# SES: Endereços de Email SES Não Utilizando Assinatura DKIM > Esta regra identifica identidades do Amazon Simple Email Service (SES) que: > > * Estão com verificação de identidade concluída com sucesso. > * Possuem verificação DKIM concluída com sucesso. > * Porém estão com a assinatura DKIM desabilitada (`DkimEnabled = False`). > > O objetivo é detectar configurações inconsistentes onde o domínio ou e-mail está tecnicamente apto a assinar mensagens via DKIM, mas a assinatura está desativada. *** **Contexto da regra e impacto no negócio** O DKIM (DomainKeys Identified Mail) é um mecanismo de autenticação de e-mail que valida a integridade e a origem das mensagens enviadas. Quando o DKIM está corretamente configurado e habilitado: * Reduz risco de spoofing. * Aumenta entregabilidade. * Melhora reputação do domínio. * Reduz probabilidade de cair em spam. Nesta regra, o cenário identificado é particularmente crítico porque: * A identidade está validada. * O DKIM está corretamente verificado. * Mas a assinatura está desativada. Isso indica falha de governança ou configuração inconsistente. **Impactos possíveis:** * Redução de taxa de entrega. * Impacto em campanhas transacionais ou marketing. * Risco reputacional. * Aumento de bloqueios por provedores como Gmail e Outlook. * Não conformidade com boas práticas de segurança de e-mail (SPF + DKIM + DMARC). *** **Detalhamento técnico da regra** A regra executa uma varredura regional nas contas AWS conectadas e analisa o status das identidades configuradas no Amazon SES. **Como a regra é executada** A regra autentica na conta AWS e percorre todas as regiões ativas. Para cada região: 1. Lista todas as identidades SES utilizando `ses:ListIdentities`. 2. Para cada identidade: * Consulta `get_identity_verification_attributes`. * Consulta `get_identity_dkim_attributes`. 3. Avalia as três condições simultaneamente: * `VerificationStatus == "Success"` * `DkimVerificationStatus == "Success"` * `DkimEnabled == False` 4. Apenas quando as três condições são verdadeiras, a identidade é sinalizada. *** **Lógica aplicada** A violação ocorre exclusivamente quando: ``` Identity Verified = True AND DKIM Verified = True AND DKIM Enabled = False ``` Qualquer outro cenário é desconsiderado. *** **Campos analisados** A regra analisa: * `VerificationStatus` * `DkimVerificationStatus` * `DkimEnabled` * `Identity` * `Region` *** **Parâmetros considerados na busca** * API: `ses:ListIdentities` * API: `ses:GetIdentityVerificationAttributes` * API: `ses:GetIdentityDkimAttributes` * Escopo: Regional * Tipo de identidade: Domínio ou endereço de e-mail configurado no SES *** **Período Avaliado (Filtro Temporal)** Esta regra não utiliza filtro baseado em data de criação ou idade do recurso. **Período Avaliado (Filtro Temporal)**: A regra avalia o estado atual da identidade no momento da execução. O intervalo de análise corresponde ao operador do período do filtro combinado com os dias do período do filtro definidos na configuração da regra. Como a lógica é baseada em configuração atual e não em data de criação, o filtro temporal não altera a análise funcional. Exemplo: Independentemente da idade da identidade, se ela estiver verificada com DKIM verificado e assinatura desabilitada no momento da execução, ela será sinalizada. > Os parâmetros de operador e dias podem ser customizados conforme necessidade do cliente, porém não impactam a lógica de detecção baseada em estado atual. *** **Intervalo de Análise** Execução padrão: a cada 8 horas. Essa periodicidade garante monitoramento contínuo de conformidade da configuração de autenticação de e-mail. *** **Aderência às melhores práticas** Esta regra não é da categoria ECONOMIA. Trata-se de uma regra de Segurança e Governança. Está alinhada com: * AWS Well-Architected Framework – Security Pillar. * Boas práticas de autenticação de e-mail (SPF, DKIM, DMARC). * Princípios de proteção contra spoofing e phishing. * Governança de comunicação transacional e institucional. Benefícios da aplicação: * Melhoria da reputação do domínio. * Redução de bloqueios e blacklist. * Aumento da confiabilidade em comunicações críticas. * Redução de risco de fraude. Riscos evitados: * Comprometimento de marca. * Falhas em campanhas críticas. * Problemas de compliance em ambientes regulados. *** **Dicas de uso e boas práticas para o usuário** * Sempre manter DKIM habilitado para identidades verificadas. * Implementar DMARC para reforçar política de autenticação. * Monitorar métricas de entregabilidade no SES. * Revisar identidades antigas ou ambientes descontinuados. * Padronizar configuração via Infrastructure as Code. * Priorizar correção em domínios utilizados para: * E-mails transacionais. * Comunicação com clientes. * Alertas críticos de sistema. Possíveis falsos positivos: * Ambientes de teste onde envio externo não é necessário. * Domínios internos utilizados apenas para simulação. Recomenda-se validação antes da correção em ambientes não produtivos.