Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle identità in Amazon SES
Amazon Simple Email Service (Amazon SES) utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per l'invio di e-mail. Poiché il protocollo SMTP non prevede autenticazione, gli spammer possono inviare messaggi e-mail apparentemente provenienti da qualcun altro, nascondendo l'origine reale. Attraverso la falsificazione delle intestazioni delle e-mail e lo spoofing degli indirizzi IP di origine, gli spammer possono indurre i destinatari a credere che i messaggi ricevuti siano autentici.
La maggior parte di coloro ISPs che inoltrano traffico e-mail adotta misure per valutare se la posta elettronica è legittima. Una di queste ISPs misure è determinare se un'e-mail è *autenticata*. L'autenticazione richiede che i mittenti verifichino di essere proprietari dell'account da cui effettuano l'invio. In alcuni casi, ISPs rifiuta di inoltrare e-mail non autenticate. Per assicurare un'efficienza del recapito ottimale, è consigliabile autenticare le e-mail.
Le seguenti sezioni descrivono due meccanismi di autenticazione ISPs utilizzati, Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM), e forniscono istruzioni su come utilizzare questi standard con Amazon SES.
+ Per informazioni su SPF, che fornisce un modo per tracciare un messaggio e-mail fino al sistema da cui è stato inviato, consulta [Autenticazione delle e-mail con SPF in Amazon SES](send-email-authentication-spf.md).
+ Per ulteriori informazioni su DKIM, uno standard che consente di firmare i messaggi e-mail per dimostrare ISPs che i messaggi sono legittimi e non sono stati modificati durante il transito, consulta. [Autenticazione delle e-mail con DKIM in Amazon SES](send-email-authentication-dkim.md)
+ Per informazioni su come assicurare la conformità al sistema Domain-based Message Authentication, Reporting and Conformance (DMARC), che si basa su SPF e DKIM, consulta [Conformità al protocollo di autenticazione DMARC in Amazon SES](send-email-authentication-dmarc.md).
# Metodi di autenticazione delle e-mail
Amazon Simple Email Service (Amazon SES) utilizza il protocollo SMTP (Simple Mail Transfer Protocol) per l'invio di e-mail. Poiché il protocollo SMTP non prevede autenticazione, gli spammer possono inviare messaggi e-mail apparentemente provenienti da qualcun altro, nascondendo l'origine reale. Attraverso la falsificazione delle intestazioni delle e-mail e lo spoofing degli indirizzi IP di origine, gli spammer possono indurre i destinatari a credere che i messaggi ricevuti siano autentici.
La maggior parte delle aziende ISPs che inoltrano il traffico e-mail adottano misure per valutare se la posta elettronica è legittima. Una di queste misure da ISPs adottare è determinare se un'e-mail è autenticata. L'autenticazione richiede che i mittenti verifichino di essere proprietari dell'account da cui effettuano l'invio. In alcuni casi, ISPs rifiuta di inoltrare e-mail non autenticate. Per assicurare un'efficienza del recapito ottimale, è consigliabile autenticare le e-mail.
**Topics**
+ [Autenticazione delle e-mail con DKIM in Amazon SES](send-email-authentication-dkim.md)
+ [Autenticazione delle e-mail con SPF in Amazon SES](send-email-authentication-spf.md)
+ [Uso di un dominio MAIL FROM personalizzato](mail-from.md)
+ [Conformità al protocollo di autenticazione DMARC in Amazon SES](send-email-authentication-dmarc.md)
+ [Utilizzo di BIMI in Amazon SES](send-email-authentication-bimi.md)
# Autenticazione delle e-mail con DKIM in Amazon SES
*DomainKeys Identified Mail* (*DKIM*) è uno standard di sicurezza delle e-mail progettato per garantire che un'e-mail che afferma di provenire da un dominio specifico sia effettivamente autorizzata dal proprietario di quel dominio. Utilizza la crittografia a chiave pubblica per firmare un'e-mail con una chiave privata. I server destinatari possono quindi utilizzare una chiave pubblica pubblicata nel DNS di un dominio per verificare che le parti del messaggio di posta elettronica non siano state modificate durante il transito.
Le firme DKIM sono opzionali. Puoi decidere di firmare le tue e-mail utilizzando una firma DKIM per migliorare la capacità di recapitare i messaggi con gli ISP conformi allo standard DKIM. Amazon SES offre due opzioni per firmare i messaggi utilizzando una firma DKIM:
+ **Easy DKIM**: SES genera una coppia di chiavi pubblica-privata e aggiunge automaticamente una firma DKIM per ogni messaggio inviato da tale identità, consulta [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: consente di mantenere una firma DKIM coerente tra più utenti Regioni AWS creando identità di replica che ereditano automaticamente gli attributi di firma DKIM come identità principale che utilizza Easy DKIM, vedi. [Utilizzo di Deterministic Easy DKIM (DEED) in Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Bring Your Own DKIM)**: fornisci la tua coppia di chiavi pubblica-privata e SES aggiunge una firma DKIM per ogni messaggio inviato da tale identità, consulta [Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **Aggiunta manuale della firma DKIM**: aggiungi la tua firma DKIM a ogni e-mail che invii utilizzando l'API `SendRawEmail`, consulta [Firma DKIM manuale in Amazon SES](send-email-authentication-dkim-manual.md).
## Lunghezza della chiave di firma DKIM
Poiché molti provider DNS ora supportano completamente la crittografia DKIM a 2048 bit RSA, Amazon SES supporta anche DKIM 2048 per consentire un'autenticazione più sicura delle e-mail e, quindi, la utilizza come lunghezza predefinita della chiave quando configuri Easy DKIM dall'API o dalla console. Le chiavi a 2048 bit possono essere configurate e utilizzate in BYODKIM (Bring Your Own DKIM), in cui la lunghezza della chiave di firma deve essere di almeno 1024 bit e di massimo 2048 bit.
Per motivi di sicurezza e di recapitabilità della posta elettronica, in caso di configurazione con Easy DKIM, puoi scegliere di utilizzare le lunghezze di chiave a 1024 e 2048 bit insieme alla flessibilità di tornare a 1024 nel caso in cui ci siano problemi causati da provider DNS che ancora non supportano 2048. *Nella creazione di una nuova identità, questa verrà creata con DKIM 2048 per impostazione predefinita, a meno che non specifichi 1024.*
Per preservare la capacità di recapitare i messaggi di posta elettronica in transito, esistono restrizioni sulla frequenza con cui è possibile modificare la lunghezza della chiave DKIM. Le restrizioni includono le seguenti:
+ Non è possibile passare alla stessa lunghezza della chiave già configurata.
+ Non è possibile passare a una lunghezza di chiave diversa più di una volta in un periodo di 24 ore (a meno che non si tratti del primo downgrade a 1024 in quel periodo).
Quando la tua e-mail è in transito, DNS utilizza la tua chiave pubblica per autenticare la tua e-mail; pertanto, se cambi le chiavi troppo rapidamente o frequentemente, il DNS potrebbe non essere in grado di effettuare l'autenticazione DKIM della tua e-mail in quanto la chiave precedente potrebbe già essere invalidata, quindi queste restrizioni impediscono che ciò accada.
## Considerazioni su DKIM
Quando utilizzi DKIM per autenticare il tuo indirizzo e-mail, vengono applicate le regole seguenti:
+ Devi configurare DKIM solo per il dominio che usi nel tuo indirizzo "Da". Non devi configurare DKIM per i domini che utilizzi negli indirizzi "Percorso di ritorno" o "Rispondi a".
+ Amazon SES è disponibile in diverse AWS regioni. Se utilizzi più di una regione AWS per l'invio di e-mail, devi completare il processo di configurazione di DKIM in ciascuna regione per assicurarti che tutte le tue e-mail siano provviste di firma DKIM.
+ Poiché le proprietà DKIM vengono ereditate dal dominio padre, quando effettui la verifica di un dominio con autenticazione DKIM:
+ L'autenticazione DKIM si applica anche a tutti i sottodomini di quel dominio.
+ Le impostazioni DKIM per un sottodominio consentono di sovrascrivere le impostazioni per il dominio padre, permettendo di disabilitare l'ereditarietà (se non desideri che il sottodominio utilizzi l'autenticazione DKIM) e di riabilitarla in un secondo momento.
+ L'autenticazione DKIM si applica anche a tutte le e-mail inviate da un'identità e-mail che fa riferimento al dominio verificato DKIM nel rispettivo indirizzo.
+ Le impostazioni DKIM per un indirizzo e-mail consentono di sovrascrivere le impostazioni per il sottodominio (se applicabile) e il dominio padre, permettendo di disabilitare l'ereditarietà (se desideri inviare e-mail senza l'autenticazione DKIM) e di riabilitarla in un secondo momento.
## Informazioni sulle proprietà della firma DKIM ereditate
È importante comprendere innanzitutto che un'identità di indirizzo e-mail eredita le proprietà della firma DKIM dal proprio dominio padre se quest'ultimo è stato configurato con DKIM, indipendentemente dal fatto che sia stato utilizzato Easy DKIM o BYODKIM. Pertanto, la disabilitazione o l'abilitazione della firma DKIM sull'identità dell'indirizzo e-mail, in effetti, sovrascrive le proprietà della firma DKIM del dominio in base a questi fattori chiave:
+ Se hai già configurato DKIM per il dominio a cui appartiene l'indirizzo e-mail, non è necessario abilitare la firma DKIM anche per l'identità dell'indirizzo e-mail.
+ Quando configuri DKIM per un dominio, Amazon SES esegue automaticamente l'autenticazione di ogni e-mail da ogni indirizzo di tale dominio, attraverso le proprietà DKIM ereditate per il dominio padre.
+ Le impostazioni DKIM per un'identità di indirizzo e-mail specifica *sovrascrivono automaticamente le impostazioni del dominio padre o del sottodominio (se applicabile)* cui l'indirizzo appartiene.
Poiché le proprietà della firma DKIM dell'identità dell'indirizzo e-mail vengono ereditate dal dominio padre, se prevedi di sovrascriverle, devi tenere presente le regole gerarchiche di sovrascrittura, come spiegato nella tabella seguente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim.html)
In genere non è consigliabile disabilitare la firma DKIM, in quanto rischia di compromettere la reputazione del mittente e aumenta il rischio che la posta inviata venga trasferita nelle cartelle della posta indesiderata o dello spam o che il dominio venga falsificato.
Tuttavia, esiste la possibilità di sovrascrivere le proprietà della firma DKIM ereditate dal dominio sull'identità di un indirizzo e-mail per eventuali casi d'uso particolari o decisioni aziendali esterne per cui sia necessario disabilitare in modo permanente o temporaneo la firma DKIM o abilitarla nuovamente in un secondo momento. Per informazioni, consulta [Sovrascrittura della firma DKIM ereditata su un'identità di indirizzo e-mail](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM in Amazon SES
Quando imposti Easy DKIM per un'identità di dominio, Amazon SES aggiunge automaticamente una chiave DKIM a 2048 bit per ogni e-mail che invii da quell'identità. Puoi configurare Easy DKIM usando la console Amazon SES oppure usando l'API.
**Nota**
Per configurare Easy DKIM, devi modificare le impostazioni DNS per il tuo dominio. Se utilizzi Route 53 come provider di DNS, Amazon SES è in grado di creare automaticamente i registri appropriati per te. Se utilizzi un altro provider di DNS, consulta la documentazione del provider per ulteriori informazioni sulla modifica delle impostazioni DNS per il tuo dominio.
**avvertimento**
Se attualmente è abilitato BYODKIM e stai passando a Easy DKIM, tieni presente che Amazon SES non utilizzerà BYODKIM per firmare le tue e-mail mentre Easy DKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare Easy DKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con BYODKIM abilitato e quindi eliminarlo una volta superata la verifica Easy DKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.
## Configurazione di Easy DKIM per un'identità di dominio verificata
La procedura di questa sezione è semplificata per mostrare solo i passaggi necessari per configurare Easy DKIM su un'identità di dominio che hai già creato. Se non hai ancora creato un'identità del dominio o vuoi visualizzare tutte le opzioni disponibili per personalizzare l'identità di un dominio, ad esempio l'utilizzo di un set di configurazione predefinito, del dominio MAIL FROM personalizzato e dei tag, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).
Parte della creazione di un'identità di dominio Easy DKIM consiste nella configurazione della verifica basata su DKIM, in cui avrai la possibilità di accettare il valore predefinito di Amazon SES di 2.048 bit o di modificarlo selezionando 1.024 bit. Consulta [Lunghezza della chiave di firma DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) per ulteriori informazioni sulla lunghezza delle chiavi di firma DKIM e su come modificarle.
**Configurazione di Easy DKIM per un dominio**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type** (Tipo di identità) è *Domain* (Dominio).
**Nota**
Per creare o verificare un dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).
1. **Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli Modifica.**
1. Nel container **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli il pulsante **Easy DKIM** nel campo **Identity type** (Tipo di identità).
1. Nel campo **DKIM signing key length** (Lunghezza chiave di firma DKIM), scegli [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).
1. Nel campo **DKIM signatures** (Firme DKIM), seleziona la casella **Enabled** (Abilitate).
1. Scegli **Save changes** (Salva modifiche).
1. Ora che hai configurato la tua identità di dominio con Easy DKIM, devi completare il processo di verifica con il tuo provider DNS: a tale scopo, vvai su [Verifica dell'identità di un dominio DKIM con il provider DNS](creating-identities.md#just-verify-domain-proc) e segui le procedure di autenticazione DNS per Easy DKIM.
## Modifica della lunghezza della chiave di firma DKIM Easy per un'identità
La procedura descritta in questa sezione mostra come modificare facilmente i bit DKIM Easy necessari per l'algoritmo di firma. Mentre una lunghezza di firma di 2048 bit è sempre preferibile per la protezione avanzata che offre, potrebbero verificarsi situazioni che richiedono l'utilizzo della lunghezza di 1024 bit, ad esempio la necessità di utilizzare un provider DNS che supporta solo DKIM 1024.
Per preservare la capacità di recapitare i messaggi di posta elettronica in transito, esistono restrizioni sulla frequenza con cui è possibile modificare o ripristinare la lunghezza della chiave DKIM.
Quando la tua e-mail è in transito, DNS utilizza la tua chiave pubblica per autenticare la tua e-mail; pertanto, se cambi le chiavi troppo rapidamente o frequentemente, il DNS potrebbe non essere in grado di effettuare l'autenticazione DKIM della tua e-mail in quanto la chiave precedente potrebbe già essere invalidata, quindi le seguenti restrizioni impediscono che ciò accada:
+ Non puoi passare alla stessa lunghezza della chiave già configurata.
+ Non è possibile passare a una lunghezza di chiave diversa più di una volta in un periodo di 24 ore (a meno che non si tratti del primo downgrade a 1024 in quel periodo).
Utilizzando le procedure seguenti per modificare la lunghezza della chiave, se violi una di queste restrizioni, la console restituirà un banner di errore che indica che *l'input fornito non è valido*, insieme al motivo per cui non è valido.
**Modifica dei bit di lunghezza della chiave di firma DKIM**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco di identità, scegli l'identità per la quale desideri modificare la lunghezza della chiave di firma Easy DKIM.
1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.
1. Nel container **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli [**RSA\$12048\$1BIT** o **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) nel campo **DKIM signing key length** (Lunghezza della chiave di firma DKIM).
1. Scegli **Save changes (Salva modifiche)**.
# Utilizzo di Deterministic Easy DKIM (DEED) in Amazon SES
Deterministic Easy DKIM (DEED) offre una soluzione per la gestione delle configurazioni DKIM su più configurazioni. Regioni AWS Semplificando la gestione DNS e garantendo una firma DKIM coerente, DEED consente di semplificare le operazioni di invio di e-mail in più regioni mantenendo al contempo solide pratiche di autenticazione e-mail.
## Che cos'è Deterministic Easy DKIM (DEED)?
[Deterministic Easy DKIM (DEED) è una funzionalità che genera token DKIM coerenti in tutto in Regioni AWS base a un dominio principale configurato con Easy DKIM.](send-email-authentication-dkim-easy.md) Ciò consente di replicare identità diverse Regioni AWS che ereditano e mantengono automaticamente la stessa configurazione di firma DKIM di un'identità principale attualmente configurata con Easy DKIM. Con DEED, è sufficiente pubblicare i record DNS una sola volta per l'identità principale e le identità di replica utilizzeranno gli stessi record DNS per verificare la proprietà del dominio e gestire la firma DKIM.
Semplificando la gestione DNS e garantendo una firma DKIM coerente, DEED consente di semplificare le operazioni di invio di e-mail in più regioni mantenendo al contempo le migliori pratiche di autenticazione e-mail.
Terminologia utilizzata quando si parla di DEED:
+ **Identità principale: un'identità** verificata configurata con Easy DKIM che funge da origine per la configurazione DKIM per un'identità di replica.
+ Identità di **replica: una copia di un'identità** principale che condivide la stessa configurazione DNS e la stessa configurazione di firma DKIM.
+ **Regione principale**: la posizione Regione AWS in cui è configurata l'identità principale.
+ **Regione di replica**: Regione AWS luogo in cui è configurata un'identità di replica.
+ **Identità DEED**: qualsiasi identità utilizzata come identità principale o identità di replica. (Quando viene creata una nuova identità, questa viene inizialmente considerata come un'identità normale (non DEED). Tuttavia, una volta creata una replica, l'identità viene quindi considerata un'identità DEED.)
I vantaggi principali dell'utilizzo di DEED includono:
+ **Gestione DNS semplificata**: pubblica i record DNS una sola volta per l'identità principale.
+ **Operazioni più semplici in più regioni**: semplifica il processo di espansione delle operazioni di invio di e-mail a nuove regioni.
+ **Sovraccarico amministrativo ridotto**: gestisci le configurazioni DKIM centralmente dall'identità principale.
## Come funziona Deterministic Easy DKIM (DEED)
Quando crei un'identità di replica, Amazon SES replica automaticamente la chiave di firma DKIM dall'identità principale all'identità di replica. Qualsiasi successiva rotazione della chiave DKIM o modifica della lunghezza della chiave apportata all'identità principale viene propagata automaticamente a tutte le identità di replica.
Il processo prevede il seguente flusso di lavoro:
1. Crea un'identità principale Regione AWS utilizzando Easy DKIM.
1. Imposta i record DNS richiesti per l'identità principale.
1. Crea identità di replica in altro Regioni AWS, specificando il nome di dominio dell'identità principale e la regione di firma DKIM.
1. Amazon SES replica automaticamente la configurazione DKIM del genitore nelle identità di replica.
Considerazioni importanti:
+ Non è possibile creare una replica di un'identità che è già una replica.
+ L'identità principale deve avere [Easy DKIM](send-email-authentication-dkim-easy.md) abilitato: non è possibile creare repliche di BYODKIM o identità firmate manualmente.
+ Le identità principali non possono essere eliminate finché non vengono eliminate tutte le identità di replica.
## Configurazione di un'identità di replica utilizzando DEED
Questa sezione fornirà esempi che mostrano come creare e verificare un'identità di replica utilizzando DEED insieme alle autorizzazioni necessarie richieste.
**Topics**
+ [Creazione di un'identità di replica](#creating-replica-identity)
+ [Verifica della configurazione dell'identità della replica](#verifying-replica-identity)
+ [Autorizzazioni richieste per utilizzare DEED](#required-permissions)
### Creazione di un'identità di replica
Per creare un'identità di replica:
1. Nel Regione AWS punto in cui desideri creare un'identità di replica, apri la console SES all'indirizzo. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
(Nella console SES, le identità di replica vengono chiamate identità *globali*.)
1. **Nel riquadro di navigazione, scegli Identità.**
1. Scegli **Crea identità**.
1. Seleziona **Dominio** in **Tipo di identità** e inserisci il nome di dominio di un'identità esistente configurata con Easy DKIM che desideri replicare e fungere da genitore.
1. Espandi **le impostazioni DKIM avanzate** e seleziona **Deterministic** Easy DKIM.
1. Dal menu a discesa **Regione principale**, seleziona una regione principale in cui risiede un'identità firmata da Easy DKIM con lo stesso nome inserito per l'identità globale (replica). (Per impostazione predefinita, la regione di replica è la regione con cui hai effettuato l'accesso alla console SES).
1. Assicurati che le firme **DKIM** siano abilitate.
1. (Facoltativo) Aggiungi uno o più **tag all'identità** del tuo dominio.
1. Controlla la configurazione e scegli **Crea identità**.
Utilizzando AWS CLI:
Per creare un'identità di replica basata su un'identità principale configurata con Easy DKIM, è necessario specificare il nome di dominio del genitore, la regione in cui si desidera creare l'identità di replica e la regione di firma DKIM del genitore, come mostrato in questo esempio:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
Nell'esempio precedente:
1. Sostituisci *example.com* con l'identità del dominio principale da replicare.
1. Sostituisci *us-west-2* con la regione in cui verrà creata l'identità del dominio di replica.
1. Sostituiscila *AWS\$1SES\$1US\$1EAST\$11* con la regione di firma DKIM del genitore che rappresenta la relativa configurazione di firma Easy DKIM che verrà replicata nell'identità di replica.
**Nota**
Il `AWS_SES_` prefisso indica che DKIM è stato configurato per l'identità principale utilizzando Easy DKIM ed `US_EAST_1` è il punto in cui è stato creato. Regione AWS
### Verifica della configurazione dell'identità della replica
Dopo aver creato l'identità di replica, puoi verificare che sia stata configurata correttamente con la configurazione di firma DKIM dell'identità principale.
**Per verificare l'identità di una replica:**
1. Nel punto in Regione AWS cui hai creato l'identità di replica, apri la console SES all'indirizzo. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
1. Nel riquadro di navigazione, scegli **Identità** e seleziona l'identità che desideri verificare dalla tabella **Identità**.
1. Nella scheda **Autenticazione**, il campo di **configurazione DKIM** indicherà lo stato e il campo **Regione principale indicherà la regione** utilizzata per la configurazione della firma DKIM dell'identità utilizzando DEED.
Utilizzando: AWS CLI
Usa il `get-email-identity` comando che specifica il nome di dominio e la regione della replica:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
La risposta includerà il valore della regione principale nel `SigningAttributesOrigin` parametro che indica che l'identità della replica è stata configurata correttamente con la configurazione di firma DKIM dell'identità principale:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Autorizzazioni richieste per utilizzare DEED
Per utilizzare DEED, è necessario:
1. Autorizzazioni standard per la creazione di identità e-mail nell'area di replica.
1. Autorizzazione a replicare la chiave di firma DKIM dalla regione principale.
#### Esempio di policy IAM per la replica DKIM
La seguente politica consente la replica delle chiavi di firma DKIM da un'identità principale a regioni di replica specificate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Best practice
Sono consigliate le seguenti procedure consigliate:
+ **Pianifica le aree principale e di replica**: prendi in considerazione l'area principale che scegli, poiché sarà la fonte di riferimento per la configurazione DKIM utilizzata nelle aree di replica.
+ **Utilizza policy IAM coerenti: assicurati che le** tue policy IAM consentano la replica DKIM in tutte le regioni previste.
+ **Mantieni attive le identità principali**: ricorda che le identità di replica ereditano la configurazione di firma DKIM dell'identità principale. A causa di questa dipendenza, non puoi eliminare un'identità principale finché non vengono eliminate tutte le identità di replica.
## Risoluzione dei problemi
Se riscontri problemi con DEED, considera quanto segue:
+ **Errori di verifica**: assicurati di disporre delle autorizzazioni necessarie per la replica DKIM.
+ **Ritardi nella replica**: il completamento della replica richiede un po' di tempo, soprattutto quando si creano nuove identità di replica.
+ **Problemi DNS**: verifica che i record DNS per l'identità principale siano configurati e propagati correttamente.
# Specifica del proprio token di autenticazione DKIM (BYODKIM) in Amazon SES
In alternativa all'utilizzo di [Easy DKIM](send-email-authentication-dkim-easy.md), è possibile configurare l'autenticazione DKIM utilizzando la propria coppia di chiavi pubblica-privata. Questo processo è noto come *Bring Your Own DKIM* (*BYODKIM*).
Con BYODKIM, è possibile utilizzare un singolo record DNS per configurare l'autenticazione DKIM per i domini, contrariamente a Easy DKIM, che richiede la pubblicazione di tre record DNS separati. Inoltre, l'utilizzo di BYODKIM consente di ruotare le chiavi DKIM per i domini tutte le volte che lo si desidera.
**Topics**
+ [Fase 1: creazione della coppia di chiavi](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**avvertimento**
Se attualmente hai abilitato Easy DKIM e stai passando a BYODKIM, tieni presente che Amazon SES non utilizzerà Easy DKIM per firmare le tue e-mail mentre BYODKIM è in fase di configurazione e il tuo stato DKIM è in sospeso. Tra il momento in cui effettui la chiamata per abilitare BYODKIM (tramite l'API o la console) e il momento in cui SES può confermare la configurazione DNS, le e-mail potrebbero essere inviate da SES senza una firma DKIM. Pertanto, si consiglia di utilizzare un passaggio intermedio per migrare da un metodo di firma DKIM all'altro (ad esempio, utilizzando un sotto dominio del dominio con Easy DKIM abilitato e quindi eliminarlo una volta superata la verifica BYODKIM) o eseguire questa attività durante l'eventuale tempo di inattività dell'applicazione.
## Fase 1: creazione della coppia di chiavi
Per utilizzare la funzione Bring Your Own DKIM, devi prima creare una coppia di chiavi RSA.
La chiave privata generata deve essere nel formato PKCS \$11 o PKCS \$18, utilizzare almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed essere codificata utilizzando la codifica base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulta [Lunghezza della chiave di firma DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) per ulteriori informazioni sulla lunghezza delle chiavi di firma DKIM e su come modificarle.
**Nota**
È possibile utilizzare applicazioni e strumenti di terze parti per generare coppie di chiavi RSA a condizione che la chiave privata venga generata con almeno la crittografia RSA a 1024 bit e fino a 2048 bit ed sia codificata usando la base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
Nella procedura seguente, il codice di esempio che utilizza il comando `openssl genrsa` integrato nella maggior parte dei sistemi operativi Linux, macOS o Unix per creare la coppia di chiavi utilizzerà automaticamente la codifica base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Creazione della coppia di chiavi dalla riga di comando Linux, macOS o Unix**
1. Nella riga di comando, inserisci il seguente comando per generare la chiave privata sostituendola *nnnn* con una lunghezza di bit di almeno 1024 e fino a 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Nella riga di comando, immetti il comando seguente per generare la chiave pubblica:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Fase 2: aggiunta del selettore e della chiave pubblica alla configurazione del dominio del provider DNS
Una volta creata una coppia di chiavi, è necessario aggiungere la chiave pubblica alla configurazione DNS per il dominio come record TXT.
**Aggiunta della chiave pubblica alla configurazione DNS per il dominio**
1. Accedi alla console di gestione del provider DNS o di hosting.
1. Aggiunta di un record MX alla configurazione DNS per il dominio Il record deve utilizzare il seguente formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
In questo esempio, apporta le modifiche seguenti:
+ Sostituire *selector* con un nome univoco che identifichi la chiave.
**Nota**
Alcuni provider di DNS non consentono di includere trattini di sottolineatura (\$1) nei nomi di record. Tuttavia, la sottolineatura nel nome di record DKIM è obbligatoria. Se il provider di DNS non consente di inserire un segno di sottolineatura nel nome del record, contatta il team di assistenza clienti del provider per ricevere assistenza.
+ *example.com*Sostituiscilo con il tuo dominio.
+ Sostituiscilo *yourPublicKey* con la chiave pubblica che hai creato in precedenza e includi il `p=` prefisso come mostrato nella colonna *Valore* precedente.
**Nota**
Quando pubblichi (aggiungi) la chiave pubblica al tuo provider DNS, questa deve essere formattata come segue:
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PUBLIC KEY-----` e `-----END PUBLIC KEY-----`, rispettivamente) della chiave pubblica generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave pubblica generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
È necessario includere il prefisso `p=` come mostrato nella colonna *Value* (Valore) nella tabella qui sopra.
Diversi provider dispongono di procedure diverse per l'aggiornamento dei record DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il tuo provider DNS non è elencato, ciò non implica che tu non possa utilizzare il dominio con Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Fase 3: configurazione e verifica di un dominio per utilizzare BYODKIM
È possibile impostare BYODKIM sia per i nuovi domini (ovvero i domini che attualmente non vengono utilizzati per inviare messaggi di posta elettronica tramite Amazon SES) che per quelli esistenti (ovvero i domini già configurati per l'utilizzo con Amazon SES) tramite al console o l' AWS CLI. Prima di utilizzare le AWS CLI procedure descritte in questa sezione, è necessario installare e configurare il AWS CLI. Per ulteriori informazioni, consulta la [Guida AWS Command Line Interface per l'utente](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opzione 1: creazione di una nuova identità di dominio che utilizza BYODKIM
Questa sezione contiene una procedura per la creazione di una nuova identità di dominio che utilizza BYODKIM. Una nuova identità di dominio è un dominio che non è stato configurato in precedenza per inviare messaggi di posta elettronica utilizzando Amazon SES.
Se desideri configurare un dominio esistente per utilizzare BYODKIM, completa invece la procedura in [Opzione 2: configurazione di un'identità di dominio esistente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain).
**Creazione di un'identità usando BYODKIM dalla console**
+ Segui le procedure indicate in [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure) e, quando arrivi al passaggio 8, segui le istruzioni specifiche per BYODKIM.
**Per creare un'identità utilizzando BYODKIM dal AWS CLI**
Per impostare un nuovo dominio, utilizza l'operazione `CreateEmailIdentity` nell'API Amazon SES.
1. Nell'editor, incollare il seguente codice:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
In questo esempio, apporta le modifiche seguenti:
+ Sostituisci *example.com* con il dominio che desideri creare.
+ *privateKey*Sostituiscilo con la tua chiave privata.
**Nota**
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
+ Sostituiscilo *selector* con il selettore univoco che hai specificato quando hai creato il record TXT nella configurazione DNS del tuo dominio.
Al termine, salva il file come `create-identity.json`.
1. Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
Nel comando precedente, sostituiscilo *path/to/create-identity.json* con il percorso completo del file creato nel passaggio precedente.
### Opzione 2: configurazione di un'identità di dominio esistente
Questa sezione contiene le procedure per l'aggiornamento di un'identità di dominio esistente per l'utilizzo di BYODKIM. Un'identità di dominio esistente è un dominio già configurato per l'invio di messaggi di posta elettronica utilizzando Amazon SES.
**Aggiornamento di un'identità usando BYODKIM dalla console**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type** (Tipo di identità) è *Domain* (Dominio).
**Nota**
Per creare o verificare un dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).
1. Nella scheda **Autenticazione**, nel riquadro **DomainKeys Identified Mail (DKIM)**, scegli **Modifica**.
1. Nel riquadro **Advanced DKIM settings** (Impostazioni avanzate di DKIM), scegli il pulsante **Provide DKIM authentication token** (Fornisci token di autenticazione DKIM) nel campo **Identity type** (Tipo di identità).
1. Per **Private key** (Chiave privata) incolla la chiave privata generata in precedenza.
**Nota**
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
1. Per **Selector name** (Nome del selettore), indica il nome del selettore specificato nelle impostazioni DNS del dominio.
1. Nel campo **DKIM signatures** (Firme DKIM), seleziona la casella **Enabled** (Abilitate).
1. Scegli **Save changes** (Salva modifiche).
**Per aggiornare l'identità di un dominio utilizzando BYODKIM dal AWS CLI**
Per configurare un dominio esistente, utilizza l'operazione `PutEmailIdentityDkimSigningAttributes` nell'API Amazon SES.
1. Nell'editor, incollare il seguente codice:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
In questo esempio, apporta le modifiche seguenti:
+ Sostituiscila *privateKey* con la tua chiave privata.
**Nota**
È necessario eliminare la prima e l'ultima riga (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, rispettivamente) della chiave privata generata. Inoltre, devi rimuovere le interruzioni di riga nella chiave privata generata. Il valore risultante è una stringa di caratteri senza spazi o interruzioni di riga.
+ Sostituiscilo *selector* con il selettore univoco che hai specificato quando hai creato il record TXT nella configurazione DNS del tuo dominio.
Al termine, salva il file come `update-identity.json`.
1. Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
Nel comando precedente, apporta le modifiche seguenti:
+ Sostituiscilo *path/to/update-identity.json* con il percorso completo del file creato nel passaggio precedente.
+ Sostituiscilo *example.com* con il dominio che desideri aggiornare.
### Verifica dello stato DKIM per un dominio che utilizza BYODKIM
**Per verificare lo stato DKIM di un dominio dalla console**
Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare la console SES per confermare che DKIM sia configurato correttamente.
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco di identità, scegli l'identità per la quale desideri verificare lo stato DKIM.
1. La propagazione delle modifiche alle impostazioni DNS può richiedere fino a 72 ore. La procedura di verifica è completata quando Amazon SES rileva tutti i registri DKIM richiesti nelle impostazioni DNS del dominio. Se tutto è stato configurato correttamente, nel campo di **configurazione DKIM** del dominio viene visualizzato Operato **correttamente** nel riquadro **DomainKeysIdentified Mail (DKIM)** e nel campo **Identity status** viene visualizzato **Verificato** nel **riquadro Riepilogo**.
**Per verificare lo stato DKIM di un dominio utilizzando il AWS CLI**
Dopo aver configurato un dominio per utilizzare BYODKIM, è possibile utilizzare l' GetEmailIdentityoperazione per verificare che DKIM sia configurato correttamente.
+ Nella riga di comando, inserisci il comando seguente:
```
aws sesv2 get-email-identity --email-identity example.com
```
Nel comando precedente, sostituiscilo con il tuo dominio. *example.com*
Questo comando restituisce un oggetto JSON contenente una sezione analoga al seguente esempio.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
Se tutte le condizioni seguenti sono vere, BYODKIM è configurato correttamente per il dominio:
+ Il valore della proprietà `SigningAttributesOrigin` è `EXTERNAL`.
+ Il valore di `SigningEnabled` è `true`.
+ Il valore di `Status` è `SUCCESS`.
# Gestione di Easy DKIM e BYODKIM
Sono disponibili due metodi per gestire le impostazioni di DKIM per le tue identità autenticate con Easy DKIM o BYODKIM: la console Amazon SES basata sul Web e l'API Amazon SES. Puoi usare uno di questi metodi per ottenere i registri DKIM per un'identità oppure per abilitare o disabilitare la firma DKIM per un'identità.
## Ottenimento dei registri DKIM per un'identità
Puoi ottenere i registri DKIM per il tuo dominio o indirizzo e-mail in qualsiasi momento tramite la console Amazon SES.
**Ottenimento dei registri DKIM per un'identità tramite la console**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco delle identità, scegli quella per la quale desideri ottenere i registri DKIM.
1. Nella scheda **Authentication** (Autenticazione) della pagina di dettaglio delle identità, espandi **View DNS records** (Mostra record DNS).
1. Copia i tre registri CNAME (se hai utilizzato Easy DKIM) o il registro TXT (se hai usato BYODKIM) che appaiono in questa sezione. In alternativa, puoi scegliere **Download .csv record set** (Scarica il set di record .csv) per salvare una copia dei record sul tuo computer.
L'immagine seguente mostra un esempio della sezione **View DNS records** (Mostra registri DNS) ampliata che rivela i registri CNAME associati a Easy DKIM.
![\[\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/images/dkim_existing_dns.png)
Puoi inoltre ottenere i registri DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.
**Per ottenere i record DKIM per un'identità utilizzando il AWS CLI**
1. Nella riga di comando, digita il comando seguente:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri ottenere i record DKIM. Puoi specificare un indirizzo e-mail o un dominio.
1. L'output di questo comando contiene una sezione `DkimTokens`, come nell'esempio seguente:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Puoi utilizzare i token per creare i record CNAME aggiunti alle impostazioni DNS per il tuo dominio. Per creare i record CNAME, utilizza il seguente modello:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Sostituisci ogni istanza di *token1* con il primo token dell'elenco che hai ricevuto quando hai eseguito il `get-identity-dkim-attributes` comando, sostituisci tutte le istanze di *token2* con il secondo token dell'elenco e sostituisci tutte le istanze *token3* con il terzo token dell'elenco.
Ad esempio, applicando questo modello ai token mostrati nell'esempio precedente otterrai i seguenti record:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**Nota**
Non tutte Regioni AWS utilizzano il dominio SES DKIM predefinito. `dkim.amazonses.com` Per vedere se la tua regione utilizza un dominio DKIM specifico della regione, consulta la tabella dei domini [DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) nel. *Riferimenti generali di AWS*
## Disabilitazione di Easy DKIM per un'identità
Puoi disabilitare in modo rapido l'autenticazione DKIM per un'identità utilizzando la console Amazon SES.
**Disabilitazione di DKIM per un'identità**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco delle identità, scegli l'identità per la quale desideri disabilitare DKIM.
1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.
1. In **Advanced DKIM settings (Impostazioni DKIM avanzate)**, deseleziona la casella **Enabled (Abilitate)** nel campo **DKIM signatures (Firme DKIM)**.
Puoi anche disabilitare DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.
**Per disabilitare DKIM per un'identità utilizzando il AWS CLI**
+ Nella riga di comando, digita il comando seguente:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri disabilitare DKIM. Puoi specificare un indirizzo e-mail o un dominio.
## Abilitazione di Easy DKIM per un'identità
Se hai già disabilitato DKIM per un'identità, puoi abilitarlo di nuovo tramite la console Amazon SES.
**Abilitazione di DKIM per un'identità**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco di identità, scegli l'identità per la quale desideri abilitare DKIM.
1. Nella scheda **Autenticazione**, nel contenitore **DomainKeysIdentified Mail (DKIM)**, scegli **Modifica**.
1. In **Advanced DKIM settings** (Impostazioni avanzate di DKIM), seleziona la casella **Enabled** (Abilitate) nel campo **DKIM signatures** (Firme DKIM).
Puoi anche abilitare DKIM per un'identità tramite l'API Amazon SES. Un metodo comune di interazione con l'API è rappresentato dall'utilizzo dell' AWS CLI.
**Per abilitare DKIM per un'identità utilizzando il AWS CLI**
+ Nella riga di comando, digita il comando seguente:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
Nell'esempio precedente, sostituiscilo *example.com* con l'identità per cui desideri abilitare DKIM. Puoi specificare un indirizzo e-mail o un dominio.
## Sovrascrittura della firma DKIM ereditata su un'identità di indirizzo e-mail
Questa sezione illustra come sovrascrivere (disabilitare o abilitare) le proprietà della firma DKIM ereditate dal dominio padre su un'identità di indirizzo e-mail specifica che hai già verificato con Amazon SES. Puoi eseguire questa operazione solo per le identità degli indirizzi e-mail appartenenti a domini già di tua proprietà, perché le impostazioni DNS sono configurate a livello di dominio.
**Importante**
Non puoi firmare tramite disable/enable DKIM le identità degli indirizzi e-mail...
su domini che non sono di tua proprietà; Ad esempio, non puoi impostare la firma DKIM per un indirizzo *gmail.com* o *hotmail.com*
su domini di tua proprietà, ma che non sono ancora stati verificati in Amazon SES;
su domini di tua proprietà, ma su cui non hai abilitato la firma DKIM.
Questa sezione contiene i seguenti argomenti:
+ [Informazioni sulle proprietà della firma DKIM ereditate](#dkim-easy-setup-email-key-points-mng)
+ [Sovrascrittura della firma DKIM sull'identità di un indirizzo e-mail (console)](#override-dkim-email-console-mng)
+ [Sovrascrittura della firma DKIM su un'identità di indirizzo e-mail (AWS CLI)](#override-dkim-email-cli-mng)
### Informazioni sulle proprietà della firma DKIM ereditate
È importante comprendere innanzitutto che un'identità di indirizzo e-mail eredita le proprietà della firma DKIM dal proprio dominio padre se quest'ultimo è stato configurato con DKIM, indipendentemente dal fatto che sia stato utilizzato Easy DKIM o BYODKIM. Pertanto, la disabilitazione o l'abilitazione della firma DKIM sull'identità dell'indirizzo e-mail, in effetti, sovrascrive le proprietà della firma DKIM del dominio in base a questi fattori chiave:
+ Se hai già configurato DKIM per il dominio a cui appartiene l'indirizzo e-mail, non è necessario abilitare la firma DKIM anche per l'identità dell'indirizzo e-mail.
+ Quando configuri DKIM per un dominio, Amazon SES esegue automaticamente l'autenticazione di ogni e-mail da ogni indirizzo di tale dominio, attraverso le proprietà DKIM ereditate per il dominio padre.
+ Le impostazioni DKIM per un'identità di indirizzo e-mail specifica *sovrascrivono automaticamente le impostazioni del dominio padre o del sottodominio (se applicabile)* cui l'indirizzo appartiene.
Poiché le proprietà della firma DKIM dell'identità dell'indirizzo e-mail vengono ereditate dal dominio padre, se prevedi di sovrascriverle, devi tenere presente le regole gerarchiche di sovrascrittura, come spiegato nella tabella seguente.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
In genere non è consigliabile disabilitare la firma DKIM, in quanto rischia di compromettere la reputazione del mittente e aumenta il rischio che la posta inviata venga trasferita nelle cartelle della posta indesiderata o dello spam o che il dominio venga falsificato.
Tuttavia, esiste la possibilità di sovrascrivere le proprietà della firma DKIM ereditate dal dominio sull'identità di un indirizzo e-mail per eventuali casi d'uso particolari o decisioni aziendali esterne per cui sia necessario disabilitare in modo permanente o temporaneo la firma DKIM o abilitarla nuovamente in un secondo momento.
### Sovrascrittura della firma DKIM sull'identità di un indirizzo e-mail (console)
La seguente procedura della console SES illustra come sovrascrivere (disabilitare o abilitare) le proprietà della firma DKIM ereditate dal dominio padre sull'identità di un indirizzo e-mail specifico che hai già verificato con Amazon SES.
**Alla firma disable/enable DKIM per l'identità di un indirizzo e-mail utilizzando la console**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco di identità scegli un'identità in cui l'opzione **Identity type (Tipo di identità)** è *Email address (Indirizzo e-mail)* e appartiene a uno dei tuoi domini verificati.
1. Nella scheda **Autenticazione**, nel contenitore **DomainKeys Identified Mail (DKIM)**, scegli **Modifica**.
**Nota**
La scheda **Authentication (Autenticazione)** è presente solo se l'identità dell'indirizzo e-mail selezionato appartiene a un dominio che è già stato verificato da SES. Se non hai ancora verificato il tuo dominio, consulta [Creazione di un'identità dominio](creating-identities.md#verify-domain-procedure).
1. In **Advanced DKIM settings (Impostazioni avanzate di DKIM)**, nel campo **DKIM signatures (Firme DKIM)**, deseleziona la casella di controllo **Enabled (Abilitata)** per disabilitare la firma DKIM o selezionarla per riabilitare la firma DKIM (se era stata sovrascritta in precedenza).
1. Scegli **Save changes** (Salva modifiche).
### Sovrascrittura della firma DKIM su un'identità di indirizzo e-mail (AWS CLI)
L'esempio seguente utilizza il comando e AWS CLI i parametri dell'API SES che sostituiranno (disabiliteranno o abiliteranno) le proprietà di firma DKIM ereditate dal dominio principale su un'identità di indirizzo e-mail specifica che hai già verificato con SES.
**Per firmare l'identità di un indirizzo e-mail tramite disable/enable DKIM utilizzando il AWS CLI**
+ Ipotizzando che tu possieda il dominio *example.com* e desideri disabilitare la firma DKIM per uno degli indirizzi e-mail del dominio, digita il comando seguente nella riga di comando:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. Sostituiscila *marketing@example.com* con l'identità dell'indirizzo e-mail per cui desideri disabilitare la firma DKIM.
1. `--no-signing-enabled` disabilita la firma DKIM. Per riabilitare la firma DKIM, utilizza il comando `--signing-enabled`.
# Firma DKIM manuale in Amazon SES
In alternativa all'utilizzo di Easy DKIM, puoi aggiungere manualmente firme DKIM per i tuoi messaggi e quindi inviare i messaggi utilizzando Amazon SES. Se scegli di firmare manualmente i tuoi messaggi, devi prima creare una firma DKIM. Dopo aver creato il messaggio e la firma DKIM, puoi utilizzare l'[SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html)API per inviarlo.
Se decidi di firmare manualmente la tua e-mail, considera i seguenti fattori:
+ Ogni messaggio inviato utilizzando Amazon SES contiene un'intestazione DKIM che fa riferimento a un dominio di firma di *amazonses.com*, il quale contiene la seguente stringa: `d=amazonses.com`. Se firmi manualmente i tuoi messaggi, tali messaggi dovranno includere *due* intestazioni DKIM: una per il tuo dominio e una che Amazon SES crea automaticamente per *amazonses.com*.
+ Amazon SES non convalida le firme DKIM aggiunte manualmente ai tuoi messaggi. In caso di errori con la firma DKIM in un messaggio, il medesimo potrebbe essere rifiutato dal provider di posta elettronica.
+ Quando firmi i tuoi messaggi, ti consigliamo di utilizzare una lunghezza di almeno 1024 bit.
+ Non firmare i seguenti campi: ID messaggio, Data, Percorso di ritorno, Rinvia a.
**Nota**
Se utilizzi un client e-mail per l'invio di e-mail utilizzando l'interfaccia SMTP Amazon SES, il client potrebbe eseguire automaticamente la firma DKIM dei tuoi messaggi. Alcuni client potrebbero firmare solo alcuni di questi campi. Consulta la documentazione relativa al tuo client e-mail per verificare quali campi vengono firmati per impostazione predefinita.
# Autenticazione delle e-mail con SPF in Amazon SES
*Sender Policy Framework* (SPF) è uno standard di convalida di e-mail, progettato per combattere lo spoofing delle e-mail. I proprietari di dominio utilizzano SPF per indicare ai provider di posta elettronica quali server sono autorizzati a inviare e-mail dai propri domini. SPF è definito in [RFC 7208](https://tools.ietf.org/html/rfc7208).
Per impostazione predefinita, i messaggi inviati tramite Amazon SES usano un dominio secondario di `amazonses.com` come dominio MAIL FROM. L'autenticazione di SPF (Sender Policy Framework) permette di convalidare correttamente questi messaggi perché il dominio MAIL FROM predefinito corrisponde al server di invio della posta, in questo caso SES. Pertanto, in SES, SPF è configurato implicitamente per te.
Tuttavia, se non si desidera utilizzare il dominio MAIL FROM predefinito di SES e si preferisce utilizzare un sottodominio di un dominio di propria proprietà, in SES si parla di un dominio MAIL FROM *personalizzato*. Per fare ciò, è necessario pubblicare il proprio record SPF per il dominio MAIL FROM personalizzato. Inoltre, SES richiede la pubblicazione di un record MX in modo che il tuo dominio MAIL FROM personalizzato possa ricevere le notifiche di mancato recapito e reclamo inviate dai provider di posta elettronica.
**Scopri come configurare l'autenticazione SPF**
Vengono fornite istruzioni per configurare il dominio con SPF e come pubblicare i record MX e SPF (tipo TXT) in. [Uso di un dominio MAIL FROM personalizzato](mail-from.md)
# Uso di un dominio MAIL FROM personalizzato
Quando un'e-mail viene inviata, ha due indirizzi che ne indicano l'origine: un indirizzo From (Da) visualizzato al destinatario del messaggio e un indirizzo MAIL FROM che indica l'origine del messaggio. L'indirizzo MAIL FROM a volte viene chiamato indirizzo *mittente busta*, *mittente da*, *indirizzo di mancato recapito* o indirizzo *percorso di ritorno*. I server di posta utilizzano l'indirizzo MAIL FROM per restituire messaggi di mancato recapito e altre notifiche di errore. L'indirizzo MAIL FROM è in genere visibile solo dai destinatari se visualizzano il codice sorgente per il messaggio.
Amazon SES imposta il dominio MAIL FROM per i messaggi inviati a un valore predefinito a meno che non specifichi il tuo dominio (personalizzato). Questa sezione illustra i vantaggi della configurazione di un dominio MAIL FROM personalizzato e include le procedure di configurazione.
## Perché usare un dominio MAIL FROM personalizzato?
Per impostazione predefinita, i messaggi inviati tramite Amazon SES usano un dominio secondario di `amazonses.com` come dominio MAIL FROM. L'autenticazione SPF (Sender Policy Framework) permette di convalidare correttamente questi messaggi perché il dominio MAIL FROM predefinito corrisponde al server di invio della posta, in questo caso SES.
Se non si desidera utilizzare il dominio SES MAIL FROM predefinito e si preferisce utilizzare un sottodominio di un dominio di proprietà, in SES si parla di utilizzo di un dominio MAIL FROM *personalizzato*. Per fare ciò, è necessario pubblicare il proprio record SPF per il dominio MAIL FROM personalizzato. Inoltre, sES richiede anche la pubblicazione di un record MX in modo che il tuo dominio possa ricevere le notifiche di mancato recapito e reclamo inviate dai provider di posta elettronica.
Utilizzando un dominio MAIL FROM personalizzato, hai la flessibilità di utilizzare SPF, DKIM o entrambi per ottenere la convalida [DMARC (Domain-based Message Authentication, Reporting and Conformance)](send-email-authentication-dmarc.md). DMARC consente al dominio di un mittente di indicare che le e-mail inviate dal dominio sono protette da uno o più sistemi di autenticazione. Ci sono due modi per ottenere la convalida DMARC: [Conformità a DMARC tramite SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) e [Conformità a DMARC tramite DKIM](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim).
## Scelta di un dominio MAIL FROM personalizzato
Di seguito, il termine *dominio MAIL FROM* si riferisce sempre a un sottodominio di un dominio di tua proprietà: questo sottodominio che usi per il tuo dominio MAIL FROM personalizzato non deve essere utilizzato per nient'altro e soddisfare i seguenti requisiti:
+ Il dominio MAIL FROM deve essere un sottodominio del dominio principale di un'identità verificata (indirizzo email o dominio).
+ Il dominio MAIL FROM non deve essere un dominio secondario da cui si inviano e-mail.
+ Il dominio MAIL FROM non deve essere un dominio secondario usato per ricevere e-mail.
## Uso di SPF con un dominio MAIL FROM personalizzato
*Sender Policy Framework* (SPF) è uno standard di convalida di e-mail, progettato per combattere lo spoofing delle e-mail. È possibile configurare il dominio MAIL FROM personalizzato con SPF per indicare ai provider di posta elettronica quali server sono autorizzati a inviare e-mail dal dominio MAIL FROM personalizzato. SPF è definito in [RFC 7208](https://tools.ietf.org/html/rfc7208).
Per configurare un registro SPF, è necessario pubblicare un nuovo record TXT alla configurazione DNS per il dominio MAIL FROM personalizzato. Questo registro contiene un elenco dei server autorizzati a inviare messaggi di posta elettronica dal dominio MAIL FROM personalizzato. Quando un provider di posta elettronica riceve un messaggio dal dominio MAIL FROM, controlla i record DNS per il dominio per verificare che l'e-mail sia stata inviata da un server autorizzato.
Se si desidera utilizzare questo record SPF per conformarsi a DMARC, il dominio nell'indirizzo From deve corrispondere al dominio MAIL FROM. Per informazioni, consulta [Conformità a DMARC tramite SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf).
La prossima sezione, [Configurazione del dominio MAIL FROM personalizzato](#mail-from-set), spiega come configurare SPF per il tuo dominio MAIL FROM personalizzato.
## Configurazione del dominio MAIL FROM personalizzato
Il processo di configurazione di un dominio MAIL FROM personalizzato richiede di aggiungere record alla configurazione DNS per il dominio. SES richiede la pubblicazione di un record MX in modo che il dominio possa ricevere le notifiche di rimbalzo e di reclamo inviate dai provider di posta elettronica. Devi inoltre pubblicare un record SPF (tipo TXT) per dimostrare che Amazon SES è autorizzato a inviare e-mail dal tuo dominio.
È possibile configurare un dominio MAIL FROM personalizzato per un intero dominio o sottodominio, nonché per singoli indirizzi e-mail. Le procedure seguenti mostrano come utilizzare la console Amazon SES per configurare un dominio MAIL FROM personalizzato. Puoi anche configurare un dominio MAIL FROM personalizzato utilizzando l'operazione [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API.
### Configurazione di un dominio MAIL FROM personalizzato per un dominio verificato
Queste procedure mostrano come configurare un dominio MAIL FROM personalizzato per un intero dominio o sottodominio in modo che tutti i messaggi inviati dagli indirizzi di quel dominio utilizzino questo dominio MAIL FROM personalizzato.
**Per configurare un dominio verificato per utilizzare un dominio MAIL FROM personalizzato specificato**
1. Apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione a sinistra, in **Configurazione**, scegli **Identità.**
1. Nell'elenco delle identità, scegli quella da configurare che abbia queste caratteristiche: **Identity type (Tipo di identità)** corrisponde a **Domain (Dominio)** e **Status (Stato)** corrisponde a *Verified (Verificato)*.
1. Se **Status (Stato)** corrisponde a *Unverified (Non verificato)*, completa le procedure indicate in [Verifica dell'identità di un dominio DKIM con il provider DNS](creating-identities.md#just-verify-domain-proc) per verificare il dominio dell'indirizzo e-mail.
1. Nella parte inferiore dello schermo, nel riquadro **Custom MAIL FROM domain**, scegli **Modifica**.
1. Nel riquadro **General details (Dettagli generali)**, procedi come segue:
1. Seleziona la casella di controllo **Use a custom MAIL FROM domain (Utilizza dominio MAIL FROM personalizzato)**.
1. Per **MAIL FROM domain** (Dominio MAIL FROM), immetti il dominio secondario che desideri utilizzare come dominio MAIL FROM.
1. Per **Behavior on MX failure (Comportamento con errore MX)**, scegli una delle opzioni seguenti:
+ **Use default MAIL FROM domain (Usa dominio MAIL FROM di default)**: se il registro MX del dominio MAIL FROM personalizzato non è configurato correttamente, Amazon SES usa un sottodominio di `amazonses.com`. Il sottodominio varia in base al tipo Regione AWS di utilizzo di Amazon SES.
+ **Reject message** (Rifiuta messaggio): se il record MX del dominio MAIL FROM personalizzato non è configurato correttamente, Amazon SES restituisce un errore `MailFromDomainNotVerified`. I messaggi e-mail che tenti di inviare da questo dominio verranno automaticamente rifiutati.
1. Scegli **Save changes** (Salva le modifiche): verrai riportato alla schermata precedente.
1. Pubblica i record MX ed SFP (tipo TXT) nel server DNS del dominio MAIL FROM personalizzato:
Nel riquadro **Custom MAIL FROM domain** (Dominio MAIL FROM personalizzato), la tabella **Publish DNS records** (Pubblicazione di record DNS) ora visualizza i record MX ed SPF (tipo TXT) in quelli da pubblicare (aggiungere) alla configurazione DNS del dominio. Questi record utilizzano i formati mostrati nella tabella seguente.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/mail-from.html)
Nei record precedenti,
+ *subdomain*. *domain*. *com*verrà popolato con il tuo sottodominio MAIL FROM
+ *region*verrà compilato con il nome del dominio MAIL FROM Regione AWS in cui desideri verificare (ad esempio`us-west-2`, o `us-east-1``eu-west-1`, ecc.)
+ Il numero *10* elencato insieme al valore MX è l'ordine di preferenza per il server di posta elettronica e dovrà essere inserito in un campo valore separato come specificato dalla GUI del provider DNS
+ Il valore del record TXT dell'SPF di solito deve includere le virgolette, ma alcuni provider DNS non le richiedono.
Dalla tabella **Publish DNS records** (Pubblicazione di record DNS), copia i record MX e SPF (tipo TXT) scegliendo l'icona di copia accanto a ciascun valore e incollali nei campi corrispondenti nella GUI del provider DNS. In alternativa, puoi scegliere **Download .csv record set** (Scarica il set di record .csv) per salvare una copia dei record sul tuo computer.
**Importante**
Le procedure specifiche per la pubblicazione dei record MX e SPF (tipo TXT) dipendono dal DNS o dal provider di hosting. Consulta la documentazione del tuo provider o contattalo per informazioni sull'aggiunta di questi record alla configurazione DNS del tuo dominio.
Per configurare correttamente un dominio MAIL FROM con Amazon SES, è necessario pubblicare esattamente un registro MX nel server DNS del dominio MAIL FROM. Se il dominio MAIL FROM contiene più registri MX, l'impostazione del dominio MAIL FROM personalizzato con Amazon SES non riesce.
Se Route 53 fornisce il servizio DNS per il tuo dominio MAIL FROM e hai effettuato l'accesso Console di gestione AWS con lo stesso account che usi per Route 53, scegli **Pubblica record utilizzando Route 53**. I record DNS vengono applicati automaticamente alla configurazione DNS del dominio.
Se utilizzi un provider DNS diverso, pubblica i record DNS nel server DNS del dominio MAIL FROM manualmente. La procedura per aggiungere record DNS al server DNS del dominio varia in base al servizio di hosting Web o al provider DNS.
Le procedure per la pubblicazione dei record DNS dei domini variano a seconda del provider DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il provider DNS non è elencato, non implica che non supporti la configurazione del dominio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/mail-from.html)
Quando Amazon SES rileva che i record sono presenti, riceverai un'e-mail che informa che il tuo dominio MAIL FROM personalizzato è stato configurato correttamente. A seconda del provider DNS, potrebbe esserci un ritardo fino a 72 ore prima che Amazon SES rilevi il registro MX.
### Configurazione di un dominio MAIL FROM personalizzato per un indirizzo e-mail verificato
Puoi anche configurare un dominio MAIL FROM personalizzato per un indirizzo e-mail specifico. Per configurare un dominio MAIL FROM personalizzato per un indirizzo e-mail, devi modificare i record DNS per il dominio a cui è associato l'indirizzo e-mail.
**Nota**
Non puoi configurare un dominio MAIL FROM personalizzato per gli indirizzi su un dominio che non sia di tua proprietà (ad esempio, non puoi creare un dominio MAIL FROM personalizzato per un indirizzo sul dominio `gmail.com`, perché non puoi aggiungere i registri DNS necessari al dominio).
**Configurazione di un indirizzo e-mail verificato per l'uso di un dominio MAIL FROM specificato**
1. Apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione a sinistra, in **Configurazione**, scegli **Identità.**
1. Nell'elenco delle identità, scegli l'identità che desideri configurare, dove **Identity type (Tipo di identità)** è **Email address (Indirizzo e-mail)** e **Status (Stato)** è *Verified (Verificato)*.
1. Se **Status (Stato)** corrisponde a *Unverified (Non verificato)*, completa i passaggi indicati nella sezione [Verifica di un'identità indirizzo e-mail](creating-identities.md#just-verify-email-proc) per verificare il dominio dell'indirizzo e-mail.
1. Nella scheda **MAIL FROM Domain (Dominio MAIL FROM)**, scegli **Edit (Modifica)** nel riquadro **Custom MAIL FROM domain (Dominio MAIL FROM personalizzato)**.
1. Nel riquadro **General details (Dettagli generali)**, procedi come segue:
1. Seleziona la casella di controllo **Use a custom MAIL FROM domain (Utilizza dominio MAIL FROM personalizzato)**.
1. Per **MAIL FROM domain** (Dominio MAIL FROM), immetti il dominio secondario che desideri utilizzare come dominio MAIL FROM.
1. Per **Behavior on MX failure (Comportamento con errore MX)**, scegli una delle opzioni seguenti:
+ **Use default MAIL FROM domain (Usa dominio MAIL FROM di default)**: se il registro MX del dominio MAIL FROM personalizzato non è configurato correttamente, Amazon SES usa un sottodominio di `amazonses.com`. Il sottodominio varia in base al tipo Regione AWS di utilizzo di Amazon SES.
+ **Reject message** (Rifiuta messaggio): se il record MX del dominio MAIL FROM personalizzato non è configurato correttamente, Amazon SES restituisce un errore `MailFromDomainNotVerified`. I messaggi e-mail che tenti di inviare da questo indirizzo verranno automaticamente rifiutati.
1. Scegli **Save changes** (Salva le modifiche): verrai riportato alla schermata precedente.
1. Pubblica i record MX ed SFP (tipo TXT) nel server DNS del dominio MAIL FROM personalizzato:
Nel riquadro **Custom MAIL FROM domain** (Dominio MAIL FROM personalizzato), la tabella **Publish DNS records** (Pubblicazione di record DNS) ora visualizza i record MX ed SPF (tipo TXT) in quelli da pubblicare (aggiungere) alla configurazione DNS del dominio. Questi record utilizzano i formati mostrati nella tabella seguente.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/mail-from.html)
Nei record precedenti,
+ *subdomain*. *domain*. *com*verrà popolato con il tuo sottodominio MAIL FROM
+ *region*verrà compilato con il nome del dominio MAIL FROM Regione AWS in cui desideri verificare (ad esempio`us-west-2`, o `us-east-1``eu-west-1`, ecc.)
+ Il numero *10* elencato insieme al valore MX è l'ordine di preferenza per il server di posta elettronica e dovrà essere inserito in un campo valore separato come specificato dalla GUI del provider DNS
+ Il valore del record TXT di SFP deve includere le virgolette
Dalla tabella **Publish DNS records** (Pubblicazione di record DNS), copia i record MX e SPF (tipo TXT) scegliendo l'icona di copia accanto a ciascun valore e incollali nei campi corrispondenti nella GUI del provider DNS. In alternativa, puoi scegliere **Download .csv record set** (Scarica il set di record .csv) per salvare una copia dei record sul tuo computer.
**Importante**
Per configurare correttamente un dominio MAIL FROM con Amazon SES, è necessario pubblicare esattamente un registro MX nel server DNS del dominio MAIL FROM. Se il dominio MAIL FROM contiene più registri MX, l'impostazione del dominio MAIL FROM personalizzato con Amazon SES non riesce.
Se Route 53 fornisce il servizio DNS per il tuo dominio MAIL FROM e hai effettuato l'accesso Console di gestione AWS con lo stesso account che usi per Route 53, scegli **Pubblica record utilizzando Route 53**. I record DNS vengono applicati automaticamente alla configurazione DNS del dominio.
Se utilizzi un provider DNS diverso, pubblica i record DNS nel server DNS del dominio MAIL FROM manualmente. La procedura per aggiungere record DNS al server DNS del dominio varia in base al servizio di hosting Web o al provider DNS.
Le procedure per la pubblicazione dei record DNS dei domini variano a seconda del provider DNS. La tabella che segue include i collegamenti alla documentazione dei provider DNS più comunemente utilizzati. Questo elenco non è esaustivo e non significa approvazione; allo stesso modo, se il provider DNS non è elencato, non implica che non supporti la configurazione del dominio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/mail-from.html)
Quando Amazon SES rileva che i record sono presenti, riceverai un'e-mail che informa che il tuo dominio MAIL FROM personalizzato è stato configurato correttamente. A seconda del provider DNS, potrebbe esserci un ritardo fino a 72 ore prima che Amazon SES rilevi il registro MX.
## Stati di impostazione del dominio MAIL FROM personalizzato con Amazon SES
Dopo aver configurato un'identità per usare un dominio MAIL FROM personalizzato, lo stato dell'impostazione è "pending" (in attesa) mentre Amazon SES tenta di rilevare il registro MX necessario nelle impostazioni DNS. Lo stato quindi cambia a seconda del fatto che Amazon SES rilevi o meno il registro MX. La tabella seguente descrive il comportamento di invio dei messaggi e-mail e le operazioni di Amazon SES associate a ogni stato. Ogni volta che lo stato cambia, Amazon SES invia una notifica all'indirizzo e-mail associato al tuo Account AWS.
****
| Stato | Comportamento di invio di e-mail | Operazioni di Amazon SES |
| --- | --- | --- |
| Pending (In attesa) | Viene usata l'impostazione di fallback del dominio MAIL FROM personalizzato | Amazon SES tenta di rilevare il registro MX necessario per 72 ore. Se l'operazione non riesce, lo stato diventa "Failed" (Non riuscito). |
| Completato | Viene usato il dominio MAIL FROM personalizzato | Amazon SES controlla continuamente che il record MX necessario sia disponibile. |
| TemporaryFailure | Viene usata l'impostazione di fallback del dominio MAIL FROM personalizzato | Amazon SES tenta di rilevare il registro MX necessario per 72 ore. In caso di esito negativo, lo stato diventa "Failed" (Non riuscito), mentre in caso di esito positivo lo stato cambia in "Success" (Riuscito). |
| Non riuscito | Viene usata l'impostazione di fallback del dominio MAIL FROM personalizzato | Amazon SES non tenta più di rilevare il record MX necessario. Per usare un dominio MAIL FROM personalizzato, è necessario riavviare il processo di impostazione in [Configurazione del dominio MAIL FROM personalizzato](#mail-from-set). |
# Conformità al protocollo di autenticazione DMARC in Amazon SES
DMARC (Domain-based Message Authentication, Reporting and Conformance) è un protocollo di autenticazione e-mail che utilizza Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per rilevare lo spoofing e il phishing delle e-mail. Per essere conformi a DMARC, i messaggi devono essere autenticati tramite SPF o DKIM, ma idealmente, quando entrambi vengono utilizzati con DMARC, garantirete il massimo livello di protezione possibile per l'invio di e-mail.
Esaminiamo brevemente cosa fa ciascuno di essi e come DMARC li collega tutti insieme:
+ **SPF** — Identifica quali server di posta sono autorizzati a inviare posta per conto del dominio MAIL FROM personalizzato tramite un record DNS TXT utilizzato dal DNS. I sistemi di posta dei destinatari fanno riferimento al record TXT SPF per determinare se un messaggio proveniente dal dominio personalizzato proviene da un server di messaggistica autorizzato. Fondamentalmente, SPF è progettato per aiutare a prevenire lo spoofing, ma esistono tecniche di spoofing a cui SPF è suscettibile nella pratica ed è per questo che è necessario utilizzare anche DKIM insieme a DMARC.
+ **DKIM**: aggiunge una firma digitale ai messaggi in uscita nell'intestazione dell'e-mail. I sistemi di ricezione delle e-mail possono utilizzare questa firma digitale per verificare se le e-mail in arrivo sono firmate da una chiave di proprietà del dominio. Tuttavia, quando un sistema di posta elettronica ricevente inoltra un messaggio, la busta del messaggio viene modificata in modo da invalidare l'autenticazione SPF. Poiché la firma digitale rimane nel messaggio di posta elettronica perché fa parte dell'intestazione dell'e-mail, DKIM funziona anche quando un messaggio è stato inoltrato tra server di posta (purché il contenuto del messaggio non sia stato modificato).
+ **DMARC**: assicura l'allineamento del dominio con almeno uno tra SPF e DKIM. L'uso di SPF e DKIM da soli non fa nulla per assicurare che l'indirizzo From sia autenticato (questo è l'indirizzo e-mail che il destinatario vede nel suo client di posta elettronica). SPF controlla solo il dominio specificato nell'indirizzo MAIL FROM (non visualizzato dal destinatario). DKIM controlla solo il dominio specificato nella firma DKIM (inoltre, non viene visualizzato dal destinatario). DMARC risolve questi due problemi richiedendo che l'allineamento del dominio sia corretto su SPF o DKIM:
+ Affinché SPF passi l'allineamento DMARC, il dominio nell'indirizzo From deve corrispondere al dominio nell'indirizzo MAIL FROM (noto anche come indirizzo Return-Path e Envelope-from). Ciò è raramente possibile con la posta inoltrata perché viene rimossa o quando si invia posta tramite provider di posta elettronica di massa di terze parti, perché il Return-Path (MAIL FROM) viene utilizzato per rimbalzi e reclami che il provider (SES) monitora utilizzando un indirizzo di sua proprietà.
+ Affinché DKIM passi l'allineamento DMARC, il dominio specificato nella firma DKIM deve corrispondere al dominio nell'indirizzo From. Se utilizzi mittenti o servizi di terze parti che inviano posta per tuo conto, puoi farlo assicurandoti che il mittente terzo sia configurato correttamente per la firma DKIM e che tu abbia aggiunto i record DNS appropriati all'interno del tuo dominio. I server di posta riceventi saranno quindi in grado di verificare le e-mail inviate loro da terze parti come se fossero e-mail inviate da qualcuno autorizzato a utilizzare un indirizzo all'interno del dominio.
**Mettendo tutto insieme con DMARC**
I controlli di allineamento DMARC di cui abbiamo parlato sopra mostrano come SPF, DKIM e DMARC collaborino per aumentare la fiducia del dominio e la consegna delle e-mail nelle caselle di posta. DMARC ottiene ciò assicurando che l'indirizzo From, visto dal destinatario, sia autenticato da SPF o DKIM:
+ Un messaggio passa DMARC se uno o entrambi i controlli SPF o DKIM descritti vengono superati.
+ Un messaggio non supera il protocollo DMARC se entrambi i controlli SPF o DKIM descritti falliscono.
Pertanto, sia SPF che DKIM sono necessari affinché DMARC abbia le migliori possibilità di ottenere l'autenticazione per le e-mail inviate e, utilizzandoli tutti e tre, contribuirete a garantire un dominio di invio completamente protetto.
DMARC consente inoltre di istruire i server di posta elettronica su come gestire le e-mail quando falliscono l'autenticazione DMARC attraverso le politiche impostate. Questo verrà spiegato nella sezione seguente[Impostazione della policy DMARC sul tuo dominio](#send-email-authentication-dmarc-dns), che contiene informazioni su come configurare i domini SES in modo che le e-mail inviate siano conformi al protocollo di autenticazione DMARC tramite SPF e DKIM.
## Impostazione della policy DMARC sul tuo dominio
Per configurare DMARC, devi modificare le impostazioni DNS per il tuo dominio. Le impostazioni DNS per il tuo dominio devono includere un record TXT specificante le impostazioni DMARC del dominio. Le procedure per l'aggiunta di record TXT per la tua configurazione DNS dipendono dal provider di hosting o DNS utilizzato. Se utilizzi Amazon Route 53 per DNS, consulta la sezione [Utilizzo dei record](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) nella *Guida per gli sviluppatori di Amazon Route 53*. Se utilizzi un altro provider, consulta la documentazione del provider relativa alla configurazione DNS.
Il nome del record TXT creato deve essere `_dmarc.example.com`, in cui `example.com` rappresenta il tuo dominio. Il valore del record TXT contiene la policy DMARC che si applica al tuo dominio. Di seguito è riportato un esempio di record TXT contenente una policy DMARC:
| Name | Tipo | Valore |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
Nel precedente esempio di politica DMARC, questa politica indica ai provider di posta elettronica di fare quanto segue:
+ Per tutti i messaggi che falliscono l'autenticazione, inviateli alla cartella Spam come specificato dal parametro policy,. `p=quarantine` Altre opzioni includono non fare nulla utilizzando `p=none` o rifiutare completamente il messaggio utilizzando. `p=reject`
+ La sezione successiva illustra come e quando utilizzare queste tre impostazioni dei criteri: *l'utilizzo di quella sbagliata nel momento sbagliato può causare il mancato recapito delle e-mail, vedi*. [Le migliori pratiche per l'implementazione di DMARC](#send-email-authentication-dmarc-implement)
+ Invia report su tutte le e-mail che non sono riuscite ad autenticarsi in un digest (ovvero un rapporto che aggrega i dati per un determinato periodo di tempo, anziché inviare report individuali per ogni evento) come specificato dal parametro di reporting `rua=mailto:my_dmarc_report@example.com` (*rua* sta per Reporting URI for Aggregate reports). I provider di posta elettronica in genere inviano questi report aggregati una volta al giorno, anche se tali policy possono variano per ogni provider.
Per ulteriori informazioni sulla configurazione DMARC per il tuo dominio, consulta la [Panoramica](https://dmarc.org/overview/) sul sito Web DMARC.
Per le specifiche complete del sistema DMARC, vedere la bozza DMARC della [Internet Engineering Task Force (](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)IETF).
## Le migliori pratiche per l'implementazione di DMARC
È meglio implementare l'applicazione della politica DMARC con un approccio graduale e graduale in modo da non interrompere il resto del flusso di posta. Crea e implementa un piano di implementazione che segua questi passaggi. Esegui ciascuno di questi passaggi prima con ciascuno dei tuoi sottodomini e infine con il dominio di primo livello dell'organizzazione prima di passare alla fase successiva.
1. Monitora l'impatto dell'implementazione di DMARC (p=none).
+ Inizia con un semplice record in modalità di monitoraggio per un sottodominio o dominio che richiede che le organizzazioni che ricevono la posta ti inviino statistiche sui messaggi che vedono utilizzando quel dominio. Un record in modalità di monitoraggio è un record DMARC TXT il cui criterio è impostato su none. `p=none`
+ I report generati tramite DMARC forniranno i numeri e le fonti dei messaggi che superano questi controlli, rispetto a quelli che non lo fanno. Puoi facilmente vedere quanto del tuo traffico legittimo è coperto o meno da essi. Vedrai segni di inoltro, poiché i messaggi inoltrati non rispetteranno gli standard SPF e DKIM se il contenuto viene modificato. Inizierai anche a vedere quanti messaggi fraudolenti vengono inviati e da dove vengono inviati.
+ Gli obiettivi di questo passaggio sono capire quali saranno le email che subiranno l'implementazione di uno dei due passaggi successivi e fare in modo che eventuali mittenti terzi o autorizzati allineino le proprie politiche SPF o DKIM.
+ Ideale per i domini esistenti.
1. Richiedete che i sistemi di posta esterni mettano in quarantena la posta che non rispetta DMARC (p=quarantine).
+ Se ritieni che tutto o la maggior parte del tuo traffico legittimo provenga da un dominio allineato a SPF o DKIM e comprendi l'impatto dell'implementazione di DMARC, puoi implementare una politica di quarantena. Una politica di quarantena è un record DMARC TXT il cui criterio è impostato sulla quarantena. `p=quarantine` In questo modo, chiedete ai ricevitori DMARC di inserire i messaggi del vostro dominio che non contengono DMARC nell'equivalente locale di una cartella spam anziché nelle caselle di posta dei vostri clienti.
+ Ideale per i domini in transizione che hanno analizzato i report DMARC durante la Fase 1.
1. Richiedete che i sistemi di posta esterni non accettino messaggi che non rispettano il DMARC (p=reject).
+ L'implementazione di una politica di rifiuto è di solito il passaggio finale. Una politica di rifiuto è un record TXT DMARC la cui politica è impostata per rifiutare. `p=reject` Quando lo fai, chiedi ai ricevitori DMARC di non accettare messaggi che non superano i controlli DMARC: questo significa che non verranno nemmeno messi in quarantena in una cartella spam o posta indesiderata, ma verranno respinti a titolo definitivo.
+ Quando si utilizza una politica di rifiuto, saprete esattamente quali messaggi non rispettano la politica DMARC, poiché il rifiuto comporterà un rimbalzo SMTP. Con la quarantena, i dati aggregati forniscono informazioni sulle percentuali di email che superano o non superano i controlli SPF, DKIM e DMARC.
+ Ideale per i nuovi domini o per i domini esistenti che hanno superato i due passaggi precedenti.
## Conformità a DMARC tramite SPF
Affinché un'e-mail sia conforme a DMARC in base a SPF, è necessario soddisfare le condizioni seguenti:
+ Il messaggio deve superare un controllo SPF basato sulla presenza di un record SPF (tipo TXT) valido da pubblicare nella configurazione DNS del dominio MAIL FROM personalizzato.
+ Il dominio nell'indirizzo From dell'intestazione dell'email deve essere allineato (corrispondere) al dominio o a un sottodominio di, specificato nell'indirizzo MAIL FROM. Per ottenere l'allineamento SPF con SES, la politica DMARC del dominio non deve specificare una politica SPF rigorosa (aspf=s).
Per rispettare questi requisiti, completa le fasi seguenti:
+ Configura un dominio MAIL FROM personalizzato completando le procedure in [Uso di un dominio MAIL FROM personalizzato](mail-from.md).
+ Assicurati che il dominio mittente usi una policy flessibile per SPF. Se non hai modificato l'allineamento delle politiche del tuo dominio, per impostazione predefinita utilizza una politica semplificata, così come SES.
**Nota**
Puoi determinare l'allineamento DMARC del dominio per SPF digitando il comando seguente nella riga di comando, sostituendo `example.com` con il tuo dominio:
```
dig TXT _dmarc.example.com
```
Nell'output del comando, in **Non-authoritative answer (Risposta non autorevole)** cerca un record che inizia con `v=DMARC1`. Se il record include la stringa `aspf=r` oppure se la stringa `aspf` non è presente, il dominio usa l'allineamento flessibile per SPF. Se il record include la stringa `aspf=s`, il dominio usa l'allineamento rigoroso per SPF. L'amministratore di sistema dovrà rimuovere questo tag dal record TXT DMARC nella configurazione DNS del dominio.
In alternativa, puoi utilizzare uno strumento di ricerca DMARC basato sul web, come DMARC [Inspector](https://dmarcian.com/dmarc-inspector/) dal sito dmarcian o lo strumento [DMARC Check Tool](https://mxtoolbox.com/dmarc.aspx) dal sito Web, per determinare l'allineamento delle politiche del tuo dominio per SPF. MxToolBox
## Conformità a DMARC tramite DKIM
Affinché un'e-mail sia conforme a DMARC in base a DKIM, è necessario soddisfare le condizioni seguenti:
+ Il messaggio deve avere una firma DKIM valida e superare il controllo DKIM.
+ Il dominio specificato nella firma DKIM deve essere allineato (corrispondere) al dominio nell'indirizzo From. Se la politica DMARC del dominio specifica un allineamento rigoroso per DKIM, questi domini devono corrispondere esattamente (SES utilizza una politica DKIM rigorosa per impostazione predefinita).
Per rispettare questi requisiti, completa le fasi seguenti:
+ Configura Easy DKIM completando le procedure in [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md). Quando usi Easy DKIM, Amazon SES firma automaticamente le e-mail.
**Nota**
Se non vuoi usare Easy DKIM, puoi anche [firmare manualmente i messaggi](send-email-authentication-dkim-manual.md). Se scegli di farlo, fai tuttavia molta attenzione, perché Amazon SES non convalida la firma DKIM creata. Per questo motivo, consigliamo di usare Easy DKIM.
+ Assicurati che il dominio specificato nella firma DKIM sia allineato al dominio nell'indirizzo From. Oppure, se invii da un sottodominio del dominio nell'indirizzo From, assicurati che la tua politica DMARC sia impostata su un allineamento rilassato.
**Nota**
Puoi determinare l'allineamento DMARC del dominio per DKIM digitando il comando seguente nella riga di comando, sostituendo `example.com` con il tuo dominio:
```
dig TXT _dmarc.example.com
```
Nell'output del comando, in **Non-authoritative answer (Risposta non autorevole)** cerca un record che inizia con `v=DMARC1`. Se il record include la stringa `adkim=r` oppure se la stringa `adkim` non è presente, il dominio usa l'allineamento flessibile per DKIM. Se il record include la stringa `adkim=s`, il dominio usa l'allineamento rigoroso per DKIM. L'amministratore di sistema dovrà rimuovere questo tag dal record TXT DMARC nella configurazione DNS del dominio.
In alternativa, puoi utilizzare uno strumento di ricerca DMARC basato sul web, come DMARC [Inspector](https://dmarcian.com/dmarc-inspector/) dal sito dmarcian o lo strumento [DMARC Check Tool dal sito Web, per determinare l'allineamento delle politiche del tuo dominio per DKIM](https://mxtoolbox.com/dmarc.aspx). MxToolBox
# Utilizzo di BIMI in Amazon SES
Brand Indicators for Message Identification (BIMI) è una specifica e-mail che consente alle caselle di posta in arrivo di visualizzare il logo di un marchio accanto ai messaggi e-mail autenticati del marchio all'interno dei client e-mail di supporto.
BIMI è una specifica e-mail direttamente collegata all'autenticazione, ma non è un protocollo di autenticazione e-mail autonomo in quanto richiede che tutte le e-mail siano conformi all'autenticazione [DMARC](send-email-authentication-dmarc.md).
Sebbene BIMI richieda DMARC, DMARC richiede che il tuo dominio abbia record SPF o DKIM da allineare, ma è meglio includere sia i record SPF che DKIM per una maggiore sicurezza e perché alcuni provider di servizi di posta elettronica () richiedono entrambi quando usano BIMI. ESPs Nella sezione seguente vengono illustrati i passaggi per implementare BIMI in Amazon SES.
## Configurazione di BIMI in SES
Puoi configurare BIMI per un dominio e-mail di tua proprietà, in SES, che è noto come dominio MAIL FROM *personalizzato*. Dopo che è stato configurato, tutti i messaggi inviati da tale dominio visualizzeranno il logo BIMI nei [client e-mail che supportano BIMI](https://bimigroup.org/bimi-infographic/).
Per consentire alle e-mail di visualizzare un logo BIMI è necessario che SES contenga alcuni prerequisiti: nella procedura seguente, questi prerequisiti vengono generalizzati e fanno riferimento a sezioni dedicate che trattano questi argomenti in dettaglio. I passaggi specifici di BIMI e la relativa configurazione in SES saranno descritti in dettaglio qui.
**Per configurare BIMI su un dominio MAIL FROM personalizzato**
1. È necessario disporre di un dominio MAIL FROM personalizzato configurato in SES con record SPF (tipo TXT) e MX pubblicati per tale dominio. Se non disponi di un dominio MAIL FROM personalizzato o desideri crearne uno nuovo per il tuo logo BIMI, consultare [Uso di un dominio MAIL FROM personalizzato](mail-from.md).
1. Configura il tuo dominio con Easy DKIM. Consultare [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md).
1. Configura il tuo dominio con DMARC pubblicando un record TXT con il tuo provider DNS con le seguenti specifiche della politica di applicazione richieste per BIMI, simili a uno dei due esempi:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-bimi.html)
Nell’esempio di policy DMARC precedente come richiesto per BIMI:
+ `example.com` deve essere sostituito con il nome di dominio o sottodominio.
+ Il valore `p=` può essere:
+ *quarantine* con un valore *pct* impostato su *100* come mostrato, oppure
+ *reject* come mostrato.
+ Se stai eseguendo l’invio da un sottodominio, BIMI richiede che anche il dominio padre disponga di questa policy di applicazione. I sottodomini ricadono nella policy del dominio padre. Tuttavia, se aggiungi un record DMARC per il sottodominio oltre a quello pubblicato per il dominio padre, anche il sottodominio deve avere la stessa policy di applicazione affinché sia idoneo per BIMI.
+ Se non hai mai impostato una policy DMARC per il dominio, consulta [Conformità al protocollo di autenticazione DMARC in Amazon SES](send-email-authentication-dmarc.md) per assicurati di utilizzare solo i valori della policy DMARC specifici per BIMI, come mostrato.
1. Producete il vostro logo BIMI come `.svg` file SVG (Scalable Vector Graphics): il profilo SVG specifico richiesto da BIMI è definito come SVG (SVG P/S). Portable/Secure Affinché possa essere visualizzato nel client e-mail, il logo deve essere esattamente conforme a queste specifiche. Consultare le istruzioni di [BIMI Group](https://bimigroup.org/) sulla [creazione di file di logo SVG](https://bimigroup.org/creating-bimi-svg-logo-files/) e gli [strumenti di conversione SVG](https://bimigroup.org/svg-conversion-tools-released/) consigliati.
1. (Facoltativo) Ottieni un Verified Mark Certificate (VMC). Alcuni ESPs, come Gmail e Apple, richiedono un VMC per dimostrare che possiedi il marchio e il contenuto del tuo logo BIMI. Sebbene questo non sia un requisito per implementare BIMI sul dominio, il logo BIMI non verrà visualizzato nel client e-mail se l'ESP a cui si invia la posta impone la conformità VMC. Consultare i riferimenti del BIMI Group alle [autorità di certificazione dei partecipanti](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) per ottenere un VMC per il logo.
1. Ospitare il file SVG del logo BIMI su un server a cui si ha accesso rendendolo accessibile pubblicamente tramite HTTPS. Ad esempio, è possibile caricarlo su un [bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html).
1. Crea e pubblica un record DNS BIMI che include un URL al tuo logo. Quando un [ESP che supporta BIMI](https://bimigroup.org/bimi-infographic/) controlla il record DMARC, cercherà anche un record BIMI contenente l'URL per il file `.svg` del logo e, se configurato, l'URL per il file `.pem` del VMC. Se i record corrispondono, il logo BIMI verrà visualizzato.
Configura il dominio con BIMI pubblicando un record TXT con il provider DNS con i seguenti valori, come mostrato: l'invio da un dominio è rappresentato nel primo esempio; l'invio da un sottodominio è rappresentato nel secondo esempio:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/send-email-authentication-bimi.html)
Negli esempi di record BIMI precedenti:
+ Il valore del nome deve specificare letteralmente `default._bimi.` come un sottodominio di `example.com` o `marketing.example.com` che deve essere sostituito con il nome del dominio o del sottodominio.
+ Il valore `v=` è la *versione* del record BIMI.
+ Il valore `l=` è il *logo* che rappresenta l'URL che punta al file `.svg` dell'immagine.
+ Il valore `a=` è l’*autorità* che rappresenta l'URL che punta al file `.pem` del certificato.
Puoi convalidare il record BIMI con uno strumento come il [BIMI Inspector](https://bimigroup.org/bimi-generator/) del BIMI Group.
Il passaggio finale di questo processo consiste nell'avere uno schema di invio regolare ESPs che supporti il posizionamento del logo BIMI. Il tuo dominio dovrebbe avere una cadenza di consegna regolare e dovrebbe avere una buona reputazione con il destinatario a ESPs cui stai inviando. Il posizionamento del logo BIMI potrebbe richiedere del tempo prima che venga compilato ESPs laddove non hai una reputazione consolidata o una cadenza di invio.
Ulteriori informazioni e risorse relative a BIMI sono disponibili tramite l'organizzazione [BIMI Group](https://bimigroup.org/).
# Impostazione delle notifiche degli eventi per Amazon SES
Per inviare e-mail utilizzando Amazon SES, devi disporre di un sistema per la gestione di mancati recapiti e reclami. Amazon SES può effettuare la notifica degli eventi di mancata recapito o reclamo in tre modi: inviando una notifica e-mail, notificando un argomento Amazon SNS o pubblicando eventi di invio. Questa sezione contiene informazioni sulla configurazione di Amazon SES per l'invio di alcuni tipi di notifiche via e-mail o mediante notifica di un argomento Amazon SNS. Per ulteriori informazioni sulla pubblicazione di eventi, consulta l'argomento [Monitoraggio dell'invio di e-mail utilizzando la pubblicazione di eventi di Amazon SES](monitor-using-event-publishing.md).
Puoi impostare le notifiche tramite la console Amazon SES o l'API Amazon SES.
**Topics**
+ [Considerazioni importanti](#monitor-sending-activity-using-notifications-considerations)
+ [Ricezione delle notifiche Amazon SES tramite e-mail](monitor-sending-activity-using-notifications-email.md)
+ [Ricezione di notifiche Amazon SES di Amazon utilizzando Amazon SNS](monitor-sending-activity-using-notifications-sns.md)
## Considerazioni importanti
Vi sono diversi punti importanti da considerare quando configuri Amazon SES per l'invio di notifiche:
+ Le e-mail e le notifiche Amazon SNS si applicano alle identità individuali, ossia gli indirizzi e-mail o i domini verificati che utilizzi per inviare e-mail. Quando abiliti le notifiche per un'identità, Amazon SES invia notifiche solo per le e-mail inviate da quell'identità e solo nella AWS regione in cui hai configurato le notifiche.
+ Devi abilitare un metodo per la ricezione delle notifiche di mancato recapito e reclamo. Puoi inviare notifiche per il dominio o l'indirizzo e-mail che ha generato il mancato recapito o il reclamo a un argomento Amazon SNS. Puoi anche utilizzare la [pubblicazione di eventi](monitor-using-event-publishing.md) per inviare notifiche su diversi tipi di eventi (inclusi rimbalzi, reclami, consegne e altro) a un argomento Amazon SNS o a uno stream Firehose.
Se non configuri uno di questi metodi per la ricezione delle notifiche di mancato recapito e reclamo, Amazon SES inoltra automaticamente le notifiche di mancato recapito e reclamo all'indirizzo del percorso di ritorno (o indirizzo di origine, se non hai specificato un percorso di ritorno) delle e-mail che hanno generato l'evento di mancato recapito o reclamo, anche nel caso in cui fosse disabilitato l'inoltro di feedback e-mail.
Se disabiliti l'inoltro di feedback e-mail e abiliti la pubblicazione di eventi, devi applicare il set di configurazione che contiene la regola di pubblicazione dell'evento a tutte le e-mail inviate. In questo caso, se non utilizzi il set di configurazione, Amazon SES inoltra automaticamente le notifiche di mancato recapito e reclamo all'indirizzo del percorso di ritorno o di origine delle e-mail che hanno generato l'evento di mancato recapito o reclamo.
+ Se configuri Amazon SES per l'invio degli eventi di mancato recapito e reclamo usando più di un metodo (ad esempio inviando notifiche via e-mail e utilizzando la pubblicazione di eventi), potresti ricevere più di una notifica per lo stesso evento.
# Ricezione delle notifiche Amazon SES tramite e-mail
Amazon SES può inviarti e-mail in caso di mancati recapiti e reclami utilizzando un processo denominato *inoltro di feedback via e-mail*.
Per inviare e-mail usando Amazon SES, devi configurarlo per l'invio delle notifiche di mancato recapito e reclamo utilizzando uno dei seguenti metodi:
+ abilitando l'inoltro di feedback via e-mail; La procedura per la configurazione di questo tipo di notifica è incluso in questa sezione;
+ inviando notifiche a un argomento Amazon SNS. Per ulteriori informazioni, consulta [Ricezione di notifiche Amazon SES di Amazon utilizzando Amazon SNS](monitor-sending-activity-using-notifications-sns.md).
+ pubblicando le notifiche dell'evento. Per ulteriori informazioni, consulta [Monitoraggio dell'invio di e-mail utilizzando la pubblicazione di eventi di Amazon SES](monitor-using-event-publishing.md).
**Importante**
Per diversi punti importanti sulle notifiche, consulta [Impostazione delle notifiche degli eventi per Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [abilitando l'inoltro di feedback via e-mail;](#monitor-sending-activity-using-notifications-email-enabling)
+ [Disabilitazione dell'inoltro di feedback via e-mail](#monitor-sending-activity-using-notifications-email-disabling)
+ [Destinazione dell'inoltro di feedback via e-mail](#monitor-sending-activity-using-notifications-email-destination)
## abilitando l'inoltro di feedback via e-mail;
L'inoltro di feedback via e-mail è abilitato per impostazione predefinita. Se in precedenza lo hai disabilitato, puoi abilitarlo seguendo le procedure in questa sezione.
**Abilitazione dell'inoltro di mancati recapiti e reclami tramite e-mail utilizzando la console Amazon SES**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco degli indirizzi e-mail e domini verificati, scegli l'indirizzo e-mail o il dominio per il quale desideri configurare le notifiche di mancato recapito e reclamo.
1. Nel pannello dei dettagli espandi la sezione **Notifications** (Notifiche).
1. Scegli **Edit Configuration** (Modifica configurazione).
1. In **Email Feedback Forwarding** (Inoltro feedback via e-mail), scegli **Enabled** (Abilitato).
**Nota**
Potrebbero trascorrere alcuni minuti affinché le modifiche apportate alle impostazioni in questa pagina diventino effettive.
Puoi anche abilitare le notifiche di rimbalzi e reclami tramite e-mail utilizzando l'operazione [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Disabilitazione dell'inoltro di feedback via e-mail
Se configuri un metodo diverso per ottenere notifiche di mancato recapito e reclamo, puoi disattivare l'inoltro di feedback via e-mail, in modo da non ricevere più notifiche quando si verifica un evento di mancato recapito o reclamo.
**Disabilitazione dell'inoltro di mancati recapiti e reclami tramite e-mail utilizzando la console Amazon SES**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco degli indirizzi e-mail e domini verificati, scegli l'indirizzo e-mail o il dominio per il quale desideri configurare le notifiche di mancato recapito e reclamo.
1. Nel pannello dei dettagli espandi la sezione **Notifications** (Notifiche).
1. Scegli **Edit Configuration** (Modifica configurazione).
1. In **Email Feedback Forwarding** (Inoltro feedback via e-mail), scegli **Disabled** (Disabilitato).
**Nota**
Devi configurare un metodo di ricezione delle notifiche di mancato recapito e reclamo per inviare e-mail tramite Amazon SES. [Se disabiliti l'inoltro del feedback via e-mail, devi abilitare le notifiche inviate da Amazon SNS o pubblicare eventi di rimbalzo e reclamo su un argomento di Amazon SNS o uno stream Firehose utilizzando la pubblicazione di eventi.](monitor-using-event-publishing.md) Se usi la pubblicazione di eventi, devi inoltre applicare il set di configurazione che contiene la regola di pubblicazione dell'evento per ogni e-mail inviata. Se non configuri un metodo per la ricezione delle notifiche di mancato recapito e reclamo, Amazon SES inoltra automaticamente le notifiche di mancato recapito e reclamo all'indirizzo indicato nel campo del percorso di ritorno (o nel campo dell'indirizzo di origine, se non hai specificato un percorso di ritorno) del messaggio che ha generato l'evento di mancato recapito o reclamo. In questo caso, Amazon SES inoltra notifiche di mancato recapito e reclamo anche se hai disabilitato le notifiche di feedback.
1. Scegli **Save Config** (Salva configurazione) per salvare la tua configurazione delle notifiche.
**Nota**
Potrebbero volerci alcuni minuti affinché le modifiche apportate alle impostazioni in questa pagina diventino effettive.
Puoi anche disabilitare le notifiche di rimbalzi e reclami tramite e-mail utilizzando l'operazione API. [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
## Destinazione dell'inoltro di feedback via e-mail
Quando ricevi una notifica tramite e-mail, Amazon SES riscrive l'intestazione `From` e ti invia la notifica. L'indirizzo a cui Amazon SES inoltra la notifica dipende dal modo in cui hai inviato il messaggio originale.
Se per inviare il messaggio hai utilizzato l'interfaccia SMTP, le notifiche vengono consegnate in base alle seguenti regole:
+ Se hai specificato un'intestazione `Return-Path` nella sezione `SMTP DATA`, allora le notifiche arrivano a quell'indirizzo.
+ In caso contrario, le notifiche vengono inviate all'indirizzo specificato quando è stato emesso il comando MAIL FROM.
Se per inviare il messaggio hai utilizzato l'operazione API `SendEmail`, le notifiche vengono consegnate in base alle seguenti regole:
+ Se hai specificato il parametro opzionale `ReturnPath` nella chiamata all'API `SendEmail`, le notifiche arrivano a quell'indirizzo.
+ In caso contrario, le notifiche arrivano all'indirizzo specificato nel parametro obbligatorio `Source` di `SendEmail`.
Se per inviare il messaggio hai utilizzato l'operazione API `SendRawEmail`, le notifiche vengono consegnate in base alle seguenti regole:
+ Se hai specificato un'intestazione `Return-Path` nel messaggio RAW, le notifiche arrivano a quell'indirizzo.
+ Se hai specificato il parametro `Source` nella chiamata all'API `SendRawEmail`, le notifiche arrivano a quell'indirizzo.
+ In caso contrario, le notifiche arrivano all'indirizzo specificato nell'intestazione `From` del messaggio in formato RAW.
**Nota**
Quando specifichi un indirizzo `Return-Path` in un'e-mail, ricevi le notifiche a quell'indirizzo. Tuttavia, la versione del messaggio ricevuto dal destinatario contiene un'intestazione `Return-Path` che include un indirizzo e-mail anonimo (ad esempio *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*). Questa perdita di identità avviene indipendentemente dal modo in cui è stata inviata l'e-mail.
# Ricezione di notifiche Amazon SES di Amazon utilizzando Amazon SNS
Puoi configurare Amazon SES per notificare un argomento Amazon SNS quando ricevi messaggi non recapitati o reclami oppure quando le e-mail vengono consegnate. Le notifiche di Amazon SNS sono in formato [JavaScript Object Notation (JSON)](http://www.json.org), che consente di elaborarle a livello di codice.
Per inviare e-mail usando Amazon SES, devi configurarlo per l'invio delle notifiche di mancato recapito e reclamo utilizzando uno dei seguenti metodi:
+ inviando notifiche a un argomento Amazon SNS. La procedura per la configurazione di questo tipo di notifica è incluso in questa sezione;
+ abilitando l'inoltro di feedback via e-mail; Per ulteriori informazioni, consulta [Ricezione delle notifiche Amazon SES tramite e-mail](monitor-sending-activity-using-notifications-email.md).
+ pubblicando le notifiche dell'evento. Per ulteriori informazioni, consulta [Monitoraggio dell'invio di e-mail utilizzando la pubblicazione di eventi di Amazon SES](monitor-using-event-publishing.md).
**Importante**
Per informazioni importanti sulle notifiche, consulta [Impostazione delle notifiche degli eventi per Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Configurazione delle notifiche Amazon SNS per Amazon SES](configure-sns-notifications.md)
+ [Contenuti delle notifiche Amazon SNS per Amazon SES](notification-contents.md)
+ [Esempi delle notifiche Amazon SNS per Amazon SES](notification-examples.md)
# Configurazione delle notifiche Amazon SNS per Amazon SES
Amazon SES può notificarti i tuoi mancati recapiti, i tuoi reclami e i messaggi recapitati tramite [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns).
È possibile configurare le notifiche nella console Amazon SES oppure usando l'API Amazon SES.
**Topics**
+ [Prerequisiti](#configure-feedback-notifications-prerequisites)
+ [Configurazione di notifiche tramite la console Amazon SES](#configure-feedback-notifications-console)
+ [Configurazione di notifiche tramite l'API Amazon SES](#configure-feedback-notifications-api)
+ [Risoluzione dei problemi relativi alle notifiche di feedback](#configure-feedback-notifications-troubleshooting)
## Prerequisiti
Completa le fasi seguenti prima di configurare le notifiche Amazon SNS in Amazon SES:
1. Crea un argomento in Amazon SNS. Per ulteriori informazioni, consulta la pagina [Creazione di un argomento](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
**Importante**
Quando crei il tuo argomento utilizzando Amazon SNS, per **Type** (Tipo), scegli solo **Standard**. (SES non supporta argomenti di tipo FIFO).
Sia che crei un nuovo argomento SNS o ne selezioni uno esistente, è necessario concedere l'accesso a SES per pubblicare le notifiche sull'argomento.
Per concedere ad Amazon SES l'autorizzazione a pubblicare notifiche nell'argomento, nella schermata **Edit topic** (Modifica argomento) della console SNS, espandi **Access policy** (Policy di accesso) e in **JSON editor** (Editor JSON), aggiungi la policy di autorizzazione che segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
Nel precedente esempio di policy, apporta le modifiche seguenti:
+ *topic\$1region*Sostituiscilo con la AWS regione in cui hai creato l'argomento SNS.
+ Sostituisci *111122223333* con il tuo ID account AWS .
+ *topic\$1name*Sostituiscilo con il nome del tuo argomento SNS.
+ Sostituisci *identity\$1name* con l'identità verificata (indirizzo email o dominio) con cui ti stai abbonando all'argomento SNS.
1. Effettua la sottoscrizione di almeno un endpoint per l'argomento. Se, ad esempio, desideri ricevere notifiche tramite messaggio di testo, effettua la sottoscrizione di un endpoint SMS, ovvero un numero di telefono cellulare, per l'argomento. Per ricevere le notifiche tramite e-mail, effettua la sottoscrizione di un endpoint e-mail (un indirizzo e-mail) per l'argomento.
Per ulteriori informazioni, consulta [Nozioni di base](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
1. (Facoltativo) Se il tuo argomento Amazon SNS utilizza AWS Key Management Service (AWS KMS) per la crittografia lato server, devi aggiungere le autorizzazioni alla policy chiave. AWS KMS Puoi aggiungere autorizzazioni allegando la seguente politica alla politica chiave: AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Configurazione di notifiche tramite la console Amazon SES
**Configurazione delle notifiche tramite la console Amazon SES**
1. Apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel container **Identities (Identità)**, seleziona l'identità verificata per cui desideri ricevere notifiche di feedback in caso di mancato recapito, reclamo o consegna dei messaggi inviati.
**Importante**
Le impostazioni di notifica dei domini verificati si applicano a tutte le e-mail inviate dagli indirizzi in tale dominio *ad eccezione* degli indirizzi e-mail che sono anch'essi verificati.
1. Nella schermata dei dettagli dell'identità verificata selezionata, scegli la scheda **Notifications (Notifiche)** e seleziona **Edit (Modifica)** nel container **Feedback notifications (Notifiche di feedback)**.
1. Espandi la casella dell'elenco di argomenti SNS di ogni tipo di feedback per cui desideri ricevere notifiche e seleziona un argomento SNS di cui sei proprietario, **No SNS topic (Nessun argomento SNS)** o **SNS topic you don't own (Argomento SNS che non possiedi)**.
1. Se scegli **SNS topic you don't own (Argomento SNS che non possiedi)**, verrà visualizzato il campo **SNS topic ARN (ARN dell'argomento SNS)**, in cui devi inserire l'ARN dell'argomento SNS condiviso con te dal mittente delegato. Solo il mittente delegato riceverà queste notifiche, perché è proprietario dell'argomento SNS. Per ulteriori informazioni sull'invio di delegati, consulta [Panoramica dell'autorizzazione di invio](sending-authorization-overview.md).)
**Importante**
Gli argomenti di Amazon SNS utilizzati per le notifiche di respingimento, reclamo e consegna devono essere gli stessi in Regione AWS cui utilizzi Amazon SES.
Inoltre, è necessario sottoscrivere uno o più endpoint all'argomento per ricevere le notifiche. Se, ad esempio, desideri ricevere le notifiche a un indirizzo e-mail, devi effettuare la sottoscrizione di un endpoint e-mail all'argomento. Per ulteriori informazioni, consulta [Nozioni di base](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
1. (Facoltativo) Se desideri che la notifica dell'argomento includa le intestazioni dall'e-mail originale, seleziona la casella **Include original email headers (Includi intestazioni e-mail originali)** direttamente sotto il nome dell'argomento SNS di ogni tipo di feedback. Questa opzione è disponibile solo se hai assegnato un argomento Amazon SNS al tipo di notifica associato. Per informazioni sui contenuti delle intestazioni e-mail originali, consulta l'oggetto `mail` in [Contenuti delle notifiche](notification-contents.md).
1. Scegli **Save changes** (Salva modifiche). Potrebbero essere necessari alcuni minuti perché le modifiche apportate alle impostazioni di notifica diventino effettive.
1. (Facoltativo) Se scegli di abilitare le notifiche dell'argomento Amazon SNS sia per i mancati recapiti che per i reclami, puoi disabilitare completamente le notifiche e-mail in modo da non riceverle tramite entrambi i canali. Per disabilitare le notifiche e-mail per mancati recapiti e reclami, nella scheda **Notifications (Notifiche)** della schermata dei dettagli dell'identità verificata, vai al container **Email Feedback Forwarding (Inoltro feedback e-mail)**, scegli **Edit (Modifica)**, deseleziona la casella **Enabled (Abilitato)** e scegli **Save changes (Salva modifiche)**.
Dopo aver configurato le impostazioni, inizierai a ricevere le notifiche di mancato recapito, reclamo e/o consegna per l'argomento o gli argomenti Amazon SNS. Queste notifiche sono in formato JavaScript Object Notation (JSON) e seguono la struttura descritta in. [Contenuti delle notifiche](notification-contents.md)
Per le notifiche di mancato recapito, reclamo e consegna ti verranno addebitate le tariffe standard di Amazon SNS. Per ulteriori informazioni, consulta la pagina dei [prezzi di Amazon SNS](https://aws.amazon.com/sns/pricing).
**Nota**
Se un tentativo di pubblicazione sul tuo argomento Amazon SNS fallisce perché l'argomento è stato eliminato o Account AWS non disponi più delle autorizzazioni per pubblicarlo, Amazon SES rimuove la configurazione per quell'argomento se è stato configurato per rimbalzi o reclami (non consegne: per le notifiche di consegna, SES non eliminerà l'impostazione di configurazione dell'argomento SNS). Inoltre, Amazon SES abilita nuovamente le notifiche e-mail di mancato recapito e reclamo per l'identità e riceverai una notifica della modifica tramite e-mail. Se sono configurate più identità per utilizzare l'argomento, la configurazione dell'argomento per ogni identità viene modificata quando in ogni identità si verifica un errore di pubblicazione nell'argomento.
## Configurazione di notifiche tramite l'API Amazon SES
È anche possibile configurare le notifiche di mancato recapito, reclamo e consegna usando l'API Amazon SES. Per configurare le notifiche, usa le operazioni seguenti:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
Puoi usare queste operazioni dell'API per scrivere un'applicazione front-end personalizzata per le notifiche. Per una descrizione completa delle operazioni dell'API correlate alla verifica del dominio, consulta la [Documentazione di riferimento dell'API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
## Risoluzione dei problemi relativi alle notifiche di feedback
**Nessuna notifica ricevuta**
Se non ricevi notifiche, assicurati di aver sottoscritto un endpoint all'argomento a cui vengono inviate le notifiche. Quando effettui la sottoscrizione di un endpoint e-mail a un argomento, ricevi un’e-mail con la conferma di sottoscrizione. Devi confermare la sottoscrizione prima di iniziare a ricevere le notifiche e-mail. Per ulteriori informazioni, consulta [Nozioni di base](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
**Errore `InvalidParameterValue` durante la scelta di un argomento**
Se ricevi un errore che indica `InvalidParameterValue`, controlla l'argomento Amazon SNS per vedere se è crittografato utilizzando AWS KMS. Se lo è, devi modificare la politica della chiave. AWS KMS Consulta [Prerequisiti](#configure-feedback-notifications-prerequisites) per una policy di esempio.
# Contenuti delle notifiche Amazon SNS per Amazon SES
Le notifiche di rimbalzo, reclamo e consegna vengono pubblicate JavaScript negli argomenti di [Amazon Simple Notification Service (Amazon](https://aws.amazon.com/sns) SNS) in formato Object Notation (JSON). L'oggetto JSON di primo livello contiene una stringa `notificationType`, un oggetto `mail` e un oggetto `bounce`, `complaint` o `delivery`.
Consulta le seguenti sezioni per la descrizione dei diversi tipi di oggetti:
+ [Oggetto JSON di primo livello](#top-level-json-object)
+ [Oggetto `mail`](#mail-object)
+ [Oggetto `bounce`](#bounce-object)
+ [Oggetto `complaint`](#complaint-object)
+ [Oggetto `delivery`](#delivery-object)
Di seguito sono elencate alcune note importanti sui contenuti delle notifiche Amazon SNS per Amazon SES:
+ Per un determinato tipo di notifica, puoi ricevere una notifica Amazon SNS per più destinatari oppure una singola notifica Amazon SNS per ogni destinatario. Il codice dovrebbe essere in grado di analizzare la notifica di Amazon SNS e gestire entrambi i casi; SES non fornisce garanzie di ordinazione o batch per le notifiche inviate tramite Amazon SNS. Tuttavia, diversi tipi di notifica Amazon SNS (ad esempio, messaggi non recapitati e reclami) non saranno mai combinati in un'unica notifica.
+ Puoi ricevere più tipi di notifica Amazon SNS per un destinatario. Ad esempio, il server di posta ricevente potrebbe accettare l'e-mail (attivando una notifica di consegna), ma dopo l'elaborazione dell'e-mail potrebbe determinare che si tratta in realtà di un mancato recapito e attivare una notifica di mancato recapito. Tuttavia, queste saranno sempre notifiche separate perché si tratta di diversi tipi di notifica.
+ SES si riserva il diritto di aggiungere campi aggiuntivi alle notifiche. Per questo motivo, le applicazioni che analizzano tali notifiche devono essere sufficientemente flessibili per gestire campi sconosciuti.
+ SES sovrascrive le intestazioni del messaggio quando invia l'e-mail. Puoi recuperare le intestazioni del messaggio originale dai campi `headers` e `commonHeaders` dell'oggetto `mail`.
## Oggetto JSON di primo livello
L'oggetto JSON di primo livello in una notifica SES contiene i seguenti campi.
| Nome campo | Description |
| --- | --- |
| notificationType | Una stringa che contiene il tipo di notifica rappresentato dall'oggetto JSON. I valori possibili sono `Bounce`, `Complaint` o `Delivery`. Se [configuri la pubblicazione di eventi](monitor-sending-using-event-publishing-setup.md), questo campo è denominato `eventType`. |
| mail | Un oggetto JSON che contiene informazioni sull'e-mail originale a cui la notifica è correlata. Per ulteriori informazioni, consulta [Oggetto mail](#mail-object). |
| bounce | Questo campo è presente solo se `notificationType` è `Bounce` e contiene un oggetto JSON che contiene informazioni sul mancato recapito. Per ulteriori informazioni, consulta [Oggetto del mancato recapito](#bounce-object). |
| complaint | Questo campo è presente solo se `notificationType` è `Complaint` e contiene un oggetto JSON che contiene informazioni sul reclamo. Per ulteriori informazioni, consulta [Oggetto del reclamo](#complaint-object). |
| delivery | Questo campo è presente solo se `notificationType` è `Delivery` e contiene un oggetto JSON che contiene informazioni sulla consegna. Per ulteriori informazioni, consulta [Oggetto di consegna](#delivery-object). |
## Oggetto mail
Ogni notifica di mancato recapito, reclamo o consegna contiene informazioni sull'e-mail originale nell'oggetto `mail`. L'oggetto JSON che contiene informazioni su un oggetto `mail` include i campi riportati di seguito.
| Nome campo | Description |
| --- | --- |
| timestamp | L'ora in cui è stato inviato il messaggio originale (in ISO8601 formato). |
| messageId | Un ID univoco assegnato da SES al messaggio. SES ti ha restituito questo valore quando hai inviato il messaggio. Questo ID del messaggio è stato assegnato da SES. Puoi trovare l'ID messaggio dell'e-mail originale nei campi `headers` dell'oggetto `mail`. |
| source | L'indirizzo e-mail da cui il messaggio originale è stato inviato (indirizzo MAIL FROM della busta). |
| sourceArn | L'Amazon Resource Name (ARN) dell'identità utilizzata per inviare l'e-mail. Nel caso di autorizzazione all'invio, `sourceArn` è l'ARN dell'identità che il mittente delegato è stato autorizzato a utilizzare dal proprietario dell'identità per inviare l'e-mail. Per ulteriori informazioni sull'autorizzazione all'invio, consulta [Metodi di autenticazione delle e-mailUso dell'autorizzazione di invio](sending-authorization.md). |
| sourceIp | L'indirizzo IP pubblico di origine del client che ha eseguito la richiesta di invio di e-mail a SES. |
| sendingAccountId | L' Account AWS ID dell'account utilizzato per inviare l'e-mail. Nel caso di autorizzazione all'invio, `sendingAccountId` è l'ID account del mittente delegato. |
| callerIdentity | L'identità IAM dell'utente SES che ha inviato l'e-mail. |
| destination | Un elenco degli indirizzi e-mail destinatari della posta originale. |
| headersTruncated | Questo oggetto è presente solo se hai configurato le impostazioni di notifica affinché le stesse includano le intestazioni dall'e-mail originale. Indica se le intestazioni vengono troncate nella notifica. SES tronca le intestazioni della notifica quando le intestazioni del messaggio originale hanno una dimensione pari o superiore a 10 KB. I valori possibili sono `true` e `false`. |
| headers | Questo oggetto è presente solo se hai configurato le impostazioni di notifica affinché le stesse includano le intestazioni dall'e-mail originale. Un elenco delle intestazioni originali dell'e-mail. Ogni intestazione nell'elenco include un campo `name` e un campo `value`. Qualsiasi ID di messaggio all'interno dell'`headers`oggetto proviene dal messaggio originale passato a SES. L'ID del messaggio che SES ha successivamente assegnato al messaggio si trova nel `messageId` campo dell'`mail`oggetto. |
| commonHeaders | Questo oggetto è presente solo se hai configurato le impostazioni di notifica affinché le stesse includano le intestazioni dall'e-mail originale. Include informazioni sulle intestazioni delle e-mail più comuni provenienti dall'e-mail originale, compresi i campi Da, A e Oggetto. Nell'ambito di questo oggetto, ogni intestazione rappresenta una chiave. I campi Da e A sono rappresentati da array che possono contenere più valori. Per gli eventi, qualsiasi ID messaggio all’interno del campo `commonHeaders` è quello che Amazon SES ha successivamente assegnato al messaggio nel campo `messageId` dell'oggetto mail. Le notifiche conterranno l'ID del messaggio dell'e-mail originale. |
Di seguito è riportato un esempio di un oggetto `mail` che include le intestazioni dell'e-mail originale. Quando questo tipo di notifica non è configurato per includere le intestazioni dell'e-mail originale, l'oggetto `mail` non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" "
},
{
"name":"To",
"value":"\"Recipient Name\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Mon, 08 Oct 2018 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"Sender Name "
],
"date":"Mon, 08 Oct 2018 14:05:45 +0000",
"to":[
"Recipient Name "
],
"messageId":" custom-message-ID",
"subject":"Message sent using SES"
}
}
```
## Oggetto del mancato recapito
L'oggetto JSON che contiene informazioni sui mancati recapiti dispone dei campi riportati di seguito.
| Nome campo | Description |
| --- | --- |
| bounceType | Il tipo di rimbalzo, come determinato da SES. Per ulteriori informazioni, consulta [Tipi di mancato recapito](#bounce-types). |
| bounceSubType | Il sottotipo di rimbalzo, come determinato da SES. Per ulteriori informazioni, consulta [Tipi di mancato recapito](#bounce-types). |
| bouncedRecipients | Elenco che contiene informazioni sui destinatari della posta originale che non è stata recapitata. Per ulteriori informazioni, consulta [Destinatari del mancato recapito](#bounced-recipients). |
| timestamp | La data e l'ora di invio del rimbalzo (in formato). ISO8601 Tieni presente che questa è l'ora in cui la notifica è stata inviata dall'ISP e non l'ora in cui è stata ricevuta da SES. |
| feedbackId | Un ID univoco per il mancato recapito. |
Se SES è riuscita a contattare la Message Transfer Authority (MTA) remota, è presente anche il seguente campo.
| Nome campo | Description |
| --- | --- |
| remoteMtaIp | L'indirizzo IP dell'MTA a cui SES ha tentato di recapitare l'e-mail. |
Se una notifica sullo stato di consegna è stato associata al mancato recapito, sarà presente anche il campo seguente.
| Nome campo | Description |
| --- | --- |
| reportingMTA | Il valore del campo `Reporting-MTA` nella notifica sullo stato del recapito. Questo è il valore dell'autorità MTA che ha tentato di eseguire l'operazione di consegna, inoltro o gateway descritta nella notifica. |
Di seguito è illustrato un esempio di oggetto `bounce`.
```
{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"status":"5.0.0",
"action":"failed",
"diagnosticCode":"smtp; 550 user unknown",
"emailAddress":"recipient1@example.com"
},
{
"status":"4.0.0",
"action":"delayed",
"emailAddress":"recipient2@example.com"
}
],
"reportingMTA": "example.com",
"timestamp":"2012-05-25T14:59:38.605Z",
"feedbackId":"000001378603176d-5a4b5ad9-6f30-4198-a8c3-b1eb0c270a1d-000000",
"remoteMtaIp":"127.0.2.0"
}
```
### Destinatari del mancato recapito
Una notifica di mancato recapito può riguardare uno o più destinatari. Il campo `bouncedRecipients` contiene un elenco di oggetti, uno per ogni destinatario interessato dalla notifica di mancato recapito e conterrà sempre il campo seguente.
| Nome campo | Description |
| --- | --- |
| emailAddress | L'indirizzo e-mail del destinatario. Se è disponibile una notifica sullo stato di consegna, questo è il valore del campo `Final-Recipient` della notifica. |
Opzionalmente, se una notifica sullo stato di consegna è allegata al mancato recapito, possono essere presenti anche i campi seguenti.
| Nome campo | Description |
| --- | --- |
| action | Il valore del campo `Action` nella notifica sullo stato del recapito. Indica l'operazione eseguita dall'autorità MTA interessata come risultato del tentativo di recapitare il messaggio a questo destinatario. |
| status | Il valore del campo `Status` nella notifica sullo stato del recapito. Questo è il codice di stato indipendente dal trasporto che indica lo stato di consegna del messaggio per ogni destinatario. |
| diagnosticCode | Il codice di stato emesso dall'autorità MTA interessata. Si tratta del valore del campo `Diagnostic-Code` nella notifica sullo stato di consegna. Il campo potrebbe non essere incluso in questa notifica, quindi nemmeno nell'oggetto JSON. |
Di seguito è riportato l'esempio di un oggetto che potrebbe essere incluso nell'elenco `bouncedRecipients`.
```
{
"emailAddress": "recipient@example.com",
"action": "failed",
"status": "5.0.0",
"diagnosticCode": "X-Postfix; unknown user"
}
```
### Tipi di mancato recapito
*L'oggetto bounce contiene un tipo di rimbalzo di`Undetermined`, `Permanent` *(hard) o (soft)*. `Transient`* I tipi di rimbalzo `Permanent` *(duro)* e `Transient` *(morbido)* possono contenere anche uno dei diversi sottotipi di rimbalzo.
Quando ricevi una notifica di rimbalzo con un tipo di rimbalzo `Transient` *(soft)*, potresti essere in grado di inviare messaggi di posta elettronica a quel destinatario in futuro se il problema che ha causato il rimbalzo del messaggio viene risolto.
Quando ricevi una notifica di rimbalzo con un tipo di rimbalzo `Permanent` *(difficile)*, è improbabile che in futuro sarai in grado di inviare email a quel destinatario. Per questo motivo, è consigliabile rimuovere immediatamente dalla tua mailing list il destinatario il cui indirizzo ha determinato il mancato recapito.
**Nota**
Quando si verifica un *soft bounce* (un rimbalzo relativo a un problema temporaneo, ad esempio la casella di posta del destinatario è piena), SES tenta di recapitare l'e-mail per un certo periodo di tempo. Al termine di tale periodo di tempo, se SES non riesce ancora a recapitare l'e-mail, smette di provare.
SES fornisce notifiche per gli hard bounce e per i soft bounce che ha smesso di inviare. Se desideri ricevere una notifica ogni volta che si verifica un soft bounce (e-mail non recapitata), [abilita la pubblicazione degli eventi](monitor-sending-using-event-publishing-setup.md) e configurala per inviare notifiche quando si verificano eventi di ritardo nella consegna.
| bounceType | bounceSubType | Description |
| --- | --- | --- |
| Undetermined | Undetermined | Il provider e-mail del destinatario ha inviato un messaggio di mancato recapito. Il messaggio di rimbalzo non conteneva informazioni sufficienti per consentire a SES di determinare il motivo del rimbalzo. L'e-mail di mancato recapito, inviata all'indirizzo Return-Path nell'intestazione dell'e-mail che ha generato il mancato recapito, potrebbe contenere ulteriori informazioni sul problema che ha determinato il mancato recapito dell'e-mail. |
| Permanent | General | Il provider e-mail del destinatario ha inviato un messaggio di mancato recapito permanente. Se ricevi questo tipo di notifica di mancato recapito (bounce), devi eliminare immediatamente l'indirizzo e-mail del destinatario dalla mailing list. L'invio di messaggi a indirizzi che producono un mancato recapito permanente può avere ripercussioni negative sulla tua reputazione come mittente. Se scegli di continuare a inviare e-mail a indirizzi che generano mancati recapiti permanenti, potremmo sospendere la tua capacità di inviare ulteriori e-mail. Per informazioni, consulta [Utilizzo dell'elenco di eliminazione a livello di account di Amazon SES](sending-email-suppression-list.md). |
| Permanent | NoEmail | Non è stato possibile recuperare l'indirizzo e-mail del destinatario dal messaggio di e-mail non recapitata. |
| Permanent | Suppressed | L'indirizzo e-mail del destinatario è nell'elenco di soppressione di SES perché ha una storia recente di hard bounce. Per sovrascrivere l'elenco di eliminazione globale, consulta [Utilizzo dell'elenco di eliminazione a livello di account di Amazon SES](sending-email-suppression-list.md). |
| Permanent | OnAccountSuppressionList | [SES ha soppresso l'invio a questo indirizzo perché è presente nell'elenco di soppressione a livello di account.](sending-email-suppression-list.md) Ciò non influisce sulla metrica relativa alla frequenza dei mancati recapiti. |
| Permanent | UnsubscribedRecipient | [Questo tipo di rimbalzo si verifica quando il contatto destinatario ha annullato l'iscrizione all'argomento e gli viene inviata un'e-mail utilizzando le opzioni di gestione dell'elenco.](sending-email-list-management.md#configuring-list-management-list-contacts) SES rispetta le preferenze di contatto e non tenta di recapitare. Inoltre, questo rimbalzo non influisce sulla reputazione del mittente poiché non è stato effettuato alcun tentativo di recapito, né il contatto del destinatario viene aggiunto a una lista di soppressione a causa del mancato invio. Si consiglia di iscriversi agli UnsubscribedRecipient eventi per evitare di continuare a inviare messaggi a destinatari non iscritti. Considera. [Utilizzo della gestione degli elenchi](sending-email-list-management.md) La gestione delle liste dovrebbe essere la fonte di verità per la tua lista di iscritti. Dal punto di vista di SES Enforcement, se continui a inviare a destinatari soppressi o non iscritti, avrai la reputazione di non aderire alle migliori pratiche per l'invio di e-mail. |
| Transient | General | Il provider di posta elettronica del destinatario ha inviato un messaggio generico di mancato recapito. Potresti essere in grado di inviare un messaggio allo stesso destinatario in futuro se il problema che ha determinato il messaggio di mancato recapito viene risolto. Se invii un'e-mail a un destinatario che ha una regola di risposta automatica attiva (ad esempio un messaggio di "fuori sede"), potresti ricevere questo tipo di notifica. Anche se la risposta ha un tipo di notifica di`Bounce`, SES non conta le risposte automatiche nel calcolo della frequenza di rimbalzo per il tuo account. |
| Transient | MailboxFull | Il provider di posta elettronica del destinatario ha inviato un messaggio di mancato recapito in quanto la cartella della posta in arrivo del destinatario è piena. Potrai inviare e-mail allo stesso destinatario in futuro quando la casella di posta non sarà più piena. |
| Transient | MessageTooLarge | Il provider di posta elettronica del destinatario ha inviato un messaggio di mancato recapito in quanto il messaggio inviato era troppo grande. Potrai inviare un messaggio al medesimo destinatario riducendo le dimensioni del messaggio. |
| Transient | ContentRejected | Il provider di posta elettronica del destinatario ha inviato un messaggio di mancato recapito in quanto il messaggio inviato presenta contenuti per i quali il provider non consente l'utilizzo. Potrai inviare un messaggio al medesimo destinatario modificando il contenuto del messaggio. |
| Transient | AttachmentRejected | Il provider di posta elettronica del destinatario ha inviato un messaggio di mancato recapito in quanto il messaggio conteneva un allegato inaccettabile. Ad esempio, alcuni provider di posta elettronica potrebbero non accettare messaggi con allegati contenenti un determinato tipo di file ovvero messaggi con allegati di dimensioni molto grandi. Potrai inviare un messaggio al medesimo destinatario rimuovendo o modificando il contenuto dell'allegato. |
## Oggetto del reclamo
L'oggetto JSON che contiene informazioni sui reclami dispone dei campi riportati di seguito.
| Nome campo | Description |
| --- | --- |
| complainedRecipients | Un elenco che contiene informazioni sui destinatari che potrebbero essere responsabili del reclamo. Per ulteriori informazioni, consulta [Destinatari che hanno inviato il reclamo](#complained-recipients). |
| timestamp | La data e l'ora in cui l'ISP ha inviato la notifica di reclamo, in formato ISO 8601. La data e l'ora in questo campo potrebbero non coincidere con la data e l'ora in cui SES ha ricevuto la notifica. |
| feedbackId | ID univoco associato al reclamo. |
| complaintSubType | Il valore del campo `complaintSubType` può essere null o `OnAccountSuppressionList`. Se il valore è`OnAccountSuppressionList`, SES ha accettato il messaggio, ma non ha tentato di inviarlo perché era nell'elenco di [soppressione a livello di account](sending-email-suppression-list.md). |
Inoltre, se un report di feedback è associato al reclamo, potrebbero essere presenti i campi seguenti.
| Nome campo | Description |
| --- | --- |
| userAgent | Il valore del campo `User-Agent` nel report di feedback. Indica il nome e la versione del sistema che ha generato il report. |
| complaintFeedbackType | Il valore del campo `Feedback-Type` nel report di feedback ricevuto dall'ISP. Contiene il tipo di feedback. |
| arrivalDate | Il valore del `Received-Date` campo `Arrival-Date` o del rapporto di feedback (in ISO8601 formato). Il campo potrebbe non essere incluso nel report, quindi nemmeno nell'oggetto JSON. |
Di seguito è illustrato un esempio di oggetto `complaint`.
```
{
"userAgent":"ExampleCorp Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"recipient1@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2009-12-03T04:24:21.000-05:00",
"timestamp":"2012-05-25T14:59:38.623Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
}
```
### Destinatari che hanno inviato il reclamo
Il campo `complainedRecipients` contiene un elenco di destinatari che potrebbero aver inviato il reclamo. È necessario utilizzare queste informazioni per determinare quale destinatario ha inviato il reclamo e quindi rimuovere immediatamente tale destinatario dalle mailing list.
**Importante**
La maggior parte ISPs rimuove l'indirizzo e-mail del destinatario che ha presentato il reclamo dalla notifica del reclamo. Per questo motivo, l'elenco contiene informazioni sui destinatari che potrebbe aver inviato il reclamo, in base ai destinatari del messaggio originale e all'ISP da cui abbiamo ricevuto il reclamo. SES esegue una ricerca rispetto al messaggio originale per determinare questo elenco di destinatari.
Gli oggetti JSON in questo elenco contengono il campo seguente.
| Nome campo | Description |
| --- | --- |
| emailAddress | L'indirizzo e-mail del destinatario. |
Di seguito è illustrato un esempio di oggetto con reclamo del destinatario.
```
{ "emailAddress": "recipient1@example.com" }
```
**Nota**
A causa di questo comportamento, puoi essere più certo di individuare l'indirizzo e-mail che ha inviato il reclamo sul tuo messaggio se limiti l'invio a un messaggio per ciascun destinatario (piuttosto che inviare un messaggio con 30 diversi indirizzi e-mail nella riga Ccn).
#### Tipi di reclamo
Puoi visualizzare i tipi di reclamo seguenti nel campo `complaintFeedbackType`, assegnati dall'ISP che effettua la segnalazione, secondo il [sito Web IANA (Internet Assigned Numbers Authority)](http://www.iana.org/assignments/marf-parameters/marf-parameters.xml#marf-parameters-2):
+ `abuse`: indica e-mail non richieste o altro tipo di e-mail illecite.
+ `auth-failure`: report di errore di autenticazione dell'e-mail.
+ `fraud`: indica una frode o attività di phishing.
+ `not-spam`: indica che l'entità che fornisce il report non considera il messaggio come spam. Può essere utilizzato per correggere un messaggio che è stato erroneamente contrassegnato o classificato come spam.
+ `other`: indica qualsiasi altro feedback che non rientra in altri tipi registrati.
+ `virus`: segnala la presenza di un virus nel messaggio di origine.
## Oggetto di consegna
L'oggetto JSON che contiene informazioni sulle consegne presenta sempre i campi riportati di seguito.
| Nome campo | Description |
| --- | --- |
| timestamp | L'ora in cui SES ha consegnato l'e-mail al server di posta del destinatario (in ISO8601 formato). |
| processingTimeMillis | Il tempo in millisecondi tra il momento in cui SES ha accettato la richiesta del mittente e il passaggio del messaggio al server di posta del destinatario. |
| recipients | Un elenco dei destinatari dell'e-mail a cui si applica la notifica di consegna. |
| smtpResponse | Il messaggio di risposta SMTP dell'ISP remoto che ha accettato l'e-mail da SES. Questo messaggio può variare in base all'e-mail, al server di posta ricevente e all'ISP ricevente. |
| reportingMTA | Il nome host del server di posta SES che ha inviato la posta. |
| remoteMtaIp | L'indirizzo IP dell'MTA a cui SES ha recapitato l'e-mail. |
Di seguito è illustrato un esempio di oggetto `delivery`.
```
{
"timestamp":"2014-05-28T22:41:01.184Z",
"processingTimeMillis":546,
"recipients":["success@simulator.amazonses.com"],
"smtpResponse":"250 ok: Message 64111812 accepted",
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"remoteMtaIp":"127.0.2.0"
}
```
# Esempi delle notifiche Amazon SNS per Amazon SES
Le seguenti sezioni forniscono esempi dei tre tipi di notifiche:
+ Per le notifiche di mancato recapito, consulta [Esempi di notifiche di mancato recapito di Amazon SNS](#notification-examples-bounce).
+ Per le notifiche di reclamo, consulta [Esempi di notifiche di reclamo di Amazon SNS](#notification-examples-complaint).
+ Per le notifiche di consegna, consulta [Esempio di notifica di consegna Amazon SNS](#notification-examples-delivery).
## Esempi di notifiche di mancato recapito di Amazon SNS
Questa sezione contiene esempi di notifiche di mancato recapito con e senza una notifica sullo stato di consegna fornita dal ricevitore e-mail che ha inviato il feedback.
### Notifica di mancato recapito con notifica sullo stato di consegna
Di seguito è riportato un esempio di notifica di mancato recapito contenente una notifica sullo stato di consegna e le intestazioni e-mail originali. Quando le notifiche di mancato recapito (bounce) non sono configurate per includere le intestazioni e-mail originali, l'oggetto `mail` nelle notifiche non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"reportingMTA":"dns; email.example.com",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com",
"status":"5.1.1",
"action":"failed",
"diagnosticCode":"smtp; 550 5.1.1 ... User"
}
],
"bounceSubType":"General",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa068a-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"messageId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa0680-000000",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notifica di mancato recapito senza notifica sullo stato di consegna
Di seguito è riportato un esempio di notifica di mancato recapito che include le intestazioni e-mail originali, ma non una notifica sullo stato di consegna. Quando le notifiche di mancato recapito (bounce) non sono configurate per includere le intestazioni e-mail originali, l'oggetto `mail` nelle notifiche non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com"
},
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000137860315fd-869464a4-8680-4114-98d3-716fe35851f9-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"00000137860315fd-34208509-5b74-41f3-95c5-22c1edc3c924-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Esempi di notifiche di reclamo di Amazon SNS
Questa sezione contiene esempi di notifiche di reclamo con e senza un report di feedback fornito dal ricevitore e-mail che ha inviato il feedback.
### Notifica di reclamo con report di feedback
Di seguito è riportato un esempio di notifica di reclamo contenente un report di feedback e le intestazioni e-mail originali. Quando le notifiche di reclamo non sono configurate per includere le intestazioni e-mail originali, l'oggetto `mail` nelle notifiche non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"userAgent":"AnyCompany Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2016-01-27T14:59:38.237Z",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notifica di reclamo senza report di feedback
Di seguito è riportato un esempio di notifica di reclamo che include le intestazioni e-mail originali, ma non un report di feedback. Quando le notifiche di reclamo non sono configurate per includere le intestazioni e-mail originali, l'oggetto `mail` nelle notifiche non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"0000013786031775-fea503bc-7497-49e1-881b-a0379bb037d3-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000013786031775-163e3910-53eb-4c8e-a04a-f29debf88a84-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Esempio di notifica di consegna Amazon SNS
Di seguito è riportato un esempio di notifica di consegna che include le intestazioni e-mail originali. Quando le notifiche di consegna non sono configurate per includere le intestazioni e-mail originali, l'oggetto `mail` nelle notifiche non include i campi `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Delivery",
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000014644fe5ef6-9a483358-9170-4cb4-a269-f5dcdf415321-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:58:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:58:45 +0000",
"to":[
"Jane Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
},
"delivery":{
"timestamp":"2016-01-27T14:59:38.237Z",
"recipients":["jane@example.com"],
"processingTimeMillis":546,
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"smtpResponse":"250 ok: Message 64111812 accepted",
"remoteMtaIp":"127.0.2.0"
}
}
```
# Uso dell'autorizzazione dell'identità in Amazon SES
Le policy di autorizzazione dell'identità definiscono in che modo le singole identità verificate possono utilizzare Amazon SES specificando quali azioni dell'API SES sono consentite o negate per l'identità e in quali condizioni.
Mediante l'uso di queste policy di autorizzazione, puoi mantenere il controllo sulle tue identità, modificando o revocando le autorizzazioni in qualsiasi momento. Puoi anche autorizzare altri utenti a utilizzare identità di cui sei proprietario (domini o indirizzi e-mail) usando i loro account SES.
**Topics**
+ [Anatomia della policy Amazon SES](policy-anatomy.md)
+ [Creazione di una policy di autorizzazione identità in Amazon SES](identity-authorization-policies-creating.md)
+ [Esempi di policy di identità in Amazon SES](identity-authorization-policy-examples.md)
+ [Gestione delle policy per l'autorizzazione dell'identità in Amazon SES](managing-policies.md)
# Anatomia della policy Amazon SES
Le policy aderiscono a una struttura specifica, contengono elementi e devono soddisfare determinati requisiti.
## Struttura delle policy
Ogni policy di autorizzazione è un documento JSON collegato a un'identità. Ogni policy include le sezioni seguenti:
+ informazioni specifiche della policy nella parte superiore del documento;
+ una o più istruzioni singole, ciascuna delle quali descrive un set di autorizzazioni.
*La politica di esempio seguente concede all' AWS account ID *123456789012* le autorizzazioni specificate nella sezione *Azione per il dominio verificato example.com*.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Puoi trovare ulteriori esempi di policy di autorizzazione in [Esempi di policy di identità](identity-authorization-policy-examples.md).
## Elementi delle policy
Questa sezione descrive gli elementi contenuti nelle policy di autorizzazione dell'identità. Prima di tutto descriveremo gli elementi specifici della policy, quindi gli elementi che si applicano solo all'istruzione in cui sono inclusi. Seguirà una descrizione di come aggiungere condizioni alle istruzioni.
Per informazioni specifiche sulla sintassi degli elementi, consulta la sezione relativa alla [grammatica del linguaggio delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) nella *Guida per l'utente di IAM*.
### Informazioni specifiche della policy
Esistono due elementi specifici della policy: `Id` e `Version`. La tabella seguente fornisce informazioni su questi elementi.
****
| Nome | Description | Richiesto | Valori validi |
| --- | --- | --- | --- |
| `Id` | Identifica in modo univoco la policy. | No | Qualsiasi stringa |
| `Version` | Specifica la versione del linguaggio di accesso della policy. | No | Qualsiasi stringa. Come best practice consigliamo di includere questo campo con il valore "2012-10-17". |
### Istruzioni specifiche della policy
Le policy di autorizzazione dell'identità devono includere almeno un'istruzione. Ogni istruzione può includere gli elementi descritti nella tabella seguente.
****
| Nome | Description | Richiesto | Valori validi |
| --- | --- | --- | --- |
| `Sid` | Identifica in modo univoco l'istruzione. | No | Qualsiasi stringa. |
| `Effect` | Specifica il risultato che deve essere restituito dall'istruzione della policy in fase di valutazione. | Sì | "Allow" o "Deny". |
| `Resource` | Specifica l'identità cui si applica la policy. Per [autorizzazione di invio](sending-authorization-identity-owner-tasks-policy.md), si tratta del dominio o dell'indirizzo e-mail che il proprietario di identità autorizza il mittente delegato a usare. | Sì | Il nome della risorsa Amazon (ARN) dell'identità. |
| `Principal` | Speciifica l'utente o AWS il Account AWS servizio che riceve l'autorizzazione nell'istruzione. | Sì | Un Account AWS ID, un ARN utente o AWS un servizio valido. Account AWS IDs e l'utente ARNs vengono specificati utilizzando `"AWS"` (ad esempio, `"AWS": ["123456789012"]` o`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS i nomi dei servizi vengono specificati utilizzando `"Service"` (ad esempio,`"Service": ["cognito-idp.amazonaws.com"]`). Per esempi del formato dell'utente ARNs, vedere [Riferimenti generali di AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Specifica l'azione alla quale si applica l'istruzione. | Sì | «ses: BatchGetMetricData «, «ses: CancelExportJob «, «ses: «, CreateDeliverabilityTestReport «ses: «, «ses: CreateEmailIdentityPolicy «, «ses: CreateExportJob «, «ses: DeleteEmailIdentity «, «ses: DeleteEmailIdentityPolicy «, «ses: «, GetDomainStatisticsReport «ses: «, GetEmailIdentity «ses: «, «ses: GetEmailIdentityPolicies «, «ses: GetExportJob «, «ses: ListExportJobs «, «ses: «, ListRecommendations «ses: «, PutEmailIdentityConfigurationSetAttributes «ses: «, «ses: PutEmailIdentityDkimAttributes «, «ses: PutEmailIdentityDkimSigningAttributes «, «ses: PutEmailIdentityFeedbackAttributes «, «ses: «, PutEmailIdentityMailFromAttributes «ses: «, TagResource «ses: «, «ses: UntagResource «, «es:UpdateEmailIdentityPolicy» (Azioni di [autorizzazione all'invio](sending-authorization-identity-owner-tasks-policy.md): SendEmail «ses: «, «ses: SendRawEmail «, «ses: SendTemplatedEmail «, «ses: SendBulkTemplatedEmail «) Puoi specificare una o più di queste operazioni. |
| `Condition` | Specifica eventuali restrizioni o dettagli relativi all'autorizzazione. | No | Consulta le informazioni sulle condizioni che seguono questa tabella. |
### Condizioni
Una *condizione* è qualsiasi restrizione riguardo all'autorizzazione inclusa nell'istruzione. La parte dell'istruzione che specifica le condizioni può essere la più dettagliata di tutte le parti. Una *chiave* è la caratteristica specifica sui cui si basa la restrizione di accesso, ad esempio la data e l'ora della richiesta.
Usa insieme condizioni e chiavi per esprimere la limitazione. Ad esempio, se vuoi impedire al mittente delegato di inviare richieste ad Amazon SES per tuo conto dopo il 30 luglio 2019, devi usare la condizione denominata `DateLessThan`. Usi la chiave denominata `aws:CurrentTime` e la imposti sul valore `2019-07-30T00:00:00Z`.
SES implementa solo le seguenti chiavi di policy AWS a livello generale:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Per ulteriori informazioni su queste chiavi, consulta la [Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Requisiti politici
Le policy devono soddisfare tutti i seguenti requisiti:
+ Ogni policy deve includere almeno un'istruzione.
+ Ogni policy deve includere almeno un'entità principale valida.
+ Ogni policy deve specificare una risorsa e tale risorsa deve essere l'ARN dell'identità a cui la policy è collegata.
+ I proprietari di identità possono associare fino a 20 policy a ogni identità univoca.
+ Le dimensioni delle policy non possono superare i 4 kilobyte (KB).
+ I nomi delle policy non possono superare i 64 caratteri. Inoltre, possono includere solo caratteri alfanumerici, trattini e caratteri di sottolineatura.
# Creazione di una policy di autorizzazione identità in Amazon SES
Una policy di autorizzazione identità comprende dichiarazioni che specificano quali azioni API sono consentite o negate per un'identità e in quali condizioni.
Per autorizzare un'identità dominio o indirizzo e-mail Amazon SES di tua proprietà, devi creare una policy di autorizzazione di invio e quindi collegare tale policy all'identità. Un'identità può avere zero, una o più policy. Tuttavia, una singola policy può essere associata solo a una singola identità.
Per un elenco delle azioni API che possono essere utilizzate in una policy di autorizzazione dell'identità, consulta la riga *Azione* nella tabella [Istruzioni specifiche della policy](policy-anatomy.md#identity-authorization-policy-statements).
È possibile creare una policy di autorizzazione dell'identità nei modi seguenti:
+ **Usando il generatore di policy**: puoi creare una policy semplice usando il generatore di policy nella console SES. Oltre a consentire o negare le autorizzazioni sulle azioni API SES, puoi vincolare le azioni con condizioni. Puoi anche usare il generatore di policy per creare rapidamente la struttura di base di una policy, quindi personalizzarla in un secondo momento modificando la policy.
+ **Creando una politica personalizzata**: se desideri includere condizioni più avanzate o utilizzare un AWS servizio come principale, puoi creare una politica personalizzata e collegarla all'identità utilizzando la console SES o l'API SES.
**Topics**
+ [Uso del generatore di policy](using-policy-generator.md)
+ [Creazione di una policy personalizzata](creating-custom-policy.md)
# Uso del generatore di policy
Puoi usare il generatore di policy per creare una semplice policy di autorizzazione seguendo i passaggi indicati.
**Creazione di una policy usando il generatore di policy**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel contenitore **Identità** della schermata Identità, seleziona l'**identità** verificata per la quale desideri creare una politica di autorizzazione.
1. Nella schermata dei dettagli dell'identità verificata selezionata nel passaggio precedente, scegli la scheda **Authorization (Autorizzazione)**.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Use policy generator** (Usa generatore di policy) dal menu a discesa.
1. Nel riquadro **Create statement (Crea istruzione)**, scegli **Allow (Consenti)** nel campo **Effect (Effetto)**. Se invece desideri creare una policy per limitare questa identità, scegli **Deny** (Nega).
1. **Nel campo **Principal**, inserisci l'*Account AWS ID*, l'*ARN dell'utente IAM* AWS o il servizio per ricevere le autorizzazioni che desideri autorizzare per questa identità, quindi scegli Aggiungi.** Se desideri autorizzarne più di una, ripeti questo passaggio per ciascuna.
1. Nel campo **Actions** (Azioni), seleziona la casella di controllo per ogni azione che desideri autorizzare per i principali.
1. (Facoltativo) Espandi **Specify conditions** (Specifica condizioni) se desideri aggiungere un'istruzione di qualificazione all'autorizzazione.
1. Seleziona un operatore dal menu a discesa **Operator (Operatore)**.
1. Seleziona un tipo di chiave dal menu a discesa **Key (Chiave)**.
1. In base al tipo di chiave selezionato, inserisci il valore corrispondente nel campo **Value (Valore)**. Se desideri aggiungere altre condizioni, scegli **Add new condition (Aggiungi nuova condizione)** e ripeti questo passaggio per ciascuna di esse.
1. Scegli **Save statement (Salva istruzione)**.
1. (Facoltativo) Se desideri aggiungere altre istruzioni alla tua policy, espandi **Create another statement (Crea un'altra istruzione)** e ripeti i passaggi da 6 a 10.
1. Scegli **Next (Successivo)** e nella schermata **Customize policy (Personalizza policy)**, il container **Edit policy details (Modifica dettagli policy)** dispone di campi in cui puoi modificare o personalizzare le voci **Name (Nome)** e **Policy document (Documento policy)**.
1. Scegli **Next** (Successivo) e nella schermata **Review and apply** (Rivedi e applica), il container **Overview** (Panoramica) mostrerà l'identità verificata che stai autorizzando per il mittente delegato, nonché il nome di questa policy. Nel riquadro **Policy document (Documento policy)** sarà presente la policy effettiva che hai appena scritto insieme a tutte le condizioni che hai aggiunto: controlla la policy e, se sembra corretta, scegli **Apply policy (Applica policy)**. Se hai bisogno di modificare o correggere qualcosa, scegli **Previous (Precedente)** e lavora nel container **Edit policy details (Modifica dettagli policy)**.
# Creazione di una policy personalizzata
Se desideri creare una policy personalizzata e collegarla a un'identità, hai a disposizione le seguenti opzioni:
+ **Uso dell'API Amazon SES**: puoi creare una policy in un editor di testo, quindi collegarla all'identità usando l'API `PutIdentityPolicy` descritta nella [Documentazione di riferimento per le API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Uso della console Amazon SES**: puoi creare una policy in un editor di testo e collegarla a un'identità incollandola nell'editor di policy personalizzate nella console Amazon SES. Questo metodo viene descritto nella procedura seguente.
**Creazione di una policy personalizzata usando l'editor di policy personalizzate**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel contenitore **Identità** della schermata Identità, seleziona l'**identità** verificata per la quale desideri creare una politica di autorizzazione.
1. Nella schermata dei dettagli dell'identità verificata selezionata nel passaggio precedente, scegli la scheda **Authorization (Autorizzazione)**.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Create custom policy** (Crea policy personalizzata) dal menu a discesa.
1. Nel riquadro **Policy document** (Documento policy), digita o incolla il testo della policy nel formato JSON. Puoi anche usare il generatore di policy per creare rapidamente la struttura di base di una policy e personalizzarla qui.
1. Scegli **Apply Policy** (Applica policy). Se hai bisogno di modificare la policy personalizzata, seleziona la relativa casella di controllo sotto la scheda **Authorization (Autorizzazione)**, scegli **Edit (Modifica)** e apporta le modifiche nel riquadro **Policy document (Documento policy)** seguito da **Save changes (Salva modifiche)**.
# Esempi di policy di identità in Amazon SES
L'autorizzazione dell'identità consente di specificare le condizioni dettagliate in base alle quali consentire o negare le azioni API per un'identità.
**Topics**
+ [Specifica del principale](#identity-authorization-policy-example-delegate-user)
+ [Limitazione dell'azione](#sending-authorization-policy-example-restricting-action)
+ [Uso di più istruzioni](#identity-authorization-policy-example-multiple-statements)
## Specifica del principale
Il *principale*, che è l'entità a cui si concede l'autorizzazione, può essere un Account AWS utente AWS Identity and Access Management (IAM) o un AWS servizio appartenente allo stesso account.
*L'esempio seguente mostra una semplice politica che consente all' AWS ID *123456789012* di controllare l'identità verificata *example.com*, anch'essa di proprietà di 123456789012. Account AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
La policy di esempio seguente concede a due utenti l'autorizzazione necessaria per controllare l'identità verificata *example.com*. Gli utenti vengono specificati tramite il rispettivo nome della risorsa Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Limitazione dell'azione
Esistono diverse azioni che possono essere specificate in una policy di autorizzazione dell'identità a seconda del livello di controllo che si desidera autorizzare:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Le policy di autorizzazione dell'identità consentono inoltre di limitare il principale a una sola di queste azioni.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Uso di più istruzioni
La policy di autorizzazione dell'identità può includere più istruzioni. La policy di esempio seguente include due istruzioni. La prima istruzione impedisce a due utenti di accedere a `getemailidentity` da *sender@example.com* all'interno dello stesso account `123456789012`. La seconda istruzione nega `UpdateEmailIdentityPolicy` per il principale, *Jack*, all'interno dello stesso account `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Gestione delle policy per l'autorizzazione dell'identità in Amazon SES
Oltre a creare le policy e a collegarle alle identità, è possibile modificare, rimuovere, elencare e recuperare le policy di un'identità, come descritto nelle sezioni seguenti.
## Gestione di policy mediante la console Amazon SES
La gestione delle policy di Amazon SES comporta la visualizzazione, la modifica o l'eliminazione di una policy allegata a un'identità utilizzando la console Amazon SES.
**Per gestire policy utilizzando la console Amazon SES**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione a sinistra, scegli **Verified identities** (Identità verificate).
1. Nell'elenco delle identità, scegli l'identità che vuoi gestire.
1. Nella pagina dei dettagli dell'identità, apri la scheda **Authorization (Autorizzazione)**. Qui troverai un elenco di tutte le policy associate a questa identità.
1. Seleziona la policy che desideri gestire scegliendo la relativa casella di controllo.
1. A seconda dell'attività di gestione desiderata, scegliere il pulsante corrispondente come segue:
1. Visualizzare una policy, scegli **View policy (Visualizza policy)**. Se hai bisogno di una copia, scegli il pulsante **Copy** (Copia) per eseguire una copia negli appunti.
1. Per modificare la policy, scegli **Edit (Modifica)**. Nel riquadro **Policy document (Documento policy)**, modifica la policy e scegli **Save changes (Salva modifiche)**.
**Nota**
Per revocare le autorizzazioni, puoi modificare la policy o rimuoverla.
1. Per rimuovere la policy, scegli **Delete (Elimina)**.
**Importante**
La rimozione di una policy è permanente. È consigliabile eseguire il backup della policy copiandola e incollandola in un file di testo prima di rimuoverla.
## Gestione di policy mediante l'API Amazon SES
La gestione delle policy di Amazon SES comporta la visualizzazione, la modifica o l'eliminazione di una policy allegata a un'identità utilizzando l'API di Amazon SES.
**Pubblicazione e visualizzazione delle policy tramite l'API Amazon SES**
+ Puoi elencare le politiche associate a un'identità utilizzando l'[operazione ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). È inoltre possibile recuperare le politiche stesse utilizzando l'[operazione GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Per modificare una policy usando l'API di Amazon SES**
+ È possibile modificare una politica associata a un'identità utilizzando l'[operazione PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Per eliminare una policy usando l'API di Amazon SES**
+ È possibile eliminare una politica allegata a un'identità utilizzando l'[operazione DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).
# Uso dell'autorizzazione di invio con Amazon SES
Puoi configurare Amazon SES per autorizzare altri utenti a inviare e-mail da identità di tua proprietà (domini o indirizzi e-mail) usando i loro account Amazon SES. Questa funzionalità, chiamata *autorizzazione di invio*, ti permette di mantenere il controllo sulle tue identità, in modo da poter modificare o revocare le autorizzazioni in qualsiasi momento. Ad esempio, un titolare di azienda può usare l'autorizzazione di invio per permettere a una terza parte, come una società di marketing via e-mail, di inviare e-mail da un dominio di sua proprietà.
In questo capitolo vengono descritte le specifiche dell'autorizzazione di invio che sostituisce la precedente funzionalità di notifica tra account. È necessario innanzitutto comprendere le basi dell'autorizzazione basata sull'identità utilizzando le policy di autorizzazione come descritto in [Uso dell'autorizzazione dell'identità in Amazon SES](identity-authorization-policies.md) cui vengono illustrati argomenti importanti quali l'anatomia di una policy di autorizzazione e come gestire le policy.
## Supporto legacy delle notifiche tra account
Generalmente, le notifiche di feedback per mancati recapiti, reclami e consegne di e-mail inviate da un mittente delegato, autorizzato dal proprietario dell'identità all'invio da una delle sue identità verificate, venivano configurate utilizzando notifiche tra account in cui il mittente delegato associava un argomento a un'identità non di sua proprietà (ecco perché "tra account"). Tuttavia, le notifiche tra account sono state sostituite utilizzando set di configurazione e identità verificate in associazione con l'invio del delegato in cui il mittente delegato è stato autorizzato dal proprietario dell'identità a utilizzare una delle proprie identità verificate per l'invio di e-mail. Questo nuovo metodo offre la flessibilità di configurare le notifiche di mancato recapito, reclamo, consegna e altri eventi mediante i due seguenti costrutti, a seconda che l'utente sia il mittente delegato o il proprietario dell'identità verificata:
+ **Set di configurazione**: il mittente delegato può impostare la pubblicazione di eventi nel proprio set di configurazione, da specificare quando invia e-mail da un'identità verificata di cui non è in possesso, ma che è stato autorizzato a inviare dal proprietario dell'identità tramite una policy di autorizzazione. La pubblicazione di eventi consente di pubblicare notifiche di rimbalzo, reclamo, consegna e altri eventi su Amazon, CloudWatch Amazon Data Firehose, Amazon Pinpoint e Amazon SNS. Per informazioni, consulta [Crea destinazioni degli eventi](event-destinations-manage.md).
+ **Identità verificate**: oltre a poter autorizzare il mittente delegato a utilizzare una delle sue identità verificate per l'invio di e-mail, con questo costrutto il proprietario dell'identità può, su richiesta del mittente delegato, configurare notifiche di feedback sull'identità condivisa in modo che utilizzino argomenti SNS di proprietà del mittente delegato. Solo il mittente delegato riceverà queste notifiche, perché è proprietario dell'argomento SNS. Per informazioni su come [configurare un "SNS topic you don't own" ("Argomento SNS non in tuo possesso")](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) nelle procedure della policy di autorizzazione, consulta il passaggio 14.
**Nota**
Per compatibilità, le notifiche tra account sono supportate per le notifiche legacy tra account attualmente in uso nel tuo account. Tale supporto è limitato alla possibilità di modificare e utilizzare eventuali account incrociati correnti creati nella console classica di Amazon SES; tuttavia, non puoi più creare *nuove* notifiche tra account. Per crearne di nuove nella nuova console di Amazon SES, utilizza i nuovi metodi di invio tramite mittente delegato con set di configurazione utilizzando la [pubblicazione di eventi](event-destinations-manage.md) o con identità verificate [configurate con i tuoi argomenti SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Topics**
+ [Supporto legacy delle notifiche tra account](#sending-authorization-cross-account-sunsetting)
+ [Panoramica dell'autorizzazione di invio in Amazon SES](sending-authorization-overview.md)
+ [Attività del proprietario di identità per l'autorizzazione di invio di Amazon SES](sending-authorization-identity-owner-tasks.md)
+ [Attività del mittente delegato per l'autorizzazione all'invio di Amazon SES](sending-authorization-delegate-sender-tasks.md)
# Panoramica dell'autorizzazione di invio in Amazon SES
Questo argomento offre una panoramica del processo di autorizzazione di invio e descrive quindi il funzionamento delle caratteristiche di invio di e-mail in Amazon SES, tra cui le quote di invio e le notifiche, con l'autorizzazione di invio.
Questa sezione usa i termini seguenti:
+ **Identità**: dominio o indirizzo e-mail usato dagli utenti di Amazon SES per inviare e-mail.
+ **Proprietario di identità**: utente di Amazon SES che ha verificato la proprietà di un dominio o indirizzo e-mail usando le procedure descritte in [Identità verificate](verify-addresses-and-domains.md).
+ **Mittente delegato**: un AWS account, un utente AWS Identity and Access Management (IAM) o un AWS servizio che è stato autorizzato tramite una politica di autorizzazione a inviare e-mail per conto del proprietario dell'identità.
+ **Policy di autorizzazione di invio**: documento da collegare a un'identità per specificare chi può inviare e-mail per l'identità e in quali condizioni.
+ **Amazon Resource Name (ARN)**: un modo standardizzato per identificare in modo univoco una AWS risorsa in tutti i servizi. AWS Per l'autorizzazione all'invio, la risorsa è l'identità che il proprietario dell'identità ha autorizzato per l'utilizzo da parte del mittente delegato. Un esempio di ARN è *arn:aws:ses:us-east-1:123456789012:identity/example.com*.
## Processo di autorizzazione di invio
L'autorizzazione di invio si basa su policy di autorizzazione di invio. Se vuoi permettere a un mittente delegato di inviare e-mail per conto tuo, devi creare una policy di autorizzazione di invio e associare la policy alla tua identità usando la console oppure l'API Amazon SES. Quando il mittente delegato tenta di inviare un'e-mail tramite Amazon SES per conto tuo, passa l'ARN della tua identità nella richiesta o nell'intestazione dell'e-mail.
Quando Amazon SES riceve la richiesta di invio dell'e-mail, controlla la policy della tua identità, se presente, per determinare se hai autorizzato il mittente delegato a inviare e-mail per conto dell'identità. Se il mittente delegato è autorizzato, Amazon SES accetta l'e-mail; in caso contrario, Amazon SES restituisce un messaggio di errore.
Il diagramma seguente mostra la relazione generale tra i concetti correlati all'autorizzazione di invio:
![\[Panoramica dell'autorizzazione di invio\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/images/sending_authorization_overview.png)
Il processo di autorizzazione di invio è costituito dalle fasi seguenti:
1. Il proprietario dell'identità seleziona un'identità verificata da utilizzare per il mittente delegato. (Se non disponi di un'identità e-mail verificata, consulta [Identità verificate](verify-addresses-and-domains.md)).
**Nota**
L'identità verificata scelta per il mittente delegato non può avere un [set di configurazione predefinito](managing-configuration-sets.md#default-config-sets) assegnato.
1. Il mittente delegato consente al proprietario dell'identità di sapere quale ID AWS account o ARN utente IAM desidera utilizzare per l'invio.
1. Se il proprietario dell'identità accetta di consentire al mittente delegato di inviare da uno dei propri account, egli crea una policy di autorizzazione di invio e collega la policy all'identità scelta usando la console Amazon SES o l'API Amazon SES.
1. Il proprietario dell'identità fornisce al mittente delegato l'ARN dell'identità autorizzata, in modo che questi possa a sua volta fornire l'ARN ad Amazon SES al momento dell'invio dell'e-mail.
1. Il mittente delegato può configurare le notifiche di mancato recapito e reclamo tramite la [pubblicazione degli eventi](monitor-using-event-publishing.md) abilitata in un set di configurazione specificato durante l'invio tramite mittente delegato. Il proprietario dell'identità può anche configurare le notifiche e-mail di feedback per eventi di mancato recapito e reclamo da inviare agli argomenti Amazon SNS del mittente delegato.
**Nota**
Se il proprietario dell'identità disabilita l'invio di notifiche di eventi, il mittente delegato deve configurare la pubblicazione degli eventi per pubblicare gli eventi di rimbalzo e reclamo su un argomento di Amazon SNS o uno stream Firehose. Il mittente deve anche applicare il set di configurazione che contiene la regola di pubblicazione dell'evento a ogni e-mail inviata. Se né il proprietario di identità né il mittente delegato impostano un metodo di invio delle notifiche relative a eventi di mancato recapito e reclamo, Amazon SES invia automaticamente le notifiche di eventi tramite e-mail all'indirizzo indicato nel percorso di ritorno dell'e-mail (o l'indirizzo nel campo dell'origine, se non hai specificato un indirizzo per il percorso di ritorno), anche se il proprietario di identità ha disabilitato l'inoltro di feedback via e-mail.
1. Il mittente delegato tenta di inviare un'e-mail tramite Amazon SES per conto del proprietario di identità passando l'ARN dell'identità del proprietario di identità nella richiesta o nell'intestazione dell'e-mail. Il mittente delegato può inviare l'e-mail usando l'interfaccia SMTP o l'API Amazon SES. Alla ricezione della richiesta, Amazon SES esamina tutte le policy collegate all'identità e accetta l'e-mail se il mittente delegato è autorizzato a usare l'indirizzo del mittente specificato e l'indirizzo del percorso di ritorno. In caso contrario, Amazon SES restituisce un errore e non accetta il messaggio.
**Importante**
L' AWS account del mittente delegato deve essere rimosso dalla sandbox prima di poter essere utilizzato per inviare e-mail a indirizzi non verificati.
1. Per annullare l'autorizzazione dell'identità del mittente delegato, il proprietario di identità modifica semplicemente la policy di autorizzazione di invio o la elimina completamente. Il proprietario di identità è in grado di eseguire entrambe le azioni utilizzando la console o l'API Amazon SES.
Per ulteriori informazioni sul modo in cui il proprietario di identità o il mittente delegato esegue queste attività, consulta rispettivamente [Attività del proprietario di identità](sending-authorization-identity-owner-tasks.md) o [Attività del mittente delegato](sending-authorization-delegate-sender-tasks.md).
## Attribuzione delle funzionalità di invio di e-mail
È importante comprendere il ruolo del mittente delegato e del proprietario di identità relativamente alle funzionalità di invio di e-mail di Amazon SES, come la quota di invio giornaliera, i mancati recapiti e i reclami, la firma DKIM, l'inoltro di feedback e così via. L'attribuzione riguarda gli aspetti seguenti:
+ **Quote di invio**: le e-mail inviate dalle identità del proprietario di identità vengono conteggiate rispetto alle quote del mittente delegato.
+ **Mancati recapiti e reclami**: gli eventi di mancato recapito e reclamo vengono registrati nell'account Amazon SES del mittente delegato e, di conseguenza, possono influire sulla reputazione del mittente delegato.
+ **Firma DKIM**: se il proprietario di identità ha abilitato la firma Easy DKIM per un'identità, tutte le e-mail inviate da questa identità saranno provviste di firma DKIM, incluse le e-mail inviate dal mittente delegato. Solo il proprietario di identità può controllare se le e-mail debbano o meno essere provviste di firma DKIM.
+ **Notifiche**: il proprietario di identità e il mittente delegato possono entrambi configurare le proprie notifiche per mancati recapiti e reclami. Il proprietario di identità dell'indirizzo e-mail può anche attivare l'inoltro di feedback via e-mail. Per informazioni sulla configurazione delle notifiche, consulta [Monitoraggio delle attività di invio di Amazon SES](monitor-sending-activity.md).
+ **Verifica**: i proprietari di identità sono responsabili dell'applicazione della procedura descritta in [Identità verificate](verify-addresses-and-domains.md) per verificare di essere i proprietari dei domini e degli indirizzi e-mail per il cui uso intendono autorizzare i mittenti delegati. I mittenti delegati non devono verificare alcun dominio o indirizzo e-mail espressamente per l'autorizzazione di invio.
**Importante**
L' AWS account del mittente delegato deve essere rimosso dalla sandbox prima di poter essere utilizzato per inviare e-mail a indirizzi non verificati.
+ **AWS Regioni**: il mittente delegato deve inviare le e-mail dalla AWS regione in cui è verificata l'identità del proprietario dell'identità. La policy di autorizzazione di invio che concede l'autorizzazione al mittente delegato deve essere collegata all'identità in questa regione.
+ **Fatturazione**: tutti i messaggi inviati dall'account del mittente delegato, comprese le e-mail che il mittente delegato invia utilizzando gli indirizzi del proprietario di identità, vengono fatturate per il mittente delegato.
# Attività del proprietario di identità per l'autorizzazione di invio di Amazon SES
In questa sezione vengono descritte le fasi che i proprietari di identità devono seguire per configurare l'autorizzazione di invio.
**Topics**
+ [Verifica di un'identità per l'autorizzazione di invio di Amazon SES](sending-authorization-identity-owner-tasks-verification.md)
+ [Impostazione delle notifiche del proprietario di identità per l'autorizzazione di invio di Amazon SES](sending-authorization-identity-owner-tasks-notifications.md)
+ [Recupero di informazioni dal mittente delegato per l'autorizzazione di invio di Amazon SES](sending-authorization-identity-owner-tasks-information.md)
+ [Creazione di una policy per l'autorizzazione all'invio di Amazon SES](sending-authorization-identity-owner-tasks-policy.md)
+ [Esempi di policy di invio](sending-authorization-policy-examples.md)
+ [Inoltro al mittente delegato delle informazioni sull'identità per l'autorizzazione di invio di Amazon SES](sending-authorization-identity-owner-tasks-identity.md)
# Verifica di un'identità per l'autorizzazione di invio di Amazon SES
La prima fase per configurare l'autorizzazione di invio consiste nel dimostrare di essere il proprietario del dominio o dell'indirizzo e-mail utilizzato dal mittente delegato per e-mail. La procedura di verifica è descritta in [Identità verificate](verify-addresses-and-domains.md).
Puoi confermare che un indirizzo email o un dominio è verificato controllandone lo stato nella sezione Identità verificate di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)o utilizzando l'operazione `GetIdentityVerificationAttributes` API.
Prima che l'utente o il mittente delegato possa inviare e-mail a indirizzi e-mail non verificati, occorre inviare una richiesta affinché l'account venga rimosso dalla sandbox Amazon SES. Per ulteriori informazioni, consulta [Richiedi l'accesso alla produzione (uscita dalla sandbox di Amazon SES)](request-production-access.md).
**Importante**
Il Account AWS mittente delegato deve essere rimosso dalla sandbox prima di poter essere utilizzato per inviare e-mail da o verso indirizzi non verificati.
Se il tuo account è in sandbox, non puoi inviare messaggi a indirizzi e-mail che non sono verificati nel tuo account, anche se tali domini o indirizzi e-mail sono stati verificati nell'account di identità
# Impostazione delle notifiche del proprietario di identità per l'autorizzazione di invio di Amazon SES
Se autorizzi un mittente delegato a inviare e-mail a tuo nome, i messaggi di mancato recapito e reclamo generati da tali e-mail vengono conteggiati da Amazon SES nei parametri relativi ai messaggi di mancato recapito e reclamo del delegato e non tuoi. Tuttavia, se il tuo indirizzo IP appare nelle Blackhole List (DNSBLs) di terze parti basate su DNS antispam come risultato di messaggi inviati da un mittente delegato, la reputazione delle tue identità potrebbe essere danneggiata. Per questo motivo, se sei un proprietario di identità, ti consigliamo di impostare l'inoltro di feedback via e-mail per la tue identità, incluse quelle che hai autorizzato per l'invio dei delegati. Per ulteriori informazioni, consulta [Ricezione delle notifiche Amazon SES tramite e-mail](monitor-sending-activity-using-notifications-email.md).
I mittenti delegati possono e devono configurare le notifiche di mancato recapito e reclamo per le identità che li hai autorizzati ad usare. Possono configurare la pubblicazione di [eventi in modo da pubblicare](monitor-using-event-publishing.md) eventi di rimbalzo e reclamo su un argomento di Amazon SNS o uno stream Firehose.
Se né il proprietario di identità né il mittente delegato imposta un metodo di invio delle notifiche relative a eventi di mancato recapito e reclamo o se il mittente non applica il set di configurazione che utilizza la regola di pubblicazione degli eventi, Amazon SES invia automaticamente le notifiche di eventi tramite e-mail all'indirizzo indicato nel percorso di ritorno dell'e-mail (o all'indirizzo nel campo dell'origine, se non hai specificato un indirizzo per il percorso di ritorno), anche se hai disabilitato l'inoltro di feedback via e-mail. Questo processo è illustrato nell'immagine seguente.
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/images/feedback_forwarding.png)
# Recupero di informazioni dal mittente delegato per l'autorizzazione di invio di Amazon SES
La policy di autorizzazione dell'invio deve specificare almeno un'*entità principale*, che è l'entità del mittente delegato a cui stai concedendo l'accesso in modo che possa inviare e-mail per conto di una delle tue identità verificate. Per le politiche di autorizzazione all'invio di Amazon SES, il principale può essere l' AWS account del mittente delegato o l'ARN dell'utente AWS Identity and Access Management (IAM) o un servizio. AWS
Per maggiore semplicità, puoi considerare l'*entità principale* (mittente delegato) come beneficiario e te stesso (proprietario dell'identità) come il garante della policy con cui cui concedi l'autorizzazione *Enable (Abilita)* a inviare qualsiasi combinazione di e-mail, e-mail in formato RAW, e-mail con modelli o e-mail con modelli in blocco dalla *risorsa* (identità verificata) di tua proprietà.
Se desideri ottenere il controllo più granulare, chiedi al mittente delegato di configurare un utente IAM, in modo che solo un mittente delegato possa eseguire l'invio per tuo conto, anziché qualsiasi utente nell'account AWS del mittente delegato. Il mittente delegato può trovare informazioni sulla configurazione di un utente IAM nella pagina relativa alla [creazione di un utente IAM nell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html) nella *Guida per l'utente di IAM*.
Chiedi al mittente delegato l'ID dell' AWS account o l'Amazon Resource Name (ARN) dell'utente IAM in modo da poterlo includere nella tua politica di autorizzazione all'invio. Consiglia al mittente delegato di seguire le istruzioni per trovare queste informazioni in [Inoltro delle informazioni al proprietario di identità](sending-authorization-delegate-sender-tasks-information.md). Se il mittente delegato è un AWS servizio, consulta la documentazione relativa a quel servizio per determinare il nome del servizio.
La seguente policy di esempio illustra gli elementi di base necessari in una policy creata dal proprietario dell'identità per autorizzare il mittente delegato all'invio dalla risorsa del proprietario dell'identità. È necessario che il proprietario dell'identità acceda al flusso di lavoro Verified identities (Identità verificate) e, in Autorizzazione, utilizzi il generatore di policy per creare, nella sua forma più semplice, la policy di base seguente che autorizza il mittente delegato all'invio per conto di una risorsa di proprietà del proprietario dell'identità:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
La legenda seguente spiega gli elementi chiave della policy riportata sopra e chi li possiede:
+ **Principal (Entità principale)**: questo campo è compilato con l'ARN dell'utente IAM del mittente delegato.
+ **Action (Operazione)**: questo campo è popolato con due azioni SES (`SendEmail` e `SendRawEmail`) che il proprietario dell'identità autorizza il mittente delegato a eseguire dalla risorsa del proprietario dell'identità.
+ **Resource (Risorsa)**: questo campo è popolato con la risorsa verificata del proprietario dell'identità da cui il mittente delegato è autorizzato a inviare e-mail.
# Creazione di una policy per l'autorizzazione all'invio di Amazon SES
In maniera simile alla creazione di una policy di autorizzazione in Amazon SES, come spiegato in [Creazione di una policy di autorizzazione identità](identity-authorization-policies-creating.md), per autorizzare un mittente delegato a inviare e-mail utilizzando un indirizzo e-mail o un dominio (un'*identità*) di tua proprietà, devi creare la policy con azioni API di invio SES specificate e quindi collegare tale policy all'identità.
Per un elenco delle azioni API che possono essere specificate in una policy di autorizzazione di invio, consulta la riga *Azione* nella tabella [Istruzioni specifiche della policy](policy-anatomy.md#identity-authorization-policy-statements).
Puoi creare una policy di autorizzazione di invio utilizzando il generatore di policy o creando una policy personalizzata. Procedure specifiche per la creazione di una policy di autorizzazione di invio sono fornite per entrambi i metodi.
**Nota**
Le policy di autorizzazione di invio che colleghi alle identità degli indirizzi e-mail hanno la precedenza sulle policy collegate alle identità di dominio corrispondenti. Ad esempio, se crei una policy per *esempio.com* che non autorizza un mittente delegato e crei una policy per *mittente@esempio.com* che autorizza il mittente delegato, quest'ultimo può inviare e-mail da *mittente@esempio.com*, ma non da qualsiasi altro indirizzo nel dominio *esempio.com*.
Se crei una policy per *esempio.com* che autorizza un mittente delegato e crei una policy per *mittente@esempio.com* che non autorizza il mittente delegato, il mittente delegato può inviare e-mail da qualsiasi indirizzo nel dominio *esempio.com* ad eccezione di *mittente@esempio.com*.
Se non hai familiarità con la struttura delle policy di autorizzazione SES, consulta [Anatomia delle policy](policy-anatomy.md).
Se l'identità che stai autorizzando è duplicata in un'area secondaria come parte della funzionalità [Global endpoints](global-endpoints.md), dovrai creare politiche di autorizzazione all'invio sull'identità sia nell'area principale che in quella secondaria in modo che il mittente delegato abbia l'autorizzazione a utilizzare questa identità per l'invio in entrambe le aree.
## Creazione di una policy di autorizzazione di invio tramite il generatore di policy
Puoi usare il generatore di policy per creare una semplice policy di autorizzazione di invio seguendo i passaggi indicati.
**Per creare una policy di autorizzazione di invio tramite il generatore di policy**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel container **Identities (Identità)** della schermata **Verified identities (Identità verificate)**, seleziona l'identità verificata tramite cui desideri che il mittente delegato sia autorizzato a inviare e-mail per conto tuo.
1. Scegli la scheda **Autorizzazione** dell'identità verificata.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Use policy generator** (Usa generatore di policy) dal menu a discesa.
1. Nel riquadro **Create statement (Crea istruzione)**, scegli **Allow (Consenti)** nel campo **Effect (Effetto)**. Se invece desideri creare una policy per negare l'autorizzazione al mittente delegato, scegli **Deny (NEGA)**.
1. Nel campo **Principals (Entità principali)**, inserisci l'*ID Account AWS * o l'*ARN dell'utente IAM* che il mittente delegato ha condiviso con te per essere autorizzato a inviare e-mail per conto del tuo account da questa identità, quindi scegli **Add (Aggiungi)**. Se desideri autorizzare più mittenti delegati, ripeti questo passaggio per ognuno di questi.
1. Nel campo **Actions (Operazioni)**, seleziona la casella di controllo per ogni tipo di invio che desideri autorizzare da parte del mittente delegato.
1. (Facoltativo) Espandi **Specify conditions (Specifica condizioni)** se desideri aggiungere un'istruzione di qualificazione all'autorizzazione del mittente delegato.
1. Seleziona un operatore dal menu a discesa **Operator (Operatore)**.
1. Seleziona un tipo di chiave dal menu a discesa **Key (Chiave)**.
1. In base al tipo di chiave selezionato, inserisci il valore corrispondente nel campo **Value (Valore)**. Se desideri aggiungere altre condizioni, scegli **Add new condition (Aggiungi nuova condizione)** e ripeti questo passaggio per ciascuna di esse.
1. Scegli **Save statement (Salva istruzione)**.
1. (Facoltativo) Se desideri aggiungere altre istruzioni alla tua policy, espandi **Create another statement (Crea un'altra istruzione)** e ripeti i passaggi da 6 a 10.
1. Scegli **Next (Successivo)** e nella schermata **Customize policy (Personalizza policy)**, il container **Edit policy details (Modifica dettagli policy)** dispone di campi in cui puoi modificare o personalizzare le voci **Name (Nome)** e **Policy document (Documento policy)**.
1. Scegli **Next (Successivo)** e nella schermata **Review and apply (Rivedi e applica)** il container **Overview (Panoramica)** mostrerà l'identità verificata che stai autorizzando per il mittente delegato e il nome di questa policy. Nel riquadro **Policy document (Documento policy)** sarà presente la policy effettiva che hai appena scritto insieme a tutte le condizioni che hai aggiunto: controlla la policy e, se sembra corretta, scegli **Apply policy (Applica policy)**. Se hai bisogno di modificare o correggere qualcosa, scegli **Previous (Precedente)** e lavora nel container **Edit policy details (Modifica dettagli policy)**. La policy appena creata consentirà al mittente delegato di inviare per tuo conto.
1. (Facoltativo) Se il mittente delegato desidera utilizzare anche un argomento SNS di cui è proprietario, per ricevere notifiche di feedback quando riceve mancati recapiti o reclami o quando le e-mail vengono consegnate, dovrai configurare il relativo argomento SNS in questa identità verificata. Il mittente delegato dovrà condividere con te il proprio ARN dell'argomento SNS. Seleziona la scheda **Notifications (Notifiche)** e scegli **Edit (Modifica)** nel container **Feedback notifications (Notifiche feedback)**:
1. Nel riquadro **Configure SNS topics (Configura argomenti SNS)**, in uno dei campi di feedback (Bounce (Mancato recapito), Complaint (Reclamo) o Delivery (Consegna)) seleziona **SNS topic you don’t own (Argomento SNS non di tua proprietà)** e inserisci l'**SNS topic ARN (ARN dell'argomento SNS)** di proprietà e condiviso con te dal mittente delegato. Solo il mittente delegato riceverà queste notifiche, perché possiede l'argomento SNS: tu, in quanto proprietario dell'identità, no.
1. (Facoltativo) Se desideri che la notifica dell'argomento includa le intestazioni dall'e-mail originale, seleziona la casella **Include original email headers (Includi intestazioni e-mail originali)** direttamente sotto il nome dell'argomento SNS di ogni tipo di feedback. Questa opzione è disponibile solo se hai assegnato un argomento Amazon SNS al tipo di notifica associato. Per informazioni sui contenuti delle intestazioni e-mail originali, consulta l'oggetto `mail` in [Contenuti delle notifiche](notification-contents.md).
1. Scegli **Save changes** (Salva modifiche). Potrebbero essere necessari alcuni minuti perché le modifiche apportate alle impostazioni di notifica diventino effettive.
1. (Facoltativo) Poiché il mittente delegato riceverà notifiche sull'argomento Amazon SNS per mancati recapiti e reclami, puoi disabilitare completamente le notifiche via e-mail se non desideri ricevere feedback per gli invii di questa identità. Per disabilitare le notifiche e-mail per mancati recapiti e reclami, sotto la scheda **Notifications (Notifiche)**, nel container **Email Feedback Forwarding (Inoltro feedback e-mail)**, scegli **Edit (Modifica)**, deseleziona la casella **Enabled (Abilitato)** e scegli **Save changes (Salva modifiche)**. Le notifiche sullo stato della consegna ora verranno inviate solo agli argomenti SNS di proprietà del mittente delegato.
## Creazione di una policy di autorizzazione di invio personalizzata
Se desideri creare una policy di autorizzazione di invio personalizzata e collegarla a un'identità, hai a disposizione le seguenti opzioni:
+ **Uso dell'API Amazon SES**: puoi creare una policy in un editor di testo, quindi collegarla all'identità usando l'API `PutIdentityPolicy` descritta nella [Documentazione di riferimento per le API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Uso della console Amazon SES**: puoi creare una policy in un editor di testo e collegarla a un'identità incollandola nell'editor di policy personalizzate nella console Amazon SES. Questo metodo viene descritto nella procedura seguente.
**Per creare una policy di autorizzazione di invio personalizzata usando l'editor di policy personalizzate**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel container **Identities (Identità)** della schermata **Verified identities (Identità verificate)**, seleziona l'identità verificata tramite cui desideri che il mittente delegato sia autorizzato a inviare e-mail per conto tuo.
1. Nella schermata dei dettagli dell'identità verificata selezionata nel passaggio precedente, scegli la scheda **Authorization (Autorizzazione)**.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Create custom policy** (Crea policy personalizzata) dal menu a discesa.
1. Nel riquadro **Policy document** (Documento policy), digita o incolla il testo della policy nel formato JSON. Puoi anche usare il generatore di policy per creare rapidamente la struttura di base di una policy e personalizzarla qui.
1. Scegli **Apply Policy** (Applica policy). Se hai bisogno di modificare la policy personalizzata, seleziona la relativa casella di controllo sotto la scheda **Authorization (Autorizzazione)**, scegli **Edit (Modifica)** e apporta le modifiche nel riquadro **Policy document (Documento policy)** seguito da **Save changes (Salva modifiche)**.
1. (Facoltativo) Se il mittente delegato desidera utilizzare anche un argomento SNS di cui è proprietario, per ricevere notifiche di feedback quando riceve mancati recapiti o reclami o quando le e-mail vengono consegnate, dovrai configurare il relativo argomento SNS in questa identità verificata. Il mittente delegato dovrà condividere con te il proprio ARN dell'argomento SNS. Seleziona la scheda **Notifications (Notifiche)** e scegli **Edit (Modifica)** nel container **Feedback notifications (Notifiche feedback)**:
1. Nel riquadro **Configure SNS topics (Configura argomenti SNS)**, in uno dei campi di feedback (Bounce (Mancato recapito), Complaint (Reclamo) o Delivery (Consegna)) seleziona **SNS topic you don’t own (Argomento SNS non di tua proprietà)** e inserisci l'**SNS topic ARN (ARN dell'argomento SNS)** di proprietà e condiviso con te dal mittente delegato. Solo il mittente delegato riceverà queste notifiche, perché possiede l'argomento SNS: tu, in quanto proprietario dell'identità, no.
1. (Facoltativo) Se desideri che la notifica dell'argomento includa le intestazioni dall'e-mail originale, seleziona la casella **Include original email headers (Includi intestazioni e-mail originali)** direttamente sotto il nome dell'argomento SNS di ogni tipo di feedback. Questa opzione è disponibile solo se hai assegnato un argomento Amazon SNS al tipo di notifica associato. Per informazioni sui contenuti delle intestazioni e-mail originali, consulta l'oggetto `mail` in [Contenuti delle notifiche](notification-contents.md).
1. Scegli **Save changes** (Salva modifiche). Potrebbero essere necessari alcuni minuti perché le modifiche apportate alle impostazioni di notifica diventino effettive.
1. (Facoltativo) Poiché il mittente delegato riceverà notifiche sull'argomento Amazon SNS per mancati recapiti e reclami, puoi disabilitare completamente le notifiche via e-mail se non desideri ricevere feedback per gli invii di questa identità. Per disabilitare le notifiche e-mail per mancati recapiti e reclami, sotto la scheda **Notifications (Notifiche)**, nel container **Email Feedback Forwarding (Inoltro feedback e-mail)**, scegli **Edit (Modifica)**, deseleziona la casella **Enabled (Abilitato)** e scegli **Save changes (Salva modifiche)**. Le notifiche sullo stato della consegna ora verranno inviate solo agli argomenti SNS di proprietà del mittente delegato.
# Esempi di policy di invio
L'autorizzazione di invio ti permette di specificare le condizioni granulari in base alle quali permettere ai mittenti delegati di inviare e-mail per conto tuo.
**Topics**
+ [Condizioni specifiche per l'autorizzazione di invio](#sending-authorization-policy-conditions)
+ [Definizione del mittente delegato](#sending-authorization-policy-example-sender)
+ [Limitazione dell'indirizzo del mittente](#sending-authorization-policy-example-from)
+ [Limitazione dei momenti in cui il delegato può inviare e-mail](#sending-authorization-policy-example-time)
+ [Limitazione dell'operazione di invio di e-mail](#sending-authorization-policy-example-action)
+ [Limitazione del nome visualizzato del mittente dell'e-mail](#sending-authorization-policy-example-display-name)
+ [Uso di più istruzioni](#sending-authorization-policy-example-multiple-statements)
## Condizioni specifiche per l'autorizzazione di invio
Una *condizione* è qualsiasi restrizione riguardo all'autorizzazione inclusa nell'istruzione. La parte dell'istruzione che specifica le condizioni può essere la più dettagliata di tutte le parti. Una *chiave* è la caratteristica specifica sui cui si basa la restrizione di accesso, ad esempio la data e l'ora della richiesta.
Usa insieme condizioni e chiavi per esprimere la limitazione. Ad esempio, se vuoi impedire al mittente delegato di inviare richieste ad Amazon SES per tuo conto dopo il 30 luglio 2019, devi usare la condizione denominata `DateLessThan`. Usi la chiave denominata `aws:CurrentTime` e la imposti sul valore `2019-07-30T00:00:00Z`.
È possibile utilizzare una qualsiasi delle chiavi AWS-wide elencate in [Available Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys) nella *IAM User Guide*, oppure è possibile utilizzare una delle seguenti chiavi specifiche di SES, utili per l'invio di politiche di autorizzazione:
****
| Chiave di condizione | Description |
| --- | --- |
| `ses:Recipients` | Limita gli indirizzi del destinatario, che includono gli indirizzi "A", "CC" e "CCN". |
| `ses:FromAddress` | Limita l'indirizzo "From". |
| `ses:FromDisplayName` | Limita il contenuto della stringa usata come nome visualizzato del mittente, a volte chiamato "friendly from". Ad esempio, il nome visualizzato di "John Doe " è John Doe. |
| `ses:FeedbackAddress` | Limita l'indirizzo "percorso di ritorno", ovvero l'indirizzo a cui ti possono essere inviati reclami e notifiche di mancato recapito tramite l'inoltro di feedback via e-mail. Per informazioni sull'inoltro di feedback via e-mail, consulta [Ricezione delle notifiche Amazon SES tramite e-mail](monitor-sending-activity-using-notifications-email.md). |
Puoi utilizzare le condizioni `StringEquals` e `StringLike` con le chiavi Amazon SES. Queste condizioni sono per la corrispondenza di stringhe con distinzione tra maiuscole e minuscole. In `StringLike`, i valori possono includere una corrispondenza con più caratteri jolly (\$1) o con un singolo carattere jolly (?) ovunque nella stringa. Ad esempio, la condizione seguente specifica che il mittente delegato può inviare e-mail solo da un indirizzo che inizia con *invoicing* e termina con *@example.com*:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
Puoi anche utilizzare la condizione `StringNotLike` per impedire ai mittenti delegati di inviare e-mail da determinati indirizzi e-mail. Ad esempio, puoi non consentire l'invio da *admin@example.com* e da indirizzi simili, ad esempio *"admin"@example.com*, *admin\$11@example.com* o *sender@admin.example.com*, includendo la condizione seguente nell'istruzione della policy:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
Per ulteriori informazioni su come specificare le condizioni, consulta [Elementi delle policy JSON IAM: Condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
## Definizione del mittente delegato
Il *principale*, che è l'entità a cui si concede l'autorizzazione, può essere un Account AWS utente AWS Identity and Access Management (IAM) o un AWS servizio.
*L'esempio seguente mostra una semplice politica che consente all' AWS ID *123456789012* di inviare e-mail dall'identità verificata *example.com* (di proprietà di 8888). Account AWS * *La `Condition` dichiarazione contenuta in questa politica consente solo al delegato (ovvero, AWS ID *123456789012*) di inviare e-mail dall'indirizzo marketing\$1. **\$1 @example .com, *dove\$1* è qualsiasi stringa che il mittente desidera aggiungere dopo marketing\$1.* .
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
La policy di esempio seguente concede a due utenti di IAM; l'autorizzazione necessaria per inviare e-mail dall'identità *example.com*. Gli utenti IAM vengono specificati tramite il rispettivo Amazon Resource Name (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
La policy di esempio seguente concede ad Amazon Cognito l'autorizzazione necessaria per inviare e-mail dall'identità *example.com*.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
La policy di esempio seguente concede a tutti gli account all'interno di un'Organizzazione AWS l'autorizzazione necessaria per inviare e-mail dall'identità example.com. L' AWS organizzazione viene specificata utilizzando la chiave di condizione globale [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## Limitazione dell'indirizzo del mittente
Se usi un dominio verificato, puoi creare una policy che permette solo al mittente delegato di inviare e-mail da un indirizzo e-mail specificato. Per limitare l'indirizzo «Da», imposti una condizione sulla chiave chiamata *ses: FromAddress*. *La seguente politica consente l'invio dell' Account AWS ID *123456789012* da identity *example.com*, ma solo dall'indirizzo e-mail sender@example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## Limitazione dei momenti in cui il delegato può inviare e-mail
Puoi configurare la policy di autorizzazione di invio anche in modo tale che un mittente delegato possa inviare e-mail solo in certe ore del giorno o all'interno di un determinato intervallo di date. Ad esempio, se prevedi di creare una campagna e-mail durante il mese di settembre 2021, puoi usare la policy seguente per limitare la capacità del delegato all'invio di e-mail solo in quel mese.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## Limitazione dell'operazione di invio di e-mail
Le operazioni che i mittenti possono usare per inviare un'e-mail con Amazon SES sono due: `SendEmail` e `SendRawEmail`, a seconda del livello di controllo che il mittente vuole avere sul formato dell'e-mail. Le policy di autorizzazione di invio permettono di limitare il mittente delegato a una di queste due operazioni. Tuttavia, molti proprietari di identità lasciano la scelta dei dettagli delle chiamate di invio di e-mail al mittente delegato, permettendo entrambe le operazioni nelle policy.
**Nota**
Se vuoi permettere al mittente delegato di accedere ad Amazon SES tramite l'interfaccia SMTP, devi scegliere almeno `SendRawEmail`.
Se il tuo caso d'uso è tale da voler limitare l'operazione, a questo scopo puoi includere solo una delle operazioni nella policy di autorizzazione di invio. L'esempio seguente mostra come limitare l'operazione a `SendRawEmail`.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## Limitazione del nome visualizzato del mittente dell'e-mail
Alcuni client di posta elettronica visualizzano il nome "semplice" del mittente, se specificato nell'intestazione e-mail, invece dell'effettivo indirizzo del mittente. Ad esempio, il nome visualizzato di "John Doe " è John Doe. Ad esempio, puoi inviare e-mail da *utente@esempio.com*, ma scegliere che i destinatari vedano l'e-mail provenire da *Marketing* anziché da *utente@esempio.com*. *La seguente politica consente all' Account AWS ID 123456789012 di inviare da identity *example.com*, ma solo se il nome visualizzato dell'indirizzo «Da» include Marketing.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## Uso di più istruzioni
La policy di autorizzazione di invio può includere più istruzioni. La policy di esempio seguente include due istruzioni. *La prima dichiarazione ne Account AWS autorizza due all'invio da *sender@example.com* purché l'indirizzo «Da» e l'indirizzo di feedback utilizzino entrambi il dominio example.com.* La seconda istruzione autorizza un utente IAM a inviare e-mail da *sender@example.com*, purché l'indirizzo e-mail del destinatario faccia parte del dominio *example.com*.
# Inoltro al mittente delegato delle informazioni sull'identità per l'autorizzazione di invio di Amazon SES
Dopo aver creato la policy di autorizzazione di invio e averla collegata all'identità, è possibile fornire al mittente delegato l'Amazon Resource Name (ARN) dell'identità. Il mittente delegato passerà l'ARN ad Amazon SES nelle operazioni di invio di e-mail o nell'intestazione dell'e-mail. Per trovare l'ARN dell'identità, segui questa procedura.
**Individuazione dell'ARN di un'identità**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configuration** (Configurazione), scegli **Verified identities** (Identità verificate).
1. Nell'elenco delle identità scegli l'identità a cui hai collegato la policy di autorizzazione di invio.
1. Nel riquadro **Summary (Riepilogo)**, la seconda colonna, **Amazon Resource Name (ARN)**, conterrà l'ARN dell'identità. Somiglierà al seguente: *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*. Copia l'intero ARN e inoltralo al mittente delegato.
**Importante**
Se l'identità che stai autorizzando è duplicata in una regione secondaria come parte della funzionalità [Global endpoints](global-endpoints.md), sostituisci il parametro della regione, ad esempio`us-east-1`, con un asterisco `*` come nell'esempio seguente,. `arn:aws:ses:*:123456789012:identity/user@example.com`
# Attività del mittente delegato per l'autorizzazione all'invio di Amazon SES
Come mittente delegato, invii e-mail per conto di un'identità che non è di tua proprietà, ma che sei autorizzato a utilizzare. Anche se invii per conto del proprietario dell'identità, i rimbalzi e i reclami contano ai fini delle metriche relative a rimbalzi e reclami del tuo AWS account e il numero di messaggi che invii conta ai fini della tua quota di invio. Hai anche la responsabilità di richiedere qualsiasi aumento delle quote di invio che potrebbe essere necessario per inviare le e-mail del proprietario di identità.
In quanto mittente delegato, è necessario che completi le attività seguenti:
+ [Inoltro delle informazioni al proprietario di identità](sending-authorization-delegate-sender-tasks-information.md)
+ [Utilizzo delle notifiche del mittente delegato](sending-authorization-delegate-sender-tasks-notifications.md)
+ [Invio di e-mail per conto del proprietario di identità](sending-authorization-delegate-sender-tasks-email.md)
# Inoltro al proprietario di identità delle informazioni per l'autorizzazione all'invio di Amazon SES
In qualità di mittente delegato, devi fornire al proprietario dell'identità il tuo ID AWS account o il tuo utente IAM Amazon Resource Name (ARN) poiché invierai e-mail per conto del proprietario dell'identità. Il proprietario dell'identità ha bisogno delle informazioni del tuo account per poter creare una politica che ti conceda l'autorizzazione all'invio da una delle sue identità verificate.
Se desideri utilizzare i tuoi argomenti SNS, puoi richiedere al proprietario dell'identità di configurare le notifiche di feedback per mancati recapiti, reclami o consegne da inviare a uno o più argomenti SNS. A tale scopo, devi condividere l'ARN dell'argomento SNS con il proprietario dell'identità in modo che possa configurare l'argomento SNS nell'identità verificata da cui ti autorizza a inviare.
Le seguenti procedure spiegano come trovare le informazioni sul tuo account e l'argomento SNS da ARNs condividere con il proprietario della tua identità.
**Per trovare l'ID del tuo AWS account**
1. Accedi all' Console di gestione AWS indirizzo [https://console.aws.amazon.com](https://console.aws.amazon.com/).
1. Nell'angolo in alto a destra della console, espandi il tuo name/account numero e scegli **Il mio account** nel menu a discesa.
1. La pagina delle impostazioni dell'account si aprirà e mostrerà tutte le informazioni sull'account, incluso l'ID AWS dell'account.
**Per trovare l'ARN dell'utente IAM**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Users** (Utenti).
1. Nell'elenco degli utenti, seleziona il nome utente. Nella sezione **Summary (Riepilogo)** viene visualizzato l'ARN dell'utente IAM. L'ARN sarà simile al seguente esempio: *arn:aws:iam::123456789012:user/John*.
**Per trovare l'ARN dell'argomento SNS**
1. [Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. Nel pannello di navigazione, scegli **Argomenti**.
1. Nell'elenco degli argomenti, l'argomento SNS ARNs viene visualizzato nella colonna **ARN.** L'ARN è simile al seguente esempio: *arn:aws:sns:us-east- 1:444455556666*:. my-sns-topic
# Utilizzo delle notifiche del mittente delegato per l'autorizzazione all'invio di Amazon SES
In qualità di mittente delegato, invii e-mail per conto di un'identità che non è di tua proprietà, ma che sei autorizzato a utilizzare; tuttavia, i messaggi non recapitati e i reclami sono conteggiati nelle *tue* metriche relative a mancati recapiti e reclami, non in quelle del proprietario dell'identità.
Se la percentuale di mancato recapito o reclamo per il tuo account è troppo elevato, il tuo account è a rischio di essere messo sotto verifica o di avere la sua capacità di inviare email in pausa. Per questo motivo, è importante configurare le notifiche e adottare un processo per monitorarle. È inoltre necessario disporre di un processo per la rimozione dalle tue mailing list degli indirizzi che generano mancati recapiti o reclami.
Pertanto, in qualità di mittente delegato, puoi configurare Amazon SES per inviare notifiche quando si verificano eventi di mancato recapito e reclamo per le e-mail che invii per conto di eventuali identità che non sono di tua proprietà, ma che sei stato autorizzato a utilizzare dal proprietario dell'identità. Puoi anche configurare la pubblicazione di [eventi per pubblicare](monitor-using-event-publishing.md) notifiche di rimbalzi e reclami su Amazon SNS o Firehose.
**Nota**
Se hai configurato Amazon SES per l'invio di notifiche utilizzando Amazon SNS, ti saranno addebitate le tariffe Amazon SNS standard per le notifiche ricevute. Per ulteriori informazioni, consulta la pagina dei [prezzi di Amazon SNS](https://aws.amazon.com/sns/pricing).
## Creare una notifica di un nuovo mittente delegato
Puoi configurare l'invio di notifiche di delega con set di configurazione utilizzando la [pubblicazione di eventi](event-destinations-manage.md) o con identità verificate [configurate con i tuoi argomenti SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
Di seguito sono riportate le procedure per impostare notifiche di invio di nuovi delegati utilizzando uno dei due metodi:
+ Pubblicazione di un evento tramite un set di configurazione
+ Notifiche di feedback sugli argomenti SNS di tua proprietà
**Per impostare la pubblicazione di eventi tramite un set di configurazione per l'invio dei delegati**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Seguire le procedure indicate in [Crea destinazioni degli eventi](event-destinations-manage.md).
1. Dopo aver impostato la pubblicazione di eventi nel set di configurazione, specifica il nome del set di configurazione quando invii e-mail come mittente delegato utilizzando l'identità verificata da cui il proprietario dell'identità ti ha autorizzato a inviare. Per informazioni, consulta [Invio di e-mail per conto del proprietario di identità](sending-authorization-delegate-sender-tasks-email.md).
**Per impostare le notifiche di feedback sugli argomenti SNS di tua proprietà per l'invio dei delegati**
1. Dopo aver deciso quale dei tuoi argomenti SNS utilizzare per le notifiche di feedback, segui le procedure [per trovare l'ARN dell'argomento SNS](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) e copia l'ARN completo e condividilo con il proprietario della tua identità.
1. Chiedi al proprietario dell'identità di configurare i tuoi argomenti SNS per le notifiche di feedback sull'identità condivisa da cui ti ha autorizzato a inviare. Il titolare dell'identità dovrà seguire le procedure previste per la [configurazione di argomenti SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) nelle procedure della policy di autorizzazione.
# Invio di e-mail per conto del proprietario di identità per l'autorizzazione all'invio Amazon SES
Come mittente delegato, puoi inviare e-mail nello stesso modo di altri mittenti Amazon SES, a patto che fornisci l'ARN dell'identità che il proprietario di identità ti ha autorizzato a utilizzare. Quando chiami Amazon SES per inviare l'e-mail, Amazon SES verifica se l'identità che hai specificato disponga di una policy che ti autorizza all'invio per suo conto.
Ci sono diversi modi in cui puoi specificare l'ARN dell'identità quando invii un'e-mail. Il metodo che puoi utilizzare dipende se invii l'e-mail utilizzando le operazioni API Amazon SES o l'interfaccia SMTP Amazon SES.
**Importante**
Per inviare correttamente un'e-mail, devi connetterti all'endpoint Amazon SES nella AWS regione in cui il proprietario dell'identità ha verificato l'identità.
**Inoltre, gli AWS account del proprietario dell'identità e del mittente delegato devono essere rimossi dalla sandbox prima che entrambi gli account possano inviare e-mail a indirizzi non verificati.** Per ulteriori informazioni, consulta [Richiedi l'accesso alla produzione (uscita dalla sandbox di Amazon SES)](request-production-access.md).
[Se l'identità che sei stato autorizzato a utilizzare è duplicata in un'area secondaria come parte della funzionalità Global endpoints:](global-endpoints.md)
Il proprietario dell'identità avrebbe dovuto fornire un ARN di identità con il parametro region, ad esempio`us-east-1`, sostituito da un asterisco `*` come nell'esempio seguente,. `arn:aws:ses:*:123456789012:identity/user@example.com`
Il proprietario dell'identità dovrebbe aver creato per te politiche di autorizzazione all'invio sia nell'area principale che in quella secondaria.
## Utilizzo dell'API Amazon SES
Come con qualsiasi mittente e-mail di Amazon SES, se accedi ad Amazon SES tramite l'API Amazon SES (direttamente tramite HTTPS o indirettamente tramite un AWS SDK), puoi scegliere tra una delle tre azioni di invio e-mail:,, e. `SendEmail` `SendTemplatedEmail` `SendRawEmail` Il [riferimento all'API di Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/) ne descrive i dettagli APIs, ma qui forniamo una panoramica dei parametri di autorizzazione all'invio.
### SendRawEmail
Se desideri utilizzare `SendRawEmail` per poter controllare il formato delle e-mail, puoi specificare l'identità autorizzata delegata in uno di questi due modi:
+ **Passaggio dei parametri facoltativi all'API `SendRawEmail`**. I parametri obbligatori sono descritti nella tabella seguente:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **Inclusione dei campi X-header nell'e-mail**. I campi X-header sono intestazioni personalizzate che puoi utilizzare in aggiunta alle intestazioni e-mail standard (ad esempio le intestazioni mittente, reply-to o oggetto). Amazon SES riconosce tre campi X-header che puoi utilizzare per specificare l'invio di parametri di autorizzazione:
**Importante**
Non includere questi campi X-header nella firma DKIM, perché vengono rimossi da Amazon SES prima di inviare l'e-mail.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
Amazon SES rimuove tutti i campi X-header dall'email prima di inviarla. Se includi più istanze di un campo X-header, Amazon SES utilizza solo la prima istanza.
L'esempio seguente mostra un'e-mail che include l'invio di X-header di autorizzazione:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail e SendTemplatedEmail
Se utilizzi l'operazione `SendEmail` o `SendTemplatedEmail`, puoi specificare l'identità autorizzata delegata passando seguenti i parametri facoltativi. Non puoi utilizzare il metodo X-header quando utilizzi l'operazione`SendEmail` o `SendTemplatedEmail`.
****
| Parametro | Description |
| --- | --- |
| `SourceArn` | ARN dell'identità associata alla policy di autorizzazione che ti consente di inviare per l'indirizzo e-mail specificato nel parametro `Source` di `SendEmail` o `SendTemplatedEmail`. |
| `ReturnPathArn` | ARN dell'identità associata con la policy di autorizzazione che ti consente di utilizzare l'indirizzo e-mail specificato nel parametro `ReturnPath` di `SendEmail` o `SendTemplatedEmail`. |
L'esempio seguente mostra come inviare un'e-mail che includa gli attributi `SourceArn` e `ReturnPathArn` utilizzando il comando `SendEmail` o `SendTemplatedEmail` e l'[SDK per Python](https://aws.amazon.com/sdk-for-python).
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## Utilizzo dell'interfaccia SMTP Amazon SES
Quando utilizzi l'interfaccia SMTP Amazon SES per l'invio dei delegati, devi includere le intestazioni `X-SES-SOURCE-ARN`, `X-SES-FROM-ARN` e `X-SES-RETURN-PATH-ARN` nel messaggio. Passa queste intestazioni dopo l'esecuzione del comando `DATA` nella conversazione SMTP.