominio principal, cuando se verifica un dominio con autenticación DKIM:
+ La autenticación DKIM también se aplicará a todos los subdominios de ese dominio.
+ La configuración de DKIM para un subdominio puede anular la configuración del dominio principal al desactivar la herencia si no desea que el subdominio utilice la autenticación DKIM, así como la posibilidad de volver a habilitarla posteriormente.
+ La autenticación DKIM también se aplicará a todo el correo electrónico enviado desde una identidad de correo electrónico que haga referencia al dominio verificado por DKIM en su dirección.
+ La configuración de DKIM para una dirección de correo electrónico puede anular la configuración del subdominio (si procede) y del dominio principal, al desactivar la herencia si desea enviar correo sin autenticación DKIM, así como la posibilidad de volver a habilitarla más adelante.
## Descripción de las propiedades de firma DKIM heredadas
Es importante entender en primer lugar que una identidad de dirección de correo electrónico hereda sus propiedades de firma DKIM de su dominio principal si ese dominio se configuró con DKIM, independientemente de si se utilizó Easy DKIM o BYODKIM. Por lo tanto, la desactivación o habilitación de la firma DKIM en la identidad de la dirección de correo electrónico anula las propiedades de firma DKIM del dominio, con base en los siguientes hechos clave:
+ Si ya ha configurado DKIM para el dominio al que pertenece la dirección de correo electrónico, no es necesario que también configure la firma DKIM para la dirección de correo electrónico.
+ A la hora de configurar DKIM para un dominio, Amazon SES autentica automáticamente cada correo electrónico de cada dirección en ese dominio mediante las propiedades DKIM heredadas del dominio principal.
+ La configuración de DKIM para una identidad de dirección de correo electrónico específica *anula automáticamente las configuraciones del dominio principal o subdominio (si corresponde)* al que pertenece la dirección.
Dado que las propiedades de firma DKIM de la identidad de la dirección de correo electrónico se heredan del dominio principal, si planea anular estas propiedades, debe tener en cuenta las reglas jerárquicas de anulación, tal como se explica en la tabla siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim.html)
Por lo general, nunca se recomienda desactivar la firma DKIM, ya que podría perjudicar la reputación del remitente y aumenta el riesgo de que el correo enviado vaya a carpetas de correo no deseado o spam o que suplanten el dominio.
Sin embargo, existe la capacidad de anular las propiedades de firma DKIM heredadas del dominio en una identidad de dirección de correo electrónico para cualquier caso de uso concreto o decisión empresarial subyacente en las que tenga que desactivar de forma permanente o temporal la firma DKIM, o volver a habilitarla más adelante. Consulte [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM en Amazon SES
A la hora de configurar Easy DKIM para una identidad de dominio, Amazon SES agrega automáticamente una clave DKIM de 2048 bits a cada correo electrónico que envíe desde dicha identidad. Puede configurar Easy DKIM mediante la consola de Amazon SES o mediante la API.
**nota**
Para configurar Easy DKIM, es necesario modificar la configuración de DNS del dominio. Si utiliza Route 53 como su proveedor de DNS, Amazon SES puede crear automáticamente los registros adecuados para usted. Si utiliza otro proveedor de DNS, consulte la documentación del proveedor para obtener más información sobre cómo cambiar la configuración de DNS de su dominio.
**aviso**
Si actualmente tiene BYODKIM habilitado y está haciendo la transición a Easy DKIM, tenga en cuenta que Amazon SES no utilizará BYODKIM para firmar los correos electrónicos mientras se está configurando Easy DKIM y el estado de DKIM esté pendiente. Desde el momento en que realiza la llamada para habilitar Easy DKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con BYODKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de Easy DKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
## Cómo configurar Easy DKIM para una identidad de dominio verificada
El procedimiento de esta sección es más simple y sólo muestra los pasos necesarios para configurar Easy DKIM en una identidad de dominio que ya creó. Si aun no ha creado una identidad de dominio o quiere ver todas las opciones disponibles de personalización de una identidad de dominio, como el uso de un conjunto de configuración predeterminado, un dominio MAIL FROM personalizado y etiquetas, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
Parte de la creación de una identidad de dominio Easy DKIM consiste en configurar su verificación basada en DKIM, en la que tendrá la opción de aceptar el valor predeterminado de Amazon SES de 2048 bits o de sobrescribir el valor predeterminado seleccionando la opción de 1024 bits. Consulte [Longitud de clave de firma de DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.
**Para configurara Easy DKIM para un dominio**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuración**, elija **Identidades**.
1. En la lista de identidades, elija una identidad en la que el **Identity type (Tipo de identidad)**sea *Domain (Dominio)*.
**nota**
Si necesita crear o verificar un dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el contenedor **Configuración avanzada de DKIM**, elija el botón **Easy DKIM** en el campo **Tipo de identidad**.
1. En el campo **DKIM signing key length (Longitud de clave de firma de DKIM)**, elija [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).
1. En el campo **DKIM signatures (Firmas DKIM)**, active la casilla **Enabled (Habilitada)**.
1. Seleccione **Save changes (Guardar cambios)**.
1. Ahora que ha configurado la identidad de dominio con Easy DKIM, debe completar el proceso de verificación con el proveedor de DNS; continuar con [Verificación de una identidad de dominio DKIM con el proveedor de DNS](creating-identities.md#just-verify-domain-proc) y seguir los procedimientos de autenticación de DNS para Easy DKIM.
## Cambiar la longitud de la clave de firma Easy DKIM para una identidad
El procedimiento que se describe en esta sección muestra cómo puede cambiar fácilmente los bits de Easy DKIM necesarios para el algoritmo de firma. Aunque siempre es preferible utilizar una longitud de firma de 2048 bits por la mayor seguridad que proporciona, puede haber situaciones que requieran utilizar la longitud de 1024 bits, como, por ejemplo, cuando tenga que utilizar un proveedor de DNS que solo admita DKIM 1024.
Para preservar la capacidad de entrega del correo electrónico en tránsito, existen restricciones sobre la frecuencia con la que puede cambiar o intercambiar la longitud de la clave DKIM.
Cuando el correo electrónico está en tránsito, el DNS utiliza su clave pública para autenticar el correo electrónico; por lo tanto, si cambia las claves con demasiada rapidez o frecuencia, es posible que el DNS no pueda autenticar con DKIM el correo electrónico, ya que es posible que la clave anterior ya esté invalidada. Las restricciones que se describen a continuación evitan este problema:
+ No se puede cambiar a la misma longitud de clave que la que ya está configurada.
+ No se puede cambiar a una longitud de clave diferente más de una vez en un período de 24 horas (a menos que sea la primera actualización a 1024 en dicho período).
Al utilizar los siguientes procedimientos para cambiar la longitud de la clave, si infringe una de estas restricciones, la consola mostrará un banner de error para indicar que *la entrada que proporcionó no es válida* junto con la razón de por qué no era válida.
**Para cambiar los bits de longitud de clave de firma DKIM**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration (Configuración)**, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija la identidad para la que desea cambiar la longitud de clave de firma DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el contenedor **Configuración avanzada de DKIM**, elija entre [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) en el campo **Longitud de clave de firma DKIM**.
1. Seleccione **Save changes (Guardar cambios)**.
# Uso de Deterministic Easy DKIM (DEED) en Amazon SES
Deterministic Easy DKIM (DEED) ofrece una solución para gestionar múltiples configuraciones de DKIM. Regiones de AWS Al simplificar la administración del DNS y garantizar una firma de DKIM coherente, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, a mantener prácticas sólidas de autenticación del correo electrónico.
## ¿Qué es Deterministic Easy DKIM (DEED)?
[El Easy DKIM (DEED) determinista es una función que genera tokens DKIM consistentes en todos los dominios a Regiones de AWS partir de un dominio principal configurado con Easy DKIM.](send-email-authentication-dkim-easy.md) Esto le permite replicar identidades diferentes Regiones de AWS que hereden y mantengan automáticamente la misma configuración de firma de DKIM que una identidad principal que esté configurada actualmente con Easy DKIM. Con DEED, solo necesita publicar los registros de DNS una vez para la identidad principal, y las identidades de réplica utilizarán los mismos registros de DNS para verificar la propiedad del dominio y administrar la firma de DKIM.
Al simplificar la administración del DNS y garantizar una firma DKIM uniforme, DEED le ayuda a optimizar sus operaciones de envío de correo electrónico multirregionales y, al mismo tiempo, mantener las prácticas recomendadas de autenticación del correo electrónico.
Terminología utilizada para hablar de DEED:
+ **Identidad principal**: identidad verificada configurada con Easy DKIM que sirve de fuente en la configuración de DKIM para una identidad de réplica.
+ **Identidad de réplica**: copia de una identidad principal que comparte la misma configuración de DNS y la misma configuración de firma de DKIM.
+ **Región principal**: Región de AWS en la que se configura la identidad principal.
+ **Región de réplica**: Región de AWS en la que se configura una identidad de réplica.
+ **Identidad DEED**: cualquier identidad que se utilice como identidad principal o identidad de réplica. (Cuando se crea una nueva identidad, inicialmente se trata como una identidad normal (no DEED). Sin embargo, una vez que se crea una réplica, la identidad se considera una identidad de DEED.)
Los principales beneficios de utilizar DEED son:
+ **Administración de DNS simplificada**: publique los registros de DNS solo una vez para la identidad principal.
+ **Operaciones multirregionales más sencillas**: simplifique el proceso de expansión de las operaciones de envío de correo electrónico a nuevas regiones.
+ **Reducción de gastos administrativos**: administre las configuraciones de DKIM de forma centralizada desde la identidad principal.
## Cómo funciona Deterministic Easy DKIM (DEED)
Al crear una identidad de réplica, Amazon SES replica automáticamente la clave de firma DKIM de la identidad principal a la identidad de réplica. Cualquier rotación posterior de la clave de DKIM o cualquier cambio en la longitud de la clave que se realice en la identidad principal se propagan automáticamente a todas las identidades de réplica.
El proceso consta del flujo de trabajo siguiente:
1. Cree una identidad principal en un Easy DKIM mediante el Región de AWS uso de Easy DKIM.
1. Configure los registros de DNS necesarios para la identidad principal.
1. Cree réplicas de identidades en otras Regiones de AWS, especificando el nombre de dominio de la identidad principal y la región de firma del DKIM.
1. Amazon SES replica automáticamente la configuración de DKIM principal en las identidades de réplica.
Consideraciones importantes:
+ No puede crear una réplica de una identidad que ya sea una réplica.
+ La identidad principal debe tener habilitado [Easy DKIM](send-email-authentication-dkim-easy.md); no se pueden crear réplicas de identidades BYODKIM ni firmadas manualmente.
+ Las identidades principales no se pueden eliminar hasta que se eliminen todas las identidades de réplica.
## Configuración de una identidad de réplica mediante DEED
En esta sección se proporcionan ejemplos que muestran cómo crear y verificar una identidad de réplica mediante DEED, junto con los permisos necesarios.
**Topics**
+ [Creación de una identidad de réplica](#creating-replica-identity)
+ [Verificación de la configuración de la identidad de réplica](#verifying-replica-identity)
+ [Permisos necesarios para usar DEED](#required-permissions)
### Creación de una identidad de réplica
Cómo crear una identidad de réplica:
1. En el Región de AWS lugar donde desee crear una identidad de réplica, abra la consola de SES en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(En la consola de SES, las identidades de réplica se denominan *identidades globales*).
1. En el panel de navegación, seleccione **Identidades**.
1. Elija **Create identity (Crear identidad)**.
1. Seleccione **Dominio** en **Tipo de identidad** e introduzca el nombre de dominio de una identidad existente configurada con Easy DKIM que desee replicar y que sirva como principal.
1. Amplíe **Configuración avanzada de DKIM** y seleccione **Deterministic Easy DKIM**.
1. En el menú desplegable **Región principal**, seleccione una región principal en la que resida una identidad firmada por Easy DKIM con el mismo nombre que introdujo para su identidad global (réplica). (La región de réplica es la región con la que ha iniciado sesión en la consola de SES forma predeterminada).
1. Asegúrese de que estén habilitadas las **Firmas de DKIM**.
1. (Opcional) Agregue una o varias **Etiquetas** a la identidad de su dominio.
1. Revise la configuración y elija **Crear identidad**.
Usando AWS CLI:
Para crear una identidad de réplica basada en una identidad principal configurada con Easy DKIM, debe especificar el nombre de dominio principal, la región donde desee crear la identidad de réplica y la región de firma de DKIM principal, como se muestra en este ejemplo:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
En el ejemplo anterior:
1. *example.com*Sustitúyala por la identidad del dominio principal que se está replicando.
1. *us-west-2*Sustitúyala por la región en la que se creará la identidad del dominio de réplica.
1. *AWS\$1SES\$1US\$1EAST\$11*Sustitúyala por la región de firma DKIM principal, que represente su configuración de firma de Easy DKIM, que se replicará en la identidad de la réplica.
**nota**
El `AWS_SES_` prefijo indica que DKIM se configuró para la identidad principal mediante Easy DKIM y `US_EAST_1` es el lugar donde se creó. Región de AWS
### Verificación de la configuración de la identidad de réplica
Tras crear la identidad de réplica, puede comprobar que se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal.
**Cómo verificar una identidad de réplica:**
1. En el Región de AWS lugar donde creó la identidad de la réplica, abra la consola de SES en. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
1. En el panel de navegación, elija **Identidades** y seleccione la identidad que desee verificar en la tabla **Identidades**.
1. En la pestaña **Autenticación**, el campo **Configuración de DKIM** indicará el estado y el campo **Región principal** indicará la región que se utiliza para la configuración de firma de DKIM de la identidad mediante DEED.
Usando AWS CLI:
Use el comando `get-email-identity` que especifica el nombre de dominio y la región de la réplica:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
La respuesta incluirá el valor de la región principal en el parámetro `SigningAttributesOrigin`, lo que significa que la identidad de réplica se ha configurado correctamente con la configuración de firma de DKIM de la identidad principal:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Permisos necesarios para usar DEED
Para utilizar DEED, necesita:
1. Permisos estándar para crear identidades de correo electrónico en la región de réplica.
1. Permiso para replicar la clave de firma DKIM de la región principal.
#### Política de IAM de ejemplo para la replicación de DKIM
La siguiente política permite la replicación de claves de firma de DKIM desde una identidad principal a regiones de réplica específicas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Prácticas recomendadas
A continuación se indican las prácticas recomendadas para utilizar:
+ **Planifique las regiones principales y de réplica**: tenga en cuenta la región principal que elija, ya que será la fuente de información sobre la configuración de DKIM utilizada en las regiones de réplica.
+ **Utilice políticas de IAM coherentes**: asegúrese de que sus políticas de IAM permitan la replicación del DKIM en todas las regiones previstas.
+ **Mantenga activas las identidades principales**: recuerde que las identidades de réplica heredan la configuración de firma de DKIM de la identidad principal. Debido a esta dependencia, no puede eliminar una identidad principal hasta que se eliminen todas las identidades de réplica.
## Resolución de problemas
Si tiene problemas con DEED, tenga en cuenta lo siguiente:
+ **Errores de verificación**: asegúrese de que tiene los permisos de necesarios para la replicación de DKIM.
+ **Retrasos en la replicación**: espere un tiempo para que se complete la replicación, especialmente al crear nuevas identidades de réplica.
+ **Problemas de DNS**: compruebe que los registros de DNS de la identidad principal estén configurados y propagados correctamente.
# Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES
En lugar de usar [Easy DKIM](send-email-authentication-dkim-easy.md), puede configurar la autenticación de DKIM con su propio par de claves públicas-privadas. Este proceso se conoce como *Utilice su propio DKIM* (*BYODKIM*).
Con BYODKIM, puede utilizar un solo registro DNS para configurar la autenticación de DKIM de sus dominios, a diferencia de Easy DKIM, que requiere que publique tres registros DNS independientes. Además, con BYODKIM, podrá rotar las claves DKIM de sus dominios tantas veces como desee.
**Topics**
+ [Paso 1: Crear el par de claves](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Paso 3: Configurar y verificar un dominio para usar BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**aviso**
Si actualmente tiene Easy DKIM habilitado y está haciendo la transición a BYODKIM, tenga en cuenta que Amazon SES no utilizará Easy DKIM para firmar los correos electrónicos mientras se está configurando BYODKIM y el estado de DKIM está pendiente. Desde el momento en que realiza la llamada para habilitar BYODKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con Easy DKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de BYODKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
## Paso 1: Crear el par de claves
Para utilizar la característica de uso de DKIM propio, primero debe crear un par de claves RSA.
La clave privada que genere tiene que estar en formato PKCS \$11 o PKCS \$18, debe utilizar al menos un cifrado RSA de 1024 bits y hasta 2048 bits y debe estar codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulte [Longitud de clave de firma de DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.
**nota**
Puede usar aplicaciones y herramientas de terceros para generar pares de claves RSA siempre que la clave privada se genere con al menos un cifrado RSA de 1024 bits y de hasta 2048 bits, y esté codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
En el siguiente procedimiento, el código de ejemplo que utiliza el comando `openssl genrsa` integrado en la mayoría de los sistemas operativos Linux, macOS o Unix para crear el par de claves utilizará automáticamente codificación base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Para crear el par de claves desde la línea de comandos de Linux, macOS o Unix**
1. En la línea de comandos, introduzca el siguiente comando para generar la clave privada que se *nnnn* sustituya por una longitud de 1024 bits como mínimo y hasta 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. En la línea de comandos, escriba el comando siguiente para generar la clave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio
Ahora que ha creado un par de claves, debe agregar la clave pública como registro TXT a la configuración de DNS de su dominio.
**Para añadir la clave pública a la configuración de DNS de su dominio**
1. Inicie sesión en la consola de administración del proveedor de DNS o de alojamiento.
1. Añada un nuevo registro de texto a la configuración de DNS de su dominio. El registro debe usar el siguiente formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
En el ejemplo anterior, realice los siguientes cambios:
+ *selector*Sustitúyala por un nombre único que identifique la clave.
**nota**
Un pequeño número de proveedores de DNS no le permiten incluir guiones bajos (\$1) en los nombres de registro. Sin embargo, el guion bajo el nombre de registro de DKIM es obligatorio. Si su proveedor de DNS no le permite introducir un guion bajo en el nombre del registro, póngase en contacto con el equipo de atención al cliente del proveedor para obtener ayuda.
+ *example.com*Sustitúyalo por tu dominio.
+ *yourPublicKey*Sustitúyala por la clave pública que creaste anteriormente e incluye el `p=` prefijo tal y como se muestra en la columna *Valor* de arriba.
**nota**
Cuando publica (agrega) su clave pública a su proveedor de DNS, debe tener el siguiente formato:
Debe eliminar la primera y la última línea (`-----BEGIN PUBLIC KEY-----` y `-----END PUBLIC KEY-----`, respectivamente) de la clave pública generada. Además, debe eliminar los saltos de línea en la clave pública generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
Debe incluir en prefijo `p=` tal y como se muestra en la columna *Value* (Valor) de la tabla anterior.
Cada proveedor tiene diferentes procedimientos para actualizar los registros de DNS. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no pueda usar el dominio con Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Paso 3: Configurar y verificar un dominio para usar BYODKIM
Puede configurar BYODKIM tanto para los dominios nuevos (es decir, los dominios que no utiliza actualmente para enviar correo electrónico a través Amazon SES) como para los dominios existentes (es decir, los dominios que ya ha configurado para utilizar con Amazon SES) mediante la consola o la AWS CLI. Antes de utilizar los AWS CLI procedimientos de esta sección, primero debe instalar y configurar el AWS CLI. Para obtener más información, consulte la [Guía AWS Command Line Interface del usuario](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opción 1: Crear una nueva identidad de dominio que utiliza BYODKIM
Esta sección contiene procedimientos para crear una nueva identidad de dominio que utiliza BYODKIM. Una nueva identidad de dominio es un dominio que no ha configurado previamente para enviar correo electrónico mediante Amazon SES.
Si desea configurar un dominio existente para utilizar BYODKIM, complete el procedimiento de [Opción 2: Configuración de una identidad de dominio existente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) en su lugar.
**Para crear una identidad mediante BYODKIM desde la consola**
+ Siga los procedimientos indicados en [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure), y cuando llegue al paso 8, siga las instrucciones específicas para BYODKIM.
**Para crear una identidad mediante BYODKIM desde AWS CLI**
Para configurar un nuevo dominio, utilice la operación `CreateEmailIdentity` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *example.com*Sustitúyala por el dominio que deseas crear.
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `create-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
En el comando anterior, *path/to/create-identity.json* reemplácelo por la ruta completa del archivo que creó en el paso anterior.
### Opción 2: Configuración de una identidad de dominio existente
Esta sección contiene procedimientos para actualizar una identidad de dominio existente para utilizar BYODKIM. Una identidad de dominio existente es un dominio que ya ha configurado para enviar correo electrónico mediante Amazon SES.
**Para actualizar una identidad de dominio mediante BYODKIM desde la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration (Configuración)**, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija una identidad en la que el **Identity type (Tipo de identidad)**sea *Domain (Dominio)*.
**nota**
Si necesita crear o verificar un dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En la pestaña **Autenticación**, en el panel **Correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el panel **Advanced DKIM settings** (Configuración avanzada de DKIM), elija el botón **Provide DKIM authentication token (BYODKIM)** [Proporcionar token de autenticación DKIM (BYODKIM)] en el campo **Identity type** (Tipo de identidad).
1. Pegue en **Private key** (Clave privada) la clave privada que generó anteriormente.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
1. En **Selector name (Nombre del selector)**, ingrese el nombre del selector que especificó en la configuración de DNS de su dominio.
1. En el campo **DKIM signatures (Firmas DKIM)**, active la casilla **Enabled (Habilitada)**.
1. Seleccione **Save changes (Guardar cambios)**.
**Para actualizar la identidad de un dominio mediante BYODKIM desde AWS CLI**
Para configurar un dominio existente, utilice la operación `PutEmailIdentityDkimSigningAttributes` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `update-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
En el comando anterior, realice los siguientes cambios:
+ *path/to/update-identity.json*Sustitúyalo por la ruta completa del archivo que creaste en el paso anterior.
+ *example.com*Sustitúyalo por el dominio que deseas actualizar.
### Verificación del estado de DKIM de un dominio que utiliza BYODKIM
**Para verificar el estado de DKIM de un dominio desde la consola**
Después de configurar un dominio para utilizar BYODKIM, puede utilizar la consola SES para verificar que DKIM se haya configurado correctamente.
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad cuyo estado de DKIM desee verificar.
1. Los cambios en la configuración del DNS pueden tardar hasta 72 horas en propagarse. Tan pronto como Amazon SES detecte todos los registros DKIM requeridos en la configuración DNS de su dominio, el proceso de verificación quedará completado. Si todo se ha configurado correctamente, el campo de **configuración de DKIM** de su dominio aparece **correctamente** en el panel **Correo DomainKeys identificado (DKIM)** y el campo de **estado de identidad** muestra **Verificado** en el panel de **resumen**.
**Para comprobar el estado del DKIM de un dominio mediante el AWS CLI**
Tras configurar un dominio para que utilice BYODKIM, puede utilizar la GetEmailIdentity operación para comprobar que el DKIM está configurado correctamente.
+ En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 get-email-identity --email-identity example.com
```
En el comando anterior, *example.com* sustitúyalo por tu dominio.
Este comando devuelve un objeto JSON que contiene una sección similar al siguiente ejemplo.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
Si todo lo que se describe a continuación es verdadero, BYODKIM se ha configurado correctamente para el dominio:
+ El valor de la propiedad `SigningAttributesOrigin` es `EXTERNAL`.
+ El valor de `SigningEnabled` es `true`.
+ El valor de `Status` es `SUCCESS`.
# Administración de Easy DKIM y BYODKIM
Puede administrar la configuración de DKIM para sus identidades autenticadas con Easy DKIM o BYODKIM mediante la consola de Amazon SES basada en la web o mediante la API de Amazon SES. Puede utilizar cualquiera de estos métodos para obtener los registros de DKIM para una identidad, o para habilitar o desactivar la firma DKIM de una identidad.
## Obtención de registros de DKIM para una identidad
Puede obtener los registros de DKIM para su dominio o la dirección de correo electrónico en cualquier momento mediante la consola de Amazon SES.
**Para obtener los registros de DKIM para una identidad mediante la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea obtener los registros de DKIM.
1. En la pestaña **Authentication** (Autenticación) de la página de detalles de identidad, expanda **View DNS records** (Ver registros DNS).
1. Copie los tres registros CNAME si utilizó Easy DKIM, o el registro TXT si utilizó BYODKIM, que aparecen en esta sección. También puede elegir **Download .csv record set** (Descargar el conjunto de registro .csv) para guardar una copia de los registros en su computadora.
La siguiente imagen muestra un ejemplo de la sección ampliada **View DNS records** (Ver registros DNS) que muestra los registros CNAME asociados a Easy DKIM.
![\[\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/images/dkim_existing_dns.png)
También puede obtener los registros de DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para obtener los registros DKIM de una identidad mediante el AWS CLI**
1. En la línea de comando, escriba el comando siguiente:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
En el ejemplo anterior, *example.com* sustitúyalos por la identidad para la que deseas obtener los registros DKIM. Puede especificar una dirección de correo electrónico o un dominio.
1. El resultado de este comando contiene una sección de `DkimTokens`, tal y como se muestra en el siguiente ejemplo:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Puede utilizar los tokens para crear los registros de CNAME que añade a la configuración de DNS de su dominio. Para crear los registros de CNAME, utilice la siguiente plantilla:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Sustituya cada instancia de *token1* por el primer token de la lista que recibió al ejecutar el `get-identity-dkim-attributes` comando, sustituya todas las instancias por el segundo token de *token2* la lista y sustituya todas las instancias por el tercer token de *token3* la lista.
Por ejemplo, la aplicación de esta plantilla a los tokens que se muestran en el anterior ejemplo produce los siguientes registros:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**nota**
No todas Regiones de AWS utilizan el dominio DKIM de SES predeterminado. `dkim.amazonses.com` Para comprobar si su región utiliza un dominio DKIM específico de la región, consulte la tabla de [dominios DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) del. *Referencia general de AWS*
## Desactivación de Easy DKIM para una identidad
Puede desactivar rápidamente la autenticación DKIM para una identidad mediante la consola de Amazon SES.
**Para desactivar DKIM para una identidad**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea desactivar los registros de DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En **Advanced DKIM settings (Configuración avanzada de DKIM)**, desmarque la casilla **Enabled (Habilitado)** en el cuadro de diálogo **DKIM signatures (Firmas DKIM)**.
También puede desactivar DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para deshabilitar el DKIM para una identidad mediante el AWS CLI**
+ En la línea de comando, escriba el comando siguiente:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
En el ejemplo anterior, *example.com* sustitúyalo por la identidad para la que deseas deshabilitar el DKIM. Puede especificar una dirección de correo electrónico o un dominio.
## Habilitación de Easy DKIM para una identidad
Si previamente ha desactivado DKIM para una identidad, puede habilitarlo de nuevo mediante la consola de Amazon SES.
**Para habilitar DKIM para una identidad**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad para la que desea habilitar los registros de DKIM.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En **Advanced DKIM settings (Configuración avanzada de DKIM)**, active la casilla **Enabled (Habilitado)** en el cuadro de diálogo **DKIM signatures (Firmas DKIM)**.
También puede habilitar DKIM para una identidad mediante la API de Amazon SES. Un método común de interactuar con la API es utilizar el AWS CLI.
**Para habilitar el DKIM para una identidad mediante el AWS CLI**
+ En la línea de comando, escriba el comando siguiente:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
En el ejemplo anterior, *example.com* sustitúyalo por la identidad para la que deseas habilitar el DKIM. Puede especificar una dirección de correo electrónico o un dominio.
## Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico
En esta sección aprenderá a anular (desactivar o habilitar) las propiedades de firma de DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya haya verificado con Amazon SES. Solo puede hacerlo para las identidades de dirección de correo electrónico que pertenecen a dominios que ya posea porque la configuración de DNS se configura a nivel de dominio.
**importante**
No puedes firmar con disable/enable DKIM las identidades de direcciones de correo electrónico...
en dominios que no le pertenecen Por ejemplo, no puede alternar la firma DKIM para una dirección *gmail.com* o *hotmail.com*,
en dominios que le pertenecen, pero que aún no se han verificado en Amazon SES
en dominios que le pertenecen, pero para los que no se ha habilitado la firma DKIM en el dominio.
Esta sección contiene los siguientes temas:
+ [Descripción de las propiedades de firma DKIM heredadas](#dkim-easy-setup-email-key-points-mng)
+ [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (consola)](#override-dkim-email-console-mng)
+ [Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (AWS CLI)](#override-dkim-email-cli-mng)
### Descripción de las propiedades de firma DKIM heredadas
Es importante entender en primer lugar que una identidad de dirección de correo electrónico hereda sus propiedades de firma DKIM de su dominio principal si ese dominio se configuró con DKIM, independientemente de si se utilizó Easy DKIM o BYODKIM. Por lo tanto, la desactivación o habilitación de la firma DKIM en la identidad de la dirección de correo electrónico anula las propiedades de firma DKIM del dominio, con base en los siguientes hechos clave:
+ Si ya ha configurado DKIM para el dominio al que pertenece la dirección de correo electrónico, no es necesario que también configure la firma DKIM para la dirección de correo electrónico.
+ A la hora de configurar DKIM para un dominio, Amazon SES autentica automáticamente cada correo electrónico de cada dirección en ese dominio mediante las propiedades DKIM heredadas del dominio principal.
+ La configuración de DKIM para una identidad de dirección de correo electrónico específica *anula automáticamente las configuraciones del dominio principal o subdominio (si corresponde)* al que pertenece la dirección.
Dado que las propiedades de firma DKIM de la identidad de la dirección de correo electrónico se heredan del dominio principal, si planea anular estas propiedades, debe tener en cuenta las reglas jerárquicas de anulación, tal como se explica en la tabla siguiente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Por lo general, nunca se recomienda desactivar la firma DKIM, ya que podría perjudicar la reputación del remitente y aumenta el riesgo de que el correo enviado vaya a carpetas de correo no deseado o spam o que suplanten el dominio.
Sin embargo, existe la capacidad de anular las propiedades de firma DKIM heredadas del dominio en una identidad de dirección de correo electrónico para cualquier caso de uso concreto o decisión empresarial subyacente en las que tenga que desactivar de forma permanente o temporal la firma DKIM, o volver a habilitarla más adelante.
### Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (consola)
En el siguiente procedimiento de la consola de SES, se explica cómo anular (desactivar o habilitar) las propiedades de firma DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya verificó con Amazon SES.
**Para firmar con disable/enable DKIM una identidad de dirección de correo electrónico mediante la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija una identidad donde **Identity type** (Tipo de identidad) sea *Email address* (Dirección de correo electrónico) y pertenezca a uno de sus dominios verificados.
1. En la pestaña **Autenticación**, en el contenedor de **correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
**nota**
La pestaña **Authentication** (Autenticación) solo está presente si la identidad de la dirección de correo electrónico seleccionada pertenece a un dominio que SES ya ha verificado. Si todavía no ha verificado su dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En **Advanced DKIM settings** (Configuración avanzada de DKIM), en el campo **DKIM signatures** (Firmas de DKIM), desmarque la casilla **Enabled** (Habilitado) para desactivar la firma DKIM o selecciónela a fin de volver a habilitar la firma DKIM (si se había anulado anteriormente).
1. Seleccione **Save changes (Guardar cambios)**.
### Anulación de la firma DKIM heredada en una identidad de dirección de correo electrónico (AWS CLI)
En el siguiente ejemplo, se utiliza un comando y parámetros de la AWS CLI API de SES que anularán (deshabilitarán o habilitarán) las propiedades de firma DKIM heredadas del dominio principal en una identidad de dirección de correo electrónico específica que ya haya verificado con SES.
**Para firmar con disable/enable DKIM la identidad de una dirección de correo electrónico mediante el AWS CLI**
+ Suponiendo que usted sea el titular del dominio *example.com* y desea desactivar la firma DKIM para una de las direcciones de correo electrónico del dominio, en la línea de comandos, escriba el siguiente comando:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*Sustitúyala por la identidad de la dirección de correo electrónico para la que deseas deshabilitar la firma con DKIM.
1. `--no-signing-enabled` desactivará la firma DKIM. Para volver a habilitar la firma DKIM, utilice `--signing-enabled`.
# Firma DKIM manual en Amazon SES
Como alternativa al uso de Easy DKIM, puede agregar manualmente firmas DKIM para sus mensajes y enviar esos mensajes a través de Amazon SES. Si decide firmar sus mensajes de forma manual, primero debe crear una firma DKIM. Después de crear el mensaje y la firma DKIM, puede utilizar la API [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) para enviarlo.
Si decide firmar su correo electrónico de forma manual, tenga en cuenta los siguientes factores:
+ Cada mensaje que envíe mediante Amazon SES contiene un encabezado DKIM que hace referencia a un dominio de firma de *amazonses.com* (es decir, contiene la siguiente cadena: `d=amazonses.com`). Por lo tanto, si firma sus mensajes de forma manual, sus mensajes incluirán *dos* encabezados DKIM: uno para su dominio y el que cree automáticamente Amazon SES para *amazonses.com*.
+ Amazon SES no valida las firmas DKIM que agregue de forma manual a sus mensajes. Si hay errores con la firma DKIM en un mensaje, puede ser rechazado por los proveedores de correo electrónico..
+ Cuando firma sus mensajes, debe utilizar una longitud bits de al menos 1024 bits.
+ No firme los siguientes campos: ID de mensaje, fecha, ruta de retorno (Return-Path), reenvío de devolución (Bounces-To).
**nota**
Si utiliza un cliente de correo electrónico para enviar correo electrónico a través de la interfaz SMTP de Amazon SES, el cliente puede realizar automáticamente la firma DKIM de sus mensajes. Algunos clientes podrían firmar algunos de estos campos. Para obtener información acerca de los campos que se firman de forma predeterminada, consulte la documentación de su cliente de correo electrónico.