Amazon SES-Konzepte für den E-Mail-Empfang - Amazon Simple Email Service

Amazon SES-Konzepte für den E-Mail-Empfang

Wenn Sie Amazon SES als E-Mail-Receiver verwenden, müssen Sie dem Service Anweisungen geben, wie mit Ihren E-Mails zu verfahren ist. Die primäre Methode, Empfangsregeln, ermöglicht eine abgestimmte Kontrolle über Ihren E-Mail-Empfang, indem SieEmpfängerbasiertes Steuerelement, um eine Reihe von Aktionen anzugeben, die basierend auf dem Empfänger ausgeführt werden sollen. Die andere Methode, IP-Adressfilter, bietet eine breite Ebene vonIP-basierte Steuerung, um E-Mails basierend auf der ursprünglichen IP-Adresse oder dem IP-basierten Adressbereich zu blockieren oder zuzulassen.

Diese beiden Methoden werden in diesem Abschnitt beschrieben, zusammen mit einer Übersicht darüber, wie Amazon SES empfangene E-Mails verarbeitet, und Anwendungsfälle, die Ihnen helfen, beim Einrichten von Regeln und Filtern Ihre E-Mails zu empfangen, zu filtern und zu verarbeiten.

Empfängerbasierte Steuerung mit Zahlungsregeln

Die primäre Möglichkeit, Ihre eingehenden E-Mails zu steuern, besteht darin, anzugeben, wie E-Mails über eine geordnete Liste von Aktionen für Ihre verifizierten Identitäten, zu denen Domänen, Unterdomänen oder E-Mail-Adressen gehören, behandelt werden. Beachten Sie, dass die E-Mail-Adressen zu einer Ihrer verifizierten Domänenidentitäten gehören müssen. Diese Aktionen sind definiert und in Empfangsregeln, die Sie innerhalb eines Regelsatzes erstellen.

Als Option können Sie auch Empfängerbedingungen hinzufügen, um anzugeben, dass die Aktionen nur ausgeführt werden, wenn der Empfänger, an den die eingehende E-Mail adressiert ist, mit einer Empfängeridentität übereinstimmt, die in der Bedingung festgelegt ist. Sind Sie beispielsweise im Besitz der Domäne example.com, können Sie angeben, dass E-Mails für user@example.com unzustellbar sind und alle anderen E-Mails für example.com und ihre Subdomänen zugestellt werden sollen.

Andernfalls, wenn Sie keine Empfängerbedingungen hinzufügen, werden die Aktionen auf alle E-Mail-Adressen, Domänen und Unterdomänen angewendet, die zu Ihren verifizierten Domänen gehören. Die folgenden Aktionen können auf Ihre Zahlungsregeln angewendet werden:

  • "Add Header"-Aktion – Fügt der empfangenen E-Mail einen Header hinzu. Diese Aktion wird normalerweise nur in Kombination mit anderen Aktionen verwendet.

  • Return bounce response action (Aktion Unzustellbarkeitsantwort ablehnen) – Lehnt die E-Mail mit einer Unzustellbarkeitsnachricht an den Sender ab und benachrichtigt Sie optional über Amazon SNS.

  • Invoke AWS Lambda-Aktion –Ruft Ihren Code über eine Lambda-Funktion auf und benachrichtigt Sie optional über Amazon SNS.

  • Deliver to S3 bucket action (Aktion zu S3-Bucket bereitstellen) – Stellt die E-Mail einem Amazon S3-Bucket zu und benachrichtigt Sie optional über Amazon SNS.

  • Aktion zum Veröffentlichen in Amazon SNS -Thema —Veröffentlichen der E-Mail in einem Amazon SNS -Thema.

    Anmerkung

    Die SNS-Aktion beinhaltet eine vollständige Kopie der E-Mail-Inhalte in den Amazon SNS-Benachrichtigungen. Die anderen hier genannten Amazon SNS-Benachrichtigungen dienen dazu, Sie über die E-Mail-Zustellung zu informieren. Sie enthalten Informationen über die E-Mail, nicht die eigentlichen E-Mail-Inhalte.

  • "Stop"-Aktion – Beendet die Auswertung des Empfangsregelsatzes und benachrichtigt Sie optional über Amazon SNS.

  • WorkMail-Aktion– Bearbeitet die E-Mail mit Amazon WorkMail. Diese Aktion verwenden Sie in der Regel nicht direkt, da sich Amazon WorkMail um die die Einrichtung kümmert.

Empfangsregeln werden in Empfangsregelsätze gruppiert. Wenn Sie über keinen vorhandenen Regelsatz verfügen, müssen Sie zunächst einen Regelsatz erstellen, bevor Sie mit dem Erstellen von Zahlungsregeln beginnen. Sie können mehrere Empfangsregelsätze für Ihr AWS-Konto definieren, aber es kann jeweils nur ein Empfangsregelsatz aktiv sein. Die folgende Abbildung zeigt, wie Empfangsregeln, Empfangsregelsätze und Aktionen miteinander in Beziehung stehen.


                Übersicht über eingehende E-Mail

IP-basierte Steuerung mit IP-Adressfiltern

Sie können Ihren E-Mail-Verkehr auf einer breiteren Ebene durch Einrichten von IP-Adressenfilter kontrollieren. IP-Adressenfilter sind optional und ermöglichen Ihnen, anzugeben, ob E-Mails, die von einer IP-Adresse oder aus einem IP-Adressbereich stammen, akzeptiert oder blockiert werden sollen. Ihre IP-Adressenfilter können Blockierungslisten (IP-Adressen, von denen Sie eingehende E-Mails blockieren möchten) und Freigabelisten (IP-Adressen, von denen Sie die E-Mails immer akzeptieren möchten) umfassen.

IP-Adressenfilter sind nützlich, um Spam zu blockieren. Amazon SES unterhält eine eigene Blockierungsliste mit IP-Adressen, die für das Senden von Spam bekannt sind. Sie können jedoch festlegen, ob E-Mails von diesen IP-Adressen empfangen werden sollen, indem Sie sie in Ihre Zulassungsliste aufnehmen. Da es keine Protokolle gibt, die zeigen, welche IP-Adressen blockiert werden, muss der gesperrte Absender Sie informieren. Dies ist auch eine gute Gelegenheit, dem Absender zu helfen, festzustellen, ob sich seine IP-Adresse in einer Blockierungsliste wie Spamhaus befindet, und ihm zu empfehlen, einen Antrag zu stellen, von der Liste entfernt zu werden. Dies ist sowohl für Sie als auch für den Absender von Vorteil, da Sie keinen IP-Adressfilter für ihn pflegen müssen und der Absender seine E-Mail-Zustellbarkeit verbessern kann.

Anmerkung
  • Wenn Sie möchten, dass E-Mails, die von einer Amazon EC2-IP-Adresse stammen, zugelassen werden, müssen Sie sie der Freigabeliste hinzufügen. Alle E-Mails, die von Amazon EC2 stammen, sind standardmäßig blockiert.

  • Wenn Sie nur E-Mails von einer endlichen Liste bekannter IP-Adressen erhalten möchten, richten Sie eine Blockierungsliste mit 0.0.0.0/0 und eine Freigabeliste ein, die die IP-Adressen enthält, denen Sie vertrauten. Diese Konfiguration blockiert alle IP-Adressen standardmäßig und lässt nur E-Mails von den IP-Adressen zu, die Sie explizit angeben.

E-Mail-Empfangsprozess

Wenn Amazon SES eine E-Mail für Ihre Domäne empfängt, treten die folgenden Ereignisse ein:

  1. Amazon SES sucht zuerst die IP-Adresse des Senders. Amazon SES erlaubt, dass die E-Mail diese Stufe passiert, es sei denn:

    • Die IP-Adresse ist in Ihrer Blockierungsliste enthalten.

    • Die IP-Adresse ist in der Amazon SES-Blockierungsliste und nicht in Ihrer Freigabeliste aufgeführt.

  2. Amazon SES untersucht Ihren aktiven Empfangsregelsatz, um zu ermitteln, ob Ihre Empfangsregeln eine Bedingung enthalten, die einem der Empfänger der eingehenden E-Mail entspricht.

    • Wenn es eine Empfängerbedingung gibt und sie mit einem der Empfänger der eingehenden E-Mail übereinstimmt, akzeptiert Amazon SES die E-Mail. Wenn es keine Übereinstimmungen gibt, blockiert Amazon SES die E-Mail.

    • Wenn die Zahlungsregel keine Empfängerbedingung enthält, akzeptiert Amazon SES die E-Mail. Alle Aktionen der Regel gelten für alle verifizierten Identitäten, die Sie besitzen.

  3. Amazon SES authentifiziert die E-Mail und scannt ihren Inhalt auf Spam und Malware:

    • Die IP-Adresse des Remote-Hosts, der die E-Mail an Amazon SES gesendet hat, wird mit der SPF-Richtlinie verglichen, die unter der Domäne von MAIL FROM angegeben wurde, die während der SMTP-Transaktion verwendet wurde.

    • Die DKIM-Signaturen im Header-Bereich der E-Mail werden überprüft.

    • Wenn das Scannen von Inhalten aktiviert ist, wird der E-Mail-Inhalt auf Spam und Malware gescannt.

    • Die Ergebnisse der E-Mail-Authentifizierung und der Inhaltsüberwachung werden Ihnen während der Auswertung der Empfangsregeln zur Verfügung gestellt.

    Weitere Informationen finden Sie unter E-Mail-Authentifizierung und Malware-Erkennung.

  4. Für die E-Mail, die Amazon SES akzeptiert, werden alle Zahlungsregeln innerhalb Ihres aktiven Regelsatzes in der von Ihnen definierten Reihenfolge angewendet. Innerhalb jeder Zahlungsregel werden die Aktionen in der von Ihnen definierten Reihenfolge ausgeführt.

Anwendungsfälle und Einschränkungen für den Erhalt Amazon SES E-Mails

In diesem Abschnitt werden einige allgemeine Überlegungen und Anwendungsfälle für den Empfang von Amazon SES E-Mails behandelt. Im Frage- und Antwortformat werden häufig gestellte Fragen und Fakten vorgestellt, um festzustellen, ob es von Vorteil wäre, dass Amazon SES E-Mails im Namen einer oder mehrerer verifizierter Domänen empfangen und verwalten kann, die Sie besitzen.

Regionale Verfügbarkeit

Unterstützt Amazon SES das Empfangen von E-Mails in Ihrer Region?

Amazon SES unterstützt E-Mail-Empfang nur in bestimmten AWS-Regionen. Eine vollständige Liste der Regionen, in denen der E-Mail-Empfang unterstützt wird, finden Sie unter Amazon Simple Email Service-Endpunkte und -quoten und in den AWS General Reference.

POP- oder IMAP-basierte E-Mail-Clients

Kann Microsoft Outlook zum Empfangen eingehender E-Mails verwendet werden?

Amazon SES enthält keine POP- oder IMAP-Server für den Empfang eingehender E-Mails. Dies bedeutet, dass Sie keinen E-Mail-Client wie beispielsweise Microsoft Outlook zum Empfangen eingehender E-Mails verwenden können. Wenn Sie eine Lösung wünschen, mit der Sie E-Mails über einen E-Mail-Client senden und empfangen können, erwägen Sie Amazon WorkMail, zu verwenden.

Nutzung anderer AWS-Services

Haben Sie die entsprechenden Berechtigungen einrichten?

Wenn Sie möchten, dass Ihre E-Mail-Nachrichten einem Amazon-S3-Bucket zugestellt werden, in einem nicht eigenen Amazon-SNS-Thema veröffentlicht werden, eine Lambda-Funktion auslösen oder einen benutzerdefinierten -Hauptschlüssel verwenden, müssen Sie Amazon SES die Berechtigung für den Zugriff auf diese Ressourcen erteilen. Um Amazon SES den Zugriff zu erteilen, erstellen Sie Richtlinien für die Ressourcen über die Konsolen oder APIs dieser AWS-Services. Weitere Informationen finden Sie unter Erteilen von Berechtigungen.

E-Mail-Inhalt

Wie soll Amazon SES Ihnen die E-Mail-Inhalte übergeben?

Amazon SES kann Ihnen die E-Mail-Inhalte auf zwei Arten bereitstellen: Entweder werden die E-Mails in einem von Ihnen angegebenem Amazon-S3-Bucket gespeichert oder Sie erhalten eine Amazon-SNS-Benachrichtigung mit einer Kopie der E-Mail. Amazon SES stellt Ihnen die unformatierte, ungeänderte E-Mail zu, die in der Regel das Format Multipurpose Internet Mail Extensions (MIME) hat. Weitere Informationen zum MIME-Format finden Sie unter RFC 2045.

Wie groß sind die E-Mails, die Sie erhalten werden?

Wenn Sie Ihre E-Mails in einem S3-Bucket speichern, beträgt die maximale E-Mail-Größe (einschließlich Header) 40 MB. Wenn Sie Ihre E-Mails über Amazon-SNS-Benachrichtigungen erhalten, beträgt die maximale E-Mail-Größe (einschließlich Header) 150 KB.

Wie soll die Verarbeitung Ihrer E-Mail ausgelöst werden?

Nachdem Ihre E-Mail zugestellt wurde, möchten Sie sie mit Ihrem eigenen Code verarbeiten. Ihre Anwendung kann beispielsweise die Base64-kodierten E-Mails in ein anzeigbares Format konvertieren und sie einem Endbenutzer dann über einen E-Mail-Client verfügbar machen. Es gibt mehrere Möglichkeiten, diesen Prozess zu starten:

  • Wenn Ihre E-Mails an Amazon S3 übermittelt werden, kann Ihre Anwendung von S3-Aktionen generierte Amazon-SNS-Benachrichtigungen empfangen, die Mitteilungs-ID der E-Mail aus den Benachrichtigungen extrahieren und die E-Mail mithilfe der Mitteilungs-ID aus Amazon S3 abrufen.

    Alternativ können Sie die E-Mail-Verarbeitung in Ihre Empfangsregeln integrieren, indem Sie eine Lambda-Funktion schreiben. In diesem Fall sollte Ihre Empfangsregel die E-Mail zuerst in Amazon S3 schreiben und dann die Lambda-Funktion auslösen. Lambda-Aktionen können über Ihre Empfangsregeln synchron oder asynchron ausgeführt werden, je nachdem, ob die Lambda-Funktion ein Ergebnis zurückgeben muss, das die Ausführung anderer Aktionen beeinflusst. Wir empfehlen, dass Sie die asynchrone Ausführung verwenden, es sei denn, für Ihren Anwendungsfall ist synchron unbedingt notwendig. Weitere Informationen über AWS Lambda finden Sie im AWS Lambda-Entwicklerleitfaden.

  • Wenn Ihre E-Mails über eine Amazon-SNS-Benachrichtigung mit der SNS-Aktion zugestellt werden, kann Ihre Anwendung Amazon-SNS-Benachrichtigungen empfangen und dann die E-Mail-Nachrichten aus den Benachrichtigungen extrahieren.

Möchten Sie, dass die E-Mails verschlüsselt werden?

Amazon SES kann in AWS Key Management Service (AWS KMS) integriert werden, um die E-Mails, die in Ihren Amazon-S3-Bucket geschrieben werden, optional zu verschlüsseln. Amazon SES nutzt die clientseitige Verschlüsselung, um Ihre E-Mail zu verschlüsseln, bevor sie in Amazon S3 geschrieben wird. Dies bedeutet, dass Sie den Inhalt Ihrerseits entschlüsseln müssen, nachdem Sie die E-Mail von Amazon S3 abgerufen haben. AWS SDK for Java und AWS SDK for Ruby stellen einen Client bereit, der die Entschlüsselung für Sie übernehmen kann. Amazon SES kann die E-Mails nur für Sie entschlüsseln, wenn Sie auswählen, Ihre E-Mail-Nachrichten an einen Amazon-S3-Bucket zustellen zu lassen.

Unerwünschte E-Mail

An welchem Punkt des E-Mail-Empfangsprozesses möchten Sie unerwünschte E-Mails blockieren?

Wenn ein Absender versucht, eine E-Mail an einen Empfänger zu senden, tauscht der E-Mail-Server des Absenders mit dem Server des Empfängers eine Sequenz von Befehlen aus. Diese Sequenz wird als SMTP-Aushandlung bezeichnet.

Sie können eingehende E-Mails an zwei Punkten des E-Mail-Empfangsprozesses blockieren – während der SMTP-Aushandlung und nach der SMTP-Aushandlung. Verwenden Sie IP-Adressenfilter, um Nachrichten während der SMTP-Aushandlung zu blockieren, und Empfangsregeln zum Blockieren von E-Mails nach der SMTP-Aushandlung.

Mit IP-Adressenfiltern können Sie E-Mails blockieren, die von bestimmten IP-Adressen stammen. Das Blockieren unerwünschter E-Mails mit Hilfe von IP-Adressenfiltern hat den Vorteil, dass für Nachrichten, die während der SMTP-Aushandlung blockiert werden, keine Gebühren anfallen. Der Nachteil der Verwendung von IP-Adressenfiltern besteht darin, dass die E-Mails der angegebenen IP-Adressen ohne Analyse des tatsächlichen Inhalts blockiert werden. Weitere Informationen zu IP-Adressfiltern finden Sie unter Exemplarische Vorgehensweise bei der Konfiguration von IP-Adressenfiltern.

Sie können Empfangsregeln nutzen, um basierend auf der Adresse (oder Domäne bzw. Subdomäne), an die die Nachricht gesendet wurde, eine Unzustellbarkeitsbenachrichtigung an den Absender zu senden. Der Vorteil der Verwendung von Empfangsregeln besteht darin, dass Sie weitere Analysen eingehender Nachrichten durchführen können, bevor Sie eine Unzustellbarkeitsbenachrichtigung an den Absender schicken. So können Sie beispielsweise AWS Lambda verwenden, um nur dann eine Unzustellbarkeitsbenachrichtigung zu senden, wenn die DKIM-Authentifizierung für eine Nachricht fehlschlägt oder sie als Spam eingestuft wird. Der Nachteil der Verwendung von Empfangsregeln besteht darin, dass Empfangsregeln erst nach der SMTP-Aushandlung verarbeitet werden, weshalb Ihnen jede empfangene Nachricht in Rechnung gestellt wird. Es können auch Kosten anfallen, wenn Sie Lambda verwenden, um den Inhalt der eingehenden Nachrichten zu analysieren. Weitere Informationen zu Empfangsregeln finden Sie unter Exemplarische Vorgehensweise in der Konsole für Zahlungsregeln erstellen. Weitere Informationen zur Verwendung von Lambda für die Analyse eingehender E-Mails finden Sie unter Beispiele für Lambda-Funktionen.

E-Mail-Streams

Wie möchten Sie den E-Mail-Stream teilen?

Ihre Domäne empfängt wahrscheinlich E-Mail verschiedener Klassen. Ein Teil der E-Mail Ihrer Domäne, z. B. eine E-Mail an den user@example.com, kann beispielsweise an ein privates Postfach gerichtet sein. Andere E-Mails, z. B. eine E-Mail an unsubscribe@example.com, ist stattdessen eher für automatisierte Systeme bestimmt. Sie können Ihre eingehenden E-Mails mithilfe von Empfangsregeln teilen, sodass sie unterschiedlich verarbeitet werden können. Weitere Informationen zum Einrichten von Empfangsregeln finden Sie unter Erstellen von Empfangsregeln.

E-Mail-Empfang von Authentifizierung und Malware-Scan

Amazon SES authentifiziert jede empfangene E-Mail und scannt optional den Inhalt der E-Mail auf Spam und Malware. SES ergreift keine Maßnahmen für empfangene E-Mails basierend auf den Ergebnissen der E-Mail-Authentifizierung oder des Inhaltsscans. Die Ergebnisse dieser Vorgänge werden Ihnen jedoch als Attribute zur Verfügung gestellt, die Sie in SES-Empfangsregelaktionen wie Amazon-SNS-Benachrichtigungen oder als Header in einer Nachricht übermittelt an Amazon S3 verwenden können.

E-Mail-Authentifizierung

Amazon SES authentifiziert jede empfangene E-Mail mit SPF, DKIM und DMARC. Die Ergebnisse jedes Authentifizierungsmechanismus finden Sie in den Amazon-SNS-Benachrichtigungen, die SES im Rahmen der Auswertung der Regeln im aktiven Empfangsregelsatz versendet. Wenn Sie sich außerdem dafür entschieden haben, eine Kopie der E-Mail in Amazon S3 zu erhalten, wird das Ergebnis der E-Mail-Authentifizierung im Authentication-Results-Header erfasst, den SES dem Header-Abschnitt der E-Mail hinzufügt:

Authentication-Results: example.com; spf=pass (spfCheck: 10.0.0.1 is permitted by domain of example.com) client-ip=10.0.0.1; envelope-from=example@example.com; helo=10.0.0.1; dkim=pass header.i=example.com; dkim=permerror header.i=some-example.com; dmarc=pass header.from=example@example.com;

Der Authentication-Results-Header ist in RFC 8601 beschrieben

Scannen von E-Mail-Inhalten auf Spam- und Malware-Erkennung

Amazon SES scannt empfangene E-Mail-Inhalte auf Malware, abhängig vom Wert des Attributs ScanEnabled (API) oder Spam- und Virenscan (Konsole) der Empfangsregel, die mit der E-Mail übereinstimmte. Standardmäßig scannt SES empfangene E-Mail-Inhalte auf Malware. Um die Inhaltsüberwachung für empfangene E-Mails zu deaktivieren, die einer bestimmten Empfangsregel entsprechen, müssen Sie das ScanEnabled-Flag der Empfangsregel auf false festlegen, wenn Sie die API verwenden, oder das Kontrollkästchen Spam- und Virenscan deaktivieren, wenn Sie die Konsole verwenden. Wenn die Empfangsregel, die mit einer E-Mail übereinstimmte, Scan aktiviert ist, wird das Ergebnis des Inhaltsscans in den Amazon-SNS-Benachrichtigungen bereitgestellt, die SES im Rahmen der Bewertung der Regeln im aktiven Empfangsregelsatz versendet. Wenn Sie sich außerdem dafür entschieden haben, eine Kopie der E-Mail in Amazon S3 zu erhalten, wird das Ergebnis des Inhaltsscans in den X-SES-Spam-Verdict- und X-SES-Virus-Verdict-Headern erfasst, die SES dem Header-Abschnitt der E-Mail hinzufügt.

X-SES-Spam-Verdict: PASS X-SES-Virus-Verdict: FAIL

Die möglichen Werte für die obigen Header sind aufgeführt in:

Nachdem Sie sich die Konzepte für den Empfang von E-Mails verstanden haben, wie es funktioniert und die Anwendungsfälle sind, können Sie die ersten Schritte unter Einrichten des E-Mail-Empfangs in starten.