As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configuração de identidades no Amazon SES
O Amazon Simple Email Service (Amazon SES) usa o Simple Mail Transfer Protocol (SMTP) para enviar e-mail. Como o SMTP não fornece nenhuma autenticação por si só, spammers podem enviar mensagens de e-mail que declaram vir de outra pessoa enquanto ocultam sua real origem. Por falsificar cabeçalhos de e-mail e fazer spoofing de endereços IP de origem, os spammers podem enganar os destinatários a pensar que as mensagens de e-mail que estão recebendo são autênticas.
A maioria dos ISPs que encaminham tráfego de e-mail tomam medidas para avaliar se o e-mail é legítimo. Uma medida que os ISPs tomam é determinar se um e-mail é *autenticado*. A autenticação exige que os remetentes verifiquem se eles são os proprietários da conta da qual estão enviando os e-mails. Em alguns casos, os ISPs recusam-se a encaminhar e-mail que não é autenticado. Para garantir a melhor capacidade de entrega, recomendamos a autenticação de e-mails.
As seções a seguir descrevem dois mecanismos de autenticação que os ISPs usam: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM), e fornecem instruções de como usar esses padrões com o Amazon SES.
+ Para saber mais sobre SPF, que fornece uma maneira de rastreamento de uma mensagem de e-mail de volta para o sistema de que foi enviada, consulte [Autenticação de e-mail com SPF no Amazon SES](send-email-authentication-spf.md).
+ Para saber mais sobre DKIM, um padrão que permite que você assine suas mensagens de e-mail para mostrar aos ISPs que suas mensagens são legítimas e não foram modificadas em trânsito, consulte [Autenticação de e-mail com DKIM no Amazon SES](send-email-authentication-dkim.md).
+ Para saber como estar em conformidade com Domain-based Message Authentication, Reporting and Conformance (DMARC), que conta com SPF e DKIM, consulte [Conformidade com o protocolo de autenticação DMARC no Amazon SES](send-email-authentication-dmarc.md).
# Métodos de autenticação de e-mail
O Amazon Simple Email Service (Amazon SES) usa o Simple Mail Transfer Protocol (SMTP) para enviar e-mail. Como o SMTP não fornece autenticação por si só, spammers podem enviar mensagens de e-mail que alegam ser de outra pessoa e, ao mesmo tempo, ocultar sua real origem. Por falsificar cabeçalhos de e-mail e fazer spoofing de endereços IP de origem, os spammers podem enganar os destinatários a pensar que as mensagens de e-mail que estão recebendo são autênticas.
A maioria dos ISPs que encaminham tráfego de e-mail tomam medidas para avaliar se o e-mail é legítimo. Uma medida que os ISPs tomam é determinar se um e-mail é autenticado. A autenticação exige que os remetentes verifiquem se eles são os proprietários da conta da qual estão enviando os e-mails. Em alguns casos, os ISPs recusam-se a encaminhar e-mail que não é autenticado. Para garantir a melhor capacidade de entrega, recomendamos a autenticação de e-mails.
**Topics**
+ [Autenticação de e-mail com DKIM no Amazon SES](send-email-authentication-dkim.md)
+ [Autenticação de e-mail com SPF no Amazon SES](send-email-authentication-spf.md)
+ [Uso de um domínio MAIL FROM personalizado](mail-from.md)
+ [Conformidade com o protocolo de autenticação DMARC no Amazon SES](send-email-authentication-dmarc.md)
+ [Usar o BIMI no Amazon SES](send-email-authentication-bimi.md)
# Autenticação de e-mail com DKIM no Amazon SES
DomainKeys O *Identified Mail* (*DKIM*) é um padrão de segurança de e-mail projetado para garantir que um e-mail que alega ter vindo de um domínio específico foi de fato autorizado pelo proprietário desse domínio. Ele usa criptografia de chave pública para assinar um e-mail com uma chave privada. Os servidores dos destinatários podem então usar uma chave pública publicada no DNS de um domínio para confirmar que partes do e-mail não foram modificadas durante o trânsito.
As assinaturas DKIM são opcionais. Você pode decidir assinar seu e-mail usando uma assinatura DKIM para aumentar a capacidade de entrega com os provedores de e-mail em conformidade com o DKIM. O Amazon SES fornece três opções para assinar suas mensagens usando uma assinatura DKIM:
+ **Easy DKIM**: o SES gera um par de chaves pública-privada e adiciona automaticamente uma assinatura DKIM a todas as mensagens enviadas dessa identidade, consulte [Easy DKIM no Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: permite que você mantenha a assinatura consistente do DKIM em várias, Regiões da AWS criando identidades de réplica que herdam automaticamente os atributos de assinatura do DKIM como uma identidade principal que está usando o Easy DKIM, consulte. [Usar o Easy DKIM determinístico (DEED) no Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Traga seu próprio DKIM)**: você fornece seu próprio par de chaves pública-privada e o SES adiciona uma assinatura DKIM a todas as mensagens enviadas dessa identidade, consulte [Fornecer seu próprio token de autenticação DKIM (BYODKIM) no Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **Adicionar manualmente assinatura DKIM**: você adiciona sua própria assinatura DKIM ao e-mail enviado usando a API `SendRawEmail`, consulte [Assinatura DKIM manual no Amazon SES](send-email-authentication-dkim-manual.md).
## Comprimento da chave de assinatura DKIM
Como muitos provedores de DNS agora suportam totalmente a criptografia RSA DKIM de 2048 bits, o Amazon SES também suporta o DKIM 2048 para permitir uma autenticação mais segura de e-mails e, portanto, o usa como o comprimento de chave padrão quando você configura o Easy DKIM usando a API ou o console. As chaves de 2048 bits podem ser configuradas e usadas no Bring Your Own DKIM (BYODKIM) também, no qual o comprimento da chave de assinatura deve ser de, pelo menos, 1024 bits e de, no máximo, 2048 bits.
Por razões de segurança, e também da capacidade de entrega do seu e-mail, quando configurado com Easy DKIM, você tem a opção de usar comprimentos de chave de 1024 e 2048 bits, juntamente com a flexibilidade de reverter para 1024, caso existam problemas causados por algum provedor de DNS que ainda não suporte 2048. *Quando você cria uma identidade, ela é criada com o DKIM 2048 por padrão, a menos que você especifique 1024.*
Para preservar a capacidade de entrega dos e-mails em trânsito, há restrições sobre a frequência com que você pode alterar o comprimento da chave DKIM. As restrições incluem:
+ Não ser capaz de alternar para o mesmo comprimento de chave que já está configurado.
+ Não ser capaz de alternar para diferentes comprimentos de chave mais de uma vez em um período de 24 horas (a menos que seja a primeiro redução para 1024 nesse período).
Quando seu e-mail está em trânsito, o DNS está usando sua chave pública para autenticá-lo; portanto, se você alterar as chaves com muita rapidez ou frequência, o DNS pode não conseguir autenticar seu e-mail com DKIM, pois a chave anterior já pode estar invalidada, e essas restrições protegem contra isso.
## Considerações sobre o DKIM
Ao usar o DKIM para autenticar seu e-mail, as seguintes regras serão aplicadas:
+ Você só precisa configurar o DKIM para o domínio que usa no seu endereço “From”. Você não precisa configurar o DKIM para domínios que usa em endereços “Return-Path” ou “Reply-to”.
+ O Amazon SES está disponível em várias AWS regiões. Se usar mais de uma região da AWS para enviar e-mails, é necessário concluir o processo de configuração do DKIM em cada uma dessas regiões para garantir que todos os seus e-mails sejam assinados pelo DKIM.
+ Como as propriedades DKIM são herdadas do domínio principal, quando você verifica um domínio com autenticação DKIM:
+ A autenticação DKIM também será aplicada a todos os subdomínios desse domínio.
+ As configurações DKIM para um subdomínio podem substituir as configurações do domínio principal ao desabilitar a herança se você não quiser que o subdomínio use a autenticação DKIM, bem como a capacidade de rehabilitar posteriormente.
+ A autenticação DKIM também será aplicada a todos os e-mails enviados de uma identidade de e-mail que faça referência em seu endereço ao domínio DKIM verificado.
+ As configurações DKIM para um endereço de e-mail podem substituir as configurações para o subdomínio (se for o caso) e o domínio principal ao desabilitar a herança se você quiser enviar e-mails sem autenticação DKIM, bem como a capacidade de rehabilitar posteriormente.
## Compreensão das propriedades da assinatura DKIM herdadas
É importante primeiro entender que uma identidade de endereço de e-mail herdará suas propriedades de assinatura DKIM de seu domínio pai se esse domínio tiver sido configurado com DKIM, independentemente do Easy DKIM ou BYODKIM ter sido usado. Portanto, desabilitar ou habilitar a assinatura DKIM na identidade do endereço de e-mail está em vigor, substituindo as propriedades de assinatura DKIM do domínio com base nesses fatos principais:
+ Se você já configurou o DKIM para o domínio ao qual um endereço de e-mail pertence, também não precisa habilitar a assinatura DKIM para a identidade do endereço de e-mail.
+ Quando você configura o DKIM para um domínio, o Amazon SES autentica automaticamente todos os e-mails de todos os endereços nesse domínio por meio de propriedades DKIM herdadas do domínio pai.
+ As configurações do DKIM para um endereço de e-mail específico *automaticamente substituem as configurações para o domínio ou subdomínio (se aplicável) pai* ao qual o endereço pertence.
Como as propriedades de assinatura DKIM da identidade de endereço de e-mail são herdadas do domínio pai, se você estiver planejando substituir essas propriedades, deverá ter em mente as regras hierárquicas de substituição, conforme explicado na tabela abaixo.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim.html)
Geralmente, nunca é recomendável desabilitar sua assinatura DKIM, pois há o risco da reputação do remetente ser prejudicada e do e-mail enviado terminar em pastas de lixo eletrônico ou spam, além da possibilidade do seu domínio ser falsificado.
No entanto, existe a capacidade de substituir as propriedades de assinatura DKIM herdadas por domínio em uma identidade de endereço de e-mail para qualquer caso de uso específico ou decisão comercial remota que você possa ter que desabilitar permanentemente ou temporariamente a assinatura DKIM ou reabilitá-la posteriormente. Consulte [Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM no Amazon SES
Quando você configura o Easy DKIM para uma identidade de domínio, o Amazon SES adiciona automaticamente uma chave DKIM de 2.048 bits a cada e-mail enviado dessa identidade. Você pode configurar o Easy DKIM usando o console ou a API do Amazon SES.
**nota**
Para configurar o Easy DKIM, é necessário modificar as configurações de DNS do seu domínio. Se você usa o Route 53 como seu provedor de DNS, o Amazon SES pode criar automaticamente os registros apropriados para você. Se você usa outro provedor de DNS, consulte a documentação do provedor para saber mais sobre como alterar as configurações de DNS do seu domínio.
**Atenção**
Se, no momento, você tiver o BYODKIM habilitado e estiver fazendo a transição para Easy DKIM, esteja ciente de que o Amazon SES não usará o BYODKIM para assinar seus e-mails enquanto o Easy DKIM estiver sendo configurado e seu status do DKIM estiver marcado como pendente. Entre o momento em que você faz a chamada para habilitar o Easy DKIM (por meio da API ou do console) e o momento em que o SES pode confirmar sua configuração de DNS, os e-mails podem ser enviados pelo SES sem uma assinatura do DKIM. Portanto, é aconselhável usar uma etapa intermediária para migrar de um método de assinatura do DKIM para o outro (por exemplo, usando um subdomínio do seu domínio com o BYODKIM habilitado e excluí-lo depois que a verificação do Easy DKIM tiver sido aprovada), ou realizar essa atividade durante o tempo de inatividade da aplicação, se houver.
## Configuração do Easy DKIM para uma identidade verificada existente
O procedimento nesta seção é simplificado para mostrar apenas as etapas necessárias para configurar o Easy DKIM em uma identidade de domínio que você já criou. Se você ainda não criou uma identidade de domínio ou se deseja ver todas as opções disponíveis para personalizar a identidade de domínio, como usar um conjunto de configurações padrão, domínio MAIL FROM personalizado e etiquetas, consulte [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure).
Parte da criação de uma identidade de domínio Easy DKIM é configurar sua verificação baseada em DKIM, quando você terá a opção de aceitar o padrão de 2.048 bits do Amazon SES ou substituir o padrão selecionando 1.024 bits. Consulte [Comprimento da chave de assinatura DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para saber mais sobre comprimentos de chave de assinatura DKIM e como alterá-los.
**Para configurar o Easy DKIM para um domínio**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. Na lista de identidades, escolha uma identidade na qual o **Identity type (Tipo de identidade)** é *Domain (Domínio)*.
**nota**
Se precisar criar ou verificar um domínio, consulte [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure).
1. Na guia **Autenticação**, no contêiner **Correio DomainKeys Identificado (DKIM)**, escolha **Editar**.
1. No contêiner **Advanced DKIM settings (Configurações avançadas de DKIM)**, escolha o botão **Easy DKIM** no campo **Identity type (Tipo de identidade)**.
1. No campo **DKIM signing key length (Comprimento da chave de assinatura DKIM)**, escolha [**RSA\$12048\$1BIT** ou **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).
1. No campo **DKIM signatures (Assinaturas do DKIM)**, marque a caixa de seleção **Enabled (Habilitado)**.
1. Escolha **Salvar alterações**.
1. Agora que você configurou sua identidade de domínio com o Easy DKIM, é necessário concluir o processo de verificação com seu provedor de DNS. Continue para [Verificar uma identidade de domínio DKIM com seu provedor DNS](creating-identities.md#just-verify-domain-proc) e siga os procedimentos de autenticação de DNS para Easy DKIM.
## Alterar o comprimento da chave de assinatura Easy DKIM para uma identidade
O procedimento nesta seção mostra como você pode facilmente alterar os bits do Easy DKIM necessários para o algoritmo de assinatura. Embora um comprimento de assinatura de 2048 bits seja sempre preferível por causa da segurança maior que oferece, pode haver situações que exijam que você use o comprimento de 1024 bits, como ter que usar um provedor de DNS que suporte apenas o DKIM 1024.
Para preservar a capacidade de entrega dos e-mails em trânsito, há restrições sobre a frequência com que você pode alterar o comprimento da chave DKIM.
Quando seu e-mail está em trânsito, o DNS está usando sua chave pública para autenticá-lo; portanto, se você alterar as chaves com muita rapidez ou frequência, o DNS pode não conseguir autenticar seu e-mail com DKIM, pois a chave anterior já pode estar invalidada, as restrições a seguir protegem contra isso:
+ Você não pode alternar para o mesmo comprimento de chave que já está configurado.
+ Você não pode alternar um comprimento de chave diferente mais de uma vez em um período de 24 horas (a menos que seja a primeira redução para 1024 nesse período).
Ao usar os procedimentos a seguir para alterar o comprimento da chave, se você violar uma dessas restrições, o console retornará um banner de erro informando que *the input you provided is invalid*, juntamente com a razão de por que ela é inválida.
**Para alterar os bits de comprimento da chave de assinatura DKIM**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuration (Configuração)**, escolha **Verified identities (Identidades verificadas)**.
1. Na lista de identidades, selecione a identidade para a qual você deseja alterar o comprimento da chave de assinatura DKIM.
1. Na guia **Autenticação**, no contêiner **Correio DomainKeys Identificado (DKIM)**, escolha **Editar**.
1. No contêiner **Configurações avançadas do DKIM**, escolha [**RSA\$12048\$1BIT** ou **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) no campo **Tamanho da chave de assinatura DKIM**.
1. Escolha **Salvar alterações**.
# Usar o Easy DKIM determinístico (DEED) no Amazon SES
O Deterministic Easy DKIM (DEED) oferece uma solução para gerenciar configurações de DKIM em várias. Regiões da AWS Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo práticas robustas de autenticação de e-mails.
## O que é Easy DKIM determinístico (DEED)?
[O Deterministic Easy DKIM (DEED) é um recurso que gera tokens DKIM consistentes em todos, Regiões da AWS com base em um domínio principal configurado com o Easy DKIM.](send-email-authentication-dkim-easy.md) Isso permite replicar identidades diferentes Regiões da AWS que herdam e mantêm automaticamente a mesma configuração de assinatura DKIM de uma identidade principal que está atualmente configurada com o Easy DKIM. Com o DEED, você só precisa publicar registros DNS uma vez para a identidade principal, e as identidades de réplica usarão os mesmos registros DNS para verificar a propriedade do domínio e gerenciar a assinatura DKIM.
Ao simplificar o gerenciamento de DNS e garantir a assinatura DKIM consistente, o DEED ajuda você a otimizar suas operações de envio de e-mails em várias regiões, mantendo as práticas recomendadas de autenticação de e-mails.
Terminologia usada ao falar sobre o DEED:
+ **Identidade principal**: uma identidade verificada configurada com o Easy DKIM que serve como origem da configuração do DKIM para uma identidade de réplica.
+ **Identidade de réplica**: uma cópia de uma identidade principal que compartilha a mesma configuração DNS e a mesma configuração de assinatura DKIM.
+ **Região principal**: a Região da AWS em que a identidade principal é configurada.
+ **Região de réplica**: a Região da AWS em que uma identidade de réplica é configurada.
+ **Identidade DEED**: qualquer identidade usada como identidade principal ou de réplica. Quando uma identidade é criada, ela é inicialmente tratada como uma identidade normal (não DEED). No entanto, depois que uma réplica é criada, a identidade passa a ser considerada uma identidade DEED.
Os principais benefícios de usar o DEED incluem:
+ **Gerenciamento simplificado de DNS**: publique registros DNS somente uma vez para a identidade principal.
+ **Operações multirregionais facilitadas**: simplifique o processo de expansão das operações de envio de e-mails para novas regiões.
+ **Redução da sobrecarga administrativa**: gerencie as configurações DKIM centralmente por meio da identidade principal.
## Como funciona o Easy DKIM determinístico (DEED)
Quando você cria uma identidade de réplica, o Amazon SES replica automaticamente a chave de assinatura DKIM da identidade principal para a identidade da réplica. Quaisquer rotações de chave do DKIM subsequentes ou alterações no comprimento de chave feitas na identidade principal são propagadas automaticamente para todas as identidades de réplica.
O processo inclui o seguinte fluxo:
1. Crie uma identidade principal Região da AWS usando o Easy DKIM.
1. Configure os registros DNS necessários para a identidade principal.
1. Crie identidades de réplica em outras Regiões da AWS, especificando o nome de domínio da identidade principal e a região de assinatura do DKIM.
1. O Amazon SES replica automaticamente a configuração DKIM da identidade principal para as réplicas.
Considerações importantes:
+ Não é possível criar uma réplica de uma identidade que já é uma réplica.
+ A identidade principal deve ter o [Easy DKIM](send-email-authentication-dkim-easy.md) habilitado, então não é possível criar réplicas de identidades BYODKIM ou assinadas manualmente.
+ As identidades principais não podem ser excluídas até que todas as identidades de réplica sejam excluídas.
## Configurar uma identidade de réplica usando o DEED
Esta seção fornecerá exemplos que mostram como criar e verificar uma identidade de réplica usando o DEED junto com as permissões necessárias.
**Topics**
+ [Criar uma identidade de réplica](#creating-replica-identity)
+ [Verificar a configuração de identidades de réplica](#verifying-replica-identity)
+ [Permissões necessárias para usar o DEED](#required-permissions)
### Criar uma identidade de réplica
Para criar uma identidade de réplica:
1. No Região da AWS local em que você deseja criar uma identidade de réplica, abra o console do SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(No console do SES, as identidades de réplica são chamadas de *Identidades globais*.)
1. No painel de navegação, escolha **Identidades**.
1. Escolha **Create identity (Criar identidade)**.
1. Selecione **Domínio** em **Tipo de identidade** e insira o nome de domínio de uma identidade existente configurada com o Easy DKIM que você deseja replicar e tratar como principal.
1. Expanda **Configurações avançadas do DKIM** e selecione **Easy DKIM determinístico**.
1. No menu suspenso **Região principal**, selecione uma região principal na qual resida uma identidade assinada pelo Easy DKIM com o mesmo nome que você inseriu para sua identidade global (réplica). (Sua região de réplica é padronizada como a região em que você se conectou ao console do SES.)
1. Habilite a opção **Assinaturas DKIM**.
1. (Opcional) Adicione uma ou mais **Etiquetas** à identidade do seu domínio.
1. Revise a configuração e selecione **Criar identidade**.
Usando o AWS CLI:
Para criar uma identidade de réplica com base em uma identidade principal configurada com o Easy DKIM, é necessário especificar o nome de domínio da identidade principal, a região em que deseja criar a identidade de réplica e a região de assinatura DKIM da identidade principal, conforme mostrado neste exemplo:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
No exemplo anterior:
1. *example.com*Substitua pela identidade do domínio principal que está sendo replicada.
1. *us-west-2*Substitua pela região em que a identidade do domínio de réplica será criada.
1. *AWS\$1SES\$1US\$1EAST\$11*Substitua pela região de assinatura DKIM do pai, que representa sua configuração de assinatura Easy DKIM, que será replicada para a identidade da réplica.
**nota**
O `AWS_SES_` prefixo indica que o DKIM foi configurado para a identidade principal usando o Easy DKIM e `US_EAST_1` é Região da AWS onde ele foi criado.
### Verificar a configuração de identidades de réplica
Depois de criar a identidade de réplica, é possível verificar se ela foi configurada corretamente com a configuração de assinatura DKIM da identidade principal.
**Para verificar identidade de réplica:**
1. No Região da AWS local em que você criou a identidade da réplica, abra o console do SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, escolha **Identidades** e selecione a identidade que deseja verificar na tabela **Identidades**.
1. Na guia **Autenticação**, o campo **Configuração do DKIM** indicará o status e o campo **Região principal** indicará a região que está sendo usada para a configuração de assinatura DKIM da identidade utilizando o DEED.
Usando o AWS CLI:
Use o comando `get-email-identity` especificando o nome de domínio e a região da réplica:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
A resposta incluirá o valor da região principal no parâmetro `SigningAttributesOrigin`, significando que a identidade de réplica foi configurada com êxito com a configuração de assinatura DKIM da identidade principal:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Permissões necessárias para usar o DEED
Para usar o DEED, você precisa de:
1. Permissões padrão para criar identidades de e-mail na região de réplica.
1. Permissão para replicar a chave de assinatura DKIM da região principal.
#### Exemplo de política do IAM para replicação do DKIM
A política a seguir permite a replicação da chave de assinatura DKIM de uma identidade principal para regiões de réplica especificadas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Práticas recomendadas
As seguintes práticas são recomendadas:
+ **Planeje suas regiões principal e de réplica**: pense na região principal que deseja escolher, pois ela será a fonte da verdade para a configuração DKIM usada nas regiões de réplica.
+ **Use políticas do IAM consistentes**: garanta que suas políticas do IAM permitam a replicação do DKIM em todas as regiões pretendidas.
+ **Mantenha as identidades principais ativas**: lembre-se de que suas identidades de réplica herdam a configuração de assinatura DKIM da identidade principal. Devido a essa dependência, você não pode excluir uma identidade principal até que todas as identidades de réplica sejam excluídas.
## Solução de problemas
Se você encontrar problemas com o DEED, considere o seguinte:
+ **Erros de verificação**: garanta que você tem as permissões necessárias para a replicação do DKIM.
+ **Atrasos na replicação**: aguarde algum tempo para que a replicação seja concluída, principalmente ao criar identidades de réplica.
+ **Problemas de DNS**: verifique se os registros DNS da identidade principal estão configurados e propagados corretamente.
# Fornecer seu próprio token de autenticação DKIM (BYODKIM) no Amazon SES
Como alternativa ao uso do [Easy DKIM](send-email-authentication-dkim-easy.md), você pode configurar a autenticação DKIM usando seu próprio par de chaves pública e privada. Este processo é conhecido como *Bring Your Own DKIM* (*BYODKIM*).
Com o BYODKIM, você pode usar um único registro DNS para configurar a autenticação DKIM dos seus domínios, diferentemente do Easy DKIM, que exige a publicação de três registros DNS separados. Além disso, usar BYODKIM permite alternar as chaves DKIM dos seus domínios com a frequência que desejar.
**Topics**
+ [Etapa 1: Criar o par de chaves](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Etapa 2: adicionar o seletor e a chave pública à configuração de domínio do provedor de DNS](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Etapa 3: configurar e verificar um domínio para usar BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**Atenção**
Se, no momento, você tiver o Easy DKIM habilitado e estiver fazendo a transição para BYODKIM, esteja ciente de que o Amazon SES não usará o Easy DKIM para assinar seus e-mails enquanto o BYODKIM estiver sendo configurado e seu status do DKIM estiver marcado como pendente. Entre o momento em que você faz a chamada para habilitar o BYODKIM (por meio da API ou do console) e o momento em que o SES pode confirmar sua configuração de DNS, os e-mails podem ser enviados pelo SES sem uma assinatura do DKIM. Portanto, é aconselhável usar uma etapa intermediária para migrar de um método de assinatura do DKIM para o outro (por exemplo, usando um subdomínio do seu domínio com o Easy DKIM habilitado e excluí-lo depois que a verificação do BYODKIM tiver sido aprovada), ou realizar essa atividade durante o tempo de inatividade da aplicação, se houver.
## Etapa 1: Criar o par de chaves
Para usar o recurso Bring Your Own DKIM, primeiro é necessário criar um par de chaves RSA.
A chave privada que você gera deve estar no formato PKCS \$11 ou PKCS \$18, deve usar criptografia RSA de no mínimo 1.024 bits e no máximo 2.048 bits, e deve ser codificada usando a codificação em base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulte [Comprimento da chave de assinatura DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para saber mais sobre comprimentos de chave de assinatura DKIM e como alterá-los.
**nota**
É possível usar aplicações e ferramentas de terceiros para gerar pares de chaves RSA, desde que a chave privada seja gerada com criptografia RSA de no mínimo 1.024 bits e no máximo 2.048 bits, e seja codificada usando a codificação em base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
No procedimento a seguir, o código de exemplo que usa o comando `openssl genrsa` incorporado na maioria dos sistemas operacionais Linux, macOS ou Unix para criar o par de chaves usará automaticamente a codificação em base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Para criar o par de chaves com a linha de comando do Linux, macOS ou Unix**
1. Na linha de comando, digite o seguinte comando para gerar a chave privada *nnnn* substituindo-a por um comprimento de bits de pelo menos 1024 e até 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Na linha de comando, digite o comando a seguir para gerar a chave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Etapa 2: adicionar o seletor e a chave pública à configuração de domínio do provedor de DNS
Agora que você criou um par de chaves, é necessário adicionar a chave pública como um registro TXT à configuração DNS do seu domínio.
**Como adicionar a chave pública à configuração DNS do seu domínio**
1. Faça login no console de gerenciamento do seu provedor hospedagem ou DNS.
1. Como adicionar um novo registro de texto à configuração de DNS do seu domínio O registro deve ter o seguinte formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
No exemplo anterior, faça as seguintes alterações:
+ *selector*Substitua por um nome exclusivo que identifique a chave.
**nota**
Um pequeno número de provedores de DNS não permitem que você inclua sublinhados (\$1) em nomes de registro. No entanto, o sublinhado no nome do registro DKIM é necessário. Se o seu provedor de DNS não permitir que você insira um sublinhado no nome do registro, entre em contato com a equipe de suporte ao cliente do provedor para obter assistência.
+ *example.com*Substitua pelo seu domínio.
+ *yourPublicKey*Substitua pela chave pública que você criou anteriormente e inclua o `p=` prefixo conforme mostrado na coluna *Valor* acima.
**nota**
Quando você publica (adiciona) a chave pública ao provedor DNS, ela deve ser formatada da seguinte forma:
Você deve excluir a primeira e a última linha (`-----BEGIN PUBLIC KEY-----` e `-----END PUBLIC KEY-----`, respectivamente) da chave pública gerada. Remover também as quebras de linha da chave pública gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
É necessário incluir o prefixo `p=` como mostrado na coluna *Value* (Valor) na tabela acima.
Diferentes provedores têm procedimentos diferentes para atualizar os registros DNS. A tabela a seguir inclui links para a documentação de alguns provedores de DNS amplamente usados. Essa lista não é exaustiva e não significa endosso; da mesma forma, se seu provedor de DNS não estiver listado, isso não implicará que você não possa usar o domínio com o Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Etapa 3: configurar e verificar um domínio para usar BYODKIM
Você pode configurar o BYODKIM para novos domínios (ou seja, domínios que você não usa atualmente para enviar e-mails pelo Amazon SES) e domínios existentes (ou seja, domínios que você já configurou para usar com o Amazon SES), usando o console ou a AWS CLI. Antes de usar os AWS CLI procedimentos desta seção, primeiro você precisa instalar e configurar AWS CLI o. Para obter mais informações, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opção 1: Criar uma nova identidade de domínio que usa BYODKIM
Esta seção contém procedimentos para criar uma nova identidade de domínio que usa BYODKIM. Uma nova identidade de domínio é um domínio que você não configurou anteriormente para enviar e-mails com o Amazon SES.
Se você quiser configurar um domínio existente para usar o BYODKIM, siga as instruções em [Opção 2: Configurar uma identidade de domínio existente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain).
**Para criar uma identidade usando BYODKIM no console**
+ Siga os procedimentos em [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure), e quando você chegar à etapa 8, siga as instruções específicas do BYODKIM.
**Para criar uma identidade usando BYODKIM a partir do AWS CLI**
Para configurar um novo domínio, use a operação `CreateEmailIdentity` na API do Amazon SES.
1. No editor de texto, cole o código a seguir:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
No exemplo anterior, faça as seguintes alterações:
+ *example.com*Substitua pelo domínio que você deseja criar.
+ *privateKey*Substitua pela sua chave privada.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
+ *selector*Substitua pelo seletor exclusivo que você especificou ao criar o registro TXT na configuração de DNS do seu domínio.
Ao concluir, salve o arquivo como `create-identity.json`.
1. Na linha de comando, insira o seguinte comando:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
No comando anterior, *path/to/create-identity.json* substitua pelo caminho completo do arquivo que você criou na etapa anterior.
### Opção 2: Configurar uma identidade de domínio existente
Esta seção contém procedimentos para atualizar uma identidade de domínio existente para usar BYODKIM. Uma identidade de domínio existente é um domínio que você já configurou para enviar e-mails com o Amazon SES.
**Para atualizar uma identidade de domínio usando BYODKIM no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuration (Configuração)**, escolha **Verified identities (Identidades verificadas)**.
1. Na lista de identidades, escolha uma identidade na qual o **Identity type (Tipo de identidade)** é *Domain (Domínio)*.
**nota**
Se precisar criar ou verificar um domínio, consulte [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure).
1. **Na guia **Autenticação**, no painel **Correio DomainKeys Identificado (DKIM)**, escolha Editar.**
1. No painel **Advanced DKIM settings** (Configurações avançadas de DKIM), selecione o botão **Provide DKIM authentication token** (Fornecer token de autenticação DKIM) no campo **Identity type** (Tipo de identidade).
1. Em **Private key** (Chave privada), cole a chave privada que você gerou anteriormente.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
1. Para **Selector name (Nome do seletor)**, insira o nome do seletor que você especificou nas configurações de DNS do seu domínio.
1. No campo **DKIM signatures (Assinaturas do DKIM)**, marque a caixa de seleção **Enabled (Habilitado)**.
1. Escolha **Salvar alterações**.
**Para atualizar uma identidade de domínio usando BYODKIM a partir do AWS CLI**
Para configurar um domínio existente, use a operação `PutEmailIdentityDkimSigningAttributes` na API do Amazon SES.
1. No editor de texto, cole o código a seguir:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
No exemplo anterior, faça as seguintes alterações:
+ *privateKey*Substitua pela sua chave privada.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
+ *selector*Substitua pelo seletor exclusivo que você especificou ao criar o registro TXT na configuração de DNS do seu domínio.
Ao concluir, salve o arquivo como `update-identity.json`.
1. Na linha de comando, insira o seguinte comando:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
No comando anterior, faça as seguintes alterações:
+ *path/to/update-identity.json*Substitua pelo caminho completo do arquivo que você criou na etapa anterior.
+ *example.com*Substitua pelo domínio que você deseja atualizar.
### Verificação do status de DKIM de um domínio que usa BYODKIM
**Para verificar o status DKIM de um domínio no console**
Depois de configurar um domínio para usar BYODKIM, você pode usar o console do SES para verificar se o DKIM está configurado corretamente.
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, selecione a identidade cujo status de DKIM você deseja verificar.
1. A propagação das alterações nas configurações de DNS pode levar até 72 horas. O processo de verificação será concluído assim que o Amazon SES detectar todos os registros DKIM necessários nas configurações de DNS do seu domínio. **Se tudo tiver sido configurado corretamente, o campo de **configuração do DKIM** do seu domínio será exibido com **êxito** no painel **Correio DomainKeys identificado (DKIM)** e o campo **Status da identidade** exibirá **Verificado** no painel Resumo.**
**Para verificar o status do DKIM de um domínio usando o AWS CLI**
Depois de configurar um domínio para usar BYODKIM, você pode usar a GetEmailIdentity operação para verificar se o DKIM está configurado corretamente.
+ Na linha de comando, insira o seguinte comando:
```
aws sesv2 get-email-identity --email-identity example.com
```
No comando anterior, *example.com* substitua pelo seu domínio.
Esse comando retorna um objeto JSON com uma seção semelhante ao exemplo a seguir.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
O BYODKIM estará configurado corretamente para o domínio se todas as opções a seguir forem true (verdadeiras):
+ O valor da propriedade `SigningAttributesOrigin` é `EXTERNAL`.
+ O valor de `SigningEnabled` é `true`.
+ O valor de `Status` é `SUCCESS`.
# Como gerenciar o Easy DKIM e o BYODKIM
Você pode gerenciar as configurações do DKIM para suas identidades autenticadas com Easy DKIM ou BYODKIM usando o console do Amazon SES baseado na Web ou usando a API do Amazon SES. É possível usar qualquer um desses métodos para obter os registros DKIM para uma identidade, ou para habilitar ou desabilitar a assinatura DKIM para uma identidade.
## Como obter registros DKIM para uma identidade
Você pode obter registros DKIM para seu domínio ou endereço de e-mail a qualquer momento usando o console do Amazon SES.
**Para obter registros DKIM para uma identidade usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, selecione a identidade para a qual deseja obter os registros DKIM.
1. Na guia **Authentication (Autenticação)** da página de detalhes de identidade, expanda **View DNS records (Visualizar registros do DNS)**.
1. Copie os três registros CNAME (se tiver usar Easy DKIM) ou o registro TXT (se tiver usado BYODKIM) que são exibidos nessa seção. Ou então, você pode escolher **Download .csv record set (Baixar conjunto de registros .csv)** para salvar uma cópia dos registros em seu computador.
A imagem a seguir mostra um exemplo da seção **View DNS record** (Exibir registros DNS) expandida, revelando os registros CNAME associados ao Easy DKIM.
![\[\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/images/dkim_existing_dns.png)
Você também pode obter os registros DKIM para uma identidade usando a API do Amazon SES. Um método comum de interagir com a API é usar a AWS CLI.
**Para obter os registros DKIM para uma identidade usando o AWS CLI**
1. Na linha de comando, digite o seguinte comando:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
No exemplo anterior, *example.com* substitua pela identidade para a qual você deseja obter registros DKIM. Você pode especificar um endereço de e-mail ou um domínio.
1. A saída desse comando contém uma seção `DkimTokens`, conforme mostrado no exemplo a seguir:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Você pode usar os tokens para criar os registros CNAME que adiciona às configurações de DNS do seu domínio. Para criar os registros CNAME, use o seguinte modelo:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
*token1*Substitua cada instância de pelo primeiro token na lista que você recebeu ao executar o `get-identity-dkim-attributes` comando, substitua todas as instâncias de *token2* pelo segundo token na lista e substitua todas as instâncias de *token3* pelo terceiro token na lista.
Por exemplo, aplicar esse modelo para os tokens mostrados no exemplo anterior produzirá os seguintes registros:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**nota**
Nem todos Regiões da AWS usam o domínio SES DKIM padrão, `dkim.amazonses.com` —para ver se sua região usa um domínio DKIM específico da região, verifique a tabela de domínios [DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) no. *Referência geral da AWS*
## Desabilitação do Easy DKIM para uma identidade
Você pode desabilitar rapidamente a autenticação DKIM para uma identidade usando o console do Amazon SES.
**Para desabilitar o DKIM para uma identidade**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, selecione a identidade para a qual deseja desabilitar o DKIM.
1. Na guia **Autenticação**, no contêiner **Correio DomainKeys Identificado (DKIM)**, escolha **Editar**.
1. Em **Advanced DKIM settings** (Configurações avançadas de DKIM), marque a caixa de seleção **Enabled** (Ativadas), no campo **DKIM signatures** (Assinaturas DKIM).
Você também pode desabilitar o DKIM para uma identidade usando a API do Amazon SES. Um método comum de interagir com a API é usar a AWS CLI.
**Para desativar o DKIM para uma identidade usando o AWS CLI**
+ Na linha de comando, digite o seguinte comando:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
No exemplo anterior, substitua pela identidade para *example.com* a qual você deseja desabilitar o DKIM. Você pode especificar um endereço de e-mail ou um domínio.
## Habilitação do Easy DKIM para uma identidade
Se tiver desabilitado o DKIM anteriormente para uma identidade, é possível habilitá-lo novamente usando o console do Amazon SES.
**Para habilitar o DKIM para uma identidade**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, selecione a identidade para a qual deseja habilitar o DKIM.
1. Na guia **Autenticação**, no contêiner **Correio DomainKeys Identificado (DKIM)**, escolha **Editar**.
1. Em **Advanced DKIM settings (Configurações avançadas de DKIM)**, marque a caixa de seleção **Enabled (Habilitado)** no campo **DKIM signatures (Assinaturas DKIM)**.
Você também pode habilitar o DKIM para uma identidade usando a API do Amazon SES. Um método comum de interagir com a API é usar a AWS CLI.
**Para habilitar o DKIM para uma identidade usando o AWS CLI**
+ Na linha de comando, digite o seguinte comando:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
No exemplo anterior, substitua pela identidade para *example.com* a qual você deseja habilitar o DKIM. Você pode especificar um endereço de e-mail ou um domínio.
## Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail
Nesta seção, você aprenderá como substituir (desabilitar ou habilitar) as propriedades herdadas de assinatura DKIM do domínio pai em uma identidade específica de endereço de e-mail já verificada com o Amazon SES. Somente é possível fazer isso para identidades de endereço de e-mail que pertençam a domínios que você já possui porque as configurações de DNS estão configuradas no nível do domínio.
**Importante**
Você não pode assinar disable/enable DKIM para identidades de endereço de e-mail...
em domínios que você não possui. Por exemplo, você não pode configurar a assinatura DKIM para um endereço *gmail.com* ou *hotmail.com*.
em domínios que você possui, mas ainda não foram verificados no Amazon SES,
em domínios que você possui, mas não habilitou a assinatura DKIM no domínio.
Esta seção contém os seguintes tópicos:
+ [Compreensão das propriedades da assinatura DKIM herdadas](#dkim-easy-setup-email-key-points-mng)
+ [Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail (console)](#override-dkim-email-console-mng)
+ [Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail (AWS CLI)](#override-dkim-email-cli-mng)
### Compreensão das propriedades da assinatura DKIM herdadas
É importante primeiro entender que uma identidade de endereço de e-mail herdará suas propriedades de assinatura DKIM de seu domínio pai se esse domínio tiver sido configurado com DKIM, independentemente do Easy DKIM ou BYODKIM ter sido usado. Portanto, desabilitar ou habilitar a assinatura DKIM na identidade do endereço de e-mail está em vigor, substituindo as propriedades de assinatura DKIM do domínio com base nesses fatos principais:
+ Se você já configurou o DKIM para o domínio ao qual um endereço de e-mail pertence, também não precisa habilitar a assinatura DKIM para a identidade do endereço de e-mail.
+ Quando você configura o DKIM para um domínio, o Amazon SES autentica automaticamente todos os e-mails de todos os endereços nesse domínio por meio de propriedades DKIM herdadas do domínio pai.
+ As configurações do DKIM para um endereço de e-mail específico *automaticamente substituem as configurações para o domínio ou subdomínio (se aplicável) pai* ao qual o endereço pertence.
Como as propriedades de assinatura DKIM da identidade de endereço de e-mail são herdadas do domínio pai, se você estiver planejando substituir essas propriedades, deverá ter em mente as regras hierárquicas de substituição, conforme explicado na tabela abaixo.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Geralmente, nunca é recomendável desabilitar sua assinatura DKIM, pois há o risco da reputação do remetente ser prejudicada e do e-mail enviado terminar em pastas de lixo eletrônico ou spam, além da possibilidade do seu domínio ser falsificado.
No entanto, existe a capacidade de substituir as propriedades de assinatura DKIM herdadas por domínio em uma identidade de endereço de e-mail para qualquer caso de uso específico ou decisão comercial remota que você possa ter que desabilitar permanentemente ou temporariamente a assinatura DKIM ou reabilitá-la posteriormente.
### Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail (console)
O procedimento do console SES a seguir explica como substituir (desabilitar ou habilitar) as propriedades de assinatura DKIM herdadas do domínio pai em uma identidade de endereço de e-mail específica que você já verificou com o Amazon SES.
**Para assinar disable/enable DKIM para uma identidade de endereço de e-mail usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, escolha uma identidade na qual o **Identity type** (Tipo de identidade) é *Email address* (Endereço de e-mail) e pertence a um de seus domínios verificados.
1. Na guia **Autenticação**, no contêiner **Correio DomainKeys Identificado (DKIM)**, escolha **Editar**.
**nota**
A guia **Authentication** (Autenticação) só estará presente se a identidade do endereço de e-mail selecionada pertencer a um domínio que já foi verificado pelo SES. Se você ainda não tiver verificado seu domínio, consulte [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure).
1. Embaixo de **Advanced DKIM settings** (Configurações avançadas de DKIM), no campo **DKIM signatures** (Assinaturas DKIM), limpe a caixa de seleção **Enabled** (Ativadas) para desativar a assinatura DKIM ou selecione-a para reativar a assinatura DKIM (se ela tiver sido substituída anteriormente).
1. Escolha **Salvar alterações**.
### Substituição da assinatura DKIM herdada em uma identidade de endereço de e-mail (AWS CLI)
O exemplo a seguir usa o AWS CLI comando e parâmetros da API SES que substituirão (desativarão ou habilitarão) as propriedades de assinatura DKIM herdadas do domínio pai em uma identidade de endereço de e-mail específica que você já verificou com o SES.
**Para assinar o disable/enable DKIM para uma identidade de endereço de e-mail usando o AWS CLI**
+ Supondo que você seja dono do domínio *example.com* e deseja desabilitar a assinatura DKIM para um dos endereços de e-mail do domínio, na linha de comando, digite o seguinte comando:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*Substitua pela identidade do endereço de e-mail para o qual você deseja desabilitar a assinatura do DKIM.
1. `--no-signing-enabled` desabilitará a assinatura DKIM. Para reabilitar a assinatura DKIM, use `--signing-enabled`.
# Assinatura DKIM manual no Amazon SES
Se preferir, em vez de usar o Easy DKIM, você pode adicionar manualmente as assinaturas DKIM às suas mensagens e enviá-las usando o Amazon SES. Se você optar por assinar manualmente suas mensagens, primeiro será necessário criar uma assinatura DKIM. Depois de criar a mensagem e a assinatura DKIM, você poderá usar a API [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) para enviá-la.
Se você decidir assinar seu e-mail manualmente, considere os seguintes fatores:
+ Cada mensagem enviada usando o Amazon SES contém um cabeçalho DKIM que faz referência a um domínio de assinatura de *amazonses.com* (ou seja, contém a seguinte sequência: `d=amazonses.com`). Assim, se você assinar suas mensagens manualmente, elas deverão incluir *dois* cabeçalhos DKIM: um para seu domínio, e um que o Amazon SES cria automaticamente para *amazonses.com*.
+ O Amazon SES não valida assinaturas DKIM adicionadas manualmente às suas mensagens. Se houver erros com a assinatura DKIM em uma mensagem, ela poderá ser rejeitada por provedores de e-mail.
+ Ao assinar suas mensagens, você deverá usar um tamanho de bit de pelo menos 1024 bits.
+ Não assine os seguintes campos: Message-ID, Data, Return-Path, Bounces-To.
**nota**
Se você usar um cliente de e-mail para enviar e-mail usando a interface SMTP do Amazon SES, o cliente poderá realizar a assinatura DKIM de suas mensagens automaticamente. Alguns clientes podem assinar alguns desses campos. Para obter informações sobre quais campos são assinados por padrão, consulte a documentação do seu cliente de e-mail.
# Autenticação de e-mail com SPF no Amazon SES
A *Sender Policy Framework (SPF)* é um padrão de validação de e-mails criado para evitar a falsificação de e-mails. Os proprietários de domínio usam a SPF para informar aos provedores de e-mail quais servidores têm permissão para enviar e-mails de seus domínios. A SPF está definida na [RFC 7208](https://tools.ietf.org/html/rfc7208).
As mensagens que você envia pelo Amazon SES usam automaticamente um subdomínio de `amazonses.com` como domínio MAIL FROM padrão. A autenticação do SPF valida essas mensagens com êxito porque o domínio MAIL FROM padrão corresponde à aplicação que enviou o e-mail; neste caso, o SES. Portanto, no SES, o SPF é configurado implicitamente para você.
No entanto, se você não quiser usar o domínio MAIL FROM padrão do SES e preferir usar um subdomínio de um domínio de sua propriedade, no SES isso é conhecido como usar um domínio MAIL FROM *personalizado*. Para fazer isso, é necessário que você publique seu próprio registro SPF para seu domínio personalizado MAIL FROM. Além disso, o SES também requer que você configure um registro MX para que seu domínio MAIL FROM personalizado possa receber as notificações de devolução e reclamação que os provedores de e-mail enviam a você.
**Saiba como configurar a autenticação do SPF**
São fornecidas instruções de como configurar seu domínio com o SPF e como publicar os registros MX e SPF (tipo TXT) no [Uso de um domínio MAIL FROM personalizado](mail-from.md).
# Uso de um domínio MAIL FROM personalizado
Quando um e-mail é enviado, ele tem dois endereços que indicam sua origem: um endereço From exibido para o destinatário da mensagem e um endereço MAIL FROM que indica onde a mensagem foi originada. O endereço MAIL FROM, às vezes, é chamado de *remetente do envelope*, *envelope de*, *endereço de devolução* ou endereço de *caminho de retorno*. Os servidores de e-mail usam o endereço MAIL FROM para retornar mensagens de devolução e outras notificações de erro. O endereço MAIL FROM geralmente só pode ser visualizado pelos destinatários se eles visualizarem o código-fonte da mensagem.
O Amazon SES define o domínio MAIL FROM para as mensagens enviadas como um valor padrão, a menos que você especifique seu próprio domínio (personalizado). Esta seção discute os benefícios da configuração de um domínio MAIL FROM personalizado e inclui procedimentos de configuração.
## Por que usar um domínio MAIL FROM personalizado?
As mensagens que você envia pelo Amazon SES usam automaticamente um subdomínio de `amazonses.com` como domínio MAIL FROM padrão. A autenticação do Sender Policy Framework (SPF) valida essas mensagens com êxito porque o domínio MAIL FROM padrão corresponde à aplicação que enviou o e-mail; neste caso, o SES.
Se você não quiser usar o domínio MAIL FROM padrão do SES e preferir usar um subdomínio de um domínio de sua propriedade, no SES isso é conhecido como usar um domínio MAIL FROM *personalizado*. Para fazer isso, é necessário que você publique seu próprio registro SPF para seu domínio personalizado MAIL FROM. Além disso, o SES também requer que você configure um registro MX para que seu domínio possa receber as notificações de devolução e reclamação que os provedores de e-mail enviam a você.
Ao usar um domínio MAIL FROM personalizado, você tem a flexibilidade de usar SPF, DKIM ou ambos para obter a validação por [autenticação, relatórios e conformidade de mensagens baseados em domínio (DMARC)](send-email-authentication-dmarc.md). O DMARC permite que o domínio de um remetente indique que os e-mails enviados do domínio são protegidos por um ou mais sistemas de autenticação. Há duas maneiras de alcançar validação por DMARC: [Conformidade com o DMARC por meio de SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) e [Conformidade com o DMARC via DKIM](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim).
## Escolher um domínio MAIL FROM personalizado
A seguir, o termo *domínio MAIL FROM* sempre se refere a um subdomínio de um domínio seu. Esse subdomínio usado para o domínio MAIL FROM personalizado não deve ser utilizado para outra coisa e atende aos seguintes requisitos:
+ O domínio MAIL FROM deve ser um subdomínio do domínio pai de uma identidade verificada (endereço de e-mail ou domínio).
+ O domínio MAIL FROM não deve ser um subdomínio que você também usa para enviar e-mails.
+ O domínio MAIL FROM não deve ser um subdomínio usado para receber e-mails.
## Usar SPF com um domínio MAIL FROM personalizado
A *Sender Policy Framework (SPF)* é um padrão de validação de e-mails criado para evitar a falsificação de e-mails. Você pode configurar seu domínio MAIL FROM personalizado com SPF para informar aos provedores de e-mail quais servidores têm permissão para enviar e-mails do seu domínio MAIL FROM personalizado. A SPF está definida na [RFC 7208](https://tools.ietf.org/html/rfc7208).
Para configurar o SPF, publique um registro TXT na configuração DNS de seu domínio MAIL FROM personalizado. Este registo contém uma lista dos servidores que você autoriza a enviar e-mail usando seu domínio MAIL FROM personalizado. Quando um provedor de e-mail recebe uma mensagem do domínio MAIL FROM personalizado, ele verifica os registros DNS desse domínio para garantir que o e-mail foi enviado de um servidor autorizado.
Se você quiser usar esse registro SPF como forma de cumprir com DMARC, o domínio no endereço De deverá corresponder ao domínio MAIL FROM. Consulte [Conformidade com o DMARC por meio de SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf).
A próxima seção, [Configurar um domínio MAIL FROM personalizado](#mail-from-set), explica como configurar o SPF para seu domínio MAIL FROM personalizado.
## Configurar um domínio MAIL FROM personalizado
O processo de configuração de um domínio MAIL FROM personalizado requer que você adicione registros à configuração do DNS do domínio. O SES requer a publicação de um registro MX para que seu domínio possa receber as notificações de devolução e reclamação que os provedores de e-mail enviam a você. Você também deve publicar um registro SPF (tipo TXT) para provar que o Amazon SES está autorizado a enviar e-mails de seu domínio.
É possível configurar um domínio MAIL FROM personalizado para um domínio ou subdomínio inteiro e também para endereços de e-mail individuais. Os procedimentos a seguir mostram como usar o console do Amazon SES para configurar um domínio MAIL FROM personalizado. Você também pode configurar um domínio MAIL FROM personalizado usando a operação [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)da API.
### Configurar um domínio MAIL FROM personalizado para um domínio verificado
Esses procedimentos mostram como configurar um domínio MAIL FROM personalizado para um domínio ou subdomínio inteiro, de forma que todas as mensagens enviadas de endereços nesse domínio usem esse domínio MAIL FROM personalizado.
**Para configurar um domínio verificado de forma que ele use um domínio MAIL FROM personalizado específico**
1. Abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação esquerdo, em **Configuração**, selecione **Identidades verificadas**.
1. Na lista de identidades, escolha a identidade que você quer configurar onde o **Identity type** (Tipo de identidade) seja **Domain** (Domínio) e **Status** seja *Verified* (Verificado).
1. Se o **Status** for *Unverified* (Não verificado), conclua os procedimentos em [Verificar uma identidade de domínio DKIM com seu provedor DNS](creating-identities.md#just-verify-domain-proc) para verificar o domínio do endereço de e-mail.
1. Na parte inferior da tela, no painel **Domínio MAIL FROM personalizado**, escolha **Editar**.
1. No painel **General details** (Detalhes gerais), faça o seguinte:
1. Marque a caixa de seleção **Use a custom MAIL FROM domain** (Usar um domínio MAIL FROM personalizado).
1. Em **MAIL FROM domain (Domínio MAIL FROM)**, insira o subdomínio que você deseja usar como o domínio MAIL FROM.
1. Em **Behaviour on MX failure** (Comportamento na falha de MX), escolha uma das seguintes opções:
+ **Use default MAIL FROM domain**: se o registro MX do domínio MAIL FROM personalizado não estiver configurado corretamente, o Amazon SES usará um subdomínio de `amazonses.com`. O subdomínio varia com base no Região da AWS qual você usa o Amazon SES.
+ **Rejeitar mensagem**: se o registro MX do domínio MAIL FROM personalizado não for configurado corretamente, o Amazon SES retornará um erro `MailFromDomainNotVerified`. Os e-mails que você tenta enviar desse domínio são automaticamente rejeitados.
1. Selecione **Save changes** (Salvar alterações), que levará você à tela anterior.
1. Publique os registros MX e SPF (tipo TXT) no servidor DNS do domínio MAIL FROM personalizado:
No painel **Custom MAIL FROM domain** (Domínio MAIL FROM personalizado), a tabela **Publish DNS records** (Publicar registros DNS) agora exibirá os registros MX e SPF (tipo TXT), nos quais você deve publicar (adicionar) a configuração de DNS do domínio. Esses registros usam os formatos mostrados na tabela a seguir.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/mail-from.html)
Nos registros anteriores,
+ *subdomain*. *domain*. *com*será preenchido com seu subdomínio MAIL FROM
+ *region*será preenchido com o nome do domínio Região da AWS em que você deseja verificar o domínio MAIL FROM (como `us-west-2``us-east-1`, ou`eu-west-1`, etc.)
+ O número *10* listado com o valor de MX é a ordem de preferência para o servidor de e-mail e precisará ser inserido em um campo de valor separado, conforme especificado pela GUI do provedor de DNS.
+ O valor do registro TXT do SPF geralmente deve incluir as aspas, mas alguns provedores de DNS não as exigem.
Na tabela **Publish DNS records** (Publicar registros DNS), copie os registros MX e SPF (tipo TXT) escolhendo o ícone de cópia ao lado de cada valor e cole-os nos campos correspondentes na GUI do provedor de DNS. Ou então, você pode escolher **Download .csv record set (Baixar conjunto de registros .csv)** para salvar uma cópia dos registros em seu computador.
**Importante**
Os procedimentos específicos para publicar os registros MX e SPF (tipo TXT) dependem do seu provedor de DNS ou de hospedagem. Consulte a documentação do seu provedor ou entre em contato com ele para obter informações sobre como adicionar esses registros à configuração de DNS do seu domínio.
Para configurar com sucesso um domínio MAIL FROM personalizado com o Amazon SES, é preciso publicar exatamente um registro MX no servidor DNS do domínio MAIL FROM. Se o domínio MAIL FROM tiver vários registros MX, a configuração MAIL FROM personalizada com o Amazon SES falhará.
Se o Route 53 fornecer o serviço DNS para seu domínio MAIL FROM e você estiver conectado Console de gerenciamento da AWS com a mesma conta que usa para o Route 53, escolha **Publish Records Using Route 53**. Os registros DNS são aplicados automaticamente à configuração do DNS do seu domínio.
Se você usar um provedor de DNS diferente, será necessário publicar os registros DNS no servidor DNS do domínio MAIL FROM manualmente. O procedimento para adicionar registros DNS ao servidor DNS do seu domínio varia de acordo com seu serviço de hospedagem na web ou provedor de DNS.
Os procedimentos para atualizar os registros DNS do seu domínio dependem do provedor de DNS usado. A tabela a seguir inclui links para a documentação de alguns provedores de DNS amplamente usados. Essa lista não é exaustiva e não significa endosso; da mesma forma, se seu provedor de DNS não estiver listado, isso não implicará que ele não seja compatível com a configuração de domínio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/mail-from.html)
Quando o Amazon SES detectar que os registros estão em vigor, você receberá um e-mail informando que seu domínio MAIL FROM personalizado foi configurado com êxito. Dependendo do seu provedor de DNS, pode haver uma demora de até 72 horas antes que o Amazon SES detecte o registro MX.
### Configurar um domínio MAIL FROM personalizado para um endereço de e-mail verificado
Também é possível configurar um domínio MAIL FROM personalizado para um endereço de e-mail específico. Para configurar um domínio MAIL FROM personalizado para um endereço de e-mail, você deve modificar os registros DNS do domínio ao qual o endereço de e-mail está associado.
**nota**
Não é possível configurar um domínio MAIL FROM personalizado para endereços em um domínio que não seja de sua propriedade (por exemplo, não é possível criar um domínio MAIL FROM personalizado para um endereço no domínio `gmail.com`, pois não é possível adicionar os registros DNS necessários ao domínio).
**Para configurar um endereço de e-mail verificado para usar um domínio MAIL FROM especificado**
1. Abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação esquerdo, em **Configuração**, selecione **Identidades verificadas**.
1. Na lista de identidades, escolha a identidade que você quer configurar, com o **Identity type** sendo **Email adress** e **Status** sendo *Verified*.
1. Se o **Status** for *Unverified* (Não verificado), conclua os procedimentos em [Verificar a identidade de um endereço de e-mail](creating-identities.md#just-verify-email-proc) para verificar o domínio do endereço de e-mail.
1. Na guia **MAIL FROM Domain** (Domínio MAIL FROM), escolha **Edit** (Editar) no painel **Custom MAIL FROM domain** (Domínio MAIL FROM personalizado).
1. No painel **General details** (Detalhes gerais), faça o seguinte:
1. Marque a caixa de seleção **Use a custom MAIL FROM domain** (Usar um domínio MAIL FROM personalizado).
1. Em **MAIL FROM domain (Domínio MAIL FROM)**, insira o subdomínio que você deseja usar como o domínio MAIL FROM.
1. Em **Behaviour on MX failure** (Comportamento na falha de MX), escolha uma das seguintes opções:
+ **Use default MAIL FROM domain**: se o registro MX do domínio MAIL FROM personalizado não estiver configurado corretamente, o Amazon SES usará um subdomínio de `amazonses.com`. O subdomínio varia com base no Região da AWS qual você usa o Amazon SES.
+ **Rejeitar mensagem**: se o registro MX do domínio MAIL FROM personalizado não for configurado corretamente, o Amazon SES retornará um erro `MailFromDomainNotVerified`. Os e-mails que você tenta enviar desse endereço de e-mail são automaticamente rejeitados.
1. Selecione **Save changes** (Salvar alterações), que levará você à tela anterior.
1. Publique os registros MX e SPF (tipo TXT) no servidor DNS do domínio MAIL FROM personalizado:
No painel **Custom MAIL FROM domain** (Domínio MAIL FROM personalizado), a tabela **Publish DNS records** (Publicar registros DNS) agora exibirá os registros MX e SPF (tipo TXT), nos quais você deve publicar (adicionar) a configuração de DNS do domínio. Esses registros usam os formatos mostrados na tabela a seguir.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/mail-from.html)
Nos registros anteriores,
+ *subdomain*. *domain*. *com*será preenchido com seu subdomínio MAIL FROM
+ *region*será preenchido com o nome do domínio Região da AWS em que você deseja verificar o domínio MAIL FROM (como `us-west-2``us-east-1`, ou`eu-west-1`, etc.)
+ O número *10* listado com o valor de MX é a ordem de preferência para o servidor de e-mail e precisará ser inserido em um campo de valor separado, conforme especificado pela GUI do provedor de DNS.
+ O valor do registro TXT do SPF deve incluir as aspas.
Na tabela **Publish DNS records** (Publicar registros DNS), copie os registros MX e SPF (tipo TXT) escolhendo o ícone de cópia ao lado de cada valor e cole-os nos campos correspondentes na GUI do provedor de DNS. Ou então, você pode escolher **Download .csv record set (Baixar conjunto de registros .csv)** para salvar uma cópia dos registros em seu computador.
**Importante**
Para configurar com sucesso um domínio MAIL FROM personalizado com o Amazon SES, é preciso publicar exatamente um registro MX no servidor DNS do domínio MAIL FROM. Se o domínio MAIL FROM tiver vários registros MX, a configuração MAIL FROM personalizada com o Amazon SES falhará.
Se o Route 53 fornecer o serviço DNS para seu domínio MAIL FROM e você estiver conectado Console de gerenciamento da AWS com a mesma conta que usa para o Route 53, escolha **Publish Records Using Route 53**. Os registros DNS são aplicados automaticamente à configuração do DNS do seu domínio.
Se você usar um provedor de DNS diferente, será necessário publicar os registros DNS no servidor DNS do domínio MAIL FROM manualmente. O procedimento para adicionar registros DNS ao servidor DNS do seu domínio varia de acordo com seu serviço de hospedagem na web ou provedor de DNS.
Os procedimentos para atualizar os registros DNS do seu domínio dependem do provedor de DNS usado. A tabela a seguir inclui links para a documentação de alguns provedores de DNS amplamente usados. Essa lista não é exaustiva e não significa endosso; da mesma forma, se seu provedor de DNS não estiver listado, isso não implicará que ele não seja compatível com a configuração de domínio MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/mail-from.html)
Quando o Amazon SES detectar que os registros estão em vigor, você receberá um e-mail informando que seu domínio MAIL FROM personalizado foi configurado com êxito. Dependendo do seu provedor de DNS, pode haver uma demora de até 72 horas antes que o Amazon SES detecte o registro MX.
## Estados de configuração de domínio MAIL FROM personalizado com o Amazon SES
Após configurar uma identidade para usar um domínio MAIL FROM personalizado, o estado da configuração é "pending" (pendente) enquanto o Amazon SES tenta detectar o registro MX necessário nas suas configurações de DNS. O estado então muda, dependendo de o Amazon SES detectar ou não o registro MX. A tabela a seguir descreve o comportamento de envio de e-mails e as ações do Amazon SES associadas a cada estado. Cada vez que o estado muda, o Amazon SES envia uma notificação para o endereço de e-mail associado ao seu Conta da AWS.
****
| Estado | Comportamento de envio de e-mails | Ações do Amazon SES |
| --- | --- | --- |
| Pendente | Usa a configuração de fallback MAIL FROM personalizada | O Amazon SES tenta detectar o registro MX necessário para 72 horas. Se não for bem-sucedido, o estado mudará para "Failed". |
| Bem-sucedida | Usa o domínio MAIL FROM personalizado | O Amazon SES verifica continuamente que o registro MX está em vigor. |
| TemporaryFailure | Usa a configuração de fallback MAIL FROM personalizada | O Amazon SES tenta detectar o registro MX necessário para 72 horas. Se não for bem-sucedido, o estado mudará para "Failed"; se for bem-sucedido, o estado mudará para "Success". |
| Failed | Usa a configuração de fallback MAIL FROM personalizada | O Amazon SES não tenta mais detectar o registro MX necessário. Para usar um domínio MAIL FROM personalizado, é necessário reiniciar o processo de configuração em [Configurar um domínio MAIL FROM personalizado](#mail-from-set). |
# Conformidade com o protocolo de autenticação DMARC no Amazon SES
A Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC) é um protocolo de autenticação de e-mail que usa o Sender Policy Framework (SPF) e o DomainKeys Identified Mail (DKIM) para detectar falsificação de e-mail e phishing. Para estar em conformidade com o DMARC, as mensagens devem ser autenticadas pelo SPF ou DKIM, mas o ideal é que ambos sejam usados com o DMARC para garantir o nível de proteção mais alto possível para o envio de e-mails.
Vamos analisar brevemente o que cada um faz e como o DMARC os combina:
+ **SPF**: identifica quais servidores de e-mail têm permissão para enviar e-mails em nome do seu domínio MAIL FROM personalizado por meio de um registro TXT de DNS usado pelo DNS. Os sistemas de e-mail do destinatário se referem ao registro TXT do SPF para determinar se uma mensagem do seu domínio personalizado vem de um servidor de mensagens autorizado. Basicamente, o SPF foi projetado para ajudar a evitar a falsificação, mas existem técnicas de falsificação às quais o SPF é suscetível na prática e é por isso que você também precisa usar o DKIM com o DMARC.
+ **DKIM**: adiciona uma assinatura digital às suas mensagens enviadas no cabeçalho do e-mail. Os sistemas de recebimento de e-mail podem usar essa assinatura digital para ajudar a verificar se o e-mail recebido está assinado por uma chave pertencente ao domínio. No entanto, quando um sistema de recebimento de e-mail encaminha uma mensagem, o envelope da mensagem é alterado de uma forma que invalida a autenticação do SPF. Como a assinatura digital permanece com a mensagem de e-mail porque faz parte do cabeçalho do e-mail, o DKIM funciona mesmo quando uma mensagem é encaminhada entre servidores de e-mail (desde que o conteúdo da mensagem não tenha sido modificado).
+ **DMARC**: garante que haja alinhamento de domínio com pelo menos um destes: SPF ou DKIM. Usar o SPF e DKIM por si só não garante que o endereço do remetente seja autenticado (esse é o endereço de e-mail que o destinatário vê no cliente de e-mail). O SPF verifica apenas o domínio especificado no endereço MAIL FROM (não visto pelo destinatário). O DKIM verifica apenas o domínio especificado na assinatura do DKIM (além disso, não é visto pelo destinatário). O DMARC resolve esses dois problemas exigindo que o alinhamento de domínio esteja correto no SPF ou no DKIM:
+ Para que o SPF passe pelo alinhamento do DMARC, o domínio no endereço do remetente deve corresponder ao domínio no endereço MAIL FROM (também conhecido como endereço Return-Path e Envelope-from). Isso raramente é possível com e-mails encaminhados porque eles são removidos ou ao enviar e-mails via provedores de e-mails em massa terceirizados, porque o Return-Path (MAIL FROM) é usado para devoluções e reclamações que o provedor (SES) rastreia usando um endereço de sua propriedade.
+ Para que o DKIM seja aprovado no alinhamento do DMARC, o domínio especificado na assinatura do DKIM deve corresponder ao domínio no endereço do remetente. Para conseguir enviar e-mails em seu nome ao usar remetentes ou serviços de terceiros, certifique-se de que esse remetente esteja devidamente configurado com a assinatura do DKIM e de ter adicionado os registros DNS apropriados dentro do domínio. Os servidores de recebimento de e-mails poderão então verificar o e-mail enviado a eles por terceiros como se fosse um e-mail enviado por alguém autorizado a usar um endereço dentro do domínio.
**Como combinar tudo isso com o DMARC**
As verificações de alinhamento do DMARC que discutimos acima mostram como o SPF, o DKIM e o DMARC trabalham em conjunto para aumentar a confiança do seu domínio e da entrega do seu e-mail às caixas de entrada. Para conseguir isso, o DMARC garante que o endereço do remetente, visto pelo destinatário, seja autenticado pelo SPF ou DKIM:
+ Uma mensagem será aprovada pelo DMARC se uma ou ambas as verificações do SPF ou DKIM descritas forem aprovadas.
+ Uma mensagem será reprovada pelo DMARC se uma ou ambas as verificações do SPF ou DKIM descritas forem reprovadas.
Portanto, tanto o SPF quanto o DKIM são necessários para que o DMARC tenha a melhor chance de obter a autenticação do e-mail enviado e, ao utilizar os três, você ajudará a garantir um domínio de envio totalmente protegido.
O DMARC também permite que você instrua os servidores de e-mail sobre como lidar com e-mails quando eles falharem na autenticação do DMARC devido a políticas que você definiu. Isso será explicado na seção a seguir, [Configuração da política DMARC no seu domínio](#send-email-authentication-dmarc-dns), que contém informações sobre como configurar seus domínios do SES para que os e-mails enviados estejam em conformidade com o protocolo de autenticação DMARC por meio do SPF e DKIM.
## Configuração da política DMARC no seu domínio
Para configurar a DMARC, é necessário modificar as configurações de DNS do seu domínio. As configurações de DNS do seu domínio devem incluir um registro TXT que especifica as configurações DMARC do domínio. Os procedimentos para adicionar registros TXT à configuração de DNS dependem de qual DNS ou provedor de hospedagem você usa. Se você usar o Route 53, consulte [Trabalho com registros](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) no *Guia do desenvolvedor do Amazon Route 53*. Se você usar outro provedor, consulte a documentação de configuração de DNS do seu provedor.
O nome do registro TXT criado deve ser `_dmarc.example.com`, onde `example.com` é o seu domínio. O valor do registro TXT contém a política DMARC que se aplica ao seu domínio. Veja a seguir um exemplo de um registro TXT que contém uma política DMARC:
| Nome | Tipo | Valor |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
No exemplo anterior de política do DMARC, essa política diz aos provedores de e-mail que façam o seguinte:
+ Se houver falha de autenticação em qualquer mensagem, envie-a para a pasta Spam conforme especificado pelo parâmetro da política, `p=quarantine`. Outras opções incluem não fazer nada usando `p=none` ou rejeitar totalmente a mensagem usando `p=reject`.
+ A próxima seção discute como e quando usar essas três configurações de política. *Usar a errada na hora errada pode fazer com que seu e-mail não seja entregue.* Consulte [Melhores práticas para implementação do DMARC](#send-email-authentication-dmarc-implement).
+ Envie relatórios sobre todos os e-mails com falha de autenticação em um resumo (ou seja, um relatório que agrega os dados de um determinado período, em vez de enviar relatórios individuais para cada evento), conforme especificado pelo parâmetro de relatórios, `rua=mailto:my_dmarc_report@example.com` (*rua* significa relatórios de URI de relatórios para agregações). Os provedores de e-mail normalmente enviam esses relatórios agregados uma vez por dia, embora essas políticas variem de provedor para provedor.
Para saber mais sobre como configurar a DMARC para seu domínio, consulte a [Visão geral](https://dmarc.org/overview/) no site DMARC.
Para obter as especificações completas do sistema DMARC, consulte [Rascunho do DMARC do Internet Engineering Task Force (IETF)](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/).
## Melhores práticas para implementação do DMARC
É melhor implementar a aplicação da sua política do DMARC com uma abordagem gradual e em fases para não interromper o resto do seu fluxo de e-mails. Crie e implemente um plano de implantação que siga essas etapas. Execute cada uma dessas etapas primeiro com cada um dos seus subdomínios e, por fim, com o domínio de nível superior da sua organização antes de passar para a próxima etapa.
1. Monitore o impacto da implementação do DMARC (p=none).
+ Comece com um registro simples no modo de monitoramento para um subdomínio ou domínio que solicita que as organizações receptoras de e-mails enviem estatísticas sobre as mensagens que usando esse domínio. Um registro no modo de monitoramento é um registro TXT do DMARC que tem sua política definida como nenhuma `p=none`.
+ Os relatórios gerados pelo DMARC fornecerão os números e as fontes de mensagens que foram aprovadas pelas verificações em relação àquelas reprovadas. Você pode ver facilmente a quantidade do seu tráfego legítimo que está ou não coberta por eles. Você verá sinais de encaminhamento, já que as mensagens encaminhadas falharão no SPF e no DKIM se o conteúdo for modificado. Você também começará a ver a quantidade de mensagens fraudulentas que estão sendo enviadas e de onde elas foram enviadas.
+ Os objetivos desta etapa são saber quais e-mails serão afetados quando você implementar uma das próximas duas etapas e fazer com que qualquer remetente de terceiros ou autorizado alinhe suas políticas do SPF ou DKIM.
+ Ideal para domínios existentes.
1. Solicite que os sistemas externos de e-mail coloquem em quarentena os e-mails reprovados pelo DMARC (p=quarantine).
+ Quando você acredita que todo ou a maior parte do seu tráfego legítimo está enviando um domínio alinhado com o SPF ou DKIM e compreende o impacto da implementação do DMARC, você pode implementar uma política de quarentena. Uma política de quarentena é um registro TXT do DMARC que tem sua política definida como quarentena `p=quarantine`. Ao fazer isso, você pede aos destinatários do DMARC que coloquem mensagens do seu domínio reprovadas pelo DMARC no local equivalente a uma pasta de spam no lugar das caixas de entrada dos seus clientes.
+ Ideal para domínios em transição que analisaram relatórios do DMARC durante a Etapa 1.
1. Solicite que os sistemas externos de e-mail não aceitem mensagens reprovadas pelo DMARC (p=reject).
+ A implementação de uma política de rejeição geralmente é a etapa final. Uma política de rejeição é um registro TXT do DMARC que tem sua política definida como rejeição `p=reject`. Ao fazer isso, você pede aos receptores do DMARC que não aceitem mensagens reprovadas pelas verificações do DMARC; ou seja, eles não serão colocados em quarentena em uma pasta de spam ou lixo eletrônico, mas rejeitados imediatamente.
+ Ao usar uma política de rejeição, você saberá exatamente quais mensagens estão falhando na política do DMARC, pois a rejeição resultará em uma devolução SMTP. Com a quarentena, os dados agregados fornecem informações sobre as porcentagens de e-mails aprovados ou reprovados nas verificações do SPF, DKIM e DMARC.
+ Ideal para domínios novos ou domínios existentes que passaram pelas duas etapas anteriores.
## Conformidade com o DMARC por meio de SPF
Para um e-mail estar em conformidade com o DMARC com base em SPF, as condições a seguir deverão ser cumpridas:
+ A mensagem deve ser aprovada por uma verificação do SPF com base em um registro SPF (tipo TXT) válido que você deve publicar na configuração de DNS do seu domínio MAIL FROM personalizado.
+ O domínio no endereço do remetente do cabeçalho do e-mail deve estar alinhado (corresponder) ao domínio ou a um subdomínio especificado no endereço MAIL FROM. Para obter o alinhamento do SPF com o SES, a política do DMARC do domínio não deve especificar uma política estrita do SPF (aspf=s).
Para cumprir esses requisitos, execute as seguintes etapas:
+ Configure um domínio MAIL FROM personalizado executando os procedimentos em [Uso de um domínio MAIL FROM personalizado](mail-from.md).
+ Verifique se o seu domínio de envio usa uma política flexível para SPF. Se você não alterou o alinhamento da política do seu domínio, ele usará uma política flexível por padrão assim como o SES.
**nota**
Você pode determinar o alinhamento do DMARC de seu domínio para SPF digitando o seguinte comando na linha de comando, substituindo `example.com` pelo seu domínio:
```
dig TXT _dmarc.example.com
```
Na saída do comando, em **Resposta não autorizada**, procure um registro que comece com `v=DMARC1`. Se esse registro incluir a string `aspf=r`, ou se a string `aspf` não estiver presente, seu domínio usará o alinhamento flexível para SPF. Se o registro incluir a string `aspf=s`, seu domínio usará o alinhamento estrito para SPF. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.
Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o [Inspetor](https://dmarcian.com/dmarc-inspector/) DMARC do site dmarcian ou a ferramenta [DMARC Check Tool do site, para determinar o alinhamento](https://mxtoolbox.com/dmarc.aspx) da política do seu domínio para o MxToolBox SPF.
## Conformidade com o DMARC via DKIM
Para um e-mail estar em conformidade com o DMARC com base em DKIM, as condições a seguir deverão ser cumpridas:
+ A mensagem deve ter uma assinatura do DKIM válida e ser aprovada na verificação do DKIM.
+ O domínio especificado na assinatura do DKIM deve se alinhar (corresponder) ao domínio no endereço do remetente. Se a política do DMARC do domínio especificar alinhamento estrito para o DKIM, esses domínios deverão ter uma correspondência exata (o SES usa uma política estrita do DKIM por padrão).
Para cumprir esses requisitos, execute as seguintes etapas:
+ Configure o Easy DKIM executando os procedimentos em [Easy DKIM no Amazon SES](send-email-authentication-dkim-easy.md). Quando você usa Easy DKIM, o Amazon SES assina automaticamente seus e-mails.
**nota**
Em vez de usar o Easy DKIM, também é possível [assinar manualmente suas mensagens](send-email-authentication-dkim-manual.md). No entanto, você deve ter muito cuidado se escolher fazê-lo, porque o Amazon SES não valida a assinatura DKIM que você cria. Por esse motivo, é altamente recomendável usar o Easy DKIM.
+ Certifique-se de que o domínio especificado na assinatura do DKIM esteja alinhado ao domínio no endereço do remetente. Ou, se estiver enviando de um subdomínio do domínio no endereço do remetente, certifique-se de que sua política do DMARC esteja definida como alinhamento flexível.
**nota**
Você pode determinar o alinhamento do DMARC de seu domínio para DKIM digitando o seguinte comando na linha de comando, substituindo `example.com` pelo seu domínio:
```
dig TXT _dmarc.example.com
```
Na saída do comando, em **Resposta não autorizada**, procure um registro que comece com `v=DMARC1`. Se esse registro incluir a string `adkim=r`, ou se a string `adkim` não estiver presente, seu domínio usará o alinhamento flexível para DKIM. Se o registro incluir a string `adkim=s`, seu domínio usará o alinhamento estrito para DKIM. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.
Como alternativa, você pode usar uma ferramenta de pesquisa DMARC baseada na Web, como o [Inspetor](https://dmarcian.com/dmarc-inspector/) DMARC do site dmarcian ou a ferramenta [DMARC Check Tool do site, para determinar o alinhamento da política do seu domínio para o MxToolBox DKIM](https://mxtoolbox.com/dmarc.aspx).
# Usar o BIMI no Amazon SES
Os indicadores de marca para identificação de mensagens (BIMI) são uma especificação de e-mail que permite que as caixas de entrada de e-mail exibam o logotipo de uma marca ao lado das mensagens de e-mail autenticadas da marca nos clientes de e-mail de apoio.
O BIMI é uma especificação de e-mail diretamente conectada à autenticação, mas não é um protocolo de autenticação de e-mail independente, pois exige que todos os seus e-mails estejam em conformidade com a autenticação [DMARC](send-email-authentication-dmarc.md).
Embora o BIMI exija DMARC, o DMARC exige que seu domínio tenha registros SPF ou DKIM para alinhar-se, mas é melhor incluir registros SPF e DKIM para maior segurança e porque alguns provedores de serviços de e-mail (ESPs) exigem ambos ao utilizar o BIMI. A seção a seguir aborda as etapas de implementação do BIMI no Amazon SES.
## Configurar o BIMI no SES
Você pode configurar o BIMI para um domínio de e-mail que você tenha: no SES, chamado de domínio MAIL FROM *personalizado*. Depois de configuradas, todas as mensagens enviadas desse domínio exibirão seu logotipo BIMI em [clientes de e-mail compatíveis com o BIMI](https://bimigroup.org/bimi-infographic/).
Permitir que seus e-mails exibam um logotipo BIMI exige que alguns pré-requisitos estejam em vigor no SES. No procedimento a seguir, esses pré-requisitos são generalizados e farão referência a seções dedicadas que abordam esses tópicos em detalhes. As etapas específicas do BIMI e o que é necessário para configurá-lo no SES serão detalhados aqui.
**Como configurar o BIMI em um domínio MAIL FROM personalizado**
1. Você deve ter um domínio MAIL FROM personalizado configurado no SES com registros SPF (tipo TXT) e MX publicados para esse domínio. Se você não tiver um domínio MAIL FROM personalizado ou desejar criar um para seu logotipo BIMI, consulte [Uso de um domínio MAIL FROM personalizado](mail-from.md).
1. Configure seu domínio com o Easy DKIM. Consulte [Easy DKIM no Amazon SES](send-email-authentication-dkim-easy.md).
1. Configure seu domínio com o DMARC publicando um registro TXT com seu provedor de DNS com as seguintes especificações de política de aplicação necessárias para o BIMI, semelhantes a um dos dois exemplos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-bimi.html)
No exemplo anterior da política DMARC, conforme exigido para o BIMI:
+ `example.com` deve ser substituído pelo nome do seu domínio ou subdomínio.
+ O valor `p=` pode ser:
+ *quarentena* com um valor de *pct* definido como *100*, conforme mostrado, ou
+ *rejeitar* conforme mostrado.
+ Se você estiver enviando de um subdomínio, o BIMI exigirá que o domínio principal também tenha essa política de imposição. Os subdomínios serão cobertos pela política do domínio principal. No entanto, se você adicionar um registro DMARC para seu subdomínio além do que é publicado para o domínio principal, seu subdomínio também deverá ter a mesma política de imposição para ser elegível para o BIMI.
+ Se você nunca configurou uma política DMARC para seu domínio, consulte [Conformidade com o protocolo de autenticação DMARC no Amazon SES](send-email-authentication-dmarc.md) garantindo que você use apenas os valores da política DMARC específicos do BIMI, conforme mostrado.
1. Produza seu logotipo BIMI como um arquivo `.svg` Scalable Vector Graphics (SVG): o perfil SVG específico exigido pelo BIMI é definido como SVG Portátil/Seguro (SVG P/S). Para que seu logotipo seja exibido no cliente de e-mail, ele deve estar exatamente em conformidade com essas especificações. Consulte as orientações do [BIMI Group](https://bimigroup.org/) sobre a [criação de arquivos de logotipo SVG](https://bimigroup.org/creating-bimi-svg-logo-files/) e [as ferramentas de conversão de SVG recomendadas](https://bimigroup.org/svg-conversion-tools-released/).
1. (Opcional) Obtenha um Certificado de Marca Verificada (VMC). Alguns ESPs, como o Gmail e a Apple, exigem que um VMC forneça evidências de que você possui a marca registrada e o conteúdo do seu logotipo BIMI. Embora isso não seja um requisito para implementar o BIMI em seu domínio, seu logotipo BIMI não será exibido no cliente de e-mail se o ESP para o qual você envia e-mails impuser a conformidade com o VMC. Consulte as referências do BIMI Group às [autoridades de certificação participantes](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) para obter um VMC para seu logotipo.
1. Hospede o arquivo SVG do seu logotipo BIMI em um servidor ao qual você tenha acesso, tornando-o acessível ao público por meio de HTTPS. Por exemplo, você pode fazer upload para um [bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html).
1. Crie e publique um registro DNS BIMI que inclua um URL para seu logotipo. Quando um [ESP compatível com BIMI](https://bimigroup.org/bimi-infographic/) confere seu registro DMARC, ele também procura um registro BIMI contendo o URL do arquivo `.svg` de seu logotipo e, se configurado, o URL do arquivo `.pem` do VMC. Se os registros coincidirem, eles exibirão seu logotipo BIMI.
Configure seu domínio com o BIMI publicando um registro TXT com seu provedor de DNS com os seguintes valores, conforme mostrado: o envio de um domínio é representado no primeiro exemplo; o envio de um subdomínio é representado no segundo exemplo:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-bimi.html)
Nos exemplos anteriores de registros BIMI:
+ O valor do nome deve ser especificado literalmente `default._bimi.` como um subdomínio de `example.com` ou `marketing.example.com` que deve ser substituído pelo nome de seu domínio ou subdomínio.
+ O valor `v=` é a *versão* do registro BIMI.
+ O valor `l=` é o *logotipo* que representa o URL apontando para o arquivo `.svg` de sua imagem.
+ O valor `a=` é a *autoridade* que representa o URL apontando para o arquivo `.pem` de seu certificado.
Você pode validar seu registro BIMI com uma ferramenta como o [BIMI Inspector](https://bimigroup.org/bimi-generator/) do BIMI Group.
A etapa final desse processo é ter um padrão de envio regular para os ESPs que sejam compatíveis com o posicionamento do logotipo BIMI. Seu domínio deve ter uma cadência de entrega regular e ter uma boa reputação com os ESPs para os quais você está enviando. O posicionamento do logotipo BIMI pode levar algum tempo para ser preenchido em ESPs onde você não tenha uma reputação estabelecida ou um ritmo de envio.
Você pode ter mais informações e recursos relacionados ao BIMI por meio da organização do [BIMI Group](https://bimigroup.org/).
# Configuração de notificações de eventos para o Amazon SES
Para enviar e-mails usando o Amazon SES, você deve ter um sistema implantado para gerenciar devoluções e reclamações. O Amazon SES pode notificar você sobre eventos de devolução ou de reclamação de três formas: enviando um e-mail de notificação, notificando um tópico do Amazon SNS ou publicando os eventos de envio. Esta seção contém informações sobre como configurar o Amazon SES para enviar determinados tipos de notificações por e-mail ou notificando um tópico do Amazon SNS. Para obter mais informações sobre como publicar eventos de envio, consulte [Monitorar o envio de e-mails usando a publicação de eventos do Amazon SES](monitor-using-event-publishing.md).
Você pode configurar notificações usando o console do Amazon SES ou a API do Amazon SES.
**Topics**
+ [Considerações importantes](#monitor-sending-activity-using-notifications-considerations)
+ [Recebimento de notificações do Amazon SES por e-mail](monitor-sending-activity-using-notifications-email.md)
+ [Recebimento de notificações do Amazon SES usando o Amazon SNS](monitor-sending-activity-using-notifications-sns.md)
## Considerações importantes
Há vários pontos importantes a serem considerados ao configurar o Amazon SES para enviar notificações:
+ E-mail e notificações do Amazon SNS se aplicam a identidades individuais (os endereços de e-mail ou domínios verificados que você usa para enviar e-mail). Quando você ativa as notificações para uma identidade, o Amazon SES envia notificações somente para e-mails enviados dessa identidade e somente na AWS região em que você configurou as notificações.
+ Você precisa habilitar um método para recebimento de notificações de devolução ou de reclamação. Você pode enviar notificações para o domínio ou endereço de e-mail que gerou a devolução ou a reclamação ou para um tópico do Amazon SNS. Você também pode usar a [publicação de eventos](monitor-using-event-publishing.md) para enviar notificações sobre vários tipos diferentes de eventos (incluindo devoluções, reclamações, entregas e mais) para um tópico do Amazon SNS ou para um fluxo do Firehose.
Se você não configurar um desses métodos de recebimento de notificações de devolução ou reclamação, o Amazon SES encaminhará automaticamente as notificações de devolução e reclamação para o endereço Return-Path (Caminho de devolução) (ou para o endereço de origem, se você não especificar um endereço de Return-Path) no e-mail que resultou no evento de devolução ou reclamação, mesmo que você tenha desabilitado o encaminhamento de comentários de e-mail.
Se desabilitar o encaminhamento de comentários de e-mail e habitar a publicação de eventos, você deverá aplicar o conjunto de configurações que contém a regra de publicação de eventos para todos os e-mails que envia. Nessa situação, se você não usar o conjunto de configurações, o Amazon SES encaminhará automaticamente notificações de devolução e reclamação para o Return-Path ou para o endereço de origem que resultaram no evento de devolução ou reclamação.
+ Se você configurar o Amazon SES para enviar eventos de devolução e reclamação usando mais de um método (por exemplo, enviando notificações por e-mail e usando eventos de envio), você poderá receber mais de uma notificação para o mesmo evento.
# Recebimento de notificações do Amazon SES por e-mail
O Amazon SES pode enviar e-mail quando você recebe devoluções e reclamações usando um processo chamado *encaminhamento de comentários de e-mail*.
Para enviar e-mails usando o Amazon SES, você deve configurá-lo para enviar notificações de devolução e reclamação usando um dos seguintes métodos:
+ Habilitando o encaminhamento de comentários de e-mail. O procedimento para configurar esse tipo de notificação está incluído nesta seção.
+ Enviando notificações a um tópico do Amazon SNS. Para obter mais informações, consulte [Recebimento de notificações do Amazon SES usando o Amazon SNS](monitor-sending-activity-using-notifications-sns.md).
+ Publicando notificações de eventos. Para obter mais informações, consulte [Monitorar o envio de e-mails usando a publicação de eventos do Amazon SES](monitor-using-event-publishing.md).
**Importante**
Para vários pontos importantes sobre notificações, consulte [Configuração de notificações de eventos para o Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Habilitar o encaminhamento de feedback de e-mail](#monitor-sending-activity-using-notifications-email-enabling)
+ [Desabilitar o encaminhamento de feedback de e-mail](#monitor-sending-activity-using-notifications-email-disabling)
+ [Destino do encaminhamento de feedback de e-mails](#monitor-sending-activity-using-notifications-email-destination)
## Habilitar o encaminhamento de feedback de e-mail
O encaminhamento de feedback de e-mail está habilitado por padrão. Se você o tiver desabilitado anteriormente, poderá habilitá-lo seguindo os procedimentos nesta seção.
**Para habilitar o encaminhamento de devoluções e reclamações por e-mail usando o console do Amazon SES**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de endereços de e-mail ou domínios verificados, escolha o endereço de e-mail ou o domínio para o qual você deseja configurar notificações de devolução e de reclamação.
1. No painel de detalhes, expanda a seção **Notifications**.
1. Escolha **Edit Configuration**.
1. Em **Email Feedback Forwarding**, escolha **Enabled**.
**nota**
As alterações feitas nesta página podem demorar alguns minutos para entrar em vigor.
Você também pode ativar as notificações de devolução e reclamação por e-mail usando a operação da [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Desabilitar o encaminhamento de feedback de e-mail
Se você configurar um método diferente para fornecer notificações de devolução e de reclamação, você poderá desabilitar o encaminhamento de comentários de e-mail para não receber várias notificações quando ocorre um evento de devolução ou de reclamação.
**Para desabilitar o encaminhamento de devoluções e reclamações por e-mail usando o console do Amazon SES**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de endereços de e-mail ou domínios verificados, escolha o endereço de e-mail ou o domínio para o qual você deseja configurar notificações de devolução e de reclamação.
1. No painel de detalhes, expanda a seção **Notifications**.
1. Escolha **Edit Configuration**.
1. Em **Email Feedback Forwarding**, escolha **Disabled**.
**nota**
Você deve configurar um método para receber notificações de devolução e reclamação para enviar e-mail por meio do Amazon SES. Se você desabilitar o encaminhamento de comentários de e-mail, deve habilitar as notificações enviadas pelo Amazon SNS ou publicar eventos de devolução e reclamação em um tópico do Amazon SNS ou em um fluxo do Firehose usando [publicação de eventos](monitor-using-event-publishing.md). Se usar a publicação de eventos, você também deverá aplicar o conjunto de configurações que contém a regra de publicação de eventos para cada e-mail que envia. Se você não configurar um método para receber notificações de devolução e reclamação, o Amazon SES encaminhará automaticamente as notificações de comentários por e-mail para o endereço no campo Return-Path (Caminho de devolução) (ou para o campo Source (Origem), se você não especificar um endereço de Return-Path) da mensagem que resultou no evento de devolução ou reclamação. Nessa situação, o Amazon SES encaminha as notificações de devolução e reclamação, mesmo que você tenha desabilitado as notificações de feedback de e-mail.
1. Para salvar sua configuração de notificação, escolha **Save Config (Salvar configuração)**.
**nota**
As alterações feitas nessa página podem demorar alguns minutos para entrar em vigor.
Você também pode desativar as notificações de devolução e reclamação por e-mail usando a operação da [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Destino do encaminhamento de feedback de e-mails
Quando você recebe notificações por e-mail, o Amazon SES reescreve o cabeçalho `From` e envia a notificação para você. O endereço para o qual o Amazon SES encaminha a notificação depende de como você enviou a mensagem original.
Se você usou a interface SMTP para enviar a mensagem, as notificações são entregues de acordo com as seguintes regras:
+ Se você especificou um cabeçalho `Return-Path` na seção `SMTP DATA`, as notificações são enviadas para esse endereço.
+ Do contrário, as notificações são enviadas ao endereço que você especificou ao emitir o comando MAIL FROM.
Se você usou a operação de API `SendEmail` para enviar a mensagem, as notificações são entregues de acordo com as seguintes regras:
+ Se você especificou o parâmetro opcional `ReturnPath` na chamada para a API `SendEmail`, as notificações são enviadas para esse endereço.
+ Caso contrário, as notificações são enviadas para o endereço especificado no parâmetro obrigatório `Source` de `SendEmail`.
Se você usou a operação de API `SendRawEmail` para enviar a mensagem, as notificações são entregues de acordo com as seguintes regras:
+ Se você especificou um cabeçalho `Return-Path` na mensagem bruta, as notificações são enviadas para esse endereço.
+ Do contrário, se você especificou um parâmetro `Source` na chamada para a API `SendRawEmail`, as notificações são enviadas para esse endereço.
+ Caso contrário, as notificações são enviadas para o endereço do cabeçalho `From` da mensagem bruta.
**nota**
Ao especificar um endereço `Return-Path` em um e-mail, você recebe notificações nesse endereço. No entanto, a versão da mensagem que o destinatário recebe contém um cabeçalho `Return-Path` que inclui um endereço de e-mail anonimizado (como *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*). Essa anonimização acontece independentemente de como o e-mail foi enviado.
# Recebimento de notificações do Amazon SES usando o Amazon SNS
Você pode configurar o Amazon SES para notificar um tópico do Amazon SNS quando você receber devoluções ou reclamações, ou quando os e-mails forem entregues. As notificações do Amazon SNS estão no formato [JavaScript Object Notation (JSON)](http://www.json.org), o que permite processá-las programaticamente.
Para enviar e-mails usando o Amazon SES, você deve configurá-lo para enviar notificações de devolução e reclamação usando um dos seguintes métodos:
+ Enviando notificações a um tópico do Amazon SNS. O procedimento para configurar esse tipo de notificação está incluído nesta seção.
+ Habilitando o encaminhamento de comentários de e-mail. Para obter mais informações, consulte [Recebimento de notificações do Amazon SES por e-mail](monitor-sending-activity-using-notifications-email.md).
+ Publicando notificações de eventos. Para obter mais informações, consulte [Monitorar o envio de e-mails usando a publicação de eventos do Amazon SES](monitor-using-event-publishing.md).
**Importante**
Consulte [Configuração de notificações de eventos para o Amazon SES](monitor-sending-activity-using-notifications.md) para obter informações importantes sobre notificações.
**Topics**
+ [Configuração de notificações do Amazon SNS para o Amazon SES](configure-sns-notifications.md)
+ [Conteúdo das notificações do Amazon SNS para o Amazon SES](notification-contents.md)
+ [Exemplos de notificação do Amazon SNS para o Amazon SES](notification-examples.md)
# Configuração de notificações do Amazon SNS para o Amazon SES
O Amazon SES pode notificar você sobre devoluções, reclamações e entregas por meio do [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns).
Você pode configurar notificações no console do Amazon SES ou usando a API do Amazon SES.
**Topics**
+ [Pré-requisitos](#configure-feedback-notifications-prerequisites)
+ [Configuração de notificações usando o console do Amazon SES](#configure-feedback-notifications-console)
+ [Configuração de notificações usando a API do Amazon SES](#configure-feedback-notifications-api)
+ [Solução de problemas com notificações de feedback](#configure-feedback-notifications-troubleshooting)
## Pré-requisitos
Conclua as etapas a seguir antes de configurar notificações do Amazon SNS no Amazon SES:
1. Crie um tópico do Amazon SNS. Para obter mais informações, consulte [Criar um tópico](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
**Importante**
Quando você criar seu tópico usando o Amazon SNS, em **Type (Tipo)**, escolha apenas **Standard** (Padrão). (O SES não suporta tópicos do tipo FIFO.)
Independentemente de criar um novo tópico do SNS ou selecionar um existente, será necessário conceder acesso ao SES para publicar notificações no tópico.
Para conceder permissão ao Amazon SES para publicar notificações no tópico, na tela **Edit topic (Editar tópico)** no console do SNS, expanda **Access policy (Política de acesso)** e, em **JSON editor (Editor de JSON)**, adicione a seguinte política de permissão:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
Faça as seguintes alterações no exemplo de política anterior:
+ *topic\$1region*Substitua pela AWS região em que você criou o tópico do SNS.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *topic\$1name*Substitua pelo nome do seu tópico do SNS.
+ *identity\$1name*Substitua pela identidade verificada (endereço de e-mail ou domínio) que você está assinando no tópico do SNS.
1. Inscreva pelo menos um endpoint para o tópico. Por exemplo, se quiser receber notificações por mensagem de texto, assine um endpoint de SMS, (ou seja, um número de telefone celular) para o tópico. Para receber notificações por e-mail, inscreva um endpoint de e-mail (um endereço de e-mail) para o tópico.
Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
1. (Opcional) Se o tópico do Amazon SNS usa AWS Key Management Service (AWS KMS) para criptografia do lado do servidor, você precisa adicionar permissões à política de chaves. AWS KMS Você pode adicionar permissões anexando a seguinte política à política de AWS KMS chaves:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Configuração de notificações usando o console do Amazon SES
**Para configurar notificações usando o console do Amazon SES**
1. Abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identities** (Identidades), selecione a identidade verificada para a qual você deseja receber notificações de feedback quando uma mensagem enviada dessa identidade resultar em devolução, reclamação ou entrega.
**Importante**
As configurações de notificação de domínio verificado aplicam-se a todos os e-mails enviados nesse domínio, *exceto* para endereços de e-mail que estão também verificados.
1. Na tela de detalhes da identidade verificada selecionada, escolha a guia **Notifications** (Notificações) e selecione **Edit** (Editar) no contêiner **Feedback notifications** (Notificações de feedback).
1. Expanda a caixa de listagem de tópicos do SNS de cada tipo de feedback para o qual deseja receber notificações e selecione um tópico do SNS que você possui, **No SNS topic** (Nenhum tópico do SNS) ou**SNS topic you don’t own** (Tópico do SNS que você não possui).
1. Ao escolher **SNS topic you don’t own** (Tópico do SNS que você não possui), o campo **SNS topic ARN** (ARN do tópico do SNS) será apresentado, onde deverá ser inserido o tópico do SNS que o ARN compartilhou com você pelo remetente delegado. (Somente o remetente delegado receberá essas notificações, pois ele possui o tópico do SNS. Para saber mais sobre envios delegados, consulte [Visão geral da autorização de envio](sending-authorization-overview.md).)
**Importante**
Os tópicos do Amazon SNS que você usa para notificações de devolução, reclamação e entrega devem ser os mesmos em Região da AWS que você usa o Amazon SES.
Além disso, é necessário inscrever um ou mais endpoints no tópico para receber notificações. Por exemplo, se você deseja que as notificações sejam enviadas para um endereço de e-mail, é necessário inscrever um endpoint de e-mail no tópico. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
1. (Opcional) Se você quiser que a notificação de tópico inclua os cabeçalhos do e-mail original, marque a caixa **Include original email headers** (Incluir cabeçalhos de e-mail originais) diretamente abaixo do nome do tópico do SNS de cada tipo de feedback. Essa opção só está disponível se você atribuiu um tópico do Amazon SNS ao tipo de notificação associado. Para obter informações sobre o conteúdo dos cabeçalhos de e-mail originais, consulte o objeto `mail` em [Conteúdo das notificações](notification-contents.md).
1. Escolha **Salvar alterações**. As alterações feitas em suas configurações de notificação podem levar alguns minutos para ter efeito.
1. (Opcional) Se você escolher notificações de tópicos do Amazon SNS para devoluções e reclamações, poderá desabilitar as notificações de e-mail completamente para não receber notificações duplas por e-mail e notificações do SNS. Para desabilitar notificações de e-mail para devoluções e reclamações, na guia **Notifications** (Notificações), na tela de detalhes da identidade verificada, no contêiner **Email Feedback Forwarding** (Encaminhamento de feedback de e-mail), escolha **Edit** (Editar), desmarque a caixa **Enabled** (Habilitado) e escolha **Save changes** (Salvar as alterações).
Após definir as configurações, você começará a receber notificações de devolução, reclamação e/ou entrega para seus tópicos do Amazon SNS. Essas notificações estão no formato JavaScript Object Notation (JSON) e seguem a estrutura descrita em. [Conteúdo das notificações](notification-contents.md)
Você será cobrado de acordo com as taxas padrão do Amazon SNS para notificações de devolução, reclamação e entrega. Para obter mais informações, consulte a página de [Definição de preços do Amazon SNS](https://aws.amazon.com/sns/pricing).
**nota**
Se uma tentativa de publicar no seu tópico do Amazon SNS falhar porque o tópico foi excluído ou você Conta da AWS não tem mais permissões para publicar nele, o Amazon SES removerá a configuração desse tópico se ele tiver sido configurado para devoluções ou reclamações (não entregas - para notificações de entrega, o SES não excluirá a configuração do tópico do SNS). Além disso, o Amazon SES habilitará novamente as notificações por e-mail de devolução e reclamação para a identidade, e você receberá uma notificação da alteração por e-mail. Se várias identidades forem configuradas para usar o tópico, a configuração do tópico para cada identidade será alterada quando cada identidade apresentar uma falha ao publicar no tópico.
## Configuração de notificações usando a API do Amazon SES
Você também pode configurar notificações de devolução, reclamação e entrega usando a API do Amazon SES. Para configurar notificações, use as operações a seguir:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
Você pode usar essas ações de API para escrever um aplicativo front-end personalizado para notificações. Para obter uma descrição completa das ações de API relacionadas à verificação de domínio, consulte a [Referência da API do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
## Solução de problemas com notificações de feedback
**Notificações não estão sendo recebidas**
Se você não estiver recebendo notificações, certifique-se de ter inscrito um endpoint no tópico pelo qual as notificações são enviadas. Ao enviar um endpoint de e-mail em um tópico, você recebe um e-mail solicitando a confirmação da inscrição. É necessário confirmar a inscrição antes de começar a receber notificações por e-mail. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
**Erro `InvalidParameterValue` ao escolher um tópico**
Se você receber uma mensagem de erro informando que ocorreu um erro `InvalidParameterValue`, verifique se o tópico do Amazon SNS está criptografado usando AWS KMS. Se estiver, você precisará modificar a política da AWS KMS chave. Consulte [Pré-requisitos](#configure-feedback-notifications-prerequisites) para obter um exemplo de política.
# Conteúdo das notificações do Amazon SNS para o Amazon SES
As notificações de devolução, reclamação e entrega são publicadas nos tópicos do [Amazon Simple Notification Service (Amazon SNS) no formato JavaScript Object Notation (JSON)](https://aws.amazon.com/sns). O objeto JSON de nível superior contém uma string `notificationType`, um objeto `mail` e um objeto `bounce`, um objeto `complaint` ou um objeto `delivery`.
Consulte as seções a seguir para obter descrições dos diferentes tipos de objetos:
+ [Objeto JSON de nível superior](#top-level-json-object)
+ [Objeto `mail`](#mail-object)
+ [Objeto `bounce`](#bounce-object)
+ [Objeto `complaint`](#complaint-object)
+ [Objeto `delivery`](#delivery-object)
A seguir estão algumas importantes observações sobre o conteúdo das notificações do Amazon SNS para o Amazon SES:
+ Para determinado tipo de notificação, você pode receber uma notificação do Amazon SNS para vários destinatários ou receber uma única notificação do Amazon SNS por destinatário. Seu código deve ser capaz de analisar a notificação do Amazon SNS e lidar com ambos os casos. O SES não oferece garantias de ordenação ou colocação em lotes para notificações enviadas por meio do Amazon SNS. No entanto, diferentes tipos de notificação do Amazon SNS (por exemplo, devoluções e reclamações) nunca são reunidos em uma única notificação.
+ Você pode receber vários tipos de notificações do Amazon SNS para um só destinatário. Por exemplo, o servidor de e-mail de recebimento pode aceitar o e-mail (acionando uma notificação de entrega), mas depois de processar o e-mail, acabar determinando que o e-mail, na verdade, resulta em uma devolução (acionando uma notificação de devolução). Mas essas notificações sempre são notificações separadas porque são tipos distintos de notificação.
+ O SES se reserva o direito de adicionar mais campos às notificações. Dessa forma, aplicações que analisam essas notificações devem ser flexíveis o suficiente para lidar com campos desconhecidos.
+ O SES sobrescreve os cabeçalhos da mensagem ao enviar o e-mail. Você pode recuperar os cabeçalhos da mensagem original dos campos `headers` e `commonHeaders` do objeto `mail`.
## Objeto JSON de nível superior
O objeto JSON de nível superior em uma notificação do SES contém os campos a seguir.
| Nome do campo | Description |
| --- | --- |
| notificationType | Uma string que contém o tipo de notificação representado pelo objeto JSON. Os valores são `Bounce`, `Complaint` ou `Delivery`. Se você [configurou a publicação de eventos](monitor-sending-using-event-publishing-setup.md), este campo é chamado de `eventType`. |
| mail | Um objeto JSON que contém informações sobre o e-mail original ao qual a notificação pertence. Para obter mais informações, consulte [Objeto de e-mail](#mail-object). |
| bounce | Este campo estará presente somente se `notificationType` for `Bounce` e contiver um objeto JSON que contém informações sobre a devolução. Para obter mais informações, consulte [Objeto de devolução](#bounce-object). |
| complaint | Este campo estará presente somente se `notificationType` for `Complaint` e contiver um objeto JSON que contém informações sobre a reclamação. Para obter mais informações, consulte [Objeto de reclamação](#complaint-object). |
| delivery | Este campo estará presente somente se `notificationType` for `Delivery` e contiver um objeto JSON que contém informações sobre a entrega. Para obter mais informações, consulte [Objeto de entrega](#delivery-object). |
## Objeto de e-mail
Cada notificação de devolução, reclamação ou entrega contém informações sobre o e-mail original no objeto `mail`. O objeto JSON que contém informações sobre um objeto `mail` tem os seguintes campos.
| Nome do campo | Description |
| --- | --- |
| timestamp | A hora em que a mensagem original foi enviada (em ISO8601 formato). |
| messageId | Um ID exclusivo que o SES atribuiu à mensagem. O SES retornou esse valor quando você enviou a mensagem. Esse ID de mensagem foi atribuído pelo SES. Você pode encontrar o ID da mensagem do e-mail original no campo `headers` do objeto `mail`. |
| source | O endereço de e-mail do qual a mensagem original foi enviada (o endereço MAIL FROM no envelope). |
| sourceArn | O nome de recurso da Amazon (ARN) da identidade que foi usada para enviar o e-mail. No caso de autorização de envio, o `sourceArn` é o ARN da identidade que o proprietário de identidade autorizou o remetente delegado a usar para enviar o e-mail. Para obter mais informações sobre a autorização de envio, consulte [Métodos de autenticação de e-mailUsar autorização de envio](sending-authorization.md). |
| sourceIp | O endereço IP público de origem do cliente que realizou a solicitação de envio de e-mail ao SES. |
| sendingAccountId | O Conta da AWS ID da conta que foi usada para enviar o e-mail. No caso de autorização de envio, `sendingAccountId` é o ID da conta do remetente delegado. |
| callerIdentity | A identidade do IAM do usuário do SES que enviou o e-mail. |
| destination | Uma lista de endereços de e-mail que foram destinatários da mensagem original. |
| headersTruncated | Esse objeto só está presente se você definiu as configurações de notificação para incluir os cabeçalhos de e-mail originais. Indica se os cabeçalhos estão truncados na notificação. O SES trunca os cabeçalhos na notificação quando os cabeçalhos da mensagem original têm 10 KB ou mais. Os possíveis valores são `true` e `false`. |
| headers | Esse objeto só está presente se você definiu as configurações de notificação para incluir os cabeçalhos de e-mail originais. Uma lista com os cabeçalhos originais do e-mail. Cada cabeçalho tem um campo `name` e um campo `value`. Qualquer ID de mensagem no objeto `headers` é da mensagem original que você enviou ao SES. O ID de mensagem que o SES subsequentemente atribuiu à mensagem está no campo `messageId` do objeto `mail`. |
| commonHeaders | Esse objeto só está presente se você definiu as configurações de notificação para incluir os cabeçalhos de e-mail originais. Inclui informações sobre cabeçalhos de e-mail comuns do e-mail original, incluindo os campos From (De), To (Para) e Subject (Assunto). Dentro desse objeto, cada cabeçalho é uma chave. Os campos From (De) e To (Para) são representados por matrizes que podem conter vários valores. Para eventos, qualquer ID de mensagem no campo `commonHeaders` é o ID da mensagem que o Amazon SES atribuiu subsequentemente à mensagem no campo `messageId` do objeto de e-mail. As notificações conterão o ID da mensagem do e-mail original. |
Veja a seguir um exemplo de um objeto `mail` que inclui os cabeçalhos de e-mail originais. Quando esse tipo de notificação não estiver configurado para incluir cabeçalhos de e-mail originais, o objeto `mail` não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" "
},
{
"name":"To",
"value":"\"Recipient Name\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Mon, 08 Oct 2018 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"Sender Name "
],
"date":"Mon, 08 Oct 2018 14:05:45 +0000",
"to":[
"Recipient Name "
],
"messageId":" custom-message-ID",
"subject":"Message sent using SES"
}
}
```
## Objeto de devolução
O objeto JSON que contém informações sobre devoluções contém os campos a seguir.
| Nome do campo | Description |
| --- | --- |
| bounceType | O tipo de falha de entrega, conforme determinado pelo SES. Para obter mais informações, consulte [Tipos de devolução](#bounce-types). |
| bounceSubType | O subtipo da falha de entrega, conforme determinado pelo SES. Para obter mais informações, consulte [Tipos de devolução](#bounce-types). |
| bouncedRecipients | Uma lista que contém informações sobre os destinatários da mensagem original que foi devolvida. Para obter mais informações, consulte [Destinatários com mensagens devolvidas](#bounced-recipients). |
| timestamp | A data e a hora em que a devolução foi enviada (em ISO8601 formato). Observe que essa é a hora em que a notificação foi enviada pelo ISP, não a hora em que foi recebida pelo SES. |
| feedbackId | Um ID exclusivo para a devolução. |
Se o SES conseguir entrar em contato com o agente de transferência de mensagens (MTA), o campo a seguir também estará presente.
| Nome do campo | Description |
| --- | --- |
| remoteMtaIp | O endereço IP do MTA para o qual o SES tentou entregar o e-mail. |
Se uma notificação do status de entrega (DSN) tiver sido anexada à devolução, o campo a seguir também estará presente.
| Nome do campo | Description |
| --- | --- |
| reportingMTA | O valor do campo `Reporting-MTA` a partir do DSN. Esse é o valor da MTA que tentou executar a operação de entrega, transmissão ou gateway descritas no DSN. |
Veja a seguir um exemplo de um objeto `bounce`.
```
{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"status":"5.0.0",
"action":"failed",
"diagnosticCode":"smtp; 550 user unknown",
"emailAddress":"recipient1@example.com"
},
{
"status":"4.0.0",
"action":"delayed",
"emailAddress":"recipient2@example.com"
}
],
"reportingMTA": "example.com",
"timestamp":"2012-05-25T14:59:38.605Z",
"feedbackId":"000001378603176d-5a4b5ad9-6f30-4198-a8c3-b1eb0c270a1d-000000",
"remoteMtaIp":"127.0.2.0"
}
```
### Destinatários com mensagens devolvidas
Uma notificação de devolução pode pertencer a um único destinatário ou a vários destinatários. O campo `bouncedRecipients` contém uma lista de objetos – um para cada destinatário ao qual a notificação de devolução pertence – e sempre conterá o campo a seguir.
| Nome do campo | Description |
| --- | --- |
| emailAddress | O endereço de e-mail do destinatário. Se um DSN estiver disponível, esse será o valor do campo `Final-Recipient` do DSN. |
Opcionalmente, se um DSN estiver conectado à devolução, os seguintes campos também poderão estar presentes.
| Nome do campo | Description |
| --- | --- |
| action | O valor do campo `Action` a partir do DSN. Isso indica a ação realizada pelo MTA que gera o relatório como resultado da sua tentativa de enviar a mensagem a esse destinatário. |
| status | O valor do campo `Status` a partir do DSN. Esse é o código de status independente do transporte por destinatário que indica o status de entrega da mensagem. |
| diagnosticCode | O código de status emitido pelo MTA de relatório. Esse é o valor do campo `Diagnostic-Code` a partir do DSN. Esse campo pode estar ausente no DSN (e, portanto, também ausente no JSON). |
Veja a seguir um exemplo de um objeto que pode estar na lista `bouncedRecipients`.
```
{
"emailAddress": "recipient@example.com",
"action": "failed",
"status": "5.0.0",
"diagnosticCode": "X-Postfix; unknown user"
}
```
### Tipos de devolução
O objeto de falha de entrega contém um tipo de falha de entrega `Undetermined`, `Permanent` *(permanente)* ou `Transient` *(temporária)*. Os tipos de falha de entrega `Permanent` *(permanente)* e `Transient` *(temporária)* também podem conter um dos vários subtipos de falha de entrega.
Ao receber uma notificação de falha de entrega com um tipo de falha de entrega `Transient` *(temporária)*, você poderá enviar e-mails para esse destinatário no futuro se o problema que gerava a mensagem de falha de entrega for resolvido.
Quando você recebe uma notificação de falha de entrega com um tipo de falha de entrega `Permanent` *(permanente)*, é improvável que possa enviar e-mails para esse destinatário no futuro. Por esse motivo, você deve remover imediatamente de sua listas de endereços o destinatário cujo endereço gerou a devolução.
**nota**
Quando ocorre uma *falha de entrega temporária* (uma falha de entrega relacionada a um problema temporário, como quando a caixa de entrada do destinatário está cheia), o SES tenta enviar o e-mail durante um período específico. Ao final desse período, se o SES ainda assim não conseguir entregar o e-mail, deixará de tentar.
O SES fornece notificações para falhas de entrega permanentes, bem como para falhas de entrega temporárias que parou de tentar entregar. Se quiser receber uma notificação sempre que ocorrer uma devolução flexível, [habilite a publicação de eventos](monitor-sending-using-event-publishing-setup.md) e configure-a para enviar notificações quando ocorrerem eventos de atraso de entrega.
| bounceType | bounceSubType | Description |
| --- | --- | --- |
| Undetermined | Undetermined | O provedor de e-mail do destinatário enviou uma mensagem de devolução. A mensagem de falha de entrega não contém informações suficientes para o SES determinar o motivo da falha. O e-mail de devolução, que foi enviado ao endereço no cabeçalho Return-Path do e-mail que provocou a devolução, pode conter informações adicionais sobre o problema que fez o e-mail ser devolvido. |
| Permanent | General | O provedor de e-mail do destinatário enviou uma mensagem de devolução definitiva. Quando você recebe esse tipo de notificação de devolução, deve remover imediatamente o endereço de e-mail do destinatário de sua lista de endereços. O envio de mensagens para endereços que geram devoluções definitivas pode afetar negativamente sua reputação como remetente. Se continuar a enviar e-mails para endereços que geram devoluções definitivas, provavelmente teremos de pausar o envio de e-mails subsequentes. Consulte [Como usar a lista de supressão do Amazon SES por conta](sending-email-suppression-list.md). |
| Permanent | NoEmail | Não foi possível recuperar o endereço de e-mail do destinatário da mensagem de devolução. |
| Permanent | Suppressed | O endereço de e-mail do destinatário está na lista de supressão do SES porque tem um histórico recente de gerar falhas de entrega permanentes. Para substituir a lista de supressão global, consulte [Como usar a lista de supressão do Amazon SES por conta](sending-email-suppression-list.md). |
| Permanent | OnAccountSuppressionList | O SES suprimiu o envio para este endereço porque ele está na [lista de supressão no nível da conta](sending-email-suppression-list.md). Isso não conta para sua métrica de taxa de devolução. |
| Permanent | UnsubscribedRecipient | Esse tipo de falha de entrega ocorre quando o contato do destinatário cancelou a assinatura do tópico e um e-mail é enviado a ele usando as [opções de gerenciamento de listas](sending-email-list-management.md#configuring-list-management-list-contacts). O SES respeita a preferência de contato e não tenta realizar a entrega. Além disso, essa falha de entrega não afeta a reputação do remetente, já que a entrega não foi tentada, e o contato do destinatário também não é adicionado a uma lista de supressão devido à falha. É recomendável que você se inscreva em UnsubscribedRecipient eventos para evitar o envio contínuo para destinatários não inscritos. Considere [Uso do gerenciamento de listas](sending-email-list-management.md). O gerenciamento de listas deve ser a fonte da verdade para a sua lista de assinantes. Do ponto de vista da imposição do SES, se você continuar enviando para destinatários suprimidos ou não inscritos, terá a reputação de não seguir as práticas recomendadas de envio de e-mails. |
| Transient | General | O provedor de e-mail do destinatário enviou uma mensagem de devolução genérica. Você pode enviar uma mensagem para o mesmo destinatário no futuro se o problema que gerou a mensagem de devolução for resolvido. Se enviar um e-mail para um destinatário que tem uma regra de resposta automática (como uma mensagem "fora do escritório"), você poderá receber esse tipo de notificação. Mesmo que a resposta tenha um tipo de notificação `Bounce`, o SES não contabilizará respostas automáticas ao calcular a taxa de falha de entrega para a sua conta. |
| Transient | MailboxFull | O provedor de e-mail do destinatário enviou uma mensagem de devolução porque a caixa de entrada do destinatário está cheia. Você poderá enviar mensagens para esse mesmo destinatário no futuro quando a caixa postal não estiver mais cheia. |
| Transient | MessageTooLarge | O provedor de e-mail do destinatário enviou uma mensagem de devolução porque a mensagem que você enviou era muito grande. Você poderá enviar uma mensagem a esse mesmo destinatário se diminuir o tamanho da mensagem. |
| Transient | ContentRejected | O provedor de e-mail do destinatário enviou uma mensagem de devolução porque o conteúdo da mensagem que você enviou não é permitido pelo provedor. Você poderá enviar uma mensagem para esse mesmo destinatário se alterar o conteúdo da mensagem. |
| Transient | AttachmentRejected | O provedor de e-mail do destinatário enviou uma mensagem de devolução porque a mensagem continha um anexo inaceitável. Por exemplo, alguns provedores de e-mail podem rejeitar mensagens com anexos de determinado tipo de arquivo ou mensagens com anexos muito grandes. Você poderá enviar uma mensagem para esse mesmo destinatário se remover ou alterar o conteúdo da mensagem. |
## Objeto de reclamação
O objeto JSON que contém informações sobre reclamações tem os campos a seguir.
| Nome do campo | Description |
| --- | --- |
| complainedRecipients | Uma lista que contém informações sobre os destinatários que podem ter sido responsáveis pela reclamação. Para obter mais informações, consulte [Destinatários que reclamaram](#complained-recipients). |
| timestamp | A data e a hora, no formato ISO 8601, em que o ISP enviou a notificação de reclamação. A data e hora nesse campo podem não ser iguais à data e hora em que o SES recebeu a notificação. |
| feedbackId | Um ID exclusivo associado à reclamação. |
| complaintSubType | O valor do campo `complaintSubType` pode ser nulo ou `OnAccountSuppressionList`. Se o valor é `OnAccountSuppressionList`, o SES aceitou a mensagem, mas não tentou enviá-la porque ela estava na [lista de supressão no nível da conta](sending-email-suppression-list.md). |
Além disso, se um relatório de feedback estiver conectado à reclamação, os campos a seguir poderão estar presentes.
| Nome do campo | Description |
| --- | --- |
| userAgent | O valor do campo `User-Agent` do relatório de feedback. Isso indica o nome e versão do sistema que gerou o relatório. |
| complaintFeedbackType | O valor do campo `Feedback-Type` do relatório de feedback recebido do ISP. Aí está contido o tipo de feedback. |
| arrivalDate | O valor do `Received-Date` campo `Arrival-Date` ou do relatório de feedback (em ISO8601 formato). Esse campo pode estar ausente no relatório (e, portanto, também ausente no JSON). |
Veja a seguir um exemplo de um objeto `complaint`.
```
{
"userAgent":"ExampleCorp Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"recipient1@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2009-12-03T04:24:21.000-05:00",
"timestamp":"2012-05-25T14:59:38.623Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
}
```
### Destinatários que reclamaram
O campo `complainedRecipients` contém uma lista de destinatários que podem ter enviado a reclamação. Você deve usar essas informações para determinar qual destinatário enviou a reclamação, depois remover esse destinatário imediatamente de suas listas de endereços.
**Importante**
A maioria ISPs remove o endereço de e-mail do destinatário que enviou a reclamação da notificação de reclamação. Por esse motivo, essa lista contém informações sobre os destinatários que podem ter enviado a reclamação, com base nos destinatários da mensagem original e no ISP do qual recebemos a reclamação. O SES executa uma consulta em relação a mensagem original para determinar a lista de destinatários.
Os objetos JSON desta lista contêm o seguinte campo.
| Nome do campo | Description |
| --- | --- |
| emailAddress | O endereço de e-mail do destinatário. |
Veja a seguir um exemplo de um objeto de uma reclamação do destinatário.
```
{ "emailAddress": "recipient1@example.com" }
```
**nota**
Por conta desse comportamento, você pode ter mais certeza quais endereços de e-mail reclamaram sobre sua mensagem se limitar seu envio para uma mensagem por destinatário (em vez de enviar uma mensagem com 30 diferentes endereços de e-mail na linha CCO).
#### Tipos de reclamação
Você pode ver os seguintes tipos de reclamação no campo `complaintFeedbackType` conforme atribuído pelo ISP que gerou o relatório, de acordo com o [site da Internet Assigned Numbers Authority](http://www.iana.org/assignments/marf-parameters/marf-parameters.xml#marf-parameters-2):
+ `abuse`– Indica e-mail não solicitado ou algum outro tipo de abuso de e-mail.
+ `auth-failure`– Relatório de falha de autenticação de e-mail.
+ `fraud`– Indica algum tipo de atividade de phishing ou fraude.
+ `not-spam`: indica que a entidade que fornece o relatório não considera a mensagem spam. Isso pode ser usado para corrigir uma mensagem que foi incorretamente marcada ou classificada como spam.
+ `other`– Indica qualquer outro feedback que não se adequa a outros tipos registrados.
+ `virus`– Reporta que um vírus foi encontrado na mensagem de origem.
## Objeto de entrega
O objeto JSON que contém informações sobre entregas sempre tem os campos a seguir.
| Nome do campo | Description |
| --- | --- |
| timestamp | A hora em que o SES entregou o e-mail ao servidor de e-mail do destinatário (em ISO8601 formato). |
| processingTimeMillis | O tempo, em milissegundos, entre o momento em que SES aceitou a solicitação do remetente até transmitir a mensagem para o servidor de e-mail do destinatário. |
| recipients | Uma lista dos destinatários pretendidos do e-mail ao qual a notificação de entrega se aplica. |
| smtpResponse | A mensagem de resposta SMTP do ISP remoto que aceitou o e-mail do SES. Essa mensagem varia de acordo com o e-mail, o servidor de e-mail de recebimento e o ISP de recebimento. |
| reportingMTA | O nome de host do servidor de e-mail do SES que enviou o e-mail. |
| remoteMtaIp | O endereço IP do MTA para o qual o SES entregou o e-mail. |
Veja a seguir um exemplo de um objeto `delivery`.
```
{
"timestamp":"2014-05-28T22:41:01.184Z",
"processingTimeMillis":546,
"recipients":["success@simulator.amazonses.com"],
"smtpResponse":"250 ok: Message 64111812 accepted",
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"remoteMtaIp":"127.0.2.0"
}
```
# Exemplos de notificação do Amazon SNS para o Amazon SES
As seções a seguir oferecem exemplos de três tipos de notificações:
+ Para exemplos de notificação de devolução, consulte [Exemplos de notificação de devolução do Amazon SNS](#notification-examples-bounce).
+ Para exemplos de notificação de reclamação, consulte [Exemplos de notificação de reclamação do Amazon SNS](#notification-examples-complaint).
+ Para exemplos de notificação de entrega, consulte [Exemplo de notificação de entrega do Amazon SNS](#notification-examples-delivery).
## Exemplos de notificação de devolução do Amazon SNS
Esta seção contém exemplos de notificações de devolução com e sem uma notificação de status de entrega (DSN) fornecida pelo receptor do e-mail que enviou o feedback.
### Notificação de devolução com um DSN
A seguir está um exemplo de uma notificação de devolução que contém um DSN e os cabeçalhos de e-mail originais. Quando as notificações de devolução não estiverem configuradas para incluir os cabeçalhos de e-mail originais, o objeto `mail` dentro da notificação não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"reportingMTA":"dns; email.example.com",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com",
"status":"5.1.1",
"action":"failed",
"diagnosticCode":"smtp; 550 5.1.1 ... User"
}
],
"bounceSubType":"General",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa068a-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"messageId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa0680-000000",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notificação de devolução sem um DSN
Veja a seguir um exemplo de uma notificação de devolução que inclui cabeçalhos de e-mail originais, mas não um DSN. Quando as notificações de devolução não estiverem configuradas para incluir os cabeçalhos de e-mail originais, o objeto `mail` dentro da notificação não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com"
},
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000137860315fd-869464a4-8680-4114-98d3-716fe35851f9-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"00000137860315fd-34208509-5b74-41f3-95c5-22c1edc3c924-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Exemplos de notificação de reclamação do Amazon SNS
Esta seção contém exemplos de notificações de reclamação com e sem um relatório de feedback fornecido pelo receptor do e-mail que enviou o feedback.
### Notificação de reclamação com um relatório de feedback
A seguir está um exemplo de uma notificação de reclamação que contém um relatório de feedback e os cabeçalhos de e-mail originais. Quando as notificações de reclamação não estiverem configuradas para incluir os cabeçalhos de e-mail originais, o objeto `mail` dentro da notificação não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"userAgent":"AnyCompany Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2016-01-27T14:59:38.237Z",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notificação de reclamação sem um relatório de feedback
Veja a seguir um exemplo de uma notificação de reclamação que inclui cabeçalhos de e-mail originais, mas não um relatório de feedback. Quando as notificações de reclamação não estiverem configuradas para incluir os cabeçalhos de e-mail originais, o objeto `mail` dentro da notificação não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"0000013786031775-fea503bc-7497-49e1-881b-a0379bb037d3-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000013786031775-163e3910-53eb-4c8e-a04a-f29debf88a84-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Exemplo de notificação de entrega do Amazon SNS
Veja a seguir um exemplo de uma notificação de entrega que inclui os cabeçalhos de e-mail originais. Quando as notificações de entrega não estiverem configuradas para incluir os cabeçalhos de e-mail originais, o objeto `mail` dentro da notificação não incluirá os campos `headersTruncated`, `headers` e `commonHeaders`.
```
{
"notificationType":"Delivery",
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000014644fe5ef6-9a483358-9170-4cb4-a269-f5dcdf415321-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:58:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:58:45 +0000",
"to":[
"Jane Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
},
"delivery":{
"timestamp":"2016-01-27T14:59:38.237Z",
"recipients":["jane@example.com"],
"processingTimeMillis":546,
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"smtpResponse":"250 ok: Message 64111812 accepted",
"remoteMtaIp":"127.0.2.0"
}
}
```
# Usar autorização de identidade no Amazon SES
As políticas de autorização de identidade definem como identidades individuais verificadas podem usar o Amazon SES especificando quais ações da API do SES são permitidas ou negadas para a identidade e em quais condições.
Com o uso dessas políticas de autorização, você pode manter controle sobre suas identidades alterando ou revogando permissões a qualquer momento. Você pode até mesmo autorizar outros usuários a usar as identidades pertencentes a você (domínios ou endereços de e-mail) usando as contas deles do SES.
**Topics**
+ [Anatomia da política do Amazon SES](policy-anatomy.md)
+ [Criar uma política de autorização de identidade no Amazon SES](identity-authorization-policies-creating.md)
+ [Exemplos de políticas de identidade no Amazon SES](identity-authorization-policy-examples.md)
+ [Gerenciar suas políticas de autorização de identidade no Amazon SES](managing-policies.md)
# Anatomia da política do Amazon SES
As políticas seguem uma estrutura específica, contêm elementos específicos e devem atender a determinados requisitos.
## Estrutura da política
Cada política de autorização é um documento JSON que está anexado a uma identidade. Cada política inclui as seções a seguir:
+ Informações da política na parte superior do documento.
+ Uma ou mais declarações individuais, cada uma descrevendo um conjunto de permissões.
*O exemplo de política a seguir concede à ID de AWS conta *123456789012* as permissões especificadas na seção *Ação para o domínio* verificado example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Você pode encontrar mais exemplos de política de autorização em [Exemplos de políticas de identidade](identity-authorization-policy-examples.md).
## Elementos da política
Esta seção descreve os elementos contidos nas políticas de autorização de identidade. Primeiro, descrevemos elementos que se aplicam a toda a política e, em seguida, descrevemos os elementos que se aplicam somente à instrução em que estão incluídos. Seguimos com uma discussão sobre como adicionar condições às instruções.
Para obter informações específicas sobre a sintaxe dos elementos, consulte [Gramática da linguagem de política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) no *Manual do usuário do IAM*.
### Informações da política
Há dois elementos que se aplicam à política como um todo: `Id` e `Version`. A tabela a seguir fornece informações sobre esses elementos.
****
| Name (Nome) | Description | Obrigatório | Valores válidos |
| --- | --- | --- | --- |
| `Id` | Identifica exclusivamente a política. | Não | Qualquer string |
| `Version` | Especifica a versão da linguagem de acesso da política. | Não | Qualquer string. Como uma melhor prática, recomendamos incluir esse campo com um valor de "2012-10-17". |
### Instruções específicas da política
As políticas de autorização de identidade requerem pelo menos uma instrução. Cada instrução pode incluir os elementos descritos na tabela a seguir.
****
| Name (Nome) | Description | Obrigatório | Valores válidos |
| --- | --- | --- | --- |
| `Sid` | Identifica exclusivamente a instrução. | Não | Qualquer string. |
| `Effect` | Especifica o resultado que você deseja que a instrução da política retorne no momento da avaliação. | Sim | "Permitir" ou "Negar". |
| `Resource` | Especifica a identidade à qual a política se aplica. (Para [autorização de envio](sending-authorization-identity-owner-tasks-policy.md), este é o endereço de e-mail ou domínio que o proprietário da identidade está autorizando o remetente delegado a usar.) | Sim | O Nome de recurso da Amazon (ARN) da identidade. |
| `Principal` | Especifica Conta da AWS o usuário ou o AWS serviço que recebe a permissão na declaração. | Sim | Uma Conta da AWS ID, ARN de usuário ou AWS serviço válidos. Conta da AWS IDs e o usuário ARNs são especificados usando `"AWS"` (por exemplo, `"AWS": ["123456789012"]` ou`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS os nomes dos serviços são especificados usando `"Service"` (por exemplo,`"Service": ["cognito-idp.amazonaws.com"]`). Para obter exemplos do formato do usuário ARNs, consulte [Referência geral da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html)o. |
| `Action` | Especifica a ação à qual a instrução se aplica. | Sim | “ses: BatchGetMetricData “, CancelExportJob “ses: CreateDeliverabilityTestReport “, “ses: CreateEmailIdentityPolicy “, CreateExportJob “ses: “, DeleteEmailIdentity “ses: DeleteEmailIdentityPolicy “, “ses: GetDomainStatisticsReport “, GetEmailIdentity “ses: GetEmailIdentityPolicies “, “ses: GetExportJob “, ListExportJobs “ses: “, ListRecommendations “ses: PutEmailIdentityConfigurationSetAttributes “, “ses: PutEmailIdentityDkimAttributes “, PutEmailIdentityDkimSigningAttributes “ses: PutEmailIdentityFeedbackAttributes “, “ses: PutEmailIdentityMailFromAttributes ““vê: TagResource “, UntagResource “vê:UpdateEmailIdentityPolicy” ([Enviando ações de autorização](sending-authorization-identity-owner-tasks-policy.md): “ses: SendEmail “, “ses: SendRawEmail “, “ses: SendTemplatedEmail “, “ses: SendBulkTemplatedEmail “) É possível especificar uma ou mais dessas operações. |
| `Condition` | Especifica quaisquer restrições ou detalhes sobre a permissão. | Não | Consulte as informações sobre condições seguindo esta tabela. |
### Condições
Uma *condição* é qualquer restrição sobre a permissão na instrução. A parte da instrução que especifica as condições pode ser a mais detalhada de todas as partes. Uma *chave* é a característica específica que é a base para a restrição de acesso, como a data e a hora da solicitação.
Você usa condições e chaves em conjunto para expressar a restrição. Por exemplo, se você deseja impedir que o remetente delegado faça solicitações ao Amazon SES em seu nome após 30 de julho de 2019, use a condição chamada `DateLessThan`. Você usa a chave chamada `aws:CurrentTime` e a define para o valor `2019-07-30T00:00:00Z`.
O SES implementa somente as seguintes chaves AWS de política abrangentes:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Para obter mais informações sobre essas chaves, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Requisitos de política
As políticas devem atender a todos os seguintes requisitos:
+ Cada política deve incluir pelo menos uma instrução.
+ Cada política deve incluir pelo menos um elemento principal válido.
+ Cada política deve especificar um recurso, e esse recurso deve ser o ARN da identidade à qual a política está anexada.
+ Os proprietários de identidade podem associar até 20 políticas a cada identidade exclusiva.
+ As políticas não podem exceder 4 kilobytes (KB) de tamanho.
+ Os nomes de política não podem exceder 64 caracteres. Além disso, eles só podem incluir caracteres alfanuméricos, traços e sublinhados.
# Criar uma política de autorização de identidade no Amazon SES
Uma política de autorização de identidade é composta por declarações que especificam quais ações de API são permitidas ou negadas para uma identidade e em quais condições.
Para autorizar um domínio ou uma identidade de endereço de e-mail do Amazon SES da qual você seja proprietário, crie uma política de autorização e, depois, anexe essa política à identidade. Uma identidade do pode ter zero, uma ou várias políticas. No entanto, uma única política só pode ser associada a uma única identidade.
Para ver uma lista de ações de API que podem ser usadas em uma política de autorização de identidade, consulte a linha *Ação* na tabela [Instruções específicas da política](policy-anatomy.md#identity-authorization-policy-statements).
Você pode criar uma política de autorização de identidade das seguintes formas:
+ **Ao usar o gerador de políticas**: você pode criar uma política simples usando o gerador de políticas no console do SES. Além de permitir ou negar permissões nas ações da API do SES, você pode restringir as ações com condições. Você também pode usar o gerador de políticas para criar com rapidez a estrutura básica de uma política e personalizá-la mais tarde editando a política.
+ **Criando uma política personalizada** — Se você quiser incluir condições mais avançadas ou usar um AWS serviço como principal, você pode criar uma política personalizada e anexá-la à identidade usando o console do SES ou a API do SES.
**Topics**
+ [Uso do gerador de políticas](using-policy-generator.md)
+ [Criação de uma política personalizada](creating-custom-policy.md)
# Uso do gerador de políticas
Você pode usar o gerador de políticas para criar uma política de autorização simples usando as etapas a seguir.
**Para criar uma política usando o gerador de políticas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identidades** da tela **Identidades**, selecione a identidade verificada para a qual deseja criar uma política de autorização.
1. Na tela de detalhes da identidade verificada selecionada na etapa anterior, escolha a guia **Authorization** (Autorização).
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Use policy generator** (Usar gerador de políticas) no menu suspenso.
1. No painel **Create statement** (Criar instrução), escolha **Allow** (Permitir) no campo **Effect** (Efeito). (Se você quiser criar uma política para restringir essa identidade, selecione **Deny** (Negar) em vez disso.)
1. **No campo **Diretores**, insira o *Conta da AWS ID*, o *ARN do usuário do IAM* AWS ou o serviço para receber as permissões que você deseja autorizar para essa identidade e escolha Adicionar.** (Se você deseja autorizar mais de um, repita esta etapa para cada um.)
1. No campo **Actions** (Ações), marque a caixa de seleção para cada ação que você gostaria de autorizar para suas entidades principais.
1. (Opcional) Expanda **Specify conditions** (Especificar condições) se você quiser adicionar uma declaração de qualificação à permissão.
1. Selecione um operador no menu suspenso **Operator** (Operador).
1. Selecione um tipo no menu suspenso **Key** (Chave).
1. Em relação ao tipo de chave que você selecionou, insira o valor no campo **Value** (Valor). (Se você quiser adicionar mais condições, escolha **Add new condition** (Adicionar nova condição) e repita essa etapa para cada adicional.)
1. Escolha **Save statement** (Salvar instrução).
1. (Opcional) Expanda **Create another statement** (Criar outra instrução) se você quiser adicionar mais instruções à sua política, e repita as etapas de 6 a 10.
1. Escolha **Próximo** e, na tela **Personalizar política**, o contêiner **Editar detalhes da política** tem campos em que você pode alterar ou personalizar o **Nome** da política e o próprio **Documento da política**.
1. Selecione **Next** (Próximo) e na tela **Review and apply** (Revisar e aplicar), o contêiner **Overview** (Visão geral) mostrará a identidade verificada que você está autorizando, bem como o nome dessa política. No painel **Policy document** (Documento da política) estará a política real que você acabou de escrever, junto com todas as condições que você adicionou. Revise a política e, se ela parecer correta, escolha **Apply policy** (Aplicar política). (Se você precisa alterar ou corrigir alguma coisa, escolha **Previoues** (Anterior) e trabalhe no contêiner **Edit policy details** (Editar detalhes da política).)
# Criação de uma política personalizada
Se você desejar criar uma política personalizada e anexá-la a uma identidade, tem as seguintes opções:
+ **Usando a API do Amazon SES**: crie uma política em um editor de texto e, em seguida, anexe a política à identidade usando a API `PutIdentityPolicy` descrita na [Referência da API do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Como usar o console do Amazon SES**: crie uma política em um editor de texto e anexe-a a uma identidade colando-a no editor de políticas personalizadas no console do Amazon SES. O procedimento a seguir descreve esse método.
**Para criar uma política personalizada usando o editor de políticas personalizadas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identidades** da tela **Identidades**, selecione a identidade verificada para a qual deseja criar uma política de autorização.
1. Na tela de detalhes da identidade verificada selecionada na etapa anterior, escolha a guia **Authorization** (Autorização).
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Create custom policy** (Criar política personalizada) no menu suspenso.
1. No painel **Policy document** (Documento de política), digite ou cole o texto de sua política no formato JSON. Você também pode usar o gerador de políticas para criar rapidamente a estrutura básica de uma política e personalizá-la aqui.
1. Selecione **Aplicar política**. (Se você precisar modificar sua política personalizada, basta marcar a caixa de seleção abaixo da guia **Authorization** (Autorização), escolher **Edit** (Editar) e fazer as alterações no painel **Policy document** (Documento de política) seguido de **Save changes** (Salvar as alterações).
# Exemplos de políticas de identidade no Amazon SES
A autorização de identidade permite que você especifique as condições detalhadas nas quais você permite ou nega ações de API para uma identidade.
**Topics**
+ [Especificar a entidade principal](#identity-authorization-policy-example-delegate-user)
+ [Restringir a ação](#sending-authorization-policy-example-restricting-action)
+ [Uso de várias instruções](#identity-authorization-policy-example-multiple-statements)
## Especificar a entidade principal
O *principal*, que é a entidade à qual você está concedendo permissão, pode ser um Conta da AWS usuário AWS Identity and Access Management (IAM) ou um AWS serviço que pertença à mesma conta.
*O exemplo a seguir mostra uma política simples que permite que a AWS ID *123456789012* controle a identidade verificada *example.com*, que também pertence a 123456789012. Conta da AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
O seguinte exemplo de política concede permissão a dois usuários para controlar a identidade verificada *example.com*. Os usuários são especificados pelo Nome do recurso da Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Restringir a ação
Há várias ações que podem ser especificadas em uma política de autorização de identidade, dependendo do nível de controle que você deseja autorizar:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
As políticas de autorização de identidade também permitem restringir a entidade principal a apenas uma dessas ações.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Uso de várias instruções
Sua política de autorização de identidade pode incluir várias declarações. O exemplo de política a seguir contém duas instruções. A primeira declaração nega que dois usuários acessem `getemailidentity` a partir de *sender@example.com* na mesma conta `123456789012`. A segunda declaração nega `UpdateEmailIdentityPolicy` para a entidade principal, *Jack*, na mesma conta `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Gerenciar suas políticas de autorização de identidade no Amazon SES
Além de criar e anexar políticas a identidades, você pode editar, remover, listar e recuperar as políticas de uma identidade, como descrito nas seções a seguir.
## Gerenciar políticas usando o console do Amazon SES
O gerenciamento de políticas do Amazon SES consiste em exibir, editar ou excluir uma política anexada a uma identidade usando o console do Amazon SES.
**Para gerenciar políticas usando o console do Amazon SES**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, escolha **Verified identities (Identidades verificadas)**.
1. Na lista de identidades, escolha a identidade que você quer gerenciar.
1. Na página Identity details, vá até a guia **Authorization** (Autorização). Aqui você encontrará uma lista de todas as políticas anexadas a essa identidade.
1. Selecione a política que você deseja gerenciar marcando a caixa de seleção.
1. Dependendo da tarefa de gerenciamento desejada, escolha o respectivo botão da seguinte forma:
1. Para exibir a política, escolha**View policy** (Visualizar política). Se precisar de uma cópia dela, escolha o botão **Copy** (Copiar) e ela será copiada na área de transferência.
1. Para editar a política, escolha **Edit** (Editar). No painel **Policy document** (Documento da Política), edite a política e, em seguida, escolha **Save changes** (Salvar alterações).
**nota**
Para revogar permissões, você pode editar a política ou removê-la.
1. Para remover a política, escolha **Delete** (Excluir).
**Importante**
A remoção de uma política é permanente. Recomendamos que você faça backup da política copiando e colando-a em um arquivo de texto antes de removê-la.
## Gerenciar políticas usando a API do Amazon SES
O gerenciamento de políticas do Amazon SES consiste em exibir, editar ou excluir uma política anexada a uma identidade usando a API do Amazon SES.
**Para listar e visualizar políticas usando a API do Amazon SES**
+ Você pode listar as políticas anexadas a uma identidade usando a [operação da ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). Você também pode recuperar as próprias políticas usando a [operação da GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Para editar uma política usando a API do Amazon SES**
+ Você pode editar uma política anexada a uma identidade usando a [operação da PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Para excluir uma política usando a API do Amazon SES**
+ Você pode excluir uma política anexada a uma identidade usando a [operação da DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).
# Uso de autorização de envio com o Amazon SES
Você pode configurar o Amazon SES para autorizar outros usuários a enviar e-mails das entidades que você possui (domínios ou endereços de e-mail) usando as contas deles do Amazon SES. Com o recurso *autorização de envio*, você pode manter controle sobre suas identidades, de modo que possa alterar ou revogar permissões a qualquer momento. Por exemplo, se você é proprietário de uma empresa, pode usar a autorização de envio para permitir que um terceiro (como uma empresa de marketing por e-mail) envie e-mails de um domínio que você possui.
Este capítulo aborda as especificidades da autorização de envio que substitui o recurso legado de notificações entre contas. Primeiro, você deve entender os fundamentos da autorização baseada em identidade usando políticas de autorização, conforme explicado em [Usar autorização de identidade no Amazon SES](identity-authorization-policies.md) que aborda tópicos importantes, como a anatomia de uma política de autorização e como gerenciar suas políticas.
## Suporte herdado de notificações entre contas
As notificações de feedback para devoluções, reclamações e entregas associadas a e-mails enviados de um remetente delegado que foi autorizado por um proprietário de identidade a enviar de uma de suas identidades confirmadas costumavam ser configuradas usando notificações entre contas, caso em que o remetente delegado associaria um tópico a uma identidade que ele não possui (referente a entre contas). No entanto, as notificações entre contas foram substituídas usando conjuntos de configurações e identidades confirmadas referentes a envios de delegado quando o remetente delegado tem autorização do proprietário da identidade para usar uma de suas identidades confirmadas para enviar e-mails. Esse novo método oferece flexibilidade para configurar notificações de devolução, reclamação, entrega e outras notificações de evento por meio das seguintes construções, dependendo se você for o remetente delegado ou o proprietário da identidade confirmada:
+ **Configuration sets** (Conjuntos de configurações): o remetente delegado pode configurar a publicação de eventos em seu próprio conjunto de configurações que ele pode especificar ao enviar emails de uma identidade verificada que ele não possui, mas foi autorizado a enviar pelo proprietário da identidade por meio de uma política de autorização. A publicação de eventos permite que notificações de devolução, reclamação, entrega e outras notificações de eventos sejam publicadas na Amazon CloudWatch, Amazon Data Firehose, Amazon Pinpoint e Amazon SNS. Consulte [Criar destinos de eventos](event-destinations-manage.md).
+ **Verified identities** (Identidades verificadas): além de ter o proprietário da identidade autorizando o remetente delegado a usar uma de suas identidades verificadas para enviar emails, ele também pode, a pedido do remetente delegado, configurar notificações de feedback sobre a identidade compartilhada para usar tópicos do SNS de propriedade do remetente delegado. Somente o remetente delegado receberá essas notificações porque eles são donos do tópico do SNS. Consulte a Etapa 14 para saber como [configurar um "Tópico do SNS que você não possui"](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) nos procedimentos da política de autorização.
**nota**
Para compatibilidade, notificações entre contas são suportadas nas notificações herdadas entre contas que são usadas atualmente na sua conta. Esse suporte se limita a poder modificar e usar todas as entre contas atuais criadas no console clássico do Amazon SES; no entanto, você não pode mais criar *novas* notificações entre contas. Para criar novas notificações no novo console do Amazon SES, use os novos métodos de envio delegado com conjuntos de configurações usando [publicação de eventos](event-destinations-manage.md) ou com identidades verificadas [configuradas com seus próprios tópicos do SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Topics**
+ [Suporte herdado de notificações entre contas](#sending-authorization-cross-account-sunsetting)
+ [Visão geral da autorização de envio do Amazon SES](sending-authorization-overview.md)
+ [Tarefas do proprietário da identidade para autorização de envio do Amazon SES](sending-authorization-identity-owner-tasks.md)
+ [Tarefas do remetente delegado para autorização de envio do Amazon SES](sending-authorization-delegate-sender-tasks.md)
# Visão geral da autorização de envio do Amazon SES
Este tópico fornece uma visão geral do processo de autorização de envio e explica como os recursos de envio de e-mails do Amazon SES, como notificações e cotas de envio, funcionam com a autorização de envio.
Esta seção usa os seguintes termos:
+ **Identidade**: endereço de e-mail ou domínio que os usuários do Amazon SES usam para enviar e-mail.
+ **Proprietário de identidade**: usuário do Amazon SES que comprovou que é o proprietário de um endereço de e-mail ou domínio usando os procedimentos descritos em [Identidades](verify-addresses-and-domains.md).
+ **Remetente delegado** — Uma AWS conta, um usuário AWS Identity and Access Management (IAM) ou um AWS serviço que foi autorizado por meio de uma política de autorização para enviar e-mails em nome do proprietário da identidade.
+ **Política de autorização de envio** – documento que você anexa a uma identidade para especificar quem pode enviar para essa identidade e em que condições.
+ **Amazon Resource Name (ARN)** — Uma forma padronizada de identificar com exclusividade um AWS recurso em todos os serviços. AWS Para autorização de envio, o recurso é a identidade que o proprietário da identidade autorizou o remetente delegado a usar. Um exemplo de um ARN é *arn:aws:ses:us-east-1:123456789012:identity/example.com*.
## Processo de autorização de envio
A autorização de envio é baseada em políticas de autorização de envio. Se você desejar ativar um remetente delegado para enviar em seu nome, crie uma política de autorização de envio e associe a política à sua identidade usando o console ou a API do Amazon SES. Quando o remetente delegado tenta enviar um e-mail por meio do Amazon SES em seu nome, o remetente delegado passa o ARN de sua identidade na solicitação ou no cabeçalho do e-mail.
Quando o Amazon SES recebe a solicitação para enviar o e-mail, ele confere a política da sua identidade (se estiver presente) para determinar se você autorizou o remetente delegado a enviar no nome da identidade. Se o remetente delegado estiver autorizado, o Amazon SES aceita o e-mail; do contrário, o Amazon SES retorna uma mensagem de erro.
O diagrama a seguir mostra a relação de alto nível entre os conceitos de autorização de envio:
![\[Visão geral da autorização de envio\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/images/sending_authorization_overview.png)
O processo de autorização de envio consiste nas seguintes etapas:
1. O proprietário da identidade seleciona uma identidade verificada para o remetente delegado usar. (Se você não tiver verificado uma identidade, consulte [Identidades](verify-addresses-and-domains.md).)
**nota**
A identidade verificada que você escolheu para o remetente delegado não pode ter um [conjunto de configurações padrão](managing-configuration-sets.md#default-config-sets) atribuído a ela.
1. O remetente delegado permite que o proprietário da identidade saiba qual ID AWS da conta ou ARN do usuário do IAM ele deseja usar para enviar.
1. Se o proprietário da identidade concordar em permitir que o remetente delegado envie por uma das contas do proprietário, ele cria uma política de autorização de envio e anexa a política à identidade escolhida usando o console do Amazon SES ou a API do Amazon SES.
1. O proprietário da identidade fornece ao remetente delegado o ARN da identidade, para que o remetente delegado possa fornecer o ARN ao Amazon SES no momento do envio do e-mail.
1. O remetente delegado pode configurar notificações de devolução e de reclamação por meio de [publicação de eventos](monitor-using-event-publishing.md) habilitada em um conjunto de configurações especificado durante o envio delegado. O proprietário da identidade também pode configurar notificações de feedback de e-mail para eventos de devolução e de reclamação a serem enviados para os tópicos do Amazon SNS do remetente delegado.
**nota**
Se o proprietário da identidade desabilitar as notificações de eventos de envio, o remetente delegado deverá configurar a publicação de eventos para publicar eventos de devolução e reclamação em um tópico do Amazon SNS ou um fluxo do Firehose. O remetente também deve aplicar o conjunto de configurações que contém a regra de publicação a cada e-mail que envia. Se nem o proprietário da identidade nem o remetente delegado configurar um método de envio de notificações para eventos de devolução e reclamação, o Amazon SES enviará notificações de eventos por e-mail automaticamente ao endereço no campo Return-Path (Caminho de retorno) do e-mail (ou ao endereço no campo Source (Origem), se você não tiver especificado um endereço de Return-Path), mesmo que o proprietário da identidade tenha desabilitado o encaminhamento de comentários de e-mail.
1. O remetente delegado tenta enviar um e-mail por meio do Amazon SES em nome do proprietário da identidade passando o ARN da identidade do proprietário na solicitação ou no cabeçalho do e-mail. O remetente delegado pode enviar o e-mail usando a interface SMTP do Amazon SES ou a API do Amazon SES. Ao receber a solicitação, o Amazon SES examina as políticas que estão anexadas à identidade, e aceita o e-mail se o remetente delegado estiver autorizado a usar o endereço "From" (De) e o endereço "Return Path" (Caminho de retorno); do contrário, o Amazon SES retorna um erro e não aceita a mensagem.
**Importante**
A AWS conta do remetente delegado deve ser removida da sandbox antes que possa ser usada para enviar e-mails para endereços não verificados.
1. Se o proprietário da identidade precisar cancelar a autorização do remetente delegado, o proprietário da identidade editará a política de autorização de envio ou excluirá completamente a política. O proprietário da identidade pode executar qualquer uma das ações usando o console do Amazon SES ou a API do Amazon SES.
Para obter mais informações sobre como o proprietário da identidade ou o remetente delegado podem realizar essas tarefas, consulte [Tarefas do proprietário da identidade](sending-authorization-identity-owner-tasks.md) ou [Tarefas do remetente delegado](sending-authorization-delegate-sender-tasks.md), respectivamente.
## Atribuição de recursos de envio de e-mail
É importante compreender a função do remetente delegado e do proprietário da identidade com relação aos recursos de envio de e-mail do Amazon SES, como cota de envio diário, devoluções e reclamações, assinaturas DKIM, encaminhamento de comentários e assim por diante. A atribuição é a seguinte:
+ **Cotas de envio**: os e-mails enviados das identidades do proprietário da identidade contam para as cotas de envio do remetente delegado.
+ **Devoluções e reclamações**: os eventos de devolução e reclamação são registrados na conta do remetente delegado no Amazon SES e, dessa forma, podem afetar a reputação do remetente delegado.
+ **Assinatura DKIM**: se o proprietário da identidade tiver habilitado a assinatura Easy DKIM para uma identidade, todos os e-mails enviados dessa identidade serão assinados com DKIM, incluindo os e-mails enviados por um remetente delegado. Somente o proprietário da identidade pode controlar se os e-mails são assinados pelo DKIM.
+ **Notificações**: o proprietário da identidade e o remetente delegado podem configurar notificações para devoluções e reclamações. O proprietário da identidade de e-mail pode também habilitar o encaminhamento de feedback por e-mail. Para obter informações sobre configuração de notificações, consulte [Monitoramento da atividade de envio do Amazon SES](monitor-sending-activity.md).
+ **Verificação**: os proprietários de identidade são responsáveis por seguir o procedimento em [Identidades](verify-addresses-and-domains.md) para comprovar que eles são proprietários dos endereços de e-mail e domínios que estão autorizando os remetentes delegados a usar. Os remetentes delegados não precisam verificar os endereços de e-mail ou domínios especificamente para a autorização de envio.
**Importante**
A AWS conta do remetente delegado deve ser removida da sandbox antes que possa ser usada para enviar e-mails para endereços não verificados.
+ **AWS Regiões** — O remetente delegado deve enviar os e-mails da AWS região na qual a identidade do proprietário da identidade é verificada. A política de autorização de envio que dá permissão ao remetente delegado deve ser anexada à identidade nessa região.
+ **Faturamento** – todas as mensagens enviadas da conta do remetente delegado, incluindo e-mails que o remetente delegado envia usando endereços do proprietário da identidade, são faturadas para o remetente delegado.
# Tarefas do proprietário da identidade para autorização de envio do Amazon SES
Esta seção descreve as etapas que os proprietários de identidade devem fazer ao configurar a autorização de envio.
**Topics**
+ [Verificação de uma identidade para autorização de envio do Amazon SES](sending-authorization-identity-owner-tasks-verification.md)
+ [Configuração de notificações de proprietário de identidade para autorização de envio do Amazon SES](sending-authorization-identity-owner-tasks-notifications.md)
+ [Obtenção de informações do remetente delegado para autorização de envio do Amazon SES](sending-authorization-identity-owner-tasks-information.md)
+ [Criação de uma política para autorização de envio no Amazon SES](sending-authorization-identity-owner-tasks-policy.md)
+ [Exemplos de política de envio](sending-authorization-policy-examples.md)
+ [Fornecimento das informações de identidade para autorização de envio do Amazon SES ao remetente delegado](sending-authorization-identity-owner-tasks-identity.md)
# Verificação de uma identidade para autorização de envio do Amazon SES
A primeira etapa para configurar a autorização de envio é comprovar que você possui o endereço de e-mail ou o domínio que o remetente delegado usará para enviar o e-mail. O procedimento de verificação é descrito em [Identidades](verify-addresses-and-domains.md).
Você pode confirmar se um endereço de e-mail ou domínio foi verificado verificando seu status na seção Identidades verificadas do [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)ou usando a operação da `GetIdentityVerificationAttributes` API.
Para que você ou o remetente delegado possam enviar e-mails para endereços de e-mail não verificados, é necessário enviar uma solicitação para que sua conta seja removida do sandbox do Amazon SES. Para obter mais informações, consulte [Solicitar acesso à produção (sair da sandbox do Amazon SES)](request-production-access.md).
**Importante**
O Conta da AWS do remetente delegado deve ser removido da sandbox antes que possa ser usado para enviar e-mails de ou para endereços não verificados.
Se sua conta estiver na sandbox, você não poderá enviar para endereços de e-mail que não estejam verificados em sua conta, mesmo que esses domínios ou endereços de e-mail tenham sido verificados na conta de identidade
# Configuração de notificações de proprietário de identidade para autorização de envio do Amazon SES
Se você autorizar um remetente delegado a enviar e-mails em seu nome, o Amazon SES contará todas as devoluções e reclamações que esses e-mails gerarem em relação aos limites de devolução e de reclamação do remetente delegado em vez dos seus. No entanto, se seu endereço IP aparecer em Blackhole Lists (DNSBLs) anti-spam de terceiros baseadas em DNS como resultado de mensagens enviadas por um remetente delegado, a reputação de suas identidades poderá ser prejudicada. Por esse motivo, se você for um proprietário de identidade, deverá configurar o encaminhamento de feedback de email para todas suas identidades, incluindo aquelas que você autorizou para envio delegado Para obter mais informações, consulte [Recebimento de notificações do Amazon SES por e-mail](monitor-sending-activity-using-notifications-email.md).
Os remetentes delegados podem configurar suas próprias notificações de devolução e de reclamação para as identidades que você autorizou que eles usem. Você pode configurar uma [publicação de eventos](monitor-using-event-publishing.md) para publicar notificações de devolução e reclamação em um tópico do Amazon SNS ou um fluxo do Firehose.
Se nem o proprietário da identidade nem o remetente delegado configurar um método de envio de notificações para eventos de devolução e de reclamação, ou se o remetente não aplicar o conjunto de configurações que usa a regra de publicação de eventos, o Amazon SES enviará notificações de eventos por e-mail automaticamente ao endereço no campo Return-Path (Caminho de retorno) do e-mail (ou ao endereço no campo Source (Origem), se você não tiver especificado um endereço de Return-Path), mesmo que você tenha desabilitado o encaminhamento de comentários de e-mail. Esse processo é ilustrado na imagem a seguir.
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/images/feedback_forwarding.png)
# Obtenção de informações do remetente delegado para autorização de envio do Amazon SES
Sua política de autorização de envio deve especificar pelo menos um *primário*, que é a entidade do remetente delegado à qual você está concedendo acesso para que ele possa enviar em nome de uma de suas identidades verificadas. Para as políticas de autorização de envio do Amazon SES, o principal pode ser a AWS conta do remetente delegado ou o ARN do usuário AWS Identity and Access Management (IAM) ou um serviço. AWS
Uma maneira fácil de pensar sobre isso é que o *primário* (remetente delegado) é o beneficiário, e você (proprietário da identidade) é o concedente na política de autorização onde está concedendo a eles *permissão* para enviar qualquer combinação de e-mail, e-mail bruto, modelo de e-mail ou e-mail com modelo em massa do *recurso* (identidade verificada) que você possui.
Se você quiser o controle mais refinado, peça ao remetente delegado que configure um usuário do IAM para que apenas um remetente delegado possa enviar por você em vez de qualquer usuário na conta da AWS do remetente delegado. O remetente delegado pode encontrar informações sobre a configuração de um usuário do IAM em [Criar um usuário do IAM na sua conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html) no *Guia do usuário do IAM*.
Peça ao remetente delegado o ID da AWS conta ou o Amazon Resource Name (ARN) do usuário do IAM para que você possa incluí-lo em sua política de autorização de envio. Você pode pedir para o remetente delegado obter as instruções para encontrar essas informações em [Fornecimento das informações para o proprietário da identidade](sending-authorization-delegate-sender-tasks-information.md). Se o remetente delegado for um AWS serviço, consulte a documentação desse serviço para determinar o nome do serviço.
O exemplo de política a seguir ilustra os elementos básicos do que é necessário em uma política criada pelo proprietário da identidade para autorizar o remetente delegado a enviar do recurso do proprietário da identidade. O proprietário da identidade entraria no fluxo de trabalho Verified identities (Identidades verificadas) e, em Authorization (Autorização), usaria o gerador de políticas para criar, em sua forma mais simples, a seguinte política básica que permita que o remetente delegado envie em nome de um recurso de propriedade do proprietário da identidade:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
Para a política acima, a seguinte legenda explica os elementos principais e quem os possui:
+ **Principal** (Primário): este campo é preenchido com o ARN do usuário do IAM do remetente delegado.
+ **Action** (Ação): este campo é preenchido com duas ações do SES (`SendEmail` e `SendRawEmail`) que o proprietário da identidade está permitindo que o remetente delegado execute a partir do recurso do proprietário da identidade.
+ **Resource** (Recurso): este campo é preenchido com o recurso verificado do proprietário da identidade do qual ele está autorizando o remetente delegado a enviar.
# Criação de uma política para autorização de envio no Amazon SES
Semelhante à criação de qualquer política de autorização no Amazon SES, conforme explicado em [Criar uma política de autorização de identidade](identity-authorization-policies-creating.md), para autorizar um remetente delegado a enviar e-mails usando um endereço de e-mail ou um domínio (uma *identidade*) de sua propriedade, crie a política com ações de API de envio do SES especificadas e, depois, anexe essa política à identidade.
Para ver uma lista de ações de API que podem ser especificadas em uma política de autorização de envio, consulte a linha *Ação* na tabela [Instruções específicas da política](policy-anatomy.md#identity-authorization-policy-statements).
Você pode criar uma política de autorização de envio usando o gerador de políticas ou criando uma política personalizada. Procedimentos específicos para criar uma política de autorização de envio são fornecidos para qualquer um dos métodos.
**nota**
As políticas de autorização de envio que você anexa a identidades de endereços de e-mail têm precedência sobre as políticas que você anexa às identidades de domínio correspondentes. Por exemplo, se você criar uma política para *example.com* que não permita um remetente delegado e criar uma política para *sender@example.com* que permita remetente delegado, o remetente delegado poderá enviar e-mails de *sender@example.com*, mas não de nenhum outro endereço no domínio *example.com*.
Se você criar uma política para *example.com* que permita um remetente delegado e criar uma política para *sender@example.com* que não permita o remetente delegado, o remetente delegado poderá enviar e-mails de qualquer endereço no domínio *example.com*, exceto de *sender@example.com*.
Se você não estiver familiarizado com a estrutura das políticas de autorização do SES, consulte [Anatomia da política](policy-anatomy.md).
Se a identidade que você está autorizando estiver duplicada em uma região secundária como parte do recurso [Endpoints globais](global-endpoints.md), você precisará criar políticas de autorização de envio na identidade nas regiões primária e secundária para que o remetente delegado tenha permissão para usar essa identidade para envio em ambas as regiões.
## Criar uma política de autorização de envio usando o gerador de políticas
Você pode usar o gerador de políticas para criar uma política de autorização de envio usando as etapas a seguir.
**Criar uma política de autorização de envio usando o gerador de políticas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identities** (Identidades), na tela **Verified identities** (Identidades verificadas), selecione a identidade verificada que você deseja autorizar para que o remetente delegado envie em seu nome.
1. Escolha a guia **Autorização** da identidade verificada.
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Use policy generator** (Usar gerador de políticas) no menu suspenso.
1. No painel **Create statement** (Criar instrução), escolha **Allow** (Permitir) no campo **Effect** (Efeito). (Se você quiser criar uma política para restringir seu remetente delegado, escolha **Deny** (Negar) em vez disso.)
1. No campo **Principals** (Primários), insira o*ID da Conta da AWS * ou o *ARN do usuário do IAM* que seu remetente delegado compartilhou com você para autorizá-lo a enviar emails em nome de sua conta para essa identidade e, em seguida, escolha **Add** (Adicionar). (Se você deseja autorizar mais de um remetente delegado, repita esta etapa para cada um.)
1. No campo **Actions** (Ações), marque a caixa de seleção para cada tipo de envio que você gostaria de autorizar para o remetente delegado.
1. (Opcional) Expanda **Specify conditions** (Especificar condições) se você quiser adicionar uma declaração de qualificação à permissão do remetente delegado.
1. Selecione um operador no menu suspenso **Operator** (Operador).
1. Selecione um tipo no menu suspenso **Key** (Chave).
1. Em relação ao tipo de chave que você selecionou, insira o valor no campo **Value** (Valor). (Se você quiser adicionar mais condições, escolha **Add new condition** (Adicionar nova condição) e repita essa etapa para cada adicional.)
1. Escolha **Save statement** (Salvar instrução).
1. (Opcional) Expanda **Create another statement** (Criar outra instrução) se você quiser adicionar mais instruções à sua política, e repita as etapas de 6 a 10.
1. Escolha **Próximo** e, na tela **Personalizar política**, o contêiner **Editar detalhes da política** tem campos em que você pode alterar ou personalizar o **Nome** da política e o próprio **Documento da política**.
1. Escolha **Next** (Avançar), e na tela **Review and apply** (Revisar e aplicar), o contêiner **Overview** (Visão geral) mostrará a identidade verificada que você está autorizando para o remetente delegado, bem como o nome dessa política. No painel **Policy document** (Documento da política) estará a política real que você acabou de escrever, junto com todas as condições que você adicionou. Revise a política e, se ela parecer correta, escolha **Apply policy** (Aplicar política). (Se você precisa alterar ou corrigir alguma coisa, escolha **Previoues** (Anterior) e trabalhe no contêiner **Edit policy details** (Editar detalhes da política).) A política que você acabou de criar permitirá que o remetente delegado envie em seu nome.
1. (Opcional) Se o remetente delegado também quiser usar um tópico do SNS que ele possui, receber notificações de feedback quando receber devoluções ou reclamações ou quando os emails forem entregues, você precisará configurar o tópico do SNS nessa identidade verificada. (Seu remetente delegado precisará compartilhar com você o ARN do tópico do SNS.) Selecione a guia **Notifications** (Notificações) e selecione **Edit** (Editar) no contêiner **Feedback notifications** (Notificações de feedback):
1. No painel **Configure SNS topics** (Configurar tópicos do SNS), em qualquer um dos campos de feedback, (devolução, reclamação ou entrega), selecione **SNS topic you don’t own** (Tópico do SNS que você não possui) e insira o **SNS topic ARN** (ARN do tópico do SNS) de propriedade e compartilhado com você pelo remetente delegado. (Somente o remetente delegado receberá essas notificações porque eles são donos do tópico do SNS. Você, como proprietário da identidade, não as receberá.)
1. (Opcional) Se você quiser que a notificação de tópico inclua os cabeçalhos do e-mail original, marque a caixa **Include original e-mail headers** (Incluir cabeçalhos de e-mail originais) diretamente abaixo do nome do tópico do SNS de cada tipo de feedback. Essa opção só está disponível se você atribuiu um tópico do Amazon SNS ao tipo de notificação associado. Para obter informações sobre o conteúdo dos cabeçalhos de e-mail originais, consulte o objeto `mail` em [Conteúdo das notificações](notification-contents.md).
1. Escolha **Salvar alterações**. As alterações feitas em suas configurações de notificação podem levar alguns minutos para ter efeito.
1. (Opcional) Como o remetente delegado receberá notificações de tópicos do Amazon SNS para devoluções e reclamações, você pode desabilitar completamente as notificações por e-mail se não quiser receber feedback sobre os envios dessa identidade. Para desabilitar feedback de e-mail para devoluções e reclamações, na guia **Notifications** (Notificações), no contêiner **e-mail Feedback Forwarding** (Encaminhamento de feedback de e-mail), escolha **Edit** (Editar), desmarque a caixa **Enabled** (Habilitado) e escolha **Save changes** (Salvar as alterações). As notificações de status de entrega agora só serão enviadas para os tópicos do SNS de propriedade do remetente delegado.
## Criar uma política para autorização de envio personalizada
Se desejar criar uma política de autorização de envio personalizada e anexá-la a uma identidade, você tem as seguintes opções:
+ **Usando a API do Amazon SES**: crie uma política em um editor de texto e, em seguida, anexe a política à identidade usando a API `PutIdentityPolicy` descrita na [Referência da API do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Como usar o console do Amazon SES**: crie uma política em um editor de texto e anexe-a a uma identidade colando-a no editor de políticas personalizadas no console do Amazon SES. O procedimento a seguir descreve esse método.
**Como criar uma política de autorização de envio personalizada usando o editor de políticas personalizadas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identities** (Identidades), na tela **Verified identities** (Identidades verificadas), selecione a identidade verificada que você deseja autorizar para que o remetente delegado envie em seu nome.
1. Na tela de detalhes da identidade verificada selecionada na etapa anterior, escolha a guia **Authorization** (Autorização).
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Create custom policy** (Criar política personalizada) no menu suspenso.
1. No painel **Policy document** (Documento de política), digite ou cole o texto de sua política no formato JSON. Você também pode usar o gerador de políticas para criar rapidamente a estrutura básica de uma política e personalizá-la aqui.
1. Selecione **Aplicar política**. (Se você precisar modificar sua política personalizada, basta marcar a caixa de seleção abaixo da guia **Authorization** (Autorização), escolher **Edit** (Editar) e fazer as alterações no painel **Policy document** (Documento de política) seguido de **Save changes** (Salvar as alterações).
1. (Opcional) Se o remetente delegado também quiser usar um tópico do SNS que ele possui, receber notificações de feedback quando receber devoluções ou reclamações ou quando os emails forem entregues, você precisará configurar o tópico do SNS nessa identidade verificada. (Seu remetente delegado precisará compartilhar com você o ARN do tópico do SNS.) Selecione a guia **Notifications** (Notificações) e selecione **Edit** (Editar) no contêiner **Feedback notifications** (Notificações de feedback):
1. No painel **Configure SNS topics** (Configurar tópicos do SNS), em qualquer um dos campos de feedback, (devolução, reclamação ou entrega), selecione **SNS topic you don’t own** (Tópico do SNS que você não possui) e insira o **SNS topic ARN** (ARN do tópico do SNS) de propriedade e compartilhado com você pelo remetente delegado. (Somente o remetente delegado receberá essas notificações porque eles são donos do tópico do SNS. Você, como proprietário da identidade, não as receberá.)
1. (Opcional) Se você quiser que a notificação de tópico inclua os cabeçalhos do e-mail original, marque a caixa **Include original e-mail headers** (Incluir cabeçalhos de e-mail originais) diretamente abaixo do nome do tópico do SNS de cada tipo de feedback. Essa opção só está disponível se você atribuiu um tópico do Amazon SNS ao tipo de notificação associado. Para obter informações sobre o conteúdo dos cabeçalhos de e-mail originais, consulte o objeto `mail` em [Conteúdo das notificações](notification-contents.md).
1. Escolha **Salvar alterações**. As alterações feitas em suas configurações de notificação podem levar alguns minutos para ter efeito.
1. (Opcional) Como o remetente delegado receberá notificações de tópicos do Amazon SNS para devoluções e reclamações, você pode desabilitar completamente as notificações por e-mail se não quiser receber feedback sobre os envios dessa identidade. Para desabilitar feedback de e-mail para devoluções e reclamações, na guia **Notifications** (Notificações), no contêiner **e-mail Feedback Forwarding** (Encaminhamento de feedback de e-mail), escolha **Edit** (Editar), desmarque a caixa **Enabled** (Habilitado) e escolha **Save changes** (Salvar as alterações). As notificações de status de entrega agora só serão enviadas para os tópicos do SNS de propriedade do remetente delegado.
# Exemplos de política de envio
A autorização de envio permite que você especifique as condições detalhadas sob as quais você permite que remetentes delegados enviem em seu nome.
**Topics**
+ [Condições específicas para o envio da autorização](#sending-authorization-policy-conditions)
+ [Especificação do remetente delegado](#sending-authorization-policy-example-sender)
+ [Restrição do endereço "From" (De)](#sending-authorization-policy-example-from)
+ [Restrição da hora em que o delegado pode enviar e-mail](#sending-authorization-policy-example-time)
+ [Restrição da ação de envio de e-mail](#sending-authorization-policy-example-action)
+ [Restrição do nome de exibição do remetente do e-mail](#sending-authorization-policy-example-display-name)
+ [Uso de várias instruções](#sending-authorization-policy-example-multiple-statements)
## Condições específicas para o envio da autorização
Uma *condição* é qualquer restrição sobre a permissão na instrução. A parte da instrução que especifica as condições pode ser a mais detalhada de todas as partes. Uma *chave* é a característica específica que é a base para a restrição de acesso, como a data e a hora da solicitação.
Você usa condições e chaves em conjunto para expressar a restrição. Por exemplo, se você deseja impedir que o remetente delegado faça solicitações ao Amazon SES em seu nome após 30 de julho de 2019, use a condição chamada `DateLessThan`. Você usa a chave chamada `aws:CurrentTime` e a define para o valor `2019-07-30T00:00:00Z`.
Você pode usar qualquer uma das chaves AWS gerais listadas em [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys) no *Guia do usuário do IAM* ou pode usar uma das seguintes chaves específicas do SES que são úteis no envio de políticas de autorização:
****
| Chave de condição | Description |
| --- | --- |
| `ses:Recipients` | Restringe os endereços do destinatário, que incluem os endereços To:, "CC" e "BCC". |
| `ses:FromAddress` | Restringe o endereço "From". |
| `ses:FromDisplayName` | Restringe o conteúdo da string que é usado como o nome de exibição "From" (às vezes chamado de "amigável"). Por exemplo, o nome de exibição de "John Doe " é John Doe. |
| `ses:FeedbackAddress` | Restringe o endereço "Return Path", que é o endereço para o qual devoluções e reclamações podem ser enviadas a você por encaminhamento de feedback por e-mail. Para obter informações sobre reenvio de feedback por e-mail, consulte [Recebimento de notificações do Amazon SES por e-mail](monitor-sending-activity-using-notifications-email.md). |
Você pode usar as condições `StringEquals` e `StringLike` com as chaves do Amazon SES. Essas condições são para correspondência de strings maiúsculas e minúsculas. Para `StringLike`, os valores podem incluir uma correspondência de vários caracteres curinga (\$1) ou uma correspondência de um único caractere curinga (?) em qualquer lugar da string. Por exemplo, a condição a seguir especifica que o remetente delegado só pode enviar a partir de um endereço "From" que começa com *invoicing* e termina com *example.com*:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
Também é possível usar a condição `StringNotLike` para impedir que remetentes delegados enviem e-mails de determinados endereços de e-mail. Por exemplo, você pode não permitir o envio de *admin@example.com*, bem como de endereços semelhantes, como *"admin"@example.com*, *admin\$11@example.com* ou *sender@admin.example.com*, incluindo a seguinte condição na instrução de sua política:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
Para obter mais informações sobre como especificar condições, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Manual do usuário do IAM*.
## Especificação do remetente delegado
O *principal*, que é a entidade à qual você está concedendo permissão, pode ser um Conta da AWS usuário AWS Identity and Access Management (IAM) ou um AWS serviço.
*O exemplo a seguir mostra uma política simples que permite que a AWS ID *123456789012* envie e-mails da identidade verificada *example.com* (que pertence a 888888888888). Conta da AWS * *A `Condition` declaração nesta política só permite que o representante (ou seja, AWS ID *123456789012*) envie e-mails do endereço marketing\$1. \$1 @example .com*, onde *\$1* é qualquer string que o remetente queira adicionar após *marketing\$1*. .
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
O seguinte exemplo de política concede permissão a dois usuários do IAM para enviar de identidade *exemplo.com*. Os usuários do IAM são especificados pelo nome do recurso da Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
O seguinte exemplo de política concede permissão ao Amazon Cognito para enviar da identidade *exemplo.com*.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
O seguinte exemplo de política concede a todas as contas de uma organização da AWS permissão para enviar da identidade exemplo.com. A AWS organização é especificada usando a chave de condição global de [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## Restrição do endereço "From" (De)
Se você usar um domínio verificado, poderá criar uma política que permita que apenas o remetente delegado envie de um endereço de e-mail especificado. Para restringir o endereço “De”, você define uma condição na chave chamada *ses: FromAddress*. *A política a seguir permite que a Conta da AWS ID *123456789012* seja enviada da identidade *example.com*, mas somente do endereço de e-mail sender@example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## Restrição da hora em que o delegado pode enviar e-mail
Você também pode configurar sua política de autorização de remetente para que um remetente delegado só possa enviar e-mails em uma hora específica do dia ou em um determinado intervalo de datas. Por exemplo, se pretende enviar uma campanha de e-mail durante o mês de setembro de 2021, você pode usar a seguinte política para restringir a capacidade do delegado enviar e-mails apenas a esse mês.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## Restrição da ação de envio de e-mail
Há duas ações que os remetentes podem usar para enviar um e-mail com o Amazon SES: `SendEmail` e `SendRawEmail`, dependendo da quantidade de controle que o remetente quer ter sobre o formato do e-mail. As políticas de autorização de envio permitem que você restrinja o remetente delegado a uma dessas duas ações. No entanto, muitos proprietários de identidade deixam os detalhes das chamadas de envio de e-mail a cargo do remetente delegado habilitando as duas ações em suas políticas.
**nota**
Se você deseja permitir que o remetente delegado acesse o Amazon SES por meio da interface SMTP, escolha `SendRawEmail` no mínimo.
Se seu caso de uso envolve restringir a ação, você pode fazer isso incluindo apenas uma das ações em sua política de autorização de envio. O exemplo a seguir mostra como restringir a ação a `SendRawEmail`.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## Restrição do nome de exibição do remetente do e-mail
Alguns clientes de e-mail exibem o nome "amigável" do remetente do e-mail (se o cabeçalho de e-mail fornecer), em vez do endereço "From" real. Por exemplo, o nome de exibição de "John Doe " é John Doe. Por exemplo, você pode enviar e-mails de *user@example.com*, mas prefere que os destinatários vejam que o e-mail é proveniente de *Marketing* em vez de *user@example.com*. *A política a seguir permite que a Conta da AWS ID 123456789012 seja enviada da identidade *example.com*, mas somente se o nome de exibição do endereço “De” incluir Marketing.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## Uso de várias instruções
Sua política de autorização de envio pode incluir várias instruções. O exemplo de política a seguir contém duas instruções. A primeira declaração Contas da AWS autoriza dois a enviar mensagens de *sender@example.com*, desde que o endereço “De” e o endereço de feedback usem o domínio *example.com*. A segunda instrução autoriza um usuário do IAM a enviar e-mails de *remetente@exemplo.com* desde que o e-mail do destinatário esteja no domínio *exemplo.com*.
# Fornecimento das informações de identidade para autorização de envio do Amazon SES ao remetente delegado
Depois de criar sua política de autorização de envio e anexá-la à sua identidade, você pode fornecer ao remetente delegado o Nome de recurso da Amazon (ARN) da identidade. O remetente delegado passará o ARN para o Amazon SES na operação de envio de e-mail ou no cabeçalho do e-mail. Para localizar o ARN de sua identidade, execute as etapas a seguir.
**Para encontrar o ARN de uma identidade**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, escolha a identidade à qual você anexou a política de autorização de envio.
1. No painel **Summary** (Resumo), a segunda coluna, **nome do recurso da Amazon (ARN)**, contém o ARN da identidade. Ele será semelhante a *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*. Copie todo o ARN e entregue-o ao remetente delegado.
**Importante**
Se a identidade que você está autorizando estiver duplicada em uma região secundária como parte do recurso [Endpoints globais](global-endpoints.md), substitua o parâmetro de região, como `us-east-1`, por um asterisco `*`, conforme o exemplo a seguir, `arn:aws:ses:*:123456789012:identity/user@example.com`.
# Tarefas do remetente delegado para autorização de envio do Amazon SES
Como remetente delegado, você está enviando e-mails em nome de uma identidade da qual não é o proprietário, mas está autorizado a usar. Mesmo que você esteja enviando em nome do proprietário da identidade, devoluções e reclamações contam para as métricas de rejeição e reclamação da sua AWS conta, e o número de mensagens que você envia conta para sua cota de envio. Você também é responsável por solicitar qualquer aumento de cota de envio que possa precisar para enviar e-mails do proprietário da identidade.
Como remetente delegado, você deve concluir as seguintes tarefas:
+ [Fornecimento das informações para o proprietário da identidade](sending-authorization-delegate-sender-tasks-information.md)
+ [Uso de notificações de remetente delegado](sending-authorization-delegate-sender-tasks-notifications.md)
+ [Envio de e-mails para o proprietário da identidade](sending-authorization-delegate-sender-tasks-email.md)
# Fornecimento das informações ao proprietário da identidade para autorização de envio do Amazon SES
Como remetente delegado, você deve fornecer ao proprietário da identidade sua ID da AWS conta ou seu nome de recurso Amazon (ARN) do usuário do IAM, pois você enviará um e-mail em nome do proprietário da identidade. O proprietário da identidade precisa das informações da sua conta para que ele possa criar uma política que conceda a você permissão para enviar de uma de suas identidades verificadas.
Se você quiser usar seus próprios tópicos do SNS, você pode solicitar que seu proprietário de identidade configure notificações de feedback para devoluções, reclamações ou entregas a serem enviadas para um ou mais tópicos do SNS. Para fazer isso, você precisará compartilhar seu ARN do tópico do SNS com seu proprietário de identidade para que ele possa configurar seu tópico do SNS na identidade verificada da qual ele está autorizando você a enviar.
Os procedimentos a seguir explicam como encontrar as informações da sua conta e o tópico do SNS ARNs para compartilhar com o proprietário da sua identidade.
**Para encontrar o ID AWS da sua conta**
1. Faça login no Console de gerenciamento da AWS at [https://console.aws.amazon.com](https://console.aws.amazon.com/).
1. No canto superior direito do console, expanda seu name/account número e escolha **Minha conta** no menu suspenso.
1. A página de configurações da conta será aberta e exibirá todas as informações da sua conta, incluindo o ID AWS da conta.
**Para encontrar o ARN do usuário do IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Users**.
1. Na lista de usuários, escolha o nome de usuário. A seção **Summary** (Resumo) exibe o IAM do usuário ARN. O ARN é semelhante ao exemplo a seguir: *arn:aws:iam::123456789012:user/John*.
**Para encontrar o ARN do tópico do SNS**
1. [Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. No painel de navegação, escolha **Tópicos**.
1. Na lista de tópicos, o tópico SNS ARNs é exibido na coluna **ARN.** O ARN é semelhante ao exemplo a seguir: *arn:aws:sns:us-east- 1:444455556666*:. my-sns-topic
# Uso de notificações do remetente delegado para autorização de envio do Amazon SES
Como remetente delegado de e-mails entre contas, você está enviando e-mails em nome de uma identidade da qual não é o proprietário, mas está autorizado a usar; no entanto, devoluções e reclamações ainda contam para as *suas* métricas de devolução e reclamação, e não para as do proprietário de identidade.
Se as taxas de devolução ou reclamação de sua conta ficarem muito altas, sua conta corre o risco de ser colocara sob revisão ou de ter sua capacidade de enviar e-mails pausada. Por esse motivo, é importante que você configure notificações e tenha um processo para monitorá-las. Você também precisa ter um processo para remover endereços que foram devolvidos ou reclamados de suas listas de correspondência.
Portanto, como remetente delegado, você pode configurar o Amazon SES para enviar notificações quando ocorrerem eventos de devolução e reclamação para os e-mails enviados em nome de quaisquer identidades das quais você não seja o proprietário, mas que foi autorizado a usar pelo proprietário. Você também pode configurar a [publicação de eventos](monitor-using-event-publishing.md) para publicar notificações de devolução e reclamação no Amazon SNS ou no Firehose.
**nota**
Se você configurar o Amazon SES para enviar notificações usando o Amazon SNS, será cobrado pelas taxas padrão do Amazon SNS para as notificações que receber. Para obter mais informações, consulte a página de [Definição de preços do Amazon SNS](https://aws.amazon.com/sns/pricing).
## Criar uma nova notificação de remetente delegado
Você pode configurar notificações de envio delegado com conjuntos de configurações usando [publicação de eventos](event-destinations-manage.md) ou com identidades verificadas [configuradas com seus próprios tópicos do SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
Os procedimentos são fornecidos abaixo para configurar novas notificações de envios delegados usando qualquer um dos métodos:
+ Publicação de eventos por meio de um conjunto de configurações.
+ Notificações de feedback para tópicos do SNS que você possui
**Para configurar a publicação de eventos por meio de um conjunto de configurações para seu envio delegado**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Siga os procedimentos em [Criar destinos de eventos](event-destinations-manage.md).
1. Depois de configurar a publicação de eventos em seu conjunto de configurações, especifique o nome do conjunto de configurações ao enviar e-mail como remetente delegado usando a identidade verificada da qual o proprietário da identidade autorizou você a enviar. Consulte [Envio de e-mails para o proprietário da identidade](sending-authorization-delegate-sender-tasks-email.md).
**Para configurar notificações de feedback para tópicos do SNS que você possui para seu envio delegado**
1. Depois de decidir quais tópicos do SNS você gostaria de usar para notificações de feedback, siga os procedimentos [para encontrar o ARN do tópico do SNS](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) e copie o ARN completo e compartilhe-o com o proprietário da sua identidade.
1. Peça ao proprietário da identidade que configure seus tópicos do SNS para notificações de feedback sobre a identidade compartilhada que ele autorizou você a enviar. (O proprietário da sua identidade precisará seguir os procedimentos fornecidos para [configurar tópicos do SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) nos procedimentos da política de autorização.)
# Envio de e-mails para o proprietário da identidade para autorização de envio do Amazon SES
Como remetente delegado, você envia e-mails da mesma forma que outros remetentes do Amazon SES, mas fornece o nome do recurso da Amazon (ARN) da identidade que o proprietário de identidade autorizou você a usar. Quando você chama o Amazon SES para enviar o e-mail, o Amazon SES verifica se a identidade especificada tem uma política que o autoriza a enviar por ele.
Há várias formas de especificar o ARN da identidade quando você envia um e-mail. O método que você usa depende se o e-mail é enviado usando as operações de API do Amazon SES ou a interface SMTP do Amazon SES.
**Importante**
Para enviar um e-mail com sucesso, você precisa se conectar ao endpoint do Amazon SES na AWS região em que o proprietário da identidade verificou a identidade.
**Além disso, as AWS contas do proprietário da identidade e do remetente delegado precisam ser removidas da sandbox para que qualquer uma das contas possa enviar e-mails para endereços não verificados.** Para obter mais informações, consulte [Solicitar acesso à produção (sair da sandbox do Amazon SES)](request-production-access.md).
Se a identidade que você recebeu autorização para usar estiver duplicada em uma região secundária como parte do recurso [Endpoints globais](global-endpoints.md):
O proprietário da identidade deve fornecer a você um ARN de identidade com o parâmetro de região, como `us-east-1`, substituído por um asterisco `*`, conforme o exemplo a seguir, `arn:aws:ses:*:123456789012:identity/user@example.com`.
O proprietário da identidade deve criar políticas de autorização de envio para você nas regiões primária e secundária.
## Uso da API do Amazon SES
Como acontece com qualquer remetente de e-mail do Amazon SES, se você acessar o Amazon SES por meio da API do Amazon SES (diretamente por meio de HTTPS ou indiretamente por meio de um AWS SDK), poderá escolher entre uma das três ações de envio de e-mail:, e. `SendEmail` `SendTemplatedEmail` `SendRawEmail` A [Referência da API do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/) descreve os detalhes delas APIs, mas fornecemos uma visão geral dos parâmetros de autorização de envio aqui.
### SendRawEmail
Se você deseja usar `SendRawEmail` para poder controlar o formato de seus e-mails, você pode especificar a identidade autorizada delegada entre contas usando uma de duas formas:
+ **Passe parâmetros opcionais para a API `SendRawEmail`**. Os parâmetros necessário são descritos na tabela a seguir:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **Inclua cabeçalhos X no e-mail**. Cabeçalhos X são cabeçalhos personalizados que você pode usar, além dos cabeçalhos de e-mail padrão (como os cabeçalhos De, Responder para ou Assunto). O Amazon SES reconhece três cabeçalhos X que você pode usar para especificar os parâmetros de autorização de envio:
**Importante**
Não inclua esses cabeçalhos X na assinatura DKIM, pois eles são removidos pelo Amazon SES antes de enviar o e-mail.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
O Amazon SES remove todos os cabeçalhos X do e-mail antes de enviá-lo. Se você incluir várias instâncias de um cabeçalho X, o Amazon SES só usará a primeira instância.
O exemplo a seguir mostra um e-mail que inclui cabeçalhos X de autorização de envio:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail and SendTemplatedEmail
Se você usar a operação `SendEmail` ou `SendTemplatedEmail`, poderá especificar a identidade autorizada delegada ao passar os parâmetros opcionais a seguir. Você não pode usar o método de cabeçalho X ao usar a operação `SendEmail` ou `SendTemplatedEmail`.
****
| Parâmetro | Description |
| --- | --- |
| `SourceArn` | O ARN da identidade associado à política de autorização de envio que permite que você envie para o endereço de e-mail especificado no parâmetro `Source` de `SendEmail` ou `SendTemplatedEmail`. |
| `ReturnPathArn` | O ARN da identidade associado à política de autorização de envio que permite que você use o endereço de e-mail especificado no parâmetro `ReturnPath` de `SendEmail` ou `SendTemplatedEmail`. |
O exemplo a seguir mostra como enviar um e-mail que inclua os atributos `SourceArn` e `ReturnPathArn` usando a operação `SendEmail` ou `SendTemplatedEmail` e o [SDK for Python](https://aws.amazon.com/sdk-for-python).
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## Uso da interface SMTP do Amazon SES
Quando você usa a interface SMTP do Amazon SES para envio entre contas, tem que incluir os cabeçalhos `X-SES-SOURCE-ARN`, `X-SES-FROM-ARN` e `X-SES-RETURN-PATH-ARN` em sua mensagem. Transmita esses cabeçalhos depois que executar o comando `DATA` na conversa SMTP.