Come configurare il DKIM in Amazon SES (Easy DKIM vs BYODKIM)
Scopri come configurare il DKIM di Amazon SES usando Easy DKIM o BYODKIM, verificare l'allineamento, risolvere gli errori e correggere i problemi di spam dopo la configurazione.
Scopri come configurare il DKIM di Amazon SES usando Easy DKIM o BYODKIM, verificare l'allineamento, risolvere gli errori e correggere i problemi di spam dopo la configurazione.

Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Risotto è all'avanguardia nel Zero Trust runtime-first con monitoraggio eBPF, applicazione dinamica del principio del minimo privilegio e automazione della conformità.
Se le tue email Amazon SES risultano “Consegnate” ma finiscono comunque nello spam, la tua configurazione DKIM potrebbe essere incompleta o non allineata.
Di default, Amazon SES può firmare le email usando una firma DKIM amazonses.com se il DKIM a livello di dominio non è configurato. Sebbene questo autentichi tecnicamente il messaggio, non autentica il tuo dominio.
Senza allineamento del dominio, i provider di posta non possono costruire una reputazione per il tuo dominio, e DMARC potrebbe fallire.
Dal 2024, Gmail e Yahoo richiedono un'autenticazione allineata per i mittenti di massa. Se stai configurando DKIM per un dominio usando il servizio Amazon Simple Email Service, il tuo obiettivo è proteggere il posizionamento nella casella di posta e costruire la reputazione del dominio. La maggior parte dei team scopre i problemi DKIM solo dopo che le email iniziano a finire nello spam o a fallire l'allineamento DMARC.
In questo articolo, imparerai come scegliere tra Easy DKIM e BYODKIM, configurarli correttamente, verificare che funzionino, risolvere i problemi comuni e capire perché l'autenticazione da sola non garantisce il posizionamento nella casella di posta.
Quando configuri la firma DKIM in Amazon SES, hai tre opzioni. La scelta giusta determina come viene gestita la firma DKIM. Definisce chi genera e gestisce le chiavi DKIM e dove avviene la firma del messaggio. In Amazon SES, AWS può gestire le chiavi e il processo di firma (Easy DKIM), oppure puoi controllare tu stesso la coppia di chiavi pubblica-privata e la configurazione della firma (BYODKIM).
*Nota: la firma manuale è meno comune nei tipici flussi di lavoro di Amazon SES. Nella maggior parte dei casi, Amazon SES firma automaticamente i messaggi in uscita una volta abilitato il DKIM. La firma manuale viene utilizzata principalmente in configurazioni avanzate dove le applicazioni firmano i messaggi prima dell'invio o quando le organizzazioni utilizzano un Mail Transfer Agent (MTA) personalizzato al di fuori di SES.
Easy DKIM è l'opzione predefinita e consigliata per la maggior parte degli utenti di Amazon SES perché semplifica la configurazione DKIM e la gestione continua delle chiavi.
Quando abiliti Easy DKIM, Amazon SES genera automaticamente la coppia di chiavi DKIM pubblica-privata e fornisce i record CNAME richiesti che devono essere pubblicati nel DNS del tuo dominio. Dopo aver aggiunto i record, SES gestisce la firma DKIM per i messaggi in uscita e la rotazione delle chiavi internamente.
Devi solo pubblicare i record CNAME generati nel tuo DNS e abilitare il DKIM nella console di Amazon SES. Una volta completata la verifica, SES firma automaticamente le email inviate dal tuo dominio.
BYODKIM è un'opzione più avanzata che ti permette di usare le tue chiavi DKIM, invece di quelle generate da Amazon SES. La maggior parte degli utenti non ha bisogno di questo approccio, ma può essere utile per le organizzazioni che richiedono una gestione centralizzata delle chiavi, specifiche politiche di conformità o sicurezza, o che già gestiscono la propria infrastruttura DKIM.
Con BYODKIM, generi la tua coppia di chiavi pubblica-privata, pubblichi la chiave pubblica come record TXT nel DNS del tuo dominio e configuri la firma tramite l'API SES o la AWS CLI. Questo ti dà il controllo completo sulla chiave di firma DKIM e su come viene gestita la rotazione delle chiavi.
Gestire il DKIM tra diverse regioni può diventare ripetitivo e soggetto a errori perché le identità di Amazon SES sono configurate separatamente in ogni regione AWS. Questo problema si presenta tipicamente nelle implementazioni multi-regione, dove le organizzazioni inviano email da più regioni AWS, implementano il failover regionale per l'affidabilità o gestiscono infrastrutture distribuite.
In queste configurazioni, il DKIM deve normalmente essere abilitato e verificato individualmente in ogni regione. Amazon SES risolve questa limitazione con una variante specializzata di Easy DKIM.
Deterministic Easy DKIM ti permette di replicare la stessa configurazione DKIM su più regioni Amazon SES senza generare nuovi record DKIM in ogni regione. Semplifica le implementazioni multi-regione assicurando che gli stessi selettori DKIM e record DNS possano essere riutilizzati tra le regioni.
È importante sottolineare che Deterministic Easy DKIM è ancora gestito da SES. Amazon SES continua a generare le chiavi DKIM, a gestire il processo di firma e a occuparsi automaticamente della rotazione delle chiavi. Questo significa che mantiene la semplicità operativa di Easy DKIM, rendendo al contempo le configurazioni multi-regione più facili da mantenere.
Con DEED, non devi creare record CNAME separati per ogni regione. Invece, gli stessi record DNS possono funzionare su più regioni SES.
Questo approccio è utile quando:
Questo mantiene la configurazione DKIM coerente, evitando la complessità di gestire record separati per ogni regione.
In Amazon SES, le identità sono regionali.
Quando verifichi un dominio in una regione AWS, quella verifica non si applica automaticamente a un'altra regione. Ogni regione mantiene le proprie:
Se invii sia da us-east-1 che da eu-west-1, il DKIM deve essere configurato separatamente in ogni regione, a meno che tu non usi Deterministic Easy DKIM.
Easy DKIM è l'opzione consigliata per la maggior parte degli utenti Amazon SES, perché la generazione e la firma delle chiavi sono gestite da SES. Devi solo pubblicare i record DNS.
Ecco i prerequisiti che devi avere prima della configurazione.
Accedi alla console di gestione AWS, poi:
Controlla le impostazioni DKIM esistenti.
Nella sezione DKIM, scegli Easy DKIM come metodo di firma.
Se DKIM era stato configurato in precedenza con un altro metodo, valuta bene le implicazioni della migrazione prima di cambiare.
Seleziona 2048-bit a meno che tu non abbia una limitazione DNS legacy.
Alcuni provider DNS potrebbero avere limiti sulla lunghezza dei record. I provider moderni di solito supportano i 2048-bit senza problemi.
Dopo aver abilitato Easy DKIM, SES genera tre record CNAME.
Questi record:
Copia i tre record CNAME esattamente come forniti.
Errori comuni di configurazione includono:
Inserisci i record presso il tuo provider DNS e salva le modifiche.
Amazon SES controlla periodicamente i tuoi record DNS e verifica automaticamente il DKIM una volta rilevati i record CNAME.
Se vuoi confermare i record prima che SES li rilevi, puoi controllarli tu stesso usando strumenti di DNS lookup o utility da riga di comando come dig o nslookup.
Una volta che i record vengono rilevati e convalidati, lo stato DKIM mostrerà "Successful" nella console SES.
BYODKIM (Bring Your Own DKIM) ti permette di usare la tua coppia di chiavi RSA invece delle chiavi generate da Amazon SES. Questo approccio è comunemente usato da organizzazioni che vogliono mantenere selettori e chiavi DKIM coerenti su più piattaforme email o provider di servizi email.
Gestendo le chiavi tu stesso, puoi riutilizzare la stessa configurazione DKIM su diversi sistemi di invio, mantenendo un controllo centralizzato sulle chiavi di firma.
Usa BYODKIM se:
Per la maggior parte dei team, Easy DKIM è sufficiente. BYODKIM di solito viene scelto per standardizzare l'infrastruttura o per motivi normativi. Ad esempio, le organizzazioni che inviano email da più ESP (come SES, SendGrid e Mailgun) spesso usano BYODKIM in modo che ogni provider firmi le email usando lo stesso selettore di dominio.
Pubblicherai la chiave pubblica nel DNS. La chiave privata rimane sicura e viene fornita a SES.
Apri il file DKIM_public.pem e:
La configurazione BYODKIM viene eseguita utilizzando l'API SES v2.
Ecco cosa devi fare:
Torna alla console SES e controlla lo stato DKIM per l'identità.
Lo stato dovrebbe passare da In sospeso a Riuscito dopo la propagazione DNS.
La formattazione errata è la causa più comune di fallimento della validazione.
I record DNS TXT devono contenere la chiave pubblica su una singola riga logica. Alcuni provider DNS dividono automaticamente i valori lunghi. Conferma che il record finale pubblicato sia intatto.
SES supporta chiavi a 1024 e 2048 bit.
Quelle a 2048 bit sono consigliate per gli standard di autenticazione moderni.
Se SES rifiuta la chiave:
BYODKIM offre il controllo completo sulla firma DKIM, ma richiede un'attenta gestione delle chiavi e precisione DNS.
Successivamente, verifichiamo se SES sta firmando correttamente e se i provider di caselle di posta stanno riconoscendo la firma.
Abilitare il DKIM non è lo stesso che confermare che funzioni in produzione. La verifica richiede di controllare sia lo stato di SES che il comportamento delle email in tempo reale.
Usa la checklist qui sotto per verificare che la firma DKIM funzioni correttamente.
Nella console di Amazon SES, apri il tuo dominio sotto 'Identità verificate'.
Lo stato DKIM deve mostrare: 'Riuscito'
Se mostra 'In sospeso', la validazione DNS non è completa.
Se mostra 'Fallito', controlla la formattazione DNS.
Questo conferma che Amazon SES riconosce i tuoi record DNS. Tuttavia, non conferma che i provider di mailbox riconoscano la firma DKIM.
Invia un'email di test a Gmail o a un'altra casella di posta e apri le intestazioni complete del messaggio.
Cerca:
Se vedi solo:
allora la tua firma DKIM personalizzata non viene applicata.
Conferma anche:
Se il DKIM non funziona o non c'è, l'allineamento dell'autenticazione si romperà con DMARC.
Anche se SES mostra “Riuscito”, conferma che i record siano visibili pubblicamente.
Usa il DKIM checker di MailReach per:
Il report di SES che dice “Consegnato” significa solo che il server di ricezione ha accettato il messaggio. Non indica il posizionamento nella inbox.
Anche se l'autenticazione va a buon fine, non garantisce l'arrivo in inbox.
Fai un test di deliverability delle email per scoprire:
È qui che molti team scoprono che il DKIM passa, ma i segnali di reputazione spingono comunque i messaggi nello spam. Strumenti come lo spam test di MailReach aiutano a far emergere questi problemi, mostrando come i provider di caselle di posta classificano le tue email e dove sono necessarie delle correzioni.
La verifica assicura:
Ora vediamo i problemi DKIM più comuni in Amazon SES e come risolverli.
Anche se configurati correttamente, i problemi DKIM in Amazon SES rientrano solitamente in alcuni schemi prevedibili. Usa gli scenari qui sotto per capire la causa principale.
Se lo stato DKIM rimane 'Pending' nella console Amazon SES, SES non riesce a convalidare i tuoi record DNS.
Cause comuni:
Soluzione:
Se i record sono visibili pubblicamente ma SES mostra ancora "Pending" dopo un tempo prolungato, apri un caso di supporto con AWS.
DKIM mostra "Successful", ma le email in uscita non contengono la firma del tuo dominio.
Cause comuni:
In Amazon SES, le identità sono regionali. Se invii da us-east-1 ma hai configurato DKIM solo in eu-west-1, i messaggi dalla regione non configurata non useranno la tua firma di dominio.
Verifica:
Questo è il malinteso più comune.
DKIM prova l'integrità del messaggio e l'autenticità del dominio. Non garantisce il posizionamento nella casella di posta.
I provider di posta valutano segnali aggiuntivi, tra cui:
Un dominio con DKIM valido ma con una reputazione debole può comunque finire nello spam.
Se il DKIM è valido ma il posizionamento nella casella di posta è instabile, esegui uno spam test per diagnosticare:
Questo separa i problemi di autenticazione dai problemi di reputazione.
Amazon SES non condivide le impostazioni DKIM tra le regioni.
Se verifichi e configuri DKIM in una sola regione:
Questo crea un comportamento di autenticazione incoerente e può indebolire la fiducia nel dominio nel tempo.
Verifica tutte le regioni di invio attive e conferma che DKIM sia configurato intenzionalmente in ognuna.
Amazon SES controlla periodicamente i record DNS.
Se i record CNAME o TXT richiesti vengono rimossi o modificati:
Questo può succedere dopo:
Se si verifica la revoca:
Riverifica sempre il DKIM dopo modifiche all'infrastruttura DNS.
Questi passaggi di risoluzione dei problemi isolano gli errori di configurazione dai problemi della casella di posta legati alla reputazione.
Poi, completiamo lo stack di autenticazione con SPF e DMARC.
L'autenticazione funziona come un sistema. Ogni protocollo ha un ruolo ben preciso:
Superare DKIM e SPF individualmente non basta. DMARC richiede l'allineamento tra il dominio From visibile e il dominio autenticato.
Se SPF usa un dominio Amazon MAIL FROM e DKIM non è allineato, DMARC può fallire anche quando l'autenticazione tecnicamente passa.
Per un processo di implementazione completo passo-passo che copre la configurazione SPF, la configurazione Custom MAIL FROM e la strategia di applicazione DMARC, consulta la guida di MailReach all'implementazione di SPF, DKIM e DMARC.

Con l'autenticazione allineata, i fattori rimanenti sono la reputazione e il posizionamento nella casella di posta.
L'autenticazione è fondamentale. Non è un fattore di ranking per la casella di posta.
DKIM, SPF e DMARC confermano che sei autorizzato a inviare. Non dicono ai provider di caselle di posta se gli utenti vogliono le tue email.
Quando inizi a inviare da un nuovo dominio in Amazon SES, quel dominio non ha una cronologia di reputazione. I provider di caselle di posta valutano i segnali comportamentali prima di decidere il posizionamento.
Valutano:
Un dominio completamente autenticato, con scarso engagement o aumenti aggressivi del volume, può comunque finire nello spam.
L'autenticazione ti fa prendere in considerazione. La reputazione determina il posizionamento.
Prima di scalare le campagne, crea gradualmente una cronologia di invio, monitora le metriche di engagement e tieni d'occhio il posizionamento in inbox tra i principali provider. Senza una gestione della reputazione, l'autenticazione da sola non stabilizzerà la deliverability.
Una volta configurati correttamente DKIM, SPF e DMARC, il prossimo obiettivo è la gestione della reputazione.
Per stabilizzare il posizionamento in inbox:
I nuovi domini SES partono senza una reputazione storica. I provider di caselle di posta valutano il comportamento nel tempo. Aumenti graduali del volume e segnali di engagement costanti riducono il rischio di essere classificati come spam.
L'autenticazione dimostra la legittimità. Un comportamento di invio costante costruisce credibilità.
MailReach aiuta gli utenti Amazon SES a passare da “autenticati” a “che atterrano costantemente nella casella di posta” tramite:
Se invii tramite Amazon SES, non fermarti all'autenticazione. Costruisci e monitora la reputazione prima di scalare con MailReach.
Ogni email nello spam equivale a un potenziale cliente perso. Inizia a migliorare il posizionamento nella tua casella di posta oggi stesso con il test spam e l'email warmup di MailReach.
Seguire le regole non basta: scopri dove finiscono le tue email e cosa le sta bloccando. Controlla il tuo spam score con il nostro test gratuito e migliora la deliverability con il warmup di MailReach.

I 5 migliori strumenti per il posizionamento nella casella di posta per ridurre il tasso di spam nel 2026

Le 4 migliori alternative a Inbox Ally nel 2026

Limiti di invio email di Google Workspace per il 2026: Una Guida Pratica per i Team di Cold Outreach

Checklist di conformità email GDPR per il 2026

Chiusure Email: Come chiudere le tue email come un professionista
.webp)
Frequenza delle Email nel 2026: Trovare il Giusto Equilibrio per il Tuo Pubblico