Amazon Simple Email Service
開発者ガイド

Amazon SES の送信承認の概要

このトピックでは、送信承認プロセスの概要を示し、送信承認と Amazon SES の E メール送信機能 (送信制限や通知など) がどのように関係するかについて説明します。

このセクションでは以下の用語を使用します。

  • アイデンティティ – Amazon SES ユーザーが E メールの送信に使用する E メールアドレスまたはドメイン。

  • アイデンティティ所有者 – 「ID の検証」の手順を使用して、E メールアドレスまたはドメインの所有権を検証した Amazon SES ユーザー。

  • 代理送信者 – 所有していないアイデンティティから E メールを送信することを承認されたエンティティ。AWS アカウント、AWS Identity and Access Management (IAM) ユーザー、または AWS のサービスには、このクロスアカウント権限があります。

  • 送信承認ポリシー – アイデンティティにアタッチすることで、そのアイデンティティを使用して送信できるユーザーとその条件を指定できるドキュメント。

  • Amazon リソースネーム (ARN) – すべての AWS サービス間で AWS リソースを一意に識別する標準化された方法。送信承認の場合、リソースとは、アイデンティティ所有者が代理送信者に使用させるアイデンティティのことです。ARN の例は arn:aws:ses:us-west-2:123456789012:identity/example.com などです。

送信認証プロセス

送信承認は、送信承認ポリシーに基づいています。代理送信者が代わりに送信できるようにする場合、Amazon SES コンソールまたは Amazon SES API を使用して、送信承認ポリシーを作成してポリシーを ID に関連付けます。代理送信者がお客様の代わりに Amazon SES を通じて E メールを送信するとき、代理送信者はリクエストまたは E メールのヘッダーで ID の ARN を渡します。

Amazon SES は、E メール送信リクエストを受け取ると、ID のポリシーを確認し(存在する場合)、代理送信者がその ID の代わりに送信することが承認されているかどうかを判断します。代理送信者が承認されている場合、Amazon SES は E メールを受け入れます。承認されていない場合、Amazon SES はエラーメッセージを返します。

次の図は、送信承認の各概念の間の全体的な関係を示しています。


                送信承認の概要

送信承認のプロセスは、以下のステップで構成されています。

  1. ID 所有者が、Amazon SES コンソールまたは Amazon SES API を使用して、Amazon SES で ID を検証します。検証手順については、「ID の検証」を参照してください。

  2. 代理送信者が、送信を行うエンティティの AWS アカウント ID、IAM ユーザー ARN、または AWS のサービス名をアイデンティティ所有者に渡します。

  3. ID 所有者が、Amazon SES コンソールまたは Amazon SES API を使用して送信承認ポリシーを作成し、ポリシーを ID にアタッチします。

  4. ID 所有者が代理送信者に ID の ARN を付与し、代理送信者が E メールの送信時に Amazon SES に ARN を提供できるようにします。

  5. 代理送信者は、バウンスや苦情の通知を設定します。ID 所有者は、バウンスや苦情に対する E メールのバウンスや苦情のイベントフィードバック通知をセットアップすることもできます。ID 所有者と代理送信者はどちらも、イベント発行をセットアップして送信イベントデータをキャプチャすることもできます。

    注記

    ID 所有者が送信イベント通知を無効にする場合、代理送信者は、バウンスイベントと苦情イベントを Amazon SNS トピックまたは Kinesis Data Firehose ストリームに公開するようにイベント発行を設定する必要があります。送信者は、送信する各 E メールにイベント発行ルールを含む設定セットも適用する必要があります。ID 所有者および代理送信者のいずれも、バウンスイベントと苦情イベントの通知を送信する方法を設定していない場合、または送信者がイベント公開ルールを使用する設定セットを適用しない場合は、ID 所有者が E メールのフィードバック転送を無効にしていても、Amazon SES は、E メールの Return-Path フィールドのアドレス (または Return-Path アドレスを指定しなかった場合はソースフィールド) に自動的にイベント通知を E メールで送信します。

  6. 代理送信者は、リクエストまたは E メールのヘッダーで ID 所有者の ID の ARN を渡すことで、ID 所有者の代わりに Amazon SES を通じて E メールを送信します。代理送信者は、Amazon SES SMTP インターフェイスまたは Amazon SES API を使用して E メールを送信できます。Amazon SES は、リクエストを受け取ると、ID にアタッチされたポリシーを調べ、代理送信者が指定された "From" アドレスと "Return Path" アドレスの使用を承認されている場合は E メールを受け入れます。承認されていない場合、Amazon SES はエラーを返し、メッセージを受け入れません。

  7. ID 所有者が代理送信者の承認を解除する場合は、ID 所有者が送信承認ポリシーを編集するか、ポリシーを完全に削除します。ID 所有者は、Amazon SES コンソールまたは Amazon SES API を使用してどちらのアクションも実行できます。

アイデンティティ所有者または代理所有者がこれらのタスクを実行する方法の詳細については、それぞれ「ID 所有者のタスク」または「代理送信者のタスク」を参照してください。

E メール送信機能の属性

日次送信クォータ、バウンスと苦情、DKIM 署名、フィードバック転送などの Amazon SES E メール送信機能に関して、代理送信者とアイデンティティ所有者の役割を理解しておくことが重要です。属性は次のとおりです。

  • 送信制限 – アイデンティティ所有者のアイデンティティから送信される E メールは、代理送信者の 1 日あたりの送信クォータにカウントされます。

  • バウンスと苦情 – バウンスおよび苦情イベントは、代理送信者の Amazon SES アカウントに記録されます。したがって、代理送信者の評価に影響を及ぼします。

  • DKIM 署名 – アイデンティティ所有者がアイデンティティの Easy DKIM 署名を有効にした場合、そのアイデンティティから送信されるすべての E メール (代理送信者が送信した E メールを含む) が DKIM 署名されます。E メールが DKIM 署名されるかどうかをコントロールできるのはアイデンティティ所有者だけです。

  • 通知 – アイデンティティ所有者と代理送信者のいずれも、バウンスと苦情に関する通知を設定できます。E メールのアイデンティティ所有者は、E メールのフィードバック転送を有効にすることもできます。通知のセットアップについては、「Amazon SES 送信アクティビティのモニタリング」を参照してください。

  • 検証 – アイデンティティ所有者には、「ID の検証」の手順に従って、代理送信者に試用を許可する E メールアドレスとドメインを自分が所有していることを検証する責任があります。代理送信者は、送信許可用に指定された E メールアドレスまたはドメインを検証する必要はありません。

  • AWS リージョン – 代理送信者は、アイデンティティ所有者のアイデンティティが検証された AWS リージョンから E メールを送信する必要があります。代理送信者にアクセス許可を付与する承認の送信ポリシーは、そのリージョンのアイデンティティにアタッチする必要があります。

  • 請求 – 代理送信者のアカウントから送信されるすべてのメッセージ (代理送信者がアイデンティティ所有者のアドレスを使用して送信する E メールを含む) の料金は、代理送信者に請求されます。