Visão geral da autorização de envio do Amazon SES

Este tópico fornece uma visão geral do processo de autorização de envio e explica como os recursos de envio de e-mails do Amazon SES, como notificações e cotas de envio, funcionam com a autorização de envio.

Esta seção usa os seguintes termos:

• Identidade: endereço de e-mail ou domínio que os usuários do Amazon SES usam para enviar e-mail.

• Proprietário de identidade: usuário do Amazon SES que comprovou que é o proprietário de um endereço de e-mail ou domínio usando os procedimentos descritos em Identidades.

• Delegate sender (Remetente delegado): uma conta da AWS, um usuário do AWS Identity and Access Management (IAM) ou um serviço da AWS que foi autorizado por meio de uma política de autorização para enviar e-mail em nome do proprietário da identidade.

• Política de autorização de envio – documento que você anexa a uma identidade para especificar quem pode enviar para essa identidade e em que condições.

• Nome de recurso da Amazon (ARN) – maneira padronizada de identificar exclusivamente um recurso da AWS em todos os serviços da AWS. Para autorização de envio, o recurso é a identidade que o proprietário da identidade autorizou o remetente delegado a usar. Um exemplo de um ARN é arn:aws:ses:us-east-1:123456789012:identity/example.com.

Processo de autorização de envio

A autorização de envio é baseada em políticas de autorização de envio. Se você desejar ativar um remetente delegado para enviar em seu nome, crie uma política de autorização de envio e associe a política à sua identidade usando o console ou a API do Amazon SES. Quando o remetente delegado tenta enviar um e-mail por meio do Amazon SES em seu nome, o remetente delegado passa o ARN de sua identidade na solicitação ou no cabeçalho do e-mail.

Quando o Amazon SES recebe a solicitação para enviar o e-mail, ele confere a política da sua identidade (se estiver presente) para determinar se você autorizou o remetente delegado a enviar no nome da identidade. Se o remetente delegado estiver autorizado, o Amazon SES aceita o e-mail; do contrário, o Amazon SES retorna uma mensagem de erro.

O diagrama a seguir mostra a relação de alto nível entre os conceitos de autorização de envio:

O processo de autorização de envio consiste nas seguintes etapas:

1. O proprietário da identidade seleciona uma identidade verificada para o remetente delegado usar. (Se você não tiver verificado uma identidade, consulte Identidades.)

   nota

   A identidade verificada que você escolheu para o remetente delegado não pode ter um conjunto de configurações padrão atribuído a ela.

2. O remetente delegado permite que o proprietário da identidade saiba qual ARN de ID de conta da AWS ou de usuário do IAM eles querem usar para envio.

3. Se o proprietário da identidade concordar em permitir que o remetente delegado envie por uma das contas do proprietário, ele cria uma política de autorização de envio e anexa a política à identidade escolhida usando o console do Amazon SES ou a API do Amazon SES.

4. O proprietário da identidade fornece ao remetente delegado o ARN da identidade, para que o remetente delegado possa fornecer o ARN ao Amazon SES no momento do envio do e-mail.

5. O remetente delegado pode configurar notificações de devolução e de reclamação por meio de publicação de eventos habilitada em um conjunto de configurações especificado durante o envio delegado. O proprietário da identidade também pode configurar notificações de feedback de e-mail para eventos de devolução e de reclamação a serem enviados para os tópicos do Amazon SNS do remetente delegado.

   nota

   Se o proprietário da identidade desativar o envio de notificações de eventos, o remetente delegado deverá configurar a publicação de eventos para publicar eventos de rejeição e reclamação em um tópico do Amazon SNS ou em um stream do Firehose. O remetente também deve aplicar o conjunto de configurações que contém a regra de publicação a cada e-mail que envia. Se nem o proprietário da identidade nem o remetente delegado configurar um método de envio de notificações para eventos de devolução e reclamação, o Amazon SES enviará notificações de eventos por e-mail automaticamente ao endereço no campo Return-Path (Caminho de retorno) do e-mail (ou ao endereço no campo Source (Origem), se você não tiver especificado um endereço de Return-Path), mesmo que o proprietário da identidade tenha desabilitado o encaminhamento de comentários de e-mail.

6. O remetente delegado tenta enviar um e-mail por meio do Amazon SES em nome do proprietário da identidade passando o ARN da identidade do proprietário na solicitação ou no cabeçalho do e-mail. O remetente delegado pode enviar o e-mail usando a interface SMTP do Amazon SES ou a API do Amazon SES. Ao receber a solicitação, o Amazon SES examina as políticas que estão anexadas à identidade, e aceita o e-mail se o remetente delegado estiver autorizado a usar o endereço "From" (De) e o endereço "Return Path" (Caminho de retorno); do contrário, o Amazon SES retorna um erro e não aceita a mensagem.

   Importante

   A conta da AWS do remetente delegado deve ser removida da área restrita para testes para que possa ser usada no envio de e-mails a endereços não verificados.

7. Se o proprietário da identidade precisar cancelar a autorização do remetente delegado, o proprietário da identidade editará a política de autorização de envio ou excluirá completamente a política. O proprietário da identidade pode executar qualquer uma das ações usando o console do Amazon SES ou a API do Amazon SES.

Para obter mais informações sobre como o proprietário da identidade ou o remetente delegado podem realizar essas tarefas, consulte Tarefas do proprietário da identidade ou Tarefas do remetente delegado, respectivamente.

Atribuição de recursos de envio de e-mail

É importante compreender a função do remetente delegado e do proprietário da identidade com relação aos recursos de envio de e-mail do Amazon SES, como cota de envio diário, devoluções e reclamações, assinaturas DKIM, encaminhamento de comentários e assim por diante. A atribuição é a seguinte:

• Cotas de envio: os e-mails enviados das identidades do proprietário da identidade contam para as cotas de envio do remetente delegado.

• Devoluções e reclamações: os eventos de devolução e reclamação são registrados na conta do remetente delegado no Amazon SES e, dessa forma, podem afetar a reputação do remetente delegado.

• Assinatura DKIM: se o proprietário da identidade tiver habilitado a assinatura Easy DKIM para uma identidade, todos os e-mails enviados dessa identidade serão assinados com DKIM, incluindo os e-mails enviados por um remetente delegado. Somente o proprietário da identidade pode controlar se os e-mails são assinados pelo DKIM.

• Notificações: o proprietário da identidade e o remetente delegado podem configurar notificações para devoluções e reclamações. O proprietário da identidade de e-mail pode também habilitar o encaminhamento de feedback por e-mail. Para obter informações sobre configuração de notificações, consulte Monitoramento da atividade de envio do Amazon SES.

• Verificação: os proprietários de identidade são responsáveis por seguir o procedimento em Identidades para comprovar que eles são proprietários dos endereços de e-mail e domínios que estão autorizando os remetentes delegados a usar. Os remetentes delegados não precisam verificar os endereços de e-mail ou domínios especificamente para a autorização de envio.

  Importante

  A conta da AWS do remetente delegado deve ser removida da área restrita para testes para que possa ser usada no envio de e-mails a endereços não verificados.

• Regiões da AWS – o remetente delegado deve enviar os e-mails da região da AWS na qual a identidade do proprietário da identidade é verificada. A política de autorização de envio que dá permissão ao remetente delegado deve ser anexada à identidade nessa região.

• Faturamento – todas as mensagens enviadas da conta do remetente delegado, incluindo e-mails que o remetente delegado envia usando endereços do proprietário da identidade, são faturadas para o remetente delegado.