Übersicht über die Amazon-SES-Sendeautorisierung - Amazon Simple Email Service

Übersicht über die Amazon-SES-Sendeautorisierung

Dieses Thema bietet eine Übersicht über den Vorgang der Sendeautorisierung und erklärt, wie die Amazon-SES-Funktionen zum Senden von E-Mails, z. B. Sendekontingente und Benachrichtigungen, in Bezug auf die Sendeautorisierung funktionieren.

In diesem Abschnitt werden die folgenden Begriffe verwendet:

  • Identität – Eine E-Mail-Adresse oder Domäne, die Amazon-SES-Benutzer zur Versendung von E-Mails verwenden.

  • Identitätsbesitzer – Ein Amazon-SES-Benutzer, der aufgrund der unter Verifizierte Identitäten beschriebenen Verfahren die verifizierte Eigentümerschaft über eine E-Mail-Adresse oder Domäne besitzt.

  • Delegiertes Senden – Ein AWS-Konto, ein AWS Identity and Access Management (IAM)-Benutzer oder ein AWS-Service, der durch eine Autorisierungsrichtlinie autorisiert wurde, E-Mails im Namen des Identitätsbesitzers zu senden.

  • Sendeautorisierungsrichtlinie – Ein Dokument, das Sie einer Identität anfügen können, um festzulegen, welche Benutzer für diese Identität und unter welchen Bedingungen E-Mails senden können

  • Amazon-Ressourcenname (ARN) – Eine standardisierte Kennzeichnung, die eine AWS-Ressource über alle AWS-Services hinweg identifiziert. Für die Sendeberechtigung ist die Ressource die Identität, deren Verwendung der Identitätsbesitzer dem delegierten Sender autorisiert hat. Hier sehen Sie ein Beispiel für einen ARN arn:aws:ses:us-east-1:123456789012:identity/example.com.

Sendeautorisierungsverfahren

Die Sendeautorisierung beruht auf den Sendeautorisierungsrichtlinien. Wenn Sie einem stellvertretenden Sender die Berechtigung erteilen möchten, E-Mails in Ihrem Auftrag senden zu können, müssen Sie eine Sendeautorisierungsrichtlinie erstellen, die Sie mithilfe der Amazon-SES-Konsole oder der Amazon-SES-API Ihrer Identität zuordnen. Wenn der stellvertretende Sender versucht, in Ihrem Namen eine E-Mail über Amazon SES zu senden, muss er den ARN Ihrer Identität in der Anfrage oder in der Kopfzeile der E-Mail übergeben.

Wenn Amazon SES die Anfrage zum Senden der E-Mail erhält, überprüft der Service die Richtlinie der Identität (sofern vorhanden), um festzustellen, ob Sie den stellvertretenden Sender autorisiert haben, im Namen der Identität E-Mails zu senden. Wenn der stellvertretende Sender autorisiert ist, akzeptiert Amazon SES die E-Mail, andernfalls gibt Amazon SES eine Fehlermeldung zurück.

Das folgende Diagramm zeigt die enge Beziehung zwischen den Konzepten der Sendeautorisierung:


                Übersicht über die Sendeautorisierung

Das Sendeautorisierungsverfahren besteht aus den folgenden Schritten:

  1. Der Identitätsbesitzer überprüft eine Identität mit Amazon SES anhand der Amazon-SES-Konsole oder der Amazon-SES-API. Weitere Informationen über das Verifizierungsverfahren finden Sie unter Verifizierte Identitäten.

  2. Der delegierte Sender teilt dem Identitätsbesitzer mit, welche AWS-Konto-ID oder welchen IAM-Benutzer-ARN er zum Senden verwenden möchte.

  3. Wenn der Identitätsbesitzer zustimmt, dass der delegierte Sender von einem seiner Konten aus senden darf, erstellt er eine Sendeautorisierungsrichtlinie und hängt die Richtlinie über die Amazon-SES-Konsole oder die Amazon-SES-API an die ausgewählte Identität an.

  4. Der Identitätsbesitzer gibt dem delegierten Sender den ARN der autorisierten Identität, damit der delegierte Sender den ARN beim Senden der E-Mail an Amazon SES übermitteln kann.

  5. Der delegierte Sender kann Unzustellbarkeits- und Beschwerdebenachrichtigungen über Event Publishing (Ereignisveröffentlichung) einrichten, die in einem Konfigurationssatz aktiviert ist, der beim delegierten Senden festgelegt wurde. Der Identitätsbesitzer kann auch E-Mail-Feedback-Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, die an die Amazon-SNS-Themen des delegierten Senders gesendet werden.

    Anmerkung

    Wenn der Identitätsbesitzer Sendeereignisbenachrichtigungen deaktiviert, muss der stellvertretende Sender Ereignisveröffentlichung einrichten, um Unzustellbarkeits- und Beschwerdeereignisse in einem Amazon-SNS-Thema oder einem Kinesis-Data-Firehose-Stream zu veröffentlichen. Der Sender muss ebenfalls den Konfigurationssatz, der die Ereignisveröffentlichungsregel enthält, auf jede E-Mail, die er sendet, anwenden. Wenn weder der Identitätsbesitzer noch der stellierte Absender eine Methode zum Senden von Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, sendet Amazon SES automatisch Ereignisbenachrichtigungen per E-Mail an die Adresse im Feld „Antwortpfad bei Unzustellbarkeit“ der E-Mail (oder die Adresse im Feld „Quelle“, wenn Sie keine Absenderpfadadresse angegeben haben), selbst wenn der Identitätsbesitzer die Weiterleitung von E-Mail-Feedback deaktiviert hat.

  6. Der stellvertretende Sender versucht, im Namen des Identitätsbesitzers eine E-Mail über Amazon SES zu senden, indem er den ARN der Identität des Identitätsbesitzers in der Anfrage oder in der Kopfzeile der E-Mail übergibt. Der stellvertretende Sender kann die E-Mail entweder über die Amazon-SES-SMTP-Schnittstelle oder die Amazon-SES-API senden. Nach Eingang der Anfrage untersucht Amazon SES alle Richtlinien, die der Identität angefügt wurden, und akzeptiert die E-Mail, wenn der stellvertretende Sender zur Verwendung der angegebenen „Von-“ und „Rücksendepfad-“ -Adresse autorisiert ist. Andernfalls gibt einen Fehler zurück und die Nachricht wird nicht akzeptiert.

    Wichtig

    Die AWS-Konten sowohl des Identitätsbesitzers als auch des stellvertretenden Senders müssen aus der Sandbox entfernt werden, bevor eines der Konten E-Mails an nicht verifizierte Adressen senden kann.

  7. Wenn der Identitätsbesitzer die Autorisierung des stellvertretenden Senders aufheben muss, muss der Identitätsbesitzer die Richtlinie für die Sendeautorisierung bearbeiten oder die Richtlinie vollständig löschen. Der Identitätsbesitzer kann jede dieser Aktionen über die Amazon-SES-Konsole oder die Amazon-SES-API ausführen.

Weitere Informationen darüber, wie der Identitätsbesitzer oder der delegierte Sender diese Aufgaben ausführt, finden Sie unter Aufgaben des Identitätsbesitzers bzw. Delegieren der Senderaufgaben.

Zuordnung der Funktionen für den E-Mail-Versand

Es ist wichtig, die Rolle des delegierten Senders und des Identitätsbesitzers in Bezug auf die Funktionen des Amazon-SES-E-Mail-Versands zu verstehen. Diese Funktionen umfassen beispielsweise die tägliche Sendequote, Unzustellbarkeitsnachrichten und Beschwerden, DKIM-Signatur, Feedback-Weiterleitung usw. Die Zuordnung erfolgt folgendermaßen:

  • Sendequoten – E-Mails, die über die Identitäten des Identitätsbesitzers gesendet werden, werden auf die täglichen Sendekontingente des stellvertretenden Senders angerechnet.

  • Unzustellbarkeitsnachrichten und Beschwerden – Unzustellbarkeits- und Beschwerdeereignisse werden für das Amazon-SES-Konto des stellvertretenden Senders dokumentiert und können sich daher auf die Reputation des stellvertretenden Senders auswirken.

  • DKIM-Signatur – Wenn der Identitätsbesitzer die Easy DKIM-Signatur für eine Identität aktiviert hat, verfügen alle von dieser Identität gesendeten E-Mails über die DKIM-Signatur, einschließlich E-Mails, die von dem stellvertretenden Sender gesendet wurden. Nur der Identitätsbesitzer kann steuern, ob die E-Mails mit einer DKIM-Signatur versehen werden.

  • Benachrichtigungen – Sowohl der Identitätsbesitzer als auch der stellvertretende Sender kann Benachrichtigungen für Unzustellbarkeitsnachrichten und Beschwerden einrichten. Der E-Mail-Identitätsbesitzer kann auch die Weiterleitung von E-Mail-Feedback aktivieren. Weitere Informationen zum Einrichten von Benachrichtigungen finden Sie unter Überwachen Ihrer Amazon SES-Sendeaktivität.

  • Verifizierung – Identitätsbesitzer müssen sicherstellen, dass sie die Verfahren unter Verifizierte Identitäten befolgen, um zu gewährleisten, dass sie die E-Mail-Adressen und Domänen auch tatsächlich besitzen, bevor sie delegierte Sender zu deren Verwendung autorisieren. Delegierte Sender müssen speziell für die Sendeautorisierung keine E-Mail-Adressen oder Domänen bestätigen.

    Wichtig

    Die AWS-Konten sowohl des Identitätsbesitzers als auch des stellvertretenden Senders müssen aus der Sandbox entfernt werden, bevor eines der Konten E-Mails an nicht verifizierte Adressen senden kann.

  • AWS-Regionen – Der stellvertretende Sender muss die E-Mails von der AWS-Region senden, in der der Identitätsbesitzer verifiziert ist. Die Richtlinie für die Sendeautorisierung, die dem stellvertretenden Sender seine Berechtigung erteilt, muss der Identität in dieser Region angefügt sein.

  • Fakturierung – Alle Nachrichten, die aus dem Konto des stellvertretenden Senders gesendet werden, einschließlich E-Mails, die der stellvertretende Sender unter Verwendung der Adressen des Identitätsbesitzers sendet, werden dem stellvertretenden Sender in Rechnung gestellt.