As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Fornecer seu próprio token de autenticação DKIM (BYODKIM) no Amazon SES
Como alternativa ao uso do [Easy DKIM](send-email-authentication-dkim-easy.md), você pode configurar a autenticação DKIM usando seu próprio par de chaves pública e privada. Este processo é conhecido como *Bring Your Own DKIM* (*BYODKIM*).
Com o BYODKIM, você pode usar um único registro DNS para configurar a autenticação DKIM dos seus domínios, diferentemente do Easy DKIM, que exige a publicação de três registros DNS separados. Além disso, usar BYODKIM permite alternar as chaves DKIM dos seus domínios com a frequência que desejar.
**Topics**
+ [Etapa 1: Criar o par de chaves](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Etapa 2: adicionar o seletor e a chave pública à configuração de domínio do provedor de DNS](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Etapa 3: configurar e verificar um domínio para usar BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**Atenção**
Se, no momento, você tiver o Easy DKIM habilitado e estiver fazendo a transição para BYODKIM, esteja ciente de que o Amazon SES não usará o Easy DKIM para assinar seus e-mails enquanto o BYODKIM estiver sendo configurado e seu status do DKIM estiver marcado como pendente. Entre o momento em que você faz a chamada para habilitar o BYODKIM (por meio da API ou do console) e o momento em que o SES pode confirmar sua configuração de DNS, os e-mails podem ser enviados pelo SES sem uma assinatura do DKIM. Portanto, é aconselhável usar uma etapa intermediária para migrar de um método de assinatura do DKIM para o outro (por exemplo, usando um subdomínio do seu domínio com o Easy DKIM habilitado e excluí-lo depois que a verificação do BYODKIM tiver sido aprovada), ou realizar essa atividade durante o tempo de inatividade da aplicação, se houver.
## Etapa 1: Criar o par de chaves
Para usar o recurso Bring Your Own DKIM, primeiro é necessário criar um par de chaves RSA.
A chave privada que você gera deve estar no formato PKCS \$11 ou PKCS \$18, deve usar criptografia RSA de no mínimo 1.024 bits e no máximo 2.048 bits, e deve ser codificada usando a codificação em base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulte [Comprimento da chave de assinatura DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para saber mais sobre comprimentos de chave de assinatura DKIM e como alterá-los.
**nota**
É possível usar aplicações e ferramentas de terceiros para gerar pares de chaves RSA, desde que a chave privada seja gerada com criptografia RSA de no mínimo 1.024 bits e no máximo 2.048 bits, e seja codificada usando a codificação em base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
No procedimento a seguir, o código de exemplo que usa o comando `openssl genrsa` incorporado na maioria dos sistemas operacionais Linux, macOS ou Unix para criar o par de chaves usará automaticamente a codificação em base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Para criar o par de chaves com a linha de comando do Linux, macOS ou Unix**
1. Na linha de comando, digite o seguinte comando para gerar a chave privada *nnnn* substituindo-a por um comprimento de bits de pelo menos 1024 e até 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Na linha de comando, digite o comando a seguir para gerar a chave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Etapa 2: adicionar o seletor e a chave pública à configuração de domínio do provedor de DNS
Agora que você criou um par de chaves, é necessário adicionar a chave pública como um registro TXT à configuração DNS do seu domínio.
**Como adicionar a chave pública à configuração DNS do seu domínio**
1. Faça login no console de gerenciamento do seu provedor hospedagem ou DNS.
1. Como adicionar um novo registro de texto à configuração de DNS do seu domínio O registro deve ter o seguinte formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
No exemplo anterior, faça as seguintes alterações:
+ *selector*Substitua por um nome exclusivo que identifique a chave.
**nota**
Um pequeno número de provedores de DNS não permitem que você inclua sublinhados (\$1) em nomes de registro. No entanto, o sublinhado no nome do registro DKIM é necessário. Se o seu provedor de DNS não permitir que você insira um sublinhado no nome do registro, entre em contato com a equipe de suporte ao cliente do provedor para obter assistência.
+ *example.com*Substitua pelo seu domínio.
+ *yourPublicKey*Substitua pela chave pública que você criou anteriormente e inclua o `p=` prefixo conforme mostrado na coluna *Valor* acima.
**nota**
Quando você publica (adiciona) a chave pública ao provedor DNS, ela deve ser formatada da seguinte forma:
Você deve excluir a primeira e a última linha (`-----BEGIN PUBLIC KEY-----` e `-----END PUBLIC KEY-----`, respectivamente) da chave pública gerada. Remover também as quebras de linha da chave pública gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
É necessário incluir o prefixo `p=` como mostrado na coluna *Value* (Valor) na tabela acima.
Diferentes provedores têm procedimentos diferentes para atualizar os registros DNS. A tabela a seguir inclui links para a documentação de alguns provedores de DNS amplamente usados. Essa lista não é exaustiva e não significa endosso; da mesma forma, se seu provedor de DNS não estiver listado, isso não implicará que você não possa usar o domínio com o Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Etapa 3: configurar e verificar um domínio para usar BYODKIM
Você pode configurar o BYODKIM para novos domínios (ou seja, domínios que você não usa atualmente para enviar e-mails pelo Amazon SES) e domínios existentes (ou seja, domínios que você já configurou para usar com o Amazon SES), usando o console ou a AWS CLI. Antes de usar os AWS CLI procedimentos desta seção, primeiro você precisa instalar e configurar AWS CLI o. Para obter mais informações, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opção 1: Criar uma nova identidade de domínio que usa BYODKIM
Esta seção contém procedimentos para criar uma nova identidade de domínio que usa BYODKIM. Uma nova identidade de domínio é um domínio que você não configurou anteriormente para enviar e-mails com o Amazon SES.
Se você quiser configurar um domínio existente para usar o BYODKIM, siga as instruções em [Opção 2: Configurar uma identidade de domínio existente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain).
**Para criar uma identidade usando BYODKIM no console**
+ Siga os procedimentos em [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure), e quando você chegar à etapa 8, siga as instruções específicas do BYODKIM.
**Para criar uma identidade usando BYODKIM a partir do AWS CLI**
Para configurar um novo domínio, use a operação `CreateEmailIdentity` na API do Amazon SES.
1. No editor de texto, cole o código a seguir:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
No exemplo anterior, faça as seguintes alterações:
+ *example.com*Substitua pelo domínio que você deseja criar.
+ *privateKey*Substitua pela sua chave privada.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
+ *selector*Substitua pelo seletor exclusivo que você especificou ao criar o registro TXT na configuração de DNS do seu domínio.
Ao concluir, salve o arquivo como `create-identity.json`.
1. Na linha de comando, insira o seguinte comando:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
No comando anterior, *path/to/create-identity.json* substitua pelo caminho completo do arquivo que você criou na etapa anterior.
### Opção 2: Configurar uma identidade de domínio existente
Esta seção contém procedimentos para atualizar uma identidade de domínio existente para usar BYODKIM. Uma identidade de domínio existente é um domínio que você já configurou para enviar e-mails com o Amazon SES.
**Para atualizar uma identidade de domínio usando BYODKIM no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuration (Configuração)**, escolha **Verified identities (Identidades verificadas)**.
1. Na lista de identidades, escolha uma identidade na qual o **Identity type (Tipo de identidade)** é *Domain (Domínio)*.
**nota**
Se precisar criar ou verificar um domínio, consulte [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure).
1. **Na guia **Autenticação**, no painel **Correio DomainKeys Identificado (DKIM)**, escolha Editar.**
1. No painel **Advanced DKIM settings** (Configurações avançadas de DKIM), selecione o botão **Provide DKIM authentication token** (Fornecer token de autenticação DKIM) no campo **Identity type** (Tipo de identidade).
1. Em **Private key** (Chave privada), cole a chave privada que você gerou anteriormente.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
1. Para **Selector name (Nome do seletor)**, insira o nome do seletor que você especificou nas configurações de DNS do seu domínio.
1. No campo **DKIM signatures (Assinaturas do DKIM)**, marque a caixa de seleção **Enabled (Habilitado)**.
1. Escolha **Salvar alterações**.
**Para atualizar uma identidade de domínio usando BYODKIM a partir do AWS CLI**
Para configurar um domínio existente, use a operação `PutEmailIdentityDkimSigningAttributes` na API do Amazon SES.
1. No editor de texto, cole o código a seguir:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
No exemplo anterior, faça as seguintes alterações:
+ *privateKey*Substitua pela sua chave privada.
**nota**
Você deve excluir a primeira e a última linha (`-----BEGIN PRIVATE KEY-----` e `-----END PRIVATE KEY-----`, respectivamente) da chave privada gerada. Além disso, remova as quebras de linha da chave privada gerada. O valor resultante será uma cadeia de caracteres sem espaços ou quebras de linha.
+ *selector*Substitua pelo seletor exclusivo que você especificou ao criar o registro TXT na configuração de DNS do seu domínio.
Ao concluir, salve o arquivo como `update-identity.json`.
1. Na linha de comando, insira o seguinte comando:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
No comando anterior, faça as seguintes alterações:
+ *path/to/update-identity.json*Substitua pelo caminho completo do arquivo que você criou na etapa anterior.
+ *example.com*Substitua pelo domínio que você deseja atualizar.
### Verificação do status de DKIM de um domínio que usa BYODKIM
**Para verificar o status DKIM de um domínio no console**
Depois de configurar um domínio para usar BYODKIM, você pode usar o console do SES para verificar se o DKIM está configurado corretamente.
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, escolha **Identidades verificadas**.
1. Na lista de identidades, selecione a identidade cujo status de DKIM você deseja verificar.
1. A propagação das alterações nas configurações de DNS pode levar até 72 horas. O processo de verificação será concluído assim que o Amazon SES detectar todos os registros DKIM necessários nas configurações de DNS do seu domínio. **Se tudo tiver sido configurado corretamente, o campo de **configuração do DKIM** do seu domínio será exibido com **êxito** no painel **Correio DomainKeys identificado (DKIM)** e o campo **Status da identidade** exibirá **Verificado** no painel Resumo.**
**Para verificar o status do DKIM de um domínio usando o AWS CLI**
Depois de configurar um domínio para usar BYODKIM, você pode usar a GetEmailIdentity operação para verificar se o DKIM está configurado corretamente.
+ Na linha de comando, insira o seguinte comando:
```
aws sesv2 get-email-identity --email-identity example.com
```
No comando anterior, *example.com* substitua pelo seu domínio.
Esse comando retorna um objeto JSON com uma seção semelhante ao exemplo a seguir.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
O BYODKIM estará configurado corretamente para o domínio se todas as opções a seguir forem true (verdadeiras):
+ O valor da propriedade `SigningAttributesOrigin` é `EXTERNAL`.
+ O valor de `SigningEnabled` é `true`.
+ O valor de `Status` é `SUCCESS`.