Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Fournissez votre propre jeton d'authentification DKIM (BYODKIM) dans Amazon SES
<a name="send-email-authentication-dkim-bring-your-own"></a>

Comme alternative à l'utilisation d'[Easy DKIM](send-email-authentication-dkim-easy.md), vous pouvez configurer l'authentification DKIM en utilisant votre propre paire de clés publique-privée. Ce processus est connu sous le nom de *Bring Your Own DKIM (Fournissez votre propre DKIM)* (*BYODKIM*).

Avec BYODKIM, vous pouvez utiliser un registre DNS unique pour configurer l'authentification DKIM pour vos domaines, contrairement à Easy DKIM qui vous oblige à publier trois registres DNS distincts. En outre, avec BYODKIM, vous pouvez procéder à une rotation des clés DKIM de vos domaines aussi souvent que vous le souhaitez.

**Topics**
+ [Étape 1 : Créer la paire de clés](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Étape 2 : Ajouter la clé publique et le sélecteur à la configuration de domaine de votre fournisseur DNS](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Étape 3 : Configurer et vérifier un domaine pour utiliser BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)

**Avertissement**  
Si Easy DKIM est actuellement activé et que vous passez à BYODKIM, sachez qu'Amazon SES n'utilisera pas Easy DKIM pour signer vos e-mails pendant la configuration de BYODKIM et que votre statut DKIM est en attente. Entre le moment où vous passez l'appel pour activer BYODKIM (via l'API ou la console) et le moment où SES peut confirmer votre configuration DNS, vos e-mails peuvent être envoyés par SES sans signature DKIM. Par conséquent, il est conseillé d'utiliser une étape intermédiaire pour migrer d'une méthode de signature DKIM à l'autre (par exemple, utiliser un sous-domaine de votre domaine avec Easy DKIM activé, puis la supprimer une fois la vérification BYODKIM passée), ou effectuer cette activité pendant les temps d'arrêt de votre application, le cas échéant.

## Étape 1 : Créer la paire de clés
<a name="send-email-authentication-dkim-bring-your-own-create-key-pair"></a>

Pour utiliser la fonction Bring Your Own DKIM (Fournissez votre propre DKIM), vous devez d'abord créer une paire de clés RSA.

La clé privée que vous générez doit être au format PKCS \#1 ou PKCS \#8, utiliser un chiffrement RSA d'au moins1024 bits et jusqu'à 2048 bits, et être encodée à l'aide du codage [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) base64. Voir [Longueur de la clé DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) pour en savoir plus sur les longueurs des clés de signature DKIM et sur la manière de les modifier.

**Note**  
Vous pouvez utiliser des applications et des outils tiers pour générer des paires de clés RSA tant que la clé privée est générée avec un chiffrement RSA d'au moins 1 024 bits et jusqu'à 2 048 bits, et qu'elle est encodée à l’aide du codage [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) base64.

Dans la procédure suivante, l'exemple de code qui utilise la commande `openssl genrsa` intégrée à la plupart des systèmes d'exploitation Linux, macOS ou Unix pour créer la paire de clés utilisera automatiquement le codage [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) base64.

**Pour créer la paire de clés à partir de la ligne de commande Linux, macOS ou Unix**

1. Sur la ligne de commande, entrez la commande suivante pour générer la clé privée en la {{nnnn}} remplaçant par une longueur de bits d'au moins 1024 et jusqu'à 2048 :

   ```
   openssl genrsa -f4 -out private.key {{nnnn}}
   ```

1. À partir de la ligne de commande, entrez la commande suivante pour générer la clé publique :

   ```
   openssl rsa -in private.key -outform PEM -pubout -out public.key
   ```

## Étape 2 : Ajouter la clé publique et le sélecteur à la configuration de domaine de votre fournisseur DNS
<a name="send-email-authentication-dkim-bring-your-own-update-dns"></a>

Maintenant que vous avez créé une paire de clés, vous devez ajouter la clé publique à la configuration DNS pour votre domaine en tant qu'registre TXT.

**Pour ajouter la clé publique à la configuration DNS pour votre domaine**

1. Connectez-vous à la console de gestion de votre fournisseur DNS ou d'hébergement.

1. Ajoutez un nouvel registre texte à la configuration DNS pour votre domaine le registre doit utiliser le format suivant :    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)

   Dans l’exemple précédent, apportez les modifications suivantes :
   + {{selector}}Remplacez-le par un nom unique identifiant la clé.
**Note**  
Un petit nombre de fournisseurs DNS n'autorisent pas l'inclusion de traits de soulignement (\_) dans les noms de registre. Cependant, les traits de soulignement dans les noms de registres DKIM sont obligatoires. Si votre fournisseur DNS ne vous permet pas de saisir un caractère de soulignement dans le nom de registre, contactez l'équipe de support client du fournisseur pour obtenir de l'aide.
   + Remplacez {{example.com}} par votre domaine.
   + {{yourPublicKey}}Remplacez-le par la clé publique que vous avez créée précédemment et incluez le `p=` préfixe comme indiqué dans la colonne *Valeur* ci-dessus.
**Note**  
Lorsque vous publiez (ajoutez) votre clé publique à votre fournisseur DNS, elle doit être formatée comme suit :  
Vous devez supprimer les première et dernière lignes (respectivement `-----BEGIN PUBLIC KEY-----` et `-----END PUBLIC KEY-----`) de la clé publique générée. En outre, vous devez supprimer les sauts de ligne dans la clé publique générée. La valeur résultante est une chaîne de caractères sans espace ni saut de ligne.
Vous devez inclure le préfixe `p=` comme indiqué dans la colonne *Value* (Valeur) dans le tableau ci-dessus.

   Les différents fournisseurs ont des procédures différentes pour mettre à jour les registres DNS. Le tableau suivant comprend des liens vers de la documentation relative à quelques fournisseurs DNS courants. Cette liste n'est pas exhaustive et n’a pas valeur d’approbation. De même, si votre fournisseur DNS n'est pas répertorié, cela ne signifie pas que vous ne pouvez pas utiliser le domaine avec Amazon SES.    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)

## Étape 3 : Configurer et vérifier un domaine pour utiliser BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity"></a>

Vous pouvez configurer BYODKIM pour les nouveaux domaines (c'est-à-dire, les domaines que vous n'utilisez pas actuellement pour envoyer des e-mails via Amazon SES) et les domaines existants (c'est-à-dire, les domaines que vous avez déjà configurés pour utiliser avec Amazon SES) en utilisant la console ou AWS CLI. Avant d'utiliser les AWS CLI procédures décrites dans cette section, vous devez d'abord installer et configurer le AWS CLI. Pour plus d'informations, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/).

### Option 1 : Création d'une nouvelle identité de domaine utilisant BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-new-domain"></a>

Cette section contient les procédures de création d'une identité de domaine utilisant BYODKIM. Une nouvelle identité de domaine est un domaine que vous n'avez pas précédemment configuré pour envoyer des e-mails via Amazon SES.

Si vous souhaitez configurer un domaine existant pour utiliser BYODKIM, effectuez plutôt la procédure décrite dans [Option 2 : Configuration d'une identité de domaine existante](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain).

**Pour créer une identité à l'aide de BYODKIM depuis la console**
+ Suivez la procédure dans [Création d'une identité de domaine](creating-identities.md#verify-domain-procedure) et, lorsque vous arrivez à l'étape 8, suivez les instructions spécifiques à BYODKIM.

**Pour créer une identité à l'aide de BYODKIM à partir du AWS CLI**

Pour configurer un nouveau domaine, utilisez l'opération `CreateEmailIdentity` dans l'API Amazon SES.

1. Dans un éditeur de texte, collez le code suivant :

   ```
   {
       "EmailIdentity":"{{example.com}}",
       "DkimSigningAttributes":{
           "DomainSigningPrivateKey":"{{privateKey}}",
           "DomainSigningSelector":"{{selector}}"
       }
   }
   ```

   Dans l’exemple précédent, apportez les modifications suivantes :
   + {{example.com}}Remplacez-le par le domaine que vous souhaitez créer.
   + {{privateKey}}Remplacez-le par votre clé privée.
**Note**  
Vous devez supprimer les première et dernière lignes (respectivement `-----BEGIN PRIVATE KEY-----` et `-----END PRIVATE KEY-----`) de la clé privée générée. En outre, vous devez supprimer les sauts de ligne dans la clé privée générée. La valeur résultante est une chaîne de caractères sans espace ni saut de ligne.
   + {{selector}}Remplacez-le par le sélecteur unique que vous avez spécifié lors de la création de l'enregistrement TXT dans la configuration DNS de votre domaine.

   Lorsque vous avez terminé, enregistrez le fichier sous `create-identity.json`.

1. Sur la ligne de commande, entrez la commande suivante :

   ```
   aws sesv2 create-email-identity --cli-input-json file://{{path/to/create-identity.json}}
   ```

   Dans la commande précédente, remplacez {{path/to/create-identity.json}} par le chemin complet du fichier que vous avez créé à l'étape précédente.

### Option 2 : Configuration d'une identité de domaine existante
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain"></a>

Cette section contient les procédures de mise à jour d'une identité de domaine existante pour utiliser BYODKIM. Une identité de domaine existante est un domaine que vous avez déjà configuré pour envoyer des e-mails via Amazon SES.

**Pour mettre à jour une identité de domaine en utilisant BYODKIM depuis la console**

1. Connectez-vous à la console Amazon SES AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Dans le panneau de navigation, sous **Configuration**, choisissez **Verified identities (Identités vérifiées)**.

1. Dans la liste des identités, choisissez une identité dans laquelle le **type d'identité** est le *Domaine*.
**Note**  
Si vous devez créer ou vérifier un domaine, veuillez consulter [Création d'une identité de domaine](creating-identities.md#verify-domain-procedure).

1. Sous l'onglet **Authentification**, dans le volet **DomainKeys Identified Mail (DKIM)**, choisissez **Modifier**.

1. Dans le volet **Advanced DKIM settings (Paramètres avancés de DKIM)**, choisissez **Provide DKIM authentication token (BYODKIM) [Fournir un jeton d'authentification DKIM (BYODKIM)]** dans la zone **Identity type (Type d'identité)**.

1. Pour **Private key (Clé privée)**, collez la clé privée que vous avez générée précédemment.
**Note**  
Vous devez supprimer les première et dernière lignes (respectivement `-----BEGIN PRIVATE KEY-----` et `-----END PRIVATE KEY-----`) de la clé privée générée. En outre, vous devez supprimer les sauts de ligne dans la clé privée générée. La valeur résultante est une chaîne de caractères sans espace ni saut de ligne.

1. Pour **Selector name (Nom du sélecteur**, entrez le nom du sélecteur que vous avez spécifié dans les paramètres DNS de votre domaine.

1. Dans **DKIM signatures (Signatures DKIM)**, cochez la case **Enabled (Activé)**.

1. Sélectionnez **Enregistrer les modifications**.

**Pour mettre à jour une identité de domaine à l'aide de BYODKIM à partir du AWS CLI**

Pour configurer un domaine existant, utilisez l'opération `PutEmailIdentityDkimSigningAttributes` dans l'API Amazon SES.

1. Dans un éditeur de texte, collez le code suivant :

   ```
   {
       "SigningAttributes":{
           "DomainSigningPrivateKey":"{{privateKey}}",
           "DomainSigningSelector":"{{selector}}"
       },
       "SigningAttributesOrigin":"EXTERNAL"
   }
   ```

   Dans l’exemple précédent, apportez les modifications suivantes :
   + {{privateKey}}Remplacez-le par votre clé privée.
**Note**  
Vous devez supprimer les première et dernière lignes (respectivement `-----BEGIN PRIVATE KEY-----` et `-----END PRIVATE KEY-----`) de la clé privée générée. En outre, vous devez supprimer les sauts de ligne dans la clé privée générée. La valeur résultante est une chaîne de caractères sans espace ni saut de ligne.
   + {{selector}}Remplacez-le par le sélecteur unique que vous avez spécifié lors de la création de l'enregistrement TXT dans la configuration DNS de votre domaine.

   Lorsque vous avez terminé, enregistrez le fichier sous `update-identity.json`.

1. Sur la ligne de commande, entrez la commande suivante :

   ```
   aws sesv2 put-email-identity-dkim-signing-attributes --email-identity {{example.com}} --cli-input-json file://{{path/to/update-identity.json}}
   ```

   Dans l’exemple précédent, apportez les modifications suivantes :
   + {{path/to/update-identity.json}}Remplacez-le par le chemin complet du fichier que vous avez créé à l'étape précédente.
   + {{example.com}}Remplacez-le par le domaine que vous souhaitez mettre à jour.

### Vérification du statut DKIM pour un domaine qui utilise BYODKIM
<a name="send-email-authentication-dkim-bring-your-own-configure-identity-check"></a>

**Pour vérifier le statut DKIM d'un domaine depuis la console**

Après avoir configuré un domaine pour utiliser BYODKIM, vous pouvez utiliser la console SES pour confirmer que DKIM est correctement configuré.

1. Connectez-vous à la console Amazon SES AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).

1. Dans le panneau de navigation, sous **Configuration**, choisissez **Verified identities (Identités vérifiées)**.

1. Dans la liste des identités, choisissez l'identité pour laquelle vous souhaitez vérifier le statut DKIM.

1. La propagation des modifications des paramètres DNS peut prendre jusqu'à 72 heures. Dès qu'Amazon SES détecte tous les registres DKIM requis dans les paramètres DNS de votre domaine, le processus de vérification est terminé. Si tout a été correctement configuré, le champ de **configuration DKIM** de votre domaine affiche **Successful** dans le volet **DomainKeysIdentified Mail (DKIM)**, et le champ **Identity status** affiche **Vérifié** dans le volet **Résumé**.

**Pour vérifier l'état DKIM d'un domaine à l'aide du AWS CLI**

Après avoir configuré un domaine pour utiliser BYODKIM, vous pouvez utiliser l' GetEmailIdentityopération pour vérifier que DKIM est correctement configuré.
+ Sur la ligne de commande, entrez la commande suivante :

  ```
  aws sesv2 get-email-identity --email-identity {{example.com}}
  ```

  Dans la commande précédente, remplacez {{example.com}} par votre domaine.

  Cette commande renvoie un objet JSON qui contient une section semblable à l'exemple suivant.

  ```
  {
      ...
      "DkimAttributes": { 
          "SigningAttributesOrigin": "EXTERNAL",
          "SigningEnabled": true,
          "Status": "SUCCESS",
          "Tokens": [ ]
      },
      ...
  }
  ```

  BYODKIM est correctement configuré pour le domaine si toutes les conditions suivantes sont remplies :
  + La valeur de la propriété `SigningAttributesOrigin` est `EXTERNAL`.
  + La valeur du paramètre `SigningEnabled` est `true`.
  + La valeur de `Status` est `SUCCESS`.