Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general de la autorización de envío de Amazon SES
En este tema, se proporciona información general acerca del proceso de autorización de envío y, a continuación, se explica cómo las características de envío de correo electrónico de Amazon SES, tales como las cuotas de envío y las notificaciones, funcionan con la autorización de envío.
En esta sección, se usan los siguientes términos:
-
Identidad: dirección o dominio de correo electrónico que los usuarios de Amazon SES utilizan para enviar correo electrónico.
-
Propietario de identidad: un usuario de Amazon SES cuya propiedad de dirección o dominio de correo electrónico se ha verificado utilizando el procedimiento descrito en Identidades verificadas.
-
Remitente delegado: una cuenta de AWS, un usuario de AWS Identity and Access Management(IAM) o un servicio de AWS autorizado mediante una política de autorización para enviar correos electrónicos en nombre del propietario de la identidad.
-
Política de autorización de envío: un documento que adjunta a una identidad para especificar quién puede realizar envíos para esa identidad y en qué condiciones.
-
Nombre de recurso de Amazon (ARN): una forma estandarizada de identificar de manera inequívoca un recurso de AWS en todos los servicios de AWS. Para la autorización de envío, el recurso es la identidad que el propietario de la identidad ha autorizado al remitente delegado a utilizar. Un ejemplo de ARN es arn:aws:ses:us-east-1:123456789012:identity/example.com.
Proceso de autorización de envío
La autorización de envío se basa en políticas de autorización de envío. Si desea habilitar un remitente delegado para que realice envíos en su nombre, debe crear una política de autorización de envío y asociar la política a su identidad a través de la consola de Amazon SES o la API de Amazon SES. Cuando el remitente delegado intenta enviar un correo electrónico a través de Amazon SES en su nombre, el remitente delegado transfiere el ARN de su identidad en la solicitud o en el encabezado del correo electrónico.
Cuando Amazon SES recibe la solicitud para enviar el correo electrónico, comprueba la política de su identidad (si la hay) a fin de determinar si ha autorizado al remitente delegado para enviar en nombre de la identidad. Si el remitente delegado está autorizado, Amazon SES acepta el correo electrónico; en caso contrario, devuelve un mensaje de error.
En el siguiente diagrama se muestra la relación de alto nivel entre los conceptos de autorización de envío:
El proceso de autorización de envío consta de los siguientes pasos:
-
El propietario de la identidad selecciona una identidad verificada para que la utilice el remitente delegado. (Si no ha verificado una identidad, consulte Identidades verificadas).
nota
La identidad verificada que elija para el remitente delegado no puede tener un conjunto de configuración predeterminado asignado a ella.
-
El remitente delegado informa al propietario de la identidad qué ID de cuenta de AWS o ARN de usuario de IAM desea utilizar para el envío.
-
Si el propietario de identidad acepta permitir al remitente delegado el envío desde una de las cuentas del propietario, el propietario crea una política de autorización de envío y asocia la política a la identidad elegida mediante la consola de Amazon SES o la API de Amazon SES.
-
El propietario de identidad ofrece el remitente delegado el ARN de la identidad autorizada, de modo que el remitente delegado puede proporcionar el ARN a Amazon SES en el momento en que se envía el correo electrónico.
-
El remitente delegado puede configurar notificaciones de rebotes y reclamos a través de la habilitación de publicación de eventos en el conjunto de configuración especificado durante el envío delegado. El propietario de la identidad también puede configurar notificaciones de valoración por correo electrónico para los eventos de rebotes y reclamos que se enviarán a los temas de Amazon SNS del remitente delegado.
nota
Si el propietario de la identidad desactiva el envío de notificaciones de eventos, el remitente delegado debe configurar la publicación de eventos para publicar los eventos de rebote y queja en un tema de Amazon SNS o en una transmisión de Firehose. El remitente debe aplicar también el conjunto de configuración que contiene la regla de publicación de eventos a cada mensaje de correo electrónico que envíe. Si ni el propietario de identidad ni el remitente delegado configuran un método de envío de notificaciones para eventos de rebotes y reclamos, Amazon SES envía automáticamente notificaciones de eventos por correo electrónico a la dirección que figura en el campo Return-Path del mensaje (o a la dirección del campo Source, si no se ha especificado una dirección Return-Path), aunque el propietario de identidad haya desactivado el reenvío de retroalimentación de correo electrónico.
-
El remitente delegado intenta enviar un correo electrónico a través de Amazon SES en nombre del propietario de identidad al transferir el ARN de la identidad del propietario de identidad en la solicitud o en el encabezado del correo electrónico. El remitente delegado puede enviar el correo electrónico mediante la interfaz de SMTP de Amazon SES o la API de Amazon SES. Tras recibir la solicitud, Amazon SES examina las políticas que se han asociado a la identidad y acepta el correo electrónico si el remitente delegado está autorizado para utilizar la dirección de remitente “From” especificada y la dirección de ruta de retorno “Return Path”; de lo contrario, Amazon SES devuelve un error y no acepta el mensaje.
importante
La cuenta de AWS del remitente delegado se debe eliminar del entorno aislado antes de que se pueda utilizar para enviar correo electrónico a direcciones no verificadas.
-
Si el propietario de identidad necesita anular la autorización del remitente delegado, deberá editar la política de autorización de envío o eliminar la política en su totalidad. El propietario de identidad puede realizar ambas acciones a través de la consola de Amazon SES o la API de Amazon SES.
Para obtener más información acerca de cómo el propietario de la identidad o el remitente delegado realizan estas tareas, consulte Tareas del propietario de identidad o Tareas del remitente delegado, respectivamente.
Atribución de características de envío de correo electrónico
Es importante entender el rol del remitente delegado y del propietario de identidad con respecto a las características de envío de correo electrónico de Amazon SES, tales como la cuota de envío diaria, los rebotes y reclamos, la firma de DKIM, el reenvío de retroalimentación, etc. La atribución es la siguiente:
-
Cuotas de envío: el correo electrónico enviado desde las identidades del propietario de identidad se contabiliza en las cuotas del remitente.
-
Rebotes y reclamo: los eventos de rebotes y reclamos se contabilizan en la cuenta de Amazon SES del remitente y, por tanto, afectan a la reputación del remitente delegado.
-
Firma de DKIM: si el propietario de identidad ha habilitado la firma de Easy DKIM para una identidad, todo el correo electrónico enviado desde dicha identidad estará firmado por DKIM, incluido el correo electrónico enviado por el remitente delegado. Solo el propietario de identidad puede controlar si los correos electrónicos están firmados con DKIM.
-
Notificaciones: el propietario de identidad y el remitente delegado pueden configurar notificaciones para rebotes y reclamos. El propietario de la identidad de correo electrónico también puede habilitar el reenvío de retroalimentación de correo electrónico. Para obtener información sobre la configuración de notificaciones, consulte Supervisión de tu actividad de SES envíos en Amazon.
-
Verificación: los propietarios de identidad son responsables de realizar el procedimiento que se describe en Identidades verificadas para verificar que son los propietarios de las direcciones de correo electrónico y de los dominios cuyo uso autorizan a los remitentes delegados. Los remitentes delegados no tienen que comprobar ninguna dirección de correo electrónico o dominios específicamente para la autorización de envío.
importante
La cuenta de AWS del remitente delegado se debe eliminar del entorno aislado antes de que se pueda utilizar para enviar correo electrónico a direcciones no verificadas.
-
Regiones de AWS: el remitente delegado debe enviar los mensajes de correo electrónico desde la región de AWS en la que se verifica la identidad del propietario de identidad. La política de autorización de envío que otorga permiso al remitente delegado debe estar asociada a la identidad en dicha región.
-
Facturación: todos los mensajes que se envían desde la cuenta del remitente delegado, incluidos los correos electrónicos que este envía utilizando las direcciones del propietario de la identidad, se facturan al remitente delegado.