Introducción a la autorización de envío de Amazon SES - Amazon Simple Email Service Classic

Esta es la guía del usuario para Amazon SES Classic. Las actualizaciones y las nuevas características solo se documentan en elnueva Guía para desarrolladores de Amazon SESque recomendamos usar.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a la autorización de envío de Amazon SES

En este tema se proporciona información general sobre el proceso de autorización de envío y, a continuación, se explica cómo las características de envío de correo electrónico de Amazon SES, tales como las cuotas de envío y las notificaciones, trabajan con la autorización de envío.

En esta sección, se usan los siguientes términos:

  • Identidad: una dirección de correo electrónico o dominio que los usuarios de Amazon SES utilizan para enviar correo electrónico.

  • Propietario de identidad: un usuario de Amazon SES que tiene una propiedad verificada de una dirección de correo electrónico o dominio utilizando el procedimiento descrito enVerificación de identidades.

  • Delege remitente delegado— Una entidad que recibe autorización para enviar correo electrónico desde una identidad de la que no es propietario. Una cuenta de AWS, unaAWS Identity and Access ManagementEl usuario de (IAM) o un servicio de AWS pueden tener esteentre cuentasautoridad.

  • Política de autorización de envío: un documento que adjunta a una identidad para especificar quién puede realizar envíos para esa identidad y en qué condiciones.

  • nombre de recurso de Amazon (ARN)Una forma estandarizada de identificar de manera inequívoca un recurso de AWS en todos los servicios de AWS. En el caso de una autorización de envío, el recurso es la identidad que el propietario de la identidad desea que utilice el remitente delegado. Un ejemplo de ARN es arn:aws:ses:us-west-2:123456789012:identity/example.com.

Proceso de autorización de envío

La autorización de envío se basa en políticas de autorización de envío. Si desea habilitar un remitente delegado para que realice envíos en su nombre, debe crear una política de autorización de envío y asociar la política a su identidad a través de la consola de Amazon SES o la API de Amazon SES. Cuando el remitente delegado intenta enviar un correo electrónico a través de Amazon SES en su nombre, el remitente delegado transfiere el ARN de su identidad en la solicitud o en el encabezado del correo electrónico.

Cuando Amazon SES recibe la solicitud para enviar el correo electrónico, comprueba la política de su identidad (si la hay) para determinar si ha autorizado al remitente delegado para enviar en nombre de la identidad. Si el remitente delegado está autorizado, Amazon SES acepta el correo electrónico; en caso contrario, Amazon SES devuelve un mensaje de error.

En el siguiente diagrama se muestra la relación de alto nivel entre los conceptos de autorización de envío:


                Descripción general de la autorización de envío

El proceso de autorización de envío consta de los siguientes pasos:

  1. El propietario de identidad verifica una identidad con Amazon SES a través de la consola de Amazon SES o el API de Amazon SES. Para obtener más información acerca del procedimiento de verificación, consulte Verificación de identidades.

  2. El remitente delegado ofrece al propietario de identidad el ID de cuenta de AWS, el ARN de usuario de IAM de o el nombre de servicio de AWS de la entidad que haga el envío.

  3. El propietario de identidad crea una política de autorización de envío y adjunta la política a la identidad mediante la consola de Amazon SES o el API de Amazon SES.

  4. El propietario de la identidad ofrece el remitente delegado el ARN de la identidad, de modo que el remitente delegado puede proporcionar el ARN a Amazon SES en el momento en que se envía el correo electrónico.

  5. El remitente delegado configura las notificaciones de rebotes y reclamaciones. El propietario de identidad también puede configurar notificaciones de retroalimentación de correo electrónico para los eventos de rebotes y reclamaciones. El propietario de identidad y el remitente delegado también pueden configurar la publicación de eventos para capturar datos de eventos de envío.

    nota

    Si el propietario de identidad deshabilita las notificaciones de eventos de envío, el remitente delegado debe configurar la publicación de eventos para publicar los eventos de rebotes y reclamaciones en un tema de Amazon SNS o un flujo de Kinesis Data Firehose. El remitente debe aplicar también el conjunto de configuración que contiene la regla de publicación de eventos a cada mensaje de correo electrónico que envíe. Si ni el propietario de identidad ni el remitente delegado configuran un método de envío de notificaciones para eventos de rebotes y reclamaciones, Amazon SES envía automáticamente notificaciones de eventos por correo electrónico a la dirección que figura en el campo Return-Path del mensaje (o a la dirección del campo Source, si no se ha especificado una Return-Path). -Dirección de ruta), incluso si el propietario de la identidad deshabilitó el reenvío de comentarios por correo electrónico.

  6. El remitente delegado intenta enviar un correo electrónico a través de Amazon SES en nombre del propietario de identidad transfiriendo el ARN de la identidad del propietario de identidad en la solicitud o en el encabezado del correo electrónico. El remitente delegado puede enviar el correo electrónico utilizando la interfaz de SMTP de Amazon SES o la API de Amazon SES. Tras recibir la solicitud, Amazon SES examina las políticas que se han adjuntado a la identidad y acepta el correo electrónico si el remitente delegado está autorizado para utilizar la dirección de remitente «From» especificada y la dirección de ruta de retorno «Return Path»; de lo contrario, Amazon SES devuelve un error y no acepta el mensaje.

  7. Si el propietario de identidad necesita anular la autorización del remitente delegado, deberá editar la política de autorización de envío o eliminar la política en su totalidad. El propietario de identidad puede realizar ambas acciones a través de la consola de Amazon SES o la API de Amazon SES.

Para obtener más información acerca de cómo el propietario de la identidad o el remitente delegado realizan estas tareas, consulte Tareas del propietario de identidad o Tareas del remitente delegado, respectivamente.

Atribución de características de envío de correo electrónico

Es importante entender la función del remitente delegado y del propietario de la identidad con respecto a las características de envío de correo electrónico de Amazon SES, tales como la cuota de envío diaria, los rebotes y las reclamaciones, la firma de DKIM, el reenvío de retroalimentación, etc. La atribución es la siguiente:

  • Cuotas de envío: el correo electrónico enviado desde las identidades del propietario de identidad se contabiliza en las cuotas del remitente delegado.

  • Rebotes y quejas: los eventos de rebotes y las reclamaciones se contabilizan en la cuenta de Amazon SES del remitente delegado y, por tanto, afectan a la reputación del remitente delegado.

  • Firma DKIMSi el propietario de identidad ha habilitado la firma de Easy DKIM para una identidad, todo el correo electrónico enviado desde dicha identidad estará firmado por DKIM, incluido el correo electrónico enviado por el remitente delegado. Solo el propietario de identidad puede controlar si los correos electrónicos están firmados con DKIM.

  • Notificaciones: el propietario de identidad y el remitente delegado pueden configurar notificaciones para rebotes y reclamaciones. El propietario de la identidad de correo electrónico también puede habilitar el reenvío de retroalimentación de correo electrónico. Para obtener información sobre la configuración de notificaciones, consulte Supervisión de la actividad de envío de Amazon SES.

  • Verificación— Los propietarios de identidad son responsables de seguir el procedimiento enVerificación de identidadesVerifique que son propietarios de las direcciones de correo electrónico y de los dominios cuyo uso autorizan a los remitentes delegados. Los remitentes delegados no tienen que comprobar ninguna dirección de correo electrónico o dominios específicamente para la autorización de envío.

  • Regiones de AWS: el remitente delegado debe enviar los mensajes de correo electrónico desde la región de AWS en la que se verifica la identidad del propietario de identidad. La política de autorización de envío que otorga permiso al remitente delegado debe estar asociada a la identidad en dicha región.

  • Facturación: todos los mensajes que se envían desde la cuenta del remitente delegado, incluidos los correos electrónicos que este envía utilizando las direcciones del propietario de la identidad, se facturan al remitente delegado.