Übersicht über die Amazon-SES-Sendeautorisierung - Amazon Simple Email Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Amazon-SES-Sendeautorisierung

Dieses Thema bietet eine Übersicht über den Vorgang der Sendeautorisierung und erklärt, wie die Amazon-SES-Funktionen zum Senden von E-Mails, z. B. Sendekontingente und Benachrichtigungen, in Bezug auf die Sendeautorisierung funktionieren.

In diesem Abschnitt werden die folgenden Begriffe verwendet:

  • Identität – Eine E-Mail-Adresse oder Domäne, die Amazon-SES-Benutzer zur Versendung von E-Mails verwenden.

  • Identitätsbesitzer – Ein Amazon-SES-Benutzer, der aufgrund der unter Verifizierte Identitäten beschriebenen Verfahren die verifizierte Eigentümerschaft über eine E-Mail-Adresse oder Domäne besitzt.

  • Delegiertes Senden – Ein AWS-Konto, ein AWS Identity and Access Management (IAM)-Benutzer oder ein AWS-Service, der durch eine Autorisierungsrichtlinie autorisiert wurde, E-Mails im Namen des Identitätsbesitzers zu senden.

  • Sendeautorisierungsrichtlinie – Ein Dokument, das Sie einer Identität anfügen können, um festzulegen, welche Benutzer für diese Identität und unter welchen Bedingungen E-Mails senden können

  • Amazon-Ressourcenname (ARN) – Eine standardisierte Kennzeichnung, die eine AWS-Ressource über alle AWS-Services hinweg identifiziert. Für die Sendeberechtigung ist die Ressource die Identität, deren Verwendung der Identitätsbesitzer dem delegierten Sender autorisiert hat. Hier sehen Sie ein Beispiel für einen ARN arn:aws:ses:us-east-1:123456789012:identity/example.com.

Sendeautorisierungsverfahren

Die Sendeautorisierung beruht auf den Sendeautorisierungsrichtlinien. Wenn Sie einem stellvertretenden Sender die Berechtigung erteilen möchten, E-Mails in Ihrem Auftrag senden zu können, müssen Sie eine Sendeautorisierungsrichtlinie erstellen, die Sie mithilfe der Amazon-SES-Konsole oder der Amazon-SES-API Ihrer Identität zuordnen. Wenn der stellvertretende Sender versucht, in Ihrem Namen eine E-Mail über Amazon SES zu senden, muss er den ARN Ihrer Identität in der Anfrage oder in der Kopfzeile der E-Mail übergeben.

Wenn Amazon SES die Anfrage zum Senden der E-Mail erhält, überprüft der Service die Richtlinie der Identität (sofern vorhanden), um festzustellen, ob Sie den stellvertretenden Sender autorisiert haben, im Namen der Identität E-Mails zu senden. Wenn der stellvertretende Sender autorisiert ist, akzeptiert Amazon SES die E-Mail, andernfalls gibt Amazon SES eine Fehlermeldung zurück.

Das folgende Diagramm zeigt die enge Beziehung zwischen den Konzepten der Sendeautorisierung:

Übersicht über die Sendeautorisierung

Das Sendeautorisierungsverfahren besteht aus den folgenden Schritten:

  1. Der Identitätsinhaber wählt eine verifizierte Identität aus, die der stellvertretende Sender verwenden soll. (Falls Sie keine Identität verifiziert haben, finden Sie Informationen unter Verifizierte Identitäten).

    Anmerkung

    Der verifizierten Identität, die Sie für Ihren stellvertretenden Sender auswählen, darf kein Standardkonfigurationssatz zugewiesen sein.

  2. Der delegierte Sender teilt dem Identitätsbesitzer mit, welche AWS-Konto-ID oder welchen IAM-Benutzer-ARN er zum Senden verwenden möchte.

  3. Wenn der Identitätsbesitzer zustimmt, dass der delegierte Sender von einem Konto des Besitzers aus senden darf, erstellt er eine Sendeautorisierungsrichtlinie und hängt die Richtlinie über die Amazon-SES-Konsole oder die Amazon-SES-API an die ausgewählte Identität an.

  4. Der Identitätsbesitzer gibt dem delegierten Sender den ARN der autorisierten Identität, damit der delegierte Sender den ARN beim Senden der E-Mail an Amazon SES übermitteln kann.

  5. Der delegierte Sender kann Unzustellbarkeits- und Beschwerdebenachrichtigungen über Event Publishing (Ereignisveröffentlichung) einrichten, die in einem Konfigurationssatz aktiviert ist, der beim delegierten Senden festgelegt wurde. Der Identitätsbesitzer kann auch E-Mail-Feedback-Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, die an die Amazon-SNS-Themen des delegierten Senders gesendet werden.

    Anmerkung

    Wenn der Identitätsbesitzer das Senden von Ereignisbenachrichtigungen deaktiviert, muss der stellvertretende Sender die Ereignisveröffentlichung einrichten, um Unzustellbarkeits- und Beschwerdeereignisse in einem Amazon SNS-Thema oder einem Firehose-Stream zu veröffentlichen. Der Sender muss ebenfalls den Konfigurationssatz, der die Ereignisveröffentlichungsregel enthält, auf jede E-Mail, die er sendet, anwenden. Wenn weder der Identitätsbesitzer noch der stellierte Absender eine Methode zum Senden von Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, sendet Amazon SES automatisch Ereignisbenachrichtigungen per E-Mail an die Adresse im Feld „Antwortpfad bei Unzustellbarkeit“ der E-Mail (oder die Adresse im Feld „Quelle“, wenn Sie keine Absenderpfadadresse angegeben haben), selbst wenn der Identitätsbesitzer die Weiterleitung von E-Mail-Feedback deaktiviert hat.

  6. Der stellvertretende Sender versucht, im Namen des Identitätsbesitzers eine E-Mail über Amazon SES zu senden, indem er den ARN der Identität des Identitätsbesitzers in der Anfrage oder in der Kopfzeile der E-Mail übergibt. Der stellvertretende Sender kann die E-Mail entweder über die Amazon-SES-SMTP-Schnittstelle oder die Amazon-SES-API senden. Nach Eingang der Anfrage untersucht Amazon SES alle Richtlinien, die der Identität angefügt wurden, und akzeptiert die E-Mail, wenn der stellvertretende Sender zur Verwendung der angegebenen „Von-“ und „Rücksendepfad-“ -Adresse autorisiert ist. Andernfalls gibt einen Fehler zurück und die Nachricht wird nicht akzeptiert.

    Wichtig

    Das AWS-Konto des stellvertretenden Senders muss aus der Sandbox entfernt werden, bevor es zum Senden von E-Mails an nicht verifizierte Adressen verwendet werden kann.

  7. Wenn der Identitätsbesitzer die Autorisierung des stellvertretenden Senders aufheben muss, muss der Identitätsbesitzer die Richtlinie für die Sendeautorisierung bearbeiten oder die Richtlinie vollständig löschen. Der Identitätsbesitzer kann jede dieser Aktionen über die Amazon-SES-Konsole oder die Amazon-SES-API ausführen.

Weitere Informationen darüber, wie der Identitätsbesitzer oder der delegierte Sender diese Aufgaben ausführt, finden Sie unter Aufgaben des Identitätsbesitzers bzw. Delegieren der Senderaufgaben.

Zuordnung der Funktionen für den E-Mail-Versand

Es ist wichtig, die Rolle des delegierten Senders und des Identitätsbesitzers in Bezug auf die Funktionen des Amazon-SES-E-Mail-Versands zu verstehen. Diese Funktionen umfassen beispielsweise die tägliche Sendequote, Unzustellbarkeitsnachrichten und Beschwerden, DKIM-Signatur, Feedback-Weiterleitung usw. Die Zuordnung erfolgt folgendermaßen:

  • Sendequoten – E-Mails, die über die Identitäten des Identitätsbesitzers gesendet werden, werden auf die täglichen Sendekontingente des stellvertretenden Senders angerechnet.

  • Unzustellbarkeitsnachrichten und Beschwerden – Unzustellbarkeits- und Beschwerdeereignisse werden für das Amazon-SES-Konto des stellvertretenden Senders dokumentiert und können sich daher auf die Reputation des stellvertretenden Senders auswirken.

  • DKIM-Signatur – Wenn der Identitätsbesitzer die Easy DKIM-Signatur für eine Identität aktiviert hat, verfügen alle von dieser Identität gesendeten E-Mails über die DKIM-Signatur, einschließlich E-Mails, die von dem stellvertretenden Sender gesendet wurden. Nur der Identitätsbesitzer kann steuern, ob die E-Mails mit einer DKIM-Signatur versehen werden.

  • Benachrichtigungen – Sowohl der Identitätsbesitzer als auch der stellvertretende Sender kann Benachrichtigungen für Unzustellbarkeitsnachrichten und Beschwerden einrichten. Der E-Mail-Identitätsbesitzer kann auch die Weiterleitung von E-Mail-Feedback aktivieren. Weitere Informationen zum Einrichten von Benachrichtigungen finden Sie unter Überwachung Ihrer SES Amazon-Sendeaktivitäten.

  • Verifizierung – Identitätsbesitzer müssen sicherstellen, dass sie die Verfahren unter Verifizierte Identitäten befolgen, um zu gewährleisten, dass sie die E-Mail-Adressen und Domänen auch tatsächlich besitzen, bevor sie delegierte Sender zu deren Verwendung autorisieren. Delegierte Sender müssen speziell für die Sendeautorisierung keine E-Mail-Adressen oder Domänen bestätigen.

    Wichtig

    Das AWS-Konto des stellvertretenden Senders muss aus der Sandbox entfernt werden, bevor es zum Senden von E-Mails an nicht verifizierte Adressen verwendet werden kann.

  • AWS-Regionen – Der stellvertretende Sender muss die E-Mails von der AWS-Region senden, in der der Identitätsbesitzer verifiziert ist. Die Richtlinie für die Sendeautorisierung, die dem stellvertretenden Sender seine Berechtigung erteilt, muss der Identität in dieser Region angefügt sein.

  • Fakturierung – Alle Nachrichten, die aus dem Konto des stellvertretenden Senders gesendet werden, einschließlich E-Mails, die der stellvertretende Sender unter Verwendung der Adressen des Identitätsbesitzers sendet, werden dem stellvertretenden Sender in Rechnung gestellt.