Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren von Identitäten in Amazon SES
Amazon Simple Email Service (Amazon SES) nutzt zum Senden von E-Mail das SMTP (Simple Mail Transfer Protocol). Da SMTP selbst keine Authentifizierung bereitstellt, kann ein Spammer E-Mails versenden, die augenscheinlich von jemand anderem stammen, während der tatsächliche Ursprung verborgen bleibt. Durch die Fälschung von E-Mail-Headern und das Spoofing von Quell-IP-Adressen können Spammer Empfängern vortäuschen, dass die E-Mail-Nachrichten, die sie erhalten, echt sind.
Die meisten ISPs Unternehmen, die E-Mail-Verkehr weiterleiten, ergreifen Maßnahmen, um zu bewerten, ob E-Mails legitim sind. Eine dieser ISPs Maßnahmen besteht darin, festzustellen, ob eine E-Mail *authentifiziert* ist. Für die Authentifizierung ist es erforderlich, dass Sender verifizieren, dass sie der Besitzer des sendenden Kontos sind. ISPs Weigern Sie sich in einigen Fällen, E-Mails weiterzuleiten, die nicht authentifiziert sind. Für optimale Zustellbarkeit empfehlen wir, dass Sie Ihre E-Mails authentifizieren.
In den folgenden Abschnitten werden die beiden ISPs verwendeten Authentifizierungsmechanismen — Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) — beschrieben. Außerdem finden Sie Anweisungen zur Verwendung dieser Standards mit Amazon SES.
+ Weitere Informationen zu SPF, welches eine Möglichkeit bietet, eine E-Mail-Nachricht zurück zu dem System zu verfolgen, von dem sie gesendet wurde, finden Sie unter [Authentifizierung Ihrer E-Mails mit SPF in Amazon SES](send-email-authentication-spf.md).
+ Weitere Informationen über DKIM, einen Standard, mit dem Sie Ihre E-Mail-Nachrichten signieren können, um nachzuweisen ISPs , dass Ihre Nachrichten legitim sind und während der Übertragung nicht verändert wurden, finden Sie unter. [Authentifizierung Ihrer E-Mails mit DKIM in Amazon SES](send-email-authentication-dkim.md)
+ Weitere Informationen dazu, wie Sie Domain-based Message Authentication, Reporting and Conformance (DMARC) einhalten, was sich auf SPF und DKIM stützt, finden Sie unter [Einhaltung des DMARC-Authentifizierungsprotokolls in Amazon SES](send-email-authentication-dmarc.md).
# E-Mail-Authentifizierungsmethoden
Amazon Simple Email Service (Amazon SES) nutzt zum Senden von E-Mail das SMTP (Simple Mail Transfer Protocol). Da SMTP selbst keine Authentifizierung bereitstellt, kann ein Spammer E-Mails versenden, die augenscheinlich von jemand anderem stammen, während der tatsächliche Ursprung verborgen bleibt. Durch die Fälschung von E-Mail-Headern und das Spoofing von Quell-IP-Adressen können Spammer Empfängern vortäuschen, dass die E-Mail-Nachrichten, die sie erhalten, echt sind.
Die meisten ISPs Unternehmen, die E-Mail-Verkehr weiterleiten, ergreifen Maßnahmen, um zu bewerten, ob E-Mails legitim sind. Eine dieser ISPs Maßnahmen besteht darin, festzustellen, ob eine E-Mail authentifiziert ist. Für die Authentifizierung ist es erforderlich, dass Sender verifizieren, dass sie der Besitzer des sendenden Kontos sind. ISPs Weigern Sie sich in einigen Fällen, E-Mails weiterzuleiten, die nicht authentifiziert sind. Für optimale Zustellbarkeit empfehlen wir, dass Sie Ihre E-Mails authentifizieren.
**Topics**
+ [Authentifizierung Ihrer E-Mails mit DKIM in Amazon SES](send-email-authentication-dkim.md)
+ [Authentifizierung Ihrer E-Mails mit SPF in Amazon SES](send-email-authentication-spf.md)
+ [Verwenden einer benutzerdefinierten MAIL FROM-Domäne](mail-from.md)
+ [Einhaltung des DMARC-Authentifizierungsprotokolls in Amazon SES](send-email-authentication-dmarc.md)
+ [Verwenden von BIMI in Amazon SES](send-email-authentication-bimi.md)
# Authentifizierung Ihrer E-Mails mit DKIM in Amazon SES
*DomainKeys Identified Mail* (*DKIM*) ist ein E-Mail-Sicherheitsstandard, der sicherstellen soll, dass eine E-Mail, die behauptet, von einer bestimmten Domain zu stammen, tatsächlich vom Inhaber dieser Domain autorisiert wurde. Es verwendet Kryptografie für öffentliche Schlüssel, um eine E-Mail mit einem privaten Schlüssel zu signieren. Empfängerserver können dann einen öffentlichen Schlüssel verwenden, der im DNS einer Domäne veröffentlicht wurde, um zu überprüfen, ob Teile der E-Mail während des Transports nicht geändert wurden.
DKIM-Signaturen sind optional. Sie können Ihre E-Mail mit einer DKIM-Signatur signieren, um die Zustellbarkeit mit DKIM-konformen E-Mail-Anbietern zu verbessern. Amazon SES bietet zwei Möglichkeiten zum Signieren von Nachrichten mit einer DKIM-Signatur:
+ **Easy DKIM**: SES generiert ein öffentlich-privates Schlüsselpaar und fügt automatisch eine DKIM-Signatur zu allen Nachrichten hinzu, die Sie über diese Identität versenden, vgl. [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md).
+ **Deterministic Easy DKIM (DEED)**: Ermöglicht es Ihnen, eine konsistente DKIM-Signatur über mehrere Kanäle hinweg aufrechtzuerhalten, AWS-Regionen indem Sie Replikatidentitäten erstellen, die automatisch die DKIM-Signaturattribute als übergeordnete Identität erben, wenn Easy DKIM verwendet wird, siehe. [Verwenden von Deterministic Easy DKIM (DEED) in Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Bring Your Own DKIM)**: Sie stellen Ihr eigenes öffentlich-privates Schlüsselpaar bereit, und SES fügt eine DKIM-Signatur zu allen E-Mail-Nachrichten hinzu, die Sie über diese Identität versenden, vgl. [Bereitstellen Ihres eigenen DKIM-Authentifizierungs-Tokens (BYODKIM) in Amazon SES](send-email-authentication-dkim-bring-your-own.md).
+ **DKIM-Signatur manuell hinzufügen**: Sie fügen ihre eigene DKIM-Signatur jeder E-Mail-Nachricht hinzu, die Sie mit der `SendRawEmail`-API senden, vgl. [Manuelle DKIM-Signierung in Amazon SES](send-email-authentication-dkim-manual.md).
## Länge des DKIM-Schlüssellänge
Da viele DNS-Anbieter jetzt die DKIM 2048-Bit-RSA-Verschlüsselung vollständig unterstützen, unterstützt Amazon SES auch DKIM 2048, um eine sicherere Authentifizierung von E-Mails zu ermöglichen und verwendet sie daher als Standardschlüssellänge, wenn Sie Easy DKIM entweder über die API oder die Konsole konfigurieren. 2048-Bit-Schlüssel können in Bring Auch Ihr eigenes DKIM (BYODKIM), wobei Ihre Signaturschlüssellänge mindestens 1024 Bit und nicht mehr als 2048 Bit betragen muss.
Aus Gründen der Sicherheit und der Zustellbarkeit Ihrer E-Mails haben Sie bei der Konfiguration mit Easy DKIM die Wahl, entweder die Schlüssellängen von 1024 und 2048 Bit sowie die Flexibilität des Rückkehrs auf 1024 zu verwenden, falls Probleme auftreten, die von DNS-Anbietern verursacht werden, die 2048 immer noch nicht unterstützen. *Wenn Sie eine neue Identität erstellen, wird diese standardmäßig mit DKIM 2048 erstellt, es sei denn, Sie geben 1024 an.*
Um die Zustellbarkeit von Transit-E-Mails beizubehalten, gibt es Einschränkungen hinsichtlich der Häufigkeit, mit der Sie die DKIM-Schlüssellänge ändern können. Zu den Einschränkungen zählen:
+ Es ist nicht möglich, auf die gleiche Schlüssellänge zu wechseln, die bereits konfiguriert ist.
+ Es ist nicht möglich, mehr als einmal in einem Zeitraum von 24 Stunden auf eine andere Schlüssellänge zu wechseln (es sei denn, es handelt sich um das erste Downgrade auf 1024 in diesem Zeitraum).
Wenn Ihre E-Mail unterwegs ist, verwendet DNS Ihren öffentlichen Schlüssel, um Ihre E-Mail zu authentifizieren. Wenn Sie also Schlüssel zu schnell oder häufig ändern, kann DNS möglicherweise nicht in der Lage sein, Ihre E-Mail DKIM zu authentifizieren, da der frühere Schlüssel möglicherweise bereits ungültig ist, daher schützen diese Einschränkungen davor.
## DKIM-Überlegungen
Wenn Sie Ihre E-Mails mit DKIM authentifizieren, gelten die folgenden Regeln:
+ Sie müssen DKIM nur für die Domäne einrichten, die Sie bei Ihrer Absenderadresse verwenden. Sie müssen DKIM nicht für Domänen einrichten, die Sie bei der "Return-Path"-Adresse oder der Antwortadresse verwenden.
+ Amazon SES ist in mehreren AWS Regionen verfügbar. Wenn Sie mehr als eine AWS -Region für den Versand von E-Mails verwenden, müssen Sie die DKIM-Einrichtung in jeder dieser Regionen durchführen, um sicherzustellen, dass all Ihre E-Mails mit einer DKIM-Signatur versehen werden.
+ Da DKIM-Eigenschaften von der übergeordneten Domäne vererbt werden, gilt, wenn Sie eine Domäne mit DKIM-Authentifizierung überprüfen:
+ Die DKIM-Authentifizierung auch für alle Sub-Domäne dieser Domäne.
+ DKIM-Einstellungen für eine Sub-Domäne können die Einstellungen für die übergeordnete Domäne außer Kraft setzen, indem Sie die Vererbung deaktivieren, wenn Sie nicht möchten, dass die Sub-Domäne die DKIM-Authentifizierung verwendet. Sie kann später wieder aktiviert werden.
+ Die DKIM-Authentifizierung gilt auch für alle E-Mails, die von einer E-Mail-Identität gesendet werden, die in ihrer Adresse auf die DKIM-verifizierte Domäne verweist.
+ DKIM-Einstellungen für eine E-Mail-Adresse können die Einstellungen für die Sub-Domäne (sofern zutreffend) und die übergeordnete Domäne außer Kraft setzen, indem Sie die Vererbung deaktivieren, wenn Sie E-Mails ohne DKIM-Authentifizierung senden möchten. Sie kann später wieder aktiviert werden.
## Verstehen geerbter DKIM-Signatureigenschaften
Es ist wichtig, zuerst zu verstehen, dass eine E-Mail-Adressenidentität ihre DKIM-Signatureigenschaften von ihrer übergeordneten Domäne erbt, wenn diese Domäne mit DKIM konfiguriert wurde, unabhängig davon, ob Easy DKIM oder BYODKIM verwendet wurde. Daher ist das Deaktivieren oder Aktivieren der DKIM-Signatur für die E-Mail-Adressenidentität in Kraft, wodurch die DKIM-Signatureigenschaften der Domäne basierend auf diesen wichtigen Fakten außer Kraft gesetzt werden:
+ Wenn Sie DKIM bereits für die Domäne eingerichtet haben, zu der eine E-Mail-Adresse gehört, müssen Sie die DKIM-Signierung nicht auch für die E-Mail-Adressenidentität aktivieren.
+ Wenn Sie DKIM für eine Domäne einrichten, authentifiziert Amazon SES automatisch jede E-Mail von jeder Adresse in dieser Domäne über die geerbten DKIM-Eigenschaften der übergeordneten Domäne.
+ DKIM-Einstellungen für eine bestimmte E-Mail-Adressenidentität überschreiben *automatisch die Einstellungen der übergeordneten Domäne oder Unterdomäne (sofern zutreffend)*, zu der die Adresse gehört.
Da die DKIM-Signatureigenschaften der E-Mail-Adressenidentität von der übergeordneten Domäne geerbt werden, müssen Sie, wenn Sie diese Eigenschaften überschreiben möchten, die hierarchischen Regeln für das Überschreiben beachten, wie in der folgenden Tabelle beschrieben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-dkim.html)
Es wird im Allgemeinen nie empfohlen, Ihre DKIM-Signierung zu deaktivieren, da die Gefahr besteht, dass Ihre Senderreputation beeinträchtigt wird und es das Risiko erhöht, dass Ihre gesendeten E-Mails in Junk- oder Spam-Ordner wandern oder Ihre Domäne manipuliert wird.
Es besteht jedoch die Möglichkeit, die von der Domäne geerbten DKIM-Signatureigenschaften für eine E-Mail-Adressenidentität für einen bestimmten Anwendungsfall oder außerhalb der Geschäftsentscheidung außer Kraft zu setzen, dass Sie möglicherweise die DKIM-Signatur dauerhaft oder vorübergehend deaktivieren oder sie zu einem späteren Zeitpunkt wieder aktivieren müssen. Siehe [Überschreiben der geerbten DKIM-Signatur für eine E-Mail-Adressenidentität](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM in Amazon SES
Wenn Sie Easy DKIM für eine Domänenidentität einrichten, fügt Amazon SES automatisch einen 2048-Bit-DKIM-Schlüssel zu jeder E-Mail hinzu, die Sie über diese Identität versenden. Sie können Easy DKIM mit der Amazon-SES-Konsole oder mit der API konfigurieren.
**Anmerkung**
Zum Einrichten von Easy DKIM müssen Sie die DNS-Einstellungen für Ihre Domäne ändern. Wenn Sie Route 53 als DNS-Anbieter verwenden, kann Amazon SES automatisch die entsprechenden Datensätze für Sie erstellen. Wenn Sie einen anderen DNS-Anbieter verwenden, finden Sie in der Dokumentation Ihres Anbieters weitere Informationen dazu, wie Sie die DNS-Einstellungen für Ihre Domäne ändern.
**Warnung**
Wenn Sie derzeit BYODKIM aktiviert haben und zu Easy DKIM wechseln, beachten Sie, dass Amazon SES BYODKIM nicht zum Signieren Ihrer E-Mails verwendet, während Easy DKIM eingerichtet wird und sich Ihr DKIM-Status in einem ausstehenden Zustand befindet. Zwischen dem Moment, in dem Sie den Anruf tätigen, um Easy DKIM (entweder über die API oder die Konsole) zu aktivieren, und dem Moment, in dem SES Ihre DNS-Konfiguration bestätigen kann, können Ihre E-Mails von SES ohne DKIM-Signatur gesendet werden. Daher wird empfohlen, einen Zwischenschritt zu verwenden, um von einer DKIM-Signaturmethode zur anderen zu migrieren (z. B. die Verwendung einer Subdomain Ihrer Domäne mit aktivierter BYODKIM und deren Löschung nach Ablauf der Easy DKIM-Überprüfung) oder diese Aktivität gegebenenfalls während der Ausfallzeit Ihrer Anwendung durchzuführen.
## Einrichten von Easy DKIM für eine verifizierte Domänenidentität
Das Verfahren in diesem Abschnitt wird optimiert, um nur die Schritte anzuzeigen, die zum Konfigurieren von Easy DKIM für eine bereits erstellte Domänenidentität erforderlich sind. Wenn Sie noch keine Domänenidentität erstellt haben oder alle verfügbaren Optionen zum Anpassen Ihrer Domänenidentität anzeigen möchten, z. B. die Verwendung eines Standardkonfigurationssatzes, einer benutzerdefinierten „MAIL FROM“-Domäne und Tags, finden Sie weitere Informationen unter [Erstellen einer Domänenidentität](creating-identities.md#verify-domain-procedure).
Ein Teil der Erstellung einer Easy DKIM-Domänenidentität ist die Konfiguration der DKIM-basierten Verifizierung, bei der Sie entweder den Amazon SES S-Standard von 2048 Bit akzeptieren oder den Standardwert durch Auswahl von 1024 Bit übersteuern können. Siehe .[Länge des DKIM-Schlüssellänge](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048), um mehr über die DKIM-Signierung von Schlüssellängen und deren Änderung zu erfahren.
**So richten Sie Easy DKIM für eine Domäne ein**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie in der Liste der Identitäten eine Identität aus, in der **Identity type** (Identitätstyp) *Domain* (Domäne) ist.
**Anmerkung**
Informationen zum Erstellen oder Überprüfen einer Domäne finden Sie unter [Erstellen einer Domänenidentität](creating-identities.md#verify-domain-procedure) aus.
1. **Wählen Sie auf der Registerkarte **Authentifizierung** im Container **DomainKeysIdentified Mail (DKIM)** die Option Bearbeiten aus.**
1. Im Container **Advanced DKIM settings** (Erweiterte DKIM-Einstellungen) wählen Sie die Schaltfläche **Easy DKIM** im Feld **Identity type** (Identitätstyp).
1. Im Feld **DKIM signing key length** (Länge des DKIM-Signierschlüssels), wählen Sie entweder [**RSA\$12048\$1BIT** oder **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) aus.
1. Im Feld **DKIM signatures** (DKIM-Unterschriften) aktivieren Sie das Kontrollkästchen **Enabled** (Aktiviert).
1. Wählen Sie **Änderungen speichern ** aus.
1. Nachdem Sie Ihre Domänenidentität mit Easy DKIM konfiguriert haben, müssen Sie den Verifizierungsprozess bei Ihrem DNS-Anbieter abschließen – fahren Sie mit [Verifizieren einer DKIM-Domänenidentität bei Ihrem DNS-Anbieter](creating-identities.md#just-verify-domain-proc) fort und befolgen Sie die DNS-Authentifizierungsverfahren für Easy DKIM.
## Ändern der Länge des einfachen DKIM-Signaturschlüssels für eine Identität
Das Verfahren in diesem Abschnitt zeigt, wie Sie die für den Signaturalgorithmus erforderlichen Easy DKIM-Bits einfach ändern können. Obwohl eine Signaturlänge von 2048 Bit für die verbesserte Sicherheit immer bevorzugt wird, kann es Situationen geben, in denen Sie die 1024-Bit-Länge verwenden müssen, z. B. einen DNS-Anbieter verwenden müssen, der nur DKIM 1024 unterstützt.
Um die Zustellbarkeit von Transit-E-Mails zu erhalten, gibt es Einschränkungen hinsichtlich der Häufigkeit, mit der Sie Ihre DKIM-Schlüssellänge ändern oder umkehren können.
Wenn Ihre E-Mail unterwegs ist, verwendet DNS Ihren öffentlichen Schlüssel, um Ihre E-Mail zu authentifizieren. Wenn Sie Schlüssel zu schnell oder häufig ändern, kann DNS möglicherweise nicht in der Lage sein, Ihre E-Mail DKIM zu authentifizieren, da der frühere Schlüssel möglicherweise bereits ungültig ist. Daher schützen die folgenden Einschränkungen davor:
+ Sie können nicht zu derselben Schlüssellänge wechseln, die bereits konfiguriert ist.
+ Sie können innerhalb von 24 Stunden nicht mehr als einmal zu einer anderen Schlüssellänge wechseln (es sei denn, es handelt sich um das erste Downgrade auf 1024 in diesem Zeitraum).
Wenn Sie die folgenden Verfahren verwenden, um Ihre Schlüssellänge zu ändern, gibt die Konsole ein Fehlerbanner zurück, das besagt, dass *die von Ihnen angegebene Eingabe ist ungültig* zusammen mit dem Grund, warum es ungültig war.
**So ändern Sie die DKIM-Signaturschlüssellängen-Bits**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, für die Sie Easy DKIM aktivieren möchten.
1. Wählen Sie auf der Registerkarte **Authentifizierung** im Container **DomainKeysIdentified Mail (DKIM)** die Option **Bearbeiten** aus.
1. Im Container **Advanced DKIM settings** (Erweiterte DKIM-Einstellungen) wählen Sie entweder [**RSA\$12048\$1BIT** oder **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) im Feld **DKIM signing key length** (Länge des DKIM-Signierschlüssels) aus.
1. Wählen Sie **Änderungen speichern ** aus.
# Verwenden von Deterministic Easy DKIM (DEED) in Amazon SES
Deterministic Easy DKIM (DEED) bietet eine Lösung für die Verwaltung mehrerer DKIM-Konfigurationen. AWS-Regionen Durch die Vereinfachung der DNS-Verwaltung und die Sicherstellung einer konsistenten DKIM-Signatur hilft Ihnen DEED dabei, Ihre E-Mail-Versandvorgänge in mehreren Regionen zu rationalisieren und gleichzeitig robuste E-Mail-Authentifizierungspraktiken aufrechtzuerhalten.
## Was ist Deterministic Easy DKIM (DEED)?
[Deterministic Easy DKIM (DEED) ist eine Funktion, die konsistente DKIM-Token für alle generiert, die auf einer übergeordneten Domain AWS-Regionen basieren, die mit Easy DKIM konfiguriert ist.](send-email-authentication-dkim-easy.md) Auf diese Weise können Sie Identitäten auf verschiedene Arten replizieren AWS-Regionen , die automatisch dieselbe DKIM-Signaturkonfiguration erben und beibehalten wie eine übergeordnete Identität, die derzeit mit Easy DKIM konfiguriert ist. Mit DEED müssen Sie DNS-Einträge für die übergeordnete Identität nur einmal veröffentlichen, und Replikatidentitäten verwenden dieselben DNS-Einträge, um den Domainbesitz zu überprüfen und die DKIM-Signatur zu verwalten.
Durch die Vereinfachung der DNS-Verwaltung und die Sicherstellung einer konsistenten DKIM-Signatur hilft Ihnen DEED dabei, Ihre E-Mail-Versandvorgänge in mehreren Regionen zu optimieren und gleichzeitig die besten E-Mail-Authentifizierungspraktiken beizubehalten.
Terminologie, die verwendet wird, wenn über DEED gesprochen wird:
+ **Übergeordnete Identität** — Eine mit Easy DKIM konfigurierte verifizierte Identität, die als Quelle für die DKIM-Konfiguration für eine Replikatidentität dient.
+ **Replikatidentität** — Eine Kopie einer übergeordneten Identität, die dasselbe DNS-Setup und dieselbe DKIM-Signaturkonfiguration verwendet.
+ **Übergeordnete Region** — Die Region AWS-Region , in der eine übergeordnete Identität eingerichtet wird.
+ **Replikatregion** — Eine Region AWS-Region , in der eine Replikatidentität eingerichtet wird.
+ **DEED-Identität** — Jede Identität, die entweder als übergeordnete Identität oder als Replikatidentität verwendet wird. (Wenn eine neue Identität erstellt wird, wird sie zunächst als reguläre Identität (keine DEED) behandelt. Sobald jedoch ein Replikat erstellt wurde, wird die Identität als DEED-Identität betrachtet.)
Zu den wichtigsten Vorteilen der Verwendung von DEED gehören:
+ **Vereinfachtes DNS-Management** — Veröffentlichen Sie DNS-Einträge nur einmal für die übergeordnete Identität.
+ **Einfacherer Betrieb in mehreren Regionen** — Vereinfachen Sie den Prozess der Ausweitung des E-Mail-Versands auf neue Regionen.
+ **Geringerer Verwaltungsaufwand** — Verwalten Sie DKIM-Konfigurationen zentral von der übergeordneten Identität aus.
## So funktioniert Deterministic Easy DKIM (DEED)
Wenn Sie eine Replikatidentität erstellen, repliziert Amazon SES automatisch den DKIM-Signaturschlüssel von der übergeordneten Identität auf die Replikatidentität. Alle nachfolgenden DKIM-Schlüsselrotationen oder Änderungen der Schlüssellänge, die an der übergeordneten Identität vorgenommen werden, werden automatisch auf alle Replikatidentitäten übertragen.
Der Prozess umfasst den folgenden Arbeitsablauf:
1. Erstellen Sie eine übergeordnete Identität in einem, AWS-Region der Easy DKIM verwendet.
1. Richten Sie die erforderlichen DNS-Einträge für die übergeordnete Identität ein.
1. Erstellen Sie Replikatidentitäten unter „Andere AWS-Regionen“ und geben Sie dabei den Domänennamen und die DKIM-Signaturregion der übergeordneten Identität an.
1. Amazon SES repliziert automatisch die DKIM-Konfiguration des übergeordneten Elements auf die Replikatidentitäten.
Wichtige Überlegungen:
+ Sie können kein Replikat einer Identität erstellen, die bereits ein Replikat ist.
+ Für die übergeordnete Identität muss [Easy DKIM](send-email-authentication-dkim-easy.md) aktiviert sein. Sie können keine Replikate von BYODKIM oder manuell signierte Identitäten erstellen.
+ Übergeordnete Identitäten können erst gelöscht werden, wenn alle Replikatidentitäten gelöscht wurden.
## Einrichtung einer Replikatidentität mit DEED
In diesem Abschnitt finden Sie Beispiele, die Ihnen zeigen, wie Sie mithilfe von DEED eine Replikatidentität erstellen und überprüfen, sowie die erforderlichen Berechtigungen.
**Topics**
+ [Eine Replikatidentität erstellen](#creating-replica-identity)
+ [Die Konfiguration der Replikatidentität wird überprüft](#verifying-replica-identity)
+ [Erforderliche Berechtigungen zur Verwendung von DEED](#required-permissions)
### Eine Replikatidentität erstellen
So erstellen Sie eine Replikatidentität:
1. Öffnen Sie in AWS-Region dem Bereich, in dem Sie eine Replikatidentität erstellen möchten, die SES-Konsole unter. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
(In der SES-Konsole werden Replikatidentitäten als *globale* Identitäten bezeichnet.)
1. **Wählen Sie im Navigationsbereich Identitäten aus.**
1. Wählen Sie **Create identity** (Identität erstellen).
1. Wählen Sie unter **Identitätstyp** die Option **Domäne** aus und geben Sie den Domänennamen einer vorhandenen, mit Easy DKIM konfigurierten Identität ein, die Sie replizieren und als übergeordnete Identität verwenden möchten.
1. Erweitern Sie **Erweiterte DKIM-Einstellungen und wählen Sie **Deterministic** Easy DKIM** aus.
1. Wählen Sie im Dropdownmenü **Übergeordnete Region** eine übergeordnete Region aus, in der sich eine von Easy DKIM signierte Identität mit demselben Namen befindet, den Sie für Ihre globale (Replikat-) Identität eingegeben haben. (Ihre Replikatregion ist standardmäßig die Region, mit der Sie sich bei der SES-Konsole angemeldet haben.)
1. Stellen Sie sicher, dass **DKIM-Signaturen aktiviert** sind.
1. (Optional) Fügen Sie Ihrer Domain-Identität einen oder mehrere **Tags** hinzu.
1. Überprüfen Sie die Konfiguration und wählen Sie **Create identity** aus.
Verwenden von AWS CLI:
Um eine Replikatidentität auf der Grundlage einer mit Easy DKIM konfigurierten übergeordneten Identität zu erstellen, müssen Sie den Domänennamen des übergeordneten Elements, die Region, in der Sie die Replikatidentität erstellen möchten, und die DKIM-Signaturregion des übergeordneten Elements angeben, wie in diesem Beispiel gezeigt:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
Für das obige Beispiel gilt:
1. Ersetzen Sie es durch die *example.com* Identität der übergeordneten Domäne, die repliziert wird.
1. *us-west-2*Ersetzen Sie durch die Region, in der die Replikatdomänenidentität erstellt wird.
1. *AWS\$1SES\$1US\$1EAST\$11*Ersetzen Sie es durch die DKIM-Signaturregion des übergeordneten Unternehmens, die dessen Easy DKIM-Signaturkonfiguration darstellt, die auf die Replikatidentität repliziert wird.
**Anmerkung**
Das `AWS_SES_` Präfix gibt an, dass DKIM mithilfe von Easy DKIM für die übergeordnete Identität konfiguriert wurde, und `US_EAST_1` ist der Ort, an dem es erstellt wurde. AWS-Region
### Die Konfiguration der Replikatidentität wird überprüft
Nachdem Sie die Replikatidentität erstellt haben, können Sie anhand der DKIM-Signaturkonfiguration der übergeordneten Identität überprüfen, ob sie korrekt konfiguriert wurde.
**So überprüfen Sie eine Replikatidentität:**
1. Öffnen Sie in AWS-Region dem Bereich, in dem Sie die Replikatidentität erstellt haben, die SES-Konsole unter. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)
1. **Wählen Sie im Navigationsbereich **Identitäten aus und wählen Sie in der Tabelle Identitäten** die Identität aus, die Sie verifizieren möchten.**
1. Auf der Registerkarte **Authentifizierung** gibt das **DKIM-Konfigurationsfeld** den Status an, und das Feld **Übergeordnete Region gibt die Region** an, die für die DKIM-Signaturkonfiguration der Identität mithilfe von DEED verwendet wird.
Verwenden von: AWS CLI
Verwenden Sie den `get-email-identity` Befehl zur Angabe des Domainnamens und der Region des Replikats:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
Die Antwort enthält den Wert der übergeordneten Region in den `SigningAttributesOrigin` Parameter, der bedeutet, dass die Replikatidentität erfolgreich mit der DKIM-Signaturkonfiguration der übergeordneten Identität konfiguriert wurde:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Erforderliche Berechtigungen zur Verwendung von DEED
Um DEED verwenden zu können, benötigen Sie:
1. Standardberechtigungen für die Erstellung von E-Mail-Identitäten in der Replikatregion.
1. Berechtigung zur Replikation des DKIM-Signaturschlüssels aus der übergeordneten Region.
#### Beispiel für eine IAM-Richtlinie für die DKIM-Replikation
Die folgende Richtlinie ermöglicht die Replikation von DKIM-Signaturschlüsseln von einer übergeordneten Identität in bestimmte Replikatregionen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Best Practices
Die folgenden bewährten Methoden werden empfohlen:
+ **Planen Sie Ihre übergeordneten Regionen und Replikatregionen** — Berücksichtigen Sie die von Ihnen gewählte übergeordnete Region, da sie als Informationsquelle für die in Replikatregionen verwendete DKIM-Konfiguration dient.
+ **Verwenden Sie konsistente IAM-Richtlinien** — Stellen Sie sicher, dass Ihre IAM-Richtlinien die DKIM-Replikation in allen vorgesehenen Regionen ermöglichen.
+ **Übergeordnete Identitäten aktiv lassen** — Denken Sie daran, dass Ihre Replikatidentitäten die DKIM-Signaturkonfiguration der übergeordneten Identität erben. Aufgrund dieser Abhängigkeit können Sie eine übergeordnete Identität erst löschen, wenn alle Replikatidentitäten gelöscht sind.
## Fehlerbehebung
Wenn Sie Probleme mit DEED haben, sollten Sie Folgendes beachten:
+ **Fehler bei der Überprüfung** — Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die DKIM-Replikation verfügen.
+ **Verzögerungen bei der Replikation** — Warten Sie etwas, bis die Replikation abgeschlossen ist, insbesondere bei der Erstellung neuer Replikatidentitäten.
+ **DNS-Probleme** — Stellen Sie sicher, dass die DNS-Einträge für die übergeordnete Identität korrekt eingerichtet und weitergegeben wurden.
# Bereitstellen Ihres eigenen DKIM-Authentifizierungs-Tokens (BYODKIM) in Amazon SES
Anstatt [Easy DKIM](send-email-authentication-dkim-easy.md) zu verwenden, können Sie alternativ auch die DKIM-Authentifizierung konfigurieren, indem Sie Ihr eigenes Schlüsselpaar aus öffentlichem und privatem Schlüssel verwenden. Dieser Prozess wird auch als *Bring Your Own DKIM* (Verwendung der eigenen DKIM) (*BYODKIM*) bezeichnet.
Mit BYODKIM können Sie einen einzelnen DNS-Eintrag verwenden, um die DKIM-Authentifizierung für Ihre Domänen zu konfigurieren. Mit Easy DKIM müssen Sie hingegen drei separate DNS-Einträge veröffentlichen. Darüber hinaus können Sie mit BYODKIM die DKIM-Schlüssel für Ihre Domänen beliebig oft rotieren.
**Topics**
+ [Schritt 1: Erstellen des Schlüsselpaars](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Schritt 2: Hinzufügen des Selektors und öffentlichen Schlüssels zur Domänenkonfiguration Ihres DNS-Anbieters](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Schritt 3: Konfigurieren und Überprüfen einer Domäne zur Verwendung von BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**Warnung**
Wenn Sie derzeit Easy DKIM aktiviert haben und zu BYODKIM wechseln, beachten Sie, dass Amazon SES Easy DKIM nicht zum Signieren Ihrer E-Mails verwendet, während BYODKIM eingerichtet wird und sich Ihr DKIM-Status in einem ausstehenden Zustand befindet. Zwischen dem Moment, in dem Sie den Anruf tätigen, um BYODKIM (entweder über die API oder die Konsole) zu aktivieren, und dem Moment, in dem SES Ihre DNS-Konfiguration bestätigen kann, können Ihre E-Mails von SES ohne DKIM-Signatur gesendet werden. Daher wird empfohlen, einen Zwischenschritt zu verwenden, um von einer DKIM-Signaturmethode zur anderen zu migrieren (z. B. die Verwendung einer Subdomäne Ihrer Domäne mit aktiviertem Easy DKIM und deren Löschung nach Ablauf der BYODKIM-Überprüfung) oder diese Aktivität gegebenenfalls während der Ausfallzeit Ihrer Anwendung durchzuführen.
## Schritt 1: Erstellen des Schlüsselpaars
Um die Funktion Bring Your Own DKIM verwenden zu können, müssen Sie zunächst ein RSA-Schlüsselpaar erstellen.
Der von Ihnen generierte private Schlüssel muss das Format PKCS \$11 oder PKCS \$18 aufweisen, mindestens 1024-Bit-RSA-Verschlüsselung und bis zu 2048-Bit verwenden und mit Base64-Codierung [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) codiert sein. Für weitere Informationen über die DKIM-Signierung von Schlüssellängen und deren Änderung siehe [Länge des DKIM-Schlüssellänge](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).
**Anmerkung**
Sie können Anwendungen und Tools von Drittanbietern verwenden, um RSA-Schlüsselpaare zu generieren, solange der private Schlüssel mit mindestens 1024-Bit-RSA-Verschlüsselung und bis zu 2048-Bit generiert wird und mit Base64-Codierung [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) codiert ist.
Im folgenden Verfahren verwendet der Beispielcode, der den Befehl `openssl genrsa` zum Erstellen des Schlüsselpaares nutzt, welcher in die meisten Linux-, macOS- oder Unix-Betriebssysteme integriert ist, automatisch Base64-Codierung [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**So erstellen Sie das Schlüsselpaar über die Befehlszeile von Linux, macOS oder Unix**
1. Geben Sie in der Befehlszeile den folgenden Befehl ein, um den privaten Schlüssel zu generieren und *nnnn* ihn durch eine Bitlänge von mindestens 1024 und bis zu 2048 zu ersetzen:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Geben Sie in der Befehlszeile den folgenden Befehl ein, um den öffentlichen Schlüssel zu generieren:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Schritt 2: Hinzufügen des Selektors und öffentlichen Schlüssels zur Domänenkonfiguration Ihres DNS-Anbieters
Nachdem Sie nun ein Schlüsselpaar erstellt haben, müssen Sie den öffentlichen Schlüssel als TXT-Datensatz zur DNS-Konfiguration für Ihre Domäne hinzufügen.
**So fügen den öffentlichen Schlüssel zur DNS-Konfiguration für Ihre Domäne hinzu**
1. Melden Sie sich bei der Managementkonsole für Ihren DNS- oder Hosting-Anbieter an.
1. Fügen Sie einen neuen Textdatensatz zur DNS-Konfiguration für Ihre Domäne hinzu. Der Datensatz sollte das folgende Format verwenden:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:
+ *selector*Ersetzen Sie es durch einen eindeutigen Namen, der den Schlüssel identifiziert.
**Anmerkung**
Einige wenige DNS-Anbieter lassen keine Unterstriche (\$1) in den Namen von Datensätzen zu. Der Unterstrich im DKIM-Datensatznamen ist jedoch erforderlich. Wenn Ihr DNS-Anbieter keine Unterstriche im Datensatznamen zulässt, bitten Sie das Kundensupport-Team des Anbieters um Hilfe.
+ Ersetze es *example.com* durch deine Domain.
+ *yourPublicKey*Ersetzen Sie es durch den öffentlichen Schlüssel, den Sie zuvor erstellt haben, und fügen Sie das `p=` Präfix hinzu, wie in der Spalte *Wert* oben gezeigt.
**Anmerkung**
Wenn Sie Ihren öffentlichen Schlüssel an Ihren DNS-Anbieter veröffentlichen (ihm hinzufügen), muss er wie folgt formatiert sein:
Sie müssen die erste und letzte Zeile (`-----BEGIN PUBLIC KEY-----` bzw. `-----END PUBLIC KEY-----`) des generierten öffentlichen Schlüssels löschen. Darüber hinaus müssen Sie die Zeilenumbrüche im generierten öffentlichen Schlüssel entfernen. Der resultierende Wert ist eine Zeichenfolge ohne Leerzeichen oder Zeilenumbrüche.
Sie müssen das Präfix `p=`, wie in der Spalte *Value* (Wert) der oben stehenden Tabelle gezeigt, einschließen.
Verschiedene Anbieter nutzen unterschiedliche Verfahren zum Aktualisieren von DNS-Datensätzen. Die folgende Tabelle enthält Links zur Dokumentation für einige gängige DNS-Anbieter. Diese Liste ist nicht vollständig und stellt keine Empfehlung dar. Wenn Ihr DNS-Anbieter nicht aufgeführt ist, bedeutet dies nicht, dass Sie die Domäne nicht mit Amazon SES verwenden können.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Schritt 3: Konfigurieren und Überprüfen einer Domäne zur Verwendung von BYODKIM
Sie können BYODKIM sowohl für neue Domänen (d. h. Domänen, die Sie derzeit nicht zum Senden von E-Mails über Amazon SES verwenden) als auch für vorhandene Domänen (d. h. für Domänen, die Sie bereits für die Verwendung mit Amazon SES eingerichtet haben) einrichten, mithilfe der Konsole oder AWS CLI. Bevor Sie die AWS CLI Verfahren in diesem Abschnitt verwenden können, müssen Sie zuerst die installieren und konfigurieren AWS CLI. Weitere Informationen finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/)..
### Option 1: Erstellen einer neuen Domänenidentität, die BYODKIM verwendet
Dieser Abschnitt enthält Verfahren zum Erstellen einer neuen Domänenidentität, die BYODKIM verwendet. Eine neue Domänenidentität ist eine Domäne, die Sie zuvor nicht zum Senden von E-Mails über Amazon SES eingerichtet haben.
Wenn Sie eine vorhandene Domäne für die Verwendung von BYODKIM konfigurieren möchten, führen Sie stattdessen das unter [Option 2: Konfigurieren einer vorhandenen Domänenidentität](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) beschriebene Verfahren aus.
**So erstellen Sie mit BYODKIM eine Identität aus der Konsole**
+ Folgen Sie den Verfahren unter [Erstellen einer Domänenidentität](creating-identities.md#verify-domain-procedure) und für Schritt 8 die spezifischen Anweisungen von BYODKIM.
**Um eine Identität mit BYODKIM aus dem zu erstellen AWS CLI**
Verwenden Sie die Operation `CreateEmailIdentity` in der Amazon-SES-API, um eine neue Domäne einzurichten.
1. Fügen Sie folgenden Code in einen Texteditor ein:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:
+ Ersetzen Sie *example.com* durch die Domain, die Sie erstellen möchten.
+ *privateKey*Ersetzen Sie es durch Ihren privaten Schlüssel.
**Anmerkung**
Sie müssen die erste und letzte Zeile (`-----BEGIN PRIVATE KEY-----` bzw. `-----END PRIVATE KEY-----`) des generierten privaten Schlüssels löschen. Darüber hinaus müssen Sie die Zeilenumbrüche im generierten privaten Schlüssel entfernen. Der resultierende Wert ist eine Zeichenfolge ohne Leerzeichen oder Zeilenumbrüche.
+ *selector*Ersetzen Sie ihn durch den eindeutigen Selektor, den Sie bei der Erstellung des TXT-Eintrags in der DNS-Konfiguration für Ihre Domain angegeben haben.
Wenn Sie fertig sind, speichern Sie die Datei unter `create-identity.json`.
1. Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
Ersetzen Sie im vorherigen Befehl *path/to/create-identity.json* durch den vollständigen Pfad zu der Datei, die Sie im vorherigen Schritt erstellt haben.
### Option 2: Konfigurieren einer vorhandenen Domänenidentität
Dieser Abschnitt enthält Verfahren zum Aktualisieren einer vorhandenen Domänenidentität für die Verwendung von BYODKIM. Eine vorhandene Domänenidentität ist eine Domäne, die Sie bereits zum Senden von E-Mails über Amazon SES eingerichtet haben.
**So aktualisieren Sie eine Domänenidentität mit BYODKIM aus der Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten eine Identität aus, in der **Identity type** (Identitätstyp) *Domain* (Domäne) ist.
**Anmerkung**
Informationen zum Erstellen oder Überprüfen einer Domäne finden Sie unter [Erstellen einer Domänenidentität](creating-identities.md#verify-domain-procedure) aus.
1. Wählen Sie auf der Registerkarte **Authentifizierung** im Bereich **DomainKeys Identifizierte E-Mails (DKIM)** die Option **Bearbeiten** aus.
1. Wählen Sie im Bereich **Advanced DKIM settings** (Erweiterte DKIM-Einstellungen) die Schaltfläche **Provide DKIM authentication token (BYODKIM)** (DKIM-Authentifizierungstoken bereitstellen (BYODKIM)) im Feld **Identity type** (Identitätstyp) aus.
1. Fügen Sie im Feld **Private Key** (Privater Schlüssel) den privaten Schlüssel ein, den Sie zuvor generiert haben.
**Anmerkung**
Sie müssen die erste und letzte Zeile (`-----BEGIN PRIVATE KEY-----` bzw. `-----END PRIVATE KEY-----`) des generierten privaten Schlüssels löschen. Darüber hinaus müssen Sie die Zeilenumbrüche im generierten privaten Schlüssel entfernen. Der resultierende Wert ist eine Zeichenfolge ohne Leerzeichen oder Zeilenumbrüche.
1. Geben Sie für **Selector name** (Name des Selektors) den Namen des Selektors ein, den Sie in den DNS-Einstellungen Ihrer Domäne angegeben haben.
1. Im Feld **DKIM signatures** (DKIM-Unterschriften) aktivieren Sie das Kontrollkästchen **Enabled** (Aktiviert).
1. Wählen Sie **Änderungen speichern ** aus.
**Um eine Domänenidentität mit BYODKIM zu aktualisieren, klicken Sie auf AWS CLI**
Verwenden Sie die Operation `PutEmailIdentityDkimSigningAttributes` in der Amazon-SES-API, um eine neue Domäne einzurichten.
1. Fügen Sie folgenden Code in einen Texteditor ein:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:
+ Ersetzen Sie es durch *privateKey* Ihren privaten Schlüssel.
**Anmerkung**
Sie müssen die erste und letzte Zeile (`-----BEGIN PRIVATE KEY-----` bzw. `-----END PRIVATE KEY-----`) des generierten privaten Schlüssels löschen. Darüber hinaus müssen Sie die Zeilenumbrüche im generierten privaten Schlüssel entfernen. Der resultierende Wert ist eine Zeichenfolge ohne Leerzeichen oder Zeilenumbrüche.
+ *selector*Ersetzen Sie ihn durch den eindeutigen Selektor, den Sie bei der Erstellung des TXT-Eintrags in der DNS-Konfiguration für Ihre Domain angegeben haben.
Wenn Sie fertig sind, speichern Sie die Datei unter `update-identity.json`.
1. Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
Nehmen Sie im vorherigen Befehl die folgenden Änderungen vor:
+ *path/to/update-identity.json*Ersetzen Sie durch den vollständigen Pfad zu der Datei, die Sie im vorherigen Schritt erstellt haben.
+ *example.com*Ersetzen Sie durch die Domain, die Sie aktualisieren möchten.
### Überprüfen des DKIM-Status für eine Domäne, die BYODKIM verwendet
**So überprüfen Sie den DKIM-Status einer Domäne über die Konsole**
Nachdem Sie eine Domäne für die Verwendung von BYODKIM konfiguriert haben, können Sie mithilfe der SES-Konsole überprüfen, ob DKIM ordnungsgemäß konfiguriert wurde.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, deren DKIM-Status Sie überprüfen möchten.
1. Es kann bis zu 72 Stunden dauern, bis Änderungen an den DNS-Einstellungen weitergegeben werden. Sobald Amazon SES alle dieser DKIM-Einträge in der DNS-Konfiguration Ihrer Domäne erkennt, ist der Überprüfungsprozess abgeschlossen. Wenn alles korrekt konfiguriert wurde, wird im Feld **DKIM-Konfiguration** Ihrer Domain im Bereich **DomainKeysIdentifizierte E-Mails (DKIM)** der Wert **Erfolgreich** angezeigt, und im Feld **Identitätsstatus** wird im **Übersichtsbereich** **Verifiziert** angezeigt.
**Um den DKIM-Status einer Domain zu überprüfen, verwenden Sie AWS CLI**
Nachdem Sie eine Domain für die Verwendung von BYODKIM konfiguriert haben, können Sie den GetEmailIdentity Vorgang verwenden, um zu überprüfen, ob DKIM ordnungsgemäß konfiguriert ist.
+ Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws sesv2 get-email-identity --email-identity example.com
```
Ersetzen *example.com* Sie im vorherigen Befehl durch Ihre Domain.
Dieser Befehl gibt ein JSON-Objekt zurück, das einen Abschnitt enthält, der dem folgenden Beispiel ähnelt.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
Wenn alle der folgenden Bedingungen zutreffen, ist BYODKIM für die Domäne richtig konfiguriert:
+ Der Wert der Eigenschaft `SigningAttributesOrigin` lautet `EXTERNAL`.
+ Der Wert von `SigningEnabled` ist `true`.
+ Der Wert von `Status` ist `SUCCESS`.
# Verwaltung von Easy DKIM und BYODKIM
Sie können die DKIM-Einstellungen für Ihre Identitäten, die entweder mit Easy DKIM oder BYODKIM authentifiziert wurden, mit der webbasierten Amazon-SES-Konsole oder mit der Amazon-SES-API verwalten. Sie können beide Methoden verwenden, um die DKIM-Datensätze für eine Identität abzurufen oder DKIM-Signierung für eine Identität zu aktivieren oder zu deaktivieren.
## Abrufen von DKIM-Datensätzen für eine Identität
Sie können die DKIM-Datensätze für Ihre Domäne oder E-Mail-Adresse jederzeit mit der Amazon-SES-Konsole abrufen.
**So rufen Sie die DKIM-Datensätze für eine Identität mit der Konsole ab**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, für die Sie DKIM-Datensätze abrufen möchten.
1. Auf der Registerkarte **Authentication** (Authentifizierung) der Seite „Identitätsdetails“, erweitern Sie **View DNS records** (DNS-Datensätze anzeigen).
1. Kopieren Sie entweder die drei CNAME-Datensätze, wenn Sie Easy DKIM verwendet haben, oder den TXT-Datensatz, wenn Sie BYODKIM verwendet haben, die in diesem Abschnitt angezeigt werden. Alternativ können Sie **Download Record Set as CSV** (Datensatz als CSV-Datei herunterladen) auswählen, um eine Kopie der Datensätze auf Ihrem Computer zu speichern.
Die folgende Abbildung enthält ein Beispiel für den erweiterten Abschnitt **Anzeigen von DNS-Datensätzen**, der mit Easy DKIM verbundene CNAME-Datensätze zeigt.
![\[\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/images/dkim_existing_dns.png)
Sie können die DKIM-Datensätze für eine Identität auch mit der Amazon-SES-API abrufen. Eine gängige Methode, um mit der API zu interagieren, ist die Nutzung der AWS CLI.
**Um die DKIM-Einträge für eine Identität abzurufen, verwenden Sie den AWS CLI**
1. Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
Ersetzen Sie dies im vorherigen Beispiel *example.com* durch die Identität, für die Sie DKIM-Einträge abrufen möchten. Sie können entweder eine E-Mail-Adresse oder eine Domäne angeben.
1. Die Ausgabe dieses Befehls enthält einen Abschnitt `DkimTokens`, wie im folgenden Beispiel gezeigt:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Sie können mit den Tokens CNAME-Datensätze erstellen, die Sie zu den DNS-Einstellungen für Ihre Domäne hinzufügen. Verwenden Sie zum Erstellen der CNAME-Datensätze die folgende Vorlage:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Ersetzen Sie jede Instanz von *token1* durch das erste Token in der Liste, das Sie bei der Ausführung des `get-identity-dkim-attributes` Befehls erhalten haben, ersetzen Sie alle Instanzen von *token2* durch das zweite Token in der Liste und alle Instanzen von *token3* durch das dritte Token in der Liste.
Beispiel: Wenn diese Vorlage auf die im vorhergehenden Beispiel gezeigten Token angewendet wird, werden die folgenden Datensätze erzeugt:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**Anmerkung**
Nicht alle AWS-Regionen verwenden die standardmäßige SES-DKIM-Domain. `dkim.amazonses.com` Um zu sehen, ob Ihre Region eine regionsspezifische DKIM-Domain verwendet, schauen Sie in der Tabelle mit den [DKIM-Domänen](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) nach. *Allgemeine AWS-Referenz*
## Deaktivieren von Easy DKIM für eine Identität
Sie können die DKIM-Authentifizierung für eine Identität mit der Amazon-SES-Konsole schnell deaktivieren.
**So deaktivieren Sie DKIM für eine Identität**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, für die Sie DKIM deaktivieren möchten.
1. Wählen Sie auf der Registerkarte **Authentifizierung** im Container **DomainKeysIdentified Mail (DKIM)** die Option **Bearbeiten** aus.
1. Deaktivieren Sie in **Advanced DKIM settings** (Erweiterte DKIM-Einstellungen) das Kontrollkästchen **Enabled** (Aktiviert) im Feld **DKIM signatures** (DKIM-Signaturen).
Sie können DKIM für eine Identität auch mit der Amazon-SES-API deaktivieren. Eine gängige Methode, um mit der API zu interagieren, ist die Nutzung der AWS CLI.
**Um DKIM für eine Identität zu deaktivieren, verwenden Sie AWS CLI**
+ Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
Ersetzen Sie es im vorherigen Beispiel *example.com* durch die Identität, für die Sie DKIM deaktivieren möchten. Sie können entweder eine E-Mail-Adresse oder eine Domäne angeben.
## Aktivieren von Easy DKIM für eine Identität
Wenn Sie DKIM für eine Identität zuvor deaktiviert haben, können Sie es über die Amazon-SES-Konsole erneut aktivieren.
**So aktivieren Sie DKIM für eine Identität**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, für die Sie DKIM aktivieren möchten.
1. Wählen Sie auf der Registerkarte **Authentifizierung** im Container **DomainKeysIdentified Mail (DKIM)** die Option **Bearbeiten** aus.
1. Prüfen Sie in **Advanced DKIM settings** (Erweiterte DKIM-Einstellungen) das Kontrollkästchen **Enabled** (Aktiviert) im Feld **DKIM signatures** (DKIM-Signaturen).
Sie können DKIM für eine Identität auch mit der Amazon-SES-API aktivieren. Eine gängige Methode, um mit der API zu interagieren, ist die Nutzung der AWS CLI.
**Um DKIM für eine Identität zu aktivieren, verwenden Sie AWS CLI**
+ Geben Sie in der Befehlszeile folgenden Befehl ein:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
Ersetzen Sie dies im vorherigen Beispiel *example.com* durch die Identität, für die Sie DKIM aktivieren möchten. Sie können entweder eine E-Mail-Adresse oder eine Domäne angeben.
## Überschreiben der geerbten DKIM-Signatur für eine E-Mail-Adressenidentität
In diesem Abschnitt erfahren Sie, wie Sie die geerbten DKIM-Signatureigenschaften der übergeordneten Domäne für eine bestimmte E-Mail-Adressenidentität, die Sie bereits mit Amazon SES überprüft haben, überschreiben (deaktivieren oder aktivieren). Sie können dies nur für E-Mail-Adressenidentitäten tun, die zu Domänen gehören, die Sie bereits besitzen, da DNS-Einstellungen auf Domänenebene konfiguriert sind.
**Wichtig**
Sie können keine disable/enable DKIM-Signaturen für E-Mail-Adressidentitäten signieren...
auf Domänen, die Sie nicht besitzen, nicht deaktivieren/aktivieren. Sie können beispielsweise die DKIM-Signatur für eine *gmail.com*- oder *hotmail.com*-Adresse nicht umschalten,
auf Domänen, die Sie besitzen, aber in Amazon SES noch nicht überprüft wurden, nicht deaktivieren/aktivieren
auf Domänen, die Sie besitzen, aber die DKIM-Signatur für die Domäne nicht aktiviert haben, nicht deaktivieren/aktivieren.
In diesem Abschnitt werden folgende Themen behandelt:
+ [Verstehen geerbter DKIM-Signatureigenschaften](#dkim-easy-setup-email-key-points-mng)
+ [Überschreiben der DKIM-Signatur für eine E-Mail-Adressenidentität (Konsole)](#override-dkim-email-console-mng)
+ [Überschreiben der DKIM-Signatur für eine E-Mail-Adressenidentität (AWS CLI)](#override-dkim-email-cli-mng)
### Verstehen geerbter DKIM-Signatureigenschaften
Es ist wichtig, zuerst zu verstehen, dass eine E-Mail-Adressenidentität ihre DKIM-Signatureigenschaften von ihrer übergeordneten Domäne erbt, wenn diese Domäne mit DKIM konfiguriert wurde, unabhängig davon, ob Easy DKIM oder BYODKIM verwendet wurde. Daher ist das Deaktivieren oder Aktivieren der DKIM-Signatur für die E-Mail-Adressenidentität in Kraft, wodurch die DKIM-Signatureigenschaften der Domäne basierend auf diesen wichtigen Fakten außer Kraft gesetzt werden:
+ Wenn Sie DKIM bereits für die Domäne eingerichtet haben, zu der eine E-Mail-Adresse gehört, müssen Sie die DKIM-Signierung nicht auch für die E-Mail-Adressenidentität aktivieren.
+ Wenn Sie DKIM für eine Domäne einrichten, authentifiziert Amazon SES automatisch jede E-Mail von jeder Adresse in dieser Domäne über die geerbten DKIM-Eigenschaften der übergeordneten Domäne.
+ DKIM-Einstellungen für eine bestimmte E-Mail-Adressenidentität überschreiben *automatisch die Einstellungen der übergeordneten Domäne oder Unterdomäne (sofern zutreffend)*, zu der die Adresse gehört.
Da die DKIM-Signatureigenschaften der E-Mail-Adressenidentität von der übergeordneten Domäne geerbt werden, müssen Sie, wenn Sie diese Eigenschaften überschreiben möchten, die hierarchischen Regeln für das Überschreiben beachten, wie in der folgenden Tabelle beschrieben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Es wird im Allgemeinen nie empfohlen, Ihre DKIM-Signierung zu deaktivieren, da die Gefahr besteht, dass Ihre Senderreputation beeinträchtigt wird und es das Risiko erhöht, dass Ihre gesendeten E-Mails in Junk- oder Spam-Ordner wandern oder Ihre Domäne manipuliert wird.
Es besteht jedoch die Möglichkeit, die von der Domäne geerbten DKIM-Signatureigenschaften für eine E-Mail-Adressenidentität für einen bestimmten Anwendungsfall oder außerhalb der Geschäftsentscheidung außer Kraft zu setzen, dass Sie möglicherweise die DKIM-Signatur dauerhaft oder vorübergehend deaktivieren oder sie zu einem späteren Zeitpunkt wieder aktivieren müssen.
### Überschreiben der DKIM-Signatur für eine E-Mail-Adressenidentität (Konsole)
Das folgende SES-Konsolenverfahren erläutert, wie Sie die geerbten DKIM-Signatureigenschaften der übergeordneten Domäne für eine bestimmte E-Mail-Adressenidentität, die Sie bereits mit Amazon SES überprüft haben, überschreiben (deaktivieren oder aktivieren).
**Zur disable/enable DKIM-Signatur für eine E-Mail-Adressidentität mithilfe der Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten eine Identität aus, in der **Identitätstyp** *E-Mail-Adresse* ist und zu einer Ihrer verifizierten Domains gehört.
1. Wählen Sie auf der Registerkarte **Authentifizierung** im Container **DomainKeys Identified Mail (DKIM)** die Option **Bearbeiten** aus.
**Anmerkung**
Die Registerkarte **Authentifizierung** ist nur vorhanden, wenn die ausgewählte E-Mail-Adresse-Identität zu einer Domäne gehört, die bereits von SES verifiziert wurde. Wenn Sie Ihre Domain noch nicht verifiziert haben, siehe [Erstellen einer Domänenidentität](creating-identities.md#verify-domain-procedure).
1. Deaktivieren Sie unter **Erweiterte DKIM-Einstellungen** im Feld **DKIM-Signaturen** das Kontrollkästchen **Aktiviert**, um die DKIM-Signatur zu deaktivieren, oder wählen Sie sie aus, um die DKIM-Signatur erneut zu aktivieren (falls sie zuvor überschrieben wurde).
1. Wählen Sie **Änderungen speichern ** aus.
### Überschreiben der DKIM-Signatur für eine E-Mail-Adressenidentität (AWS CLI)
Im folgenden Beispiel werden der API-Befehl AWS CLI with a SES und Parameter verwendet, die die geerbten DKIM-Signatureigenschaften der übergeordneten Domain für eine bestimmte E-Mail-Adresse, die Sie bereits mit SES verifiziert haben, außer Kraft setzen (deaktivieren oder aktivieren).
**Zur disable/enable DKIM-Signatur für eine E-Mail-Adressidentität mit dem AWS CLI**
+ Angenommen, Sie besitzen die *example.com*-Domäne und Sie möchten die DKIM-Signatur für eine der E-Mail-Adressen der Domäne deaktivieren, geben Sie in der Befehlszeile den folgenden Befehl ein:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*Ersetzen Sie es durch die Identität der E-Mail-Adresse, für die Sie die DKIM-Signatur deaktivieren möchten.
1. `--no-signing-enabled` wird die DKIM-Signatur deaktivieren. Zum erneuten Aktivieren der DKIM-Signatur verwenden Sie `--signing-enabled`.
# Manuelle DKIM-Signierung in Amazon SES
Als Alternative zur Verwendung von Easy DKIM können Sie die DKIM-Signaturen auch manuell zu Ihren Nachrichten hinzufügen und diese Nachrichten anschließend mit Amazon SES versenden. Wenn Sie Ihre Nachrichten manuell signieren möchten, müssen Sie zunächst eine DKIM-Signatur erstellen. Nachdem Sie die Nachricht und die DKIM-Signatur erstellt haben, können Sie sie mit der [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html)API senden.
Wenn Sie Ihre E-Mails manuell signieren möchten, beachten Sie die folgenden Aspekte:
+ Jede Nachricht, die Sie mit Amazon SES versenden, enthält einen DKIM-Header, der auf eine Signaturdomäne von *amazonses.com* verweist (es ist also die folgende Zeichenfolge enthalten: `d=amazonses.com`). Wenn Sie Ihre Nachrichten manuell signieren, sollten Ihre Nachrichten *zwei* DKIM-Header enthalten: einen für Ihre Domäne und einen, den Amazon SES automatisch für *amazonses.com* erstellt.
+ DKIM-Signaturen, die Sie manuell zu Ihren Nachrichten hinzufügen, werden von Amazon SES nicht validiert. Wenn in Zusammenhang mit der DKIM-Signatur in einer Nachricht Fehler auftreten, wird die Nachricht möglicherweise von E-Mail-Anbietern zurückgewiesen.
+ Verwenden Sie beim Signieren Ihrer Nachrichten eine Bitlänge von mindestens 1024 Bits.
+ Signieren Sie die folgenden Felder nicht: Message-ID, Date, Return-Path, Bounces-To.
**Anmerkung**
Wenn Sie Ihre E-Mails mit einem E-Mail-Client über die Amazon-SES-SMTP-Schnittstelle versenden, versieht der Client möglicherweise die Nachrichten automatisch mit DKIM-Signaturen. Einige Client signieren möglicherweise einige dieser Felder. Informationen dazu, welche Felder standardmäßig signiert sind, finden Sie in der Dokumentation zu Ihrem E-Mail-Client.
# Authentifizierung Ihrer E-Mails mit SPF in Amazon SES
*Sender Policy Framework* (SPF) ist ein E-Mail-Validierungsstandard, der entwickelt wurde, um E-Mail-Spoofing zu verhindern. Domänenbesitzer verwenden SPF, um E-Mail-Anbietern mitzuteilen, welche Server E-Mails von ihren Domänen senden dürfen. SPF ist in [RFC 7208](https://tools.ietf.org/html/rfc7208) definiert.
Nachrichten, die über Amazon SES gesendet werden, verwenden automatisch eine Subdomain von `amazonses.com` als standardmäßige MAIL-FROM-Domain verwendet. Die SPF-Authentifizierung verifiziert diese Nachrichten erfolgreich, da die standardmäßige MAIL-FROM-Domain mit dem sendenden Mail-Server, SES, übereinstimmt. Daher ist SPF in SES implizit für Sie eingerichtet.
Wenn Sie jedoch nicht die SES-Standarddomäne MAIL FROM verwenden möchten, sondern lieber eine Subdomain einer Domain verwenden möchten, die Sie besitzen, wird dies in SES als Verwendung einer *benutzerdefinierten* MAIL FROM-Domäne bezeichnet. Dazu müssen Sie Ihren eigenen SPF-Datensatz für Ihre benutzerdefinierte MAIL-FROM-Domain veröffentlichen. Außerdem erfordert SES, dass Sie einen MX-Datensatz einrichten, damit Ihre benutzerdefinierte MAIL-FROM-Domain die Unzustellbarkeits- und Beschwerdebenachrichtigungen erhält, die E-Mail-Anbieter Ihnen senden.
**Erfahren Sie, wie Sie die SPF-Authentifizierung einrichten**
Es werden Anweisungen zur Konfiguration Ihrer Domain mit SPF und zum Veröffentlichen der MX- und SPF-Einträge (Typ TXT) gegeben. [Verwenden einer benutzerdefinierten MAIL FROM-Domäne](mail-from.md)
# Verwenden einer benutzerdefinierten MAIL FROM-Domäne
Wenn eine E-Mail gesendet wird, enthält sie zwei Adressen zur Angabe ihrer Quelle: eine From-Adresse, die dem Empfänger der Nachricht angezeigt wird, und eine MAIL FROM-Adresse, die angibt, woher die Nachricht stammt. Die MAIL FROM-Adresse wird auch als *envelope sender*, *envelope from*, *bounce address*, oder *Return-Path*-Adresse bezeichnet. Mail-Server verwenden die MAIL FROM-Adresse, um Unzustellbarkeitsnachrichten und andere Fehlerbenachrichtigungen zurückzugeben. Die MAIL FROM-Adresse kann für Empfänger in der Regel nur angezeigt werden, wenn sie den Quellcode für die Nachricht anzeigen.
Amazon SES legt die MAIL-FROM-Domain für die Nachrichten, die Sie senden, auf einen Standardwert fest, es sei denn, Sie geben Ihre eigene (benutzerdefinierte) Domain an. Dieser Abschnitt erläutert die Vorteile der Einrichtung einer benutzerdefinierten MAIL FROM-Domäne und enthält Einrichtungsverfahren.
## Warum sollten Sie eine benutzerdefinierte MAIL FROM-Domäne verwenden?
Nachrichten, die über Amazon SES gesendet werden, verwenden automatisch eine Subdomain von `amazonses.com` als standardmäßige MAIL-FROM-Domain verwendet. Die Sender Policy Framework(SPF)-Authentifizierung verifiziert diese Nachrichten erfolgreich, da die standardmäßige MAIL-FROM-Domain mit dem sendenden Mail-Server, in diesem Fall SES, übereinstimmt.
Wenn Sie nicht die SES-Standarddomain MAIL FROM verwenden möchten, sondern die Verwendung der Subdomain einer Domain, die Ihnen gehört, bevorzugen, wird dies in SES als Verwendung einer *benutzerdefinierten* MAIL-FROM-Domain bezeichnet. Dazu müssen Sie Ihren eigenen SPF-Datensatz für Ihre benutzerdefinierte MAIL-FROM-Domain veröffentlichen. Außerdem erfordert SES, dass Sie einen MX-Datensatz einrichten, damit Ihre Domain die Unzustellbarkeits- und Beschwerdebenachrichtigungen erhält, die E-Mail-Anbieter Ihnen senden.
Durch die Verwendung einer benutzerdefinierten MAIL-FROM-Domain haben Sie die Flexibilität, SPF, DKIM oder beides zu verwenden, um eine Validierung mit [DMARC (Domain-based Message Authentication, Reporting and Conformance)](send-email-authentication-dmarc.md) zu erreichen. Mit DMARC kann die Domäne eines Senders angeben, dass von der Domäne gesendete E-Mails durch ein oder mehrere Authentifizierungssysteme geschützt sind. Es gibt zwei Möglichkeiten, eine DMARC-Validierung zu erreichen: [Einhaltung von DMARC über SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) und [Einhaltung von DMARC über DKIM](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim).
## Auswählen einer benutzerdefinierten MAIL-FROM-Domain
Im Folgenden bezieht sich der Begriff *MAIL FROM-Domain* immer auf eine Subdomain einer Domain, die Sie besitzen — diese Subdomain, die Sie für Ihre benutzerdefinierte MAIL FROM-Domain verwenden, darf für nichts anderes verwendet werden und erfüllt die folgenden Anforderungen:
+ Die MAIL FROM-Domain muss eine Subdomain der übergeordneten Domain einer verifizierten Identität (E-Mail-Adresse oder Domain) sein.
+ Die MAIL FROM-Domäne sollte keine Unterdomäne sein, von der Sie auch E-Mails senden.
+ Bei der MAIL FROM-Domäne sollte es sich nicht um eine Unterdomäne handeln, auf der Sie E-Mails erhalten.
## Verwenden von SPF mit Ihrer benutzerdefinierten MAIL-FROM-Domain
*Sender Policy Framework* (SPF) ist ein E-Mail-Validierungsstandard, der entwickelt wurde, um E-Mail-Spoofing zu verhindern. Sie können Ihre benutzerdefinierte MAIL-FROM-Domain mit SPF konfigurieren, um E-Mail-Anbietern mitzuteilen, welche Server E-Mails von Ihrer benutzerdefinierten MAIL-FROM-Domain senden dürfen. SPF ist in [RFC 7208](https://tools.ietf.org/html/rfc7208) definiert.
Zum Einrichten von SPF veröffentlichen Sie einen TXT-Datensatz in der DNS-Konfiguration für Ihre benutzerdefinierte MAIL-FROM-Domain. Dieser Datensatz enthält eine Liste der Server, die Sie zum Senden von E-Mails aus Ihrer benutzerdefinierten MAIL-FROM-Domain autorisieren. Wenn ein E-Mail-Anbieter eine Nachricht von Ihrer benutzerdefinierten MAIL-FROM-Domain empfängt, überprüft er die DNS-Datensätze für Ihre Domain darauf, ob die E-Mail von einem autorisierten Server gesendet wurde.
Wenn Sie diesen SPF-Datensatz verwenden möchten, um DMARC-konform zu sein, muss die Domain in der Absenderadresse mit der MAIL-FROM-Domain übereinstimmen. Siehe [Einhaltung von DMARC über SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf).
Im nächsten Abschnitt, [Konfigurieren Ihrer benutzerdefinierten MAIL-FROM-Domain](#mail-from-set), wird erklärt, wie Sie SPF für Ihre benutzerdefinierte MAIL-FROM-Domain einrichten.
## Konfigurieren Ihrer benutzerdefinierten MAIL-FROM-Domain
Für die Einrichtung einer benutzerdefinierten MAIL FROM-Domäne müssen Sie Datensätze zur DNS-Konfiguration für die Domäne hinzufügen. SES verlangt von Ihnen, dass Sie einen MX-Eintrag veröffentlichen, damit Ihre Domain die Bounce- und Beschwerdebenachrichtigungen erhalten kann, die Ihnen E-Mail-Anbieter senden. Sie müssen auch einen SPF-Datensatz (Typ TXT) veröffentlichen, um nachzuweisen, dass Amazon SES berechtigt ist, E-Mails von Ihrer Domäne zu senden.
Sie können eine benutzerdefinierte MAIL FROM-Domain für eine gesamte Domain oder Subdomain sowie für einzelne E-Mail-Adressen einrichten. Die folgenden Verfahren zeigen, wie Sie mit der Amazon-SES-Konsole eine benutzerdefinierte MAIL FROM-Domäne konfigurieren. Sie können eine benutzerdefinierte MAIL FROM-Domain auch mithilfe der [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API-Operation konfigurieren.
### Einrichten einer benutzerdefinierten MAIL-FROM-Domain für eine verifizierte Domain
Diese Verfahren zeigen Ihnen, wie Sie eine benutzerdefinierte MAIL FROM-Domäne für eine gesamte Domain oder Subdomain konfigurieren, sodass alle Nachrichten, die von Adressen in dieser Domain gesendet werden, diese benutzerdefinierte MAIL FROM-Domäne verwenden.
**So konfigurieren Sie eine verifizierte Domäne für die Verwendung einer bestimmten benutzerdefinierten MAIL FROM-Domäne**
1. Öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im linken Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, die Sie konfigurieren möchten, wobei der **Identity type** (Identitätstyp) **Domain** (Domäne) und der **Status** *Verified* (Verifiziert) ist.
1. Wenn der **Status** *Unverified* (Nicht verifiziert) ist, führen Sie die Verfahren unter [Verifizieren einer DKIM-Domänenidentität bei Ihrem DNS-Anbieter](creating-identities.md#just-verify-domain-proc) aus, um die Domäne der E-Mail-Adresse zu überprüfen.
1. Wählen Sie unten auf dem Bildschirm im Bereich **Custom MAIL FROM domain** die Option **Bearbeiten** aus.
1. Gehen Sie im Bereich **General details** (Allgemeine Details) wie folgt vor:
1. Wählen Sie das Kontrollkästchen **Use a custom MAIL FROM domain** (Verwenden einer benutzerdefinierten MAIL-FROM-Domäne).
1. Geben Sie für **MAIL FROM domain** (MAIL FROM-Domäne) die Subdomäne ein, die Sie als MAIL FROM-Domäne verwenden möchten.
1. Wählen Sie für **Behavior on MX failure** (Verhalten bei MX-Fehler) eine der folgenden Optionen aus:
+ **Standard-MAIL-FROM-Domäne verwenden** – Wenn der MX-Datensatz der benutzerdefinierten MAIL-FROM-Domäne nicht richtig eingerichtet ist, verwendet Amazon SES eine Unterdomäne von `amazonses.com`. Die Subdomain hängt davon ab AWS-Region , in welcher Sie Amazon SES verwenden.
+ **Nachricht ablehnen** – Wenn ein benutzerdefinierter MX-Eintrag der MAIL FROM-Domäne nicht ordnungsgemäß eingerichtet ist, gibt Amazon SES einen `MailFromDomainNotVerified`-Fehler zurück. E-Mails, die Sie von dieser Domäne aus senden möchten, werden automatisch abgelehnt.
1. Wählen Sie **Save changes** (Änderungen speichern) aus. Sie kehren zum vorherigen Bildschirm zurück.
1. Veröffentlichen Sie die MX- und SPF-Datensätze (Typ TXT) im DNS-Server der benutzerdefinierten MAIL FROM-Domäne:
Im Bereich **Custom MAIL FROM domain** (Benutzerdefinierte MAIL FROM-Domäne) der Tabelle **Publish DNS records** (DNS-Datensätze veröffentlichen) werden jetzt die MX- und SPF-Datensätze (Typ TXT) angezeigt, die Sie an die DNS-Konfiguration Ihrer Domäne veröffentlichen (ihr hinzufügen) müssen. Diese Datensätze verwenden die Formate in der folgenden Tabelle.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/mail-from.html)
In den vorhergehenden Datensätzen wird
+ *subdomain*. *domain*. *com*wird mit Ihrer MAIL FROM-Subdomain gefüllt
+ *region*wird mit dem Namen der Domain aufgefüllt, für die AWS-Region Sie die MAIL FROM-Domain verifizieren möchten (z. B. `us-west-2``us-east-1`,`eu-west-1`, oder usw.)
+ Die Zahl *10*, die zusammen mit dem MX-Wert aufgeführt ist, ist die Präferenzreihenfolge für den Mailserver und muss in ein separates Wertefeld eingegeben werden, wie von der GUI Ihres DNS-Anbieters angegeben.
+ Der TXT-Eintragswert des SPF muss normalerweise die Anführungszeichen enthalten, aber einige DNS-Anbieter verlangen sie nicht.
Kopieren Sie aus der Tabelle **Publish DNS records** (DNS-Datensätze veröffentlichen) die MX- und SPF-Datensätze (Typ TXT), indem Sie das Kopiersymbol neben jedem Wert auswählen und in die entsprechenden Felder der GUI Ihres DNS-Anbieters einfügen. Alternativ können Sie **Download Record Set as CSV** (Datensatz als CSV-Datei herunterladen) auswählen, um eine Kopie der Datensätze auf Ihrem Computer zu speichern.
**Wichtig**
Die spezifischen Verfahren für die Veröffentlichung der MX- und SPF-Einträge (Typ TXT) hängen von Ihrem DNS- oder Hosting-Anbieter ab. Informationen zum Hinzufügen dieser Einträge zur DNS-Konfiguration für Ihre Domain erhalten Sie in der Dokumentation Ihres Anbieters oder kontaktieren Sie ihn.
Um erfolgreich eine benutzerdefinierte MAIL FROM-Domäne mit Amazon SES einzurichten, müssen Sie genau einen MX-Datensatz im DNS-Server Ihrer benutzerdefinierten MAIL FROM-Domäne veröffentlichen. Wenn die MAIL FROM-Domäne über mehrere MX-Datensatz verfügt, wird die benutzerdefinierte MAIL FROM-Einrichtung mit Amazon SES fehlschlagen.
Wenn Route 53 den DNS-Dienst für Ihre MAIL FROM-Domäne bereitstellt und Sie mit demselben Konto angemeldet sind, das Sie für Route 53 verwenden, wählen Sie „**Datensätze mit Route 53 veröffentlichen**“. AWS-Managementkonsole Die DNS-Datensätze werden automatisch auf die DNS-Konfiguration Ihrer Domäne angewendet.
Wenn Sie einen anderen DNS-Anbieter verwenden, müssen Sie die DNS-Datensätze manuell auf dem DNS-Server der MAIL FROM-Domäne veröffentlichen. Das Verfahren zum Hinzufügen von DNS-Datensätzen zum DNS-Server Ihrer Domäne variiert je nach Webhosting-Service oder DNS-Anbieter.
Die Verfahren für die Veröffentlichung von DNS-Datensätzen für Ihre Domäne hängen davon ab, welchen DNS-Anbieter Sie verwenden. Die folgende Tabelle enthält Links zur Dokumentation für einige gängige DNS-Anbieter. Diese Liste ist nicht vollständig und stellt keine Empfehlung dar. Wenn Ihr DNS-Anbieter nicht aufgeführt ist, bedeutet dies nicht, dass er die MAIL FROM-Domänenkonfiguration nicht unterstüzt.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/mail-from.html)
Wenn Amazon SES feststellt, dass die Datensätze vorhanden sind, erhalten Sie eine E-Mail, in der Sie darüber informiert werden, dass Ihre benutzerdefinierte MAIL FROM-Domäne erfolgreich eingerichtet wurde. Abhängig von Ihrem DNS-Anbieter kann es zu einer Verzögerung von bis zu 72 Stunden kommen, bevor Amazon SES den MX-Eintrag erkennt.
### Einrichten einer benutzerdefinierten MAIL-FROM-Domain für eine verifizierte E-Mail-Adresse
Sie können auch eine benutzerdefinierte MAIL FROM-Domäne für eine bestimmte E-Mail-Adresse einrichten. Um eine benutzerdefinierte MAIL FROM Domäne für eine E-Mail-Adresse einrichten zu können, müssen Sie zum Ändern der DNS-Datensätze für die Domäne, der die E-Mail-Adresse zugeordnet ist, berechtigt sein.
**Anmerkung**
Sie können keine benutzerdefinierte MAIL FROM-Domäne für Adressen in einer Domäne einrichten, die Sie nicht besitzen (Sie können beispielsweise keine benutzerdefinierte MAIL FROM-Domäne für eine Adresse in der Domäne `gmail.com` erstellen, da Sie der Domäne die erforderlichen DNS-Datensätze nicht hinzufügen können).
**So konfigurieren Sie eine verifizierte E-Mail-Adresse, um eine festgelegte MAIL FROM-Domäne zu verwenden**
1. Öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im linken Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, die Sie konfigurieren möchten, wobei der **Identity type** (Identitätstyp) **Email address** (E-Mail-Adresse) und der **Status** *Verified* (Verifiziert) ist.
1. Wenn der **Status** *Unverified* Nicht verifiziert) ist, führen Sie die Verfahren unter [Verifizieren der Identität einer E-Mail-Adresse](creating-identities.md#just-verify-email-proc) aus, um die Domäne der E-Mail-Adresse zu überprüfen.
1. Wählen Sie auf der Registerkarte **MAIL FROM Domain** (MAIL-FROM-Domäne) im Bereich **Custom MAIL FROM domain** (Benutzerdefinierte MAIL-FROM-Domäne) **Edit** (Bearbeiten) aus.
1. Gehen Sie im Bereich **General details** (Allgemeine Details) wie folgt vor:
1. Wählen Sie das Kontrollkästchen **Use a custom MAIL FROM domain** (Verwenden einer benutzerdefinierten MAIL-FROM-Domäne).
1. Geben Sie für **MAIL FROM domain** (MAIL FROM-Domäne) die Subdomäne ein, die Sie als MAIL FROM-Domäne verwenden möchten.
1. Wählen Sie für **Behavior on MX failure** (Verhalten bei MX-Fehler) eine der folgenden Optionen aus:
+ **Standard-MAIL-FROM-Domäne verwenden** – Wenn der MX-Datensatz der benutzerdefinierten MAIL-FROM-Domäne nicht richtig eingerichtet ist, verwendet Amazon SES eine Unterdomäne von `amazonses.com`. Die Subdomain hängt davon ab AWS-Region , in welcher Sie Amazon SES verwenden.
+ **Nachricht ablehnen** – Wenn ein benutzerdefinierter MX-Eintrag der MAIL FROM-Domäne nicht ordnungsgemäß eingerichtet ist, gibt Amazon SES einen `MailFromDomainNotVerified`-Fehler zurück. E-Mails werden bei einem Sendeversuch von dieser Adresse automatisch abgelehnt.
1. Wählen Sie **Save changes** (Änderungen speichern) aus. Sie kehren zum vorherigen Bildschirm zurück.
1. Veröffentlichen Sie die MX- und SPF-Datensätze (Typ TXT) im DNS-Server der benutzerdefinierten MAIL FROM-Domäne:
Im Bereich **Custom MAIL FROM domain** (Benutzerdefinierte MAIL FROM-Domäne) der Tabelle **Publish DNS records** (DNS-Datensätze veröffentlichen) werden jetzt die MX- und SPF-Datensätze (Typ TXT) angezeigt, die Sie an die DNS-Konfiguration Ihrer Domäne veröffentlichen (ihr hinzufügen) müssen. Diese Datensätze verwenden die Formate in der folgenden Tabelle.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/mail-from.html)
In den vorhergehenden Datensätzen wird
+ *subdomain*. *domain*. *com*wird mit Ihrer MAIL FROM-Subdomain gefüllt
+ *region*wird mit dem Namen der Domain aufgefüllt, für die AWS-Region Sie die MAIL FROM-Domain verifizieren möchten (z. B. `us-west-2``us-east-1`,`eu-west-1`, oder usw.)
+ Die Zahl *10*, die zusammen mit dem MX-Wert aufgeführt ist, ist die Präferenzreihenfolge für den Mailserver und muss in ein separates Wertefeld eingegeben werden, wie von der GUI Ihres DNS-Anbieters angegeben.
+ Der Wert des SPF TXT-Datensatzes muss die Anführungszeichen enthalten.
Kopieren Sie aus der Tabelle **Publish DNS records** (DNS-Datensätze veröffentlichen) die MX- und SPF-Datensätze (Typ TXT), indem Sie das Kopiersymbol neben jedem Wert auswählen und in die entsprechenden Felder der GUI Ihres DNS-Anbieters einfügen. Alternativ können Sie **Download Record Set as CSV** (Datensatz als CSV-Datei herunterladen) auswählen, um eine Kopie der Datensätze auf Ihrem Computer zu speichern.
**Wichtig**
Um erfolgreich eine benutzerdefinierte MAIL FROM-Domäne mit Amazon SES einzurichten, müssen Sie genau einen MX-Datensatz im DNS-Server Ihrer benutzerdefinierten MAIL FROM-Domäne veröffentlichen. Wenn die MAIL FROM-Domäne über mehrere MX-Datensatz verfügt, wird die benutzerdefinierte MAIL FROM-Einrichtung mit Amazon SES fehlschlagen.
Wenn Route 53 den DNS-Dienst für Ihre MAIL FROM-Domäne bereitstellt und Sie mit demselben Konto angemeldet sind, das Sie für Route 53 verwenden, wählen Sie „**Datensätze mit Route 53 veröffentlichen**“. AWS-Managementkonsole Die DNS-Datensätze werden automatisch auf die DNS-Konfiguration Ihrer Domäne angewendet.
Wenn Sie einen anderen DNS-Anbieter verwenden, müssen Sie die DNS-Datensätze manuell auf dem DNS-Server der MAIL FROM-Domäne veröffentlichen. Das Verfahren zum Hinzufügen von DNS-Datensätzen zum DNS-Server Ihrer Domäne variiert je nach Webhosting-Service oder DNS-Anbieter.
Die Verfahren für die Veröffentlichung von DNS-Datensätzen für Ihre Domäne hängen davon ab, welchen DNS-Anbieter Sie verwenden. Die folgende Tabelle enthält Links zur Dokumentation für einige gängige DNS-Anbieter. Diese Liste ist nicht vollständig und stellt keine Empfehlung dar. Wenn Ihr DNS-Anbieter nicht aufgeführt ist, bedeutet dies nicht, dass er die MAIL FROM-Domänenkonfiguration nicht unterstüzt.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/mail-from.html)
Wenn Amazon SES feststellt, dass die Datensätze vorhanden sind, erhalten Sie eine E-Mail, in der Sie darüber informiert werden, dass Ihre benutzerdefinierte MAIL FROM-Domäne erfolgreich eingerichtet wurde. Abhängig von Ihrem DNS-Anbieter kann es zu einer Verzögerung von bis zu 72 Stunden kommen, bevor Amazon SES den MX-Eintrag erkennt.
## Einrichtungszustände der benutzerdefinierten MAIL-FROM-Domain mit Amazon SES
Nach der Konfiguration einer Identität für die Verwendung einer benutzerdefinierten MAIL FROM-Domäne, wechselt der Einrichtungszustand zu "Pending" während Amazon SES versucht, den erforderlichen MX-Eintrag in Ihren DNS-Einstellungen zu erkennen. Der Zustand ändert sich daraufhin abhängig davon, ob Amazon SES den MX-Eintrag erkennt. Die folgende Tabelle beschreibt das E-Mail-Sendeverhalten und die jeweils entsprechenden Amazon-SES-Aktionen für die einzelnen Zustände. Jedes Mal, wenn sich der Status ändert, sendet Amazon SES eine Benachrichtigung an die E-Mail-Adresse, die mit Ihrem verknüpft ist AWS-Konto.
****
| Status | E-Mail-Sendeverhalten | Amazon-SES-Aktionen |
| --- | --- | --- |
| Ausstehend | Verwendet benutzerdefinierte MAIL FROM-Fallback-Einstellung | Amazon SES versucht, den erforderlichen MX-Eintrag für 72 Stunden zu erkennen. Im Falle eines Fehlschlags ändert sich der Zustand zu "Failed". |
| Herzlichen Glückwunsch | Verwendet benutzerdefinierte MAIL FROM-Domäne | Amazon SES überprüft kontinuierlich, ob der erforderliche MX-Eintrag vorliegt. |
| TemporaryFailure | Verwendet benutzerdefinierte MAIL FROM-Fallback-Einstellung | Amazon SES versucht, den erforderlichen MX-Eintrag für 72 Stunden zu erkennen. Im Falle eines Fehlschlags, ändert sich der Zustand zu "Failed". Wenn erfolgreich, ändert sich der Zustand zu "Success". |
| Fehlgeschlagen | Verwendet benutzerdefinierte MAIL FROM-Fallback-Einstellung | Amazon SES versucht nicht länger, den erforderlichen MX-Eintrag zu erkennen. Zum Verwenden einer benutzerdefinierten MAIL FROM-Domäne müssen Sie den Einrichtungsvorgang in [Konfigurieren Ihrer benutzerdefinierten MAIL-FROM-Domain](#mail-from-set) neu starten. |
# Einhaltung des DMARC-Authentifizierungsprotokolls in Amazon SES
Domain-based Message Authentication, Reporting and Conformance (DMARC) ist ein E-Mail-Authentifizierungsprotokoll, das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) verwendet, um E-Mail-Spoofing und Phishing zu erkennen. Um DMARC-konform zu sein, müssen Nachrichten entweder über SPF oder DKIM authentifiziert werden. Wenn Sie jedoch beide mit DMARC verwenden, gewährleisten Sie im Idealfall den höchstmöglichen Schutz für Ihren E-Mail-Versand.
Schauen wir uns kurz an, was jeder tut und wie DMARC sie alle miteinander verbindet:
+ **SPF** — Identifiziert, welche Mailserver E-Mails im Namen Ihrer benutzerdefinierten MAIL FROM-Domain über einen DNS-TXT-Eintrag senden dürfen, der von DNS verwendet wird. Die E-Mail-Systeme der Empfänger ermitteln anhand des SPF-TXT-Eintrags, ob eine Nachricht von Ihrer benutzerdefinierten Domain von einem autorisierten Messaging-Server stammt. Im Grunde soll SPF helfen, Spoofing zu verhindern, aber es gibt Spoofing-Techniken, für die SPF in der Praxis anfällig ist, und aus diesem Grund müssen Sie DKIM zusammen mit DMARC verwenden.
+ **DKIM** — Fügt Ihren ausgehenden Nachrichten im E-Mail-Header eine digitale Signatur hinzu. Empfangende E-Mail-Systeme können anhand dieser digitalen Signatur überprüfen, ob eingehende E-Mails mit einem Schlüssel signiert sind, der der Domain gehört. Wenn ein empfangendes E-Mail-System eine Nachricht weiterleitet, wird der Umschlag der Nachricht jedoch so geändert, dass die SPF-Authentifizierung ungültig wird. Da die digitale Signatur in der E-Mail-Nachricht verbleibt, weil sie Teil des E-Mail-Headers ist, funktioniert DKIM auch dann, wenn eine Nachricht zwischen Mailservern weitergeleitet wurde (sofern der Nachrichteninhalt nicht geändert wurde).
+ **DMARC** — Stellt sicher, dass eine Domainabstimmung mit mindestens einem von SPF und DKIM besteht. Die alleinige Verwendung von SPF und DKIM gewährleistet nicht, dass die Absenderadresse authentifiziert ist (dies ist die E-Mail-Adresse, die Ihr Empfänger in seinem E-Mail-Client sieht). SPF überprüft nur die in der MAIL FROM-Adresse angegebene Domain (wird von Ihrem Empfänger nicht gesehen). DKIM überprüft nur die in der DKIM-Signatur angegebene Domain (auch nicht für Ihren Empfänger sichtbar). DMARC behebt diese beiden Probleme, indem es verlangt, dass die Domänenausrichtung entweder auf SPF oder DKIM korrekt ist:
+ Damit SPF das DMARC-Alignment bestehen kann, muss die Domain in der Absenderadresse mit der Domain in der MAIL FROM-Adresse (auch als Return-Path- und Envelope-From-Adresse bezeichnet) übereinstimmen. Dies ist bei weitergeleiteten E-Mails selten möglich, weil sie entfernt werden, oder beim Senden von E-Mails über externe Massen-E-Mail-Anbieter, weil der Return-Path (MAIL FROM) für Bounces und Beschwerden verwendet wird, die der Anbieter (SES) anhand einer Adresse verfolgt, die ihm gehört.
+ Damit DKIM das DMARC-Alignment bestehen kann, muss die in der DKIM-Signatur angegebene Domäne mit der Domäne in der Absenderadresse übereinstimmen. Wenn Sie Absender oder Dienste von Drittanbietern verwenden, die in Ihrem Namen E-Mails versenden, können Sie dies erreichen, indem Sie sicherstellen, dass der Drittanbieter-Absender ordnungsgemäß für die DKIM-Signatur konfiguriert ist und Sie die entsprechenden DNS-Einträge innerhalb Ihrer Domain hinzugefügt haben. Empfangende Mailserver können dann die von Ihrem Drittanbieter an sie gesendeten E-Mails verifizieren, als ob es sich um E-Mails von einer Person handeln würde, die berechtigt ist, eine Adresse innerhalb der Domain zu verwenden.
**Alles mit DMARC zusammenfügen**
Die oben besprochenen DMARC-Alignment-Checks zeigen, wie SPF, DKIM und DMARC zusammenarbeiten, um das Vertrauen in Ihre Domain und die Zustellung Ihrer E-Mails an Posteingänge zu erhöhen. DMARC erreicht dies, indem es sicherstellt, dass die Absenderadresse, die der Empfänger sieht, entweder durch SPF oder DKIM authentifiziert wird:
+ Eine Nachricht durchläuft DMARC, wenn eine oder beide der beschriebenen SPF- oder DKIM-Prüfungen bestehen.
+ Eine Nachricht besteht DMARC nicht, wenn beide der beschriebenen SPF- oder DKIM-Prüfungen fehlschlagen.
Daher sind sowohl SPF als auch DKIM erforderlich, damit DMARC die besten Chancen hat, eine Authentifizierung für Ihre gesendete E-Mail zu erreichen. Wenn Sie alle drei verwenden, tragen Sie dazu bei, dass Sie über eine vollständig geschützte Absenderdomäne verfügen.
Mit DMARC können Sie E-Mail-Servern auch anhand von von Ihnen festgelegter Richtlinien anweisen, wie sie mit E-Mails umgehen sollen, wenn sie die DMARC-Authentifizierung nicht bestehen. Dies wird im folgenden Abschnitt erläutert[Einrichten der DMARC-Richtlinie für Ihre Domäne](#send-email-authentication-dmarc-dns), der Informationen zur Konfiguration Ihrer SES-Domains enthält, sodass die von Ihnen gesendeten E-Mails dem DMARC-Authentifizierungsprotokoll sowohl über SPF als auch über DKIM entsprechen.
## Einrichten der DMARC-Richtlinie für Ihre Domäne
Zum Einrichten von DMARC müssen Sie die DNS-Einstellungen für Ihre Domäne ändern. Die DNS-Einstellungen für Ihre Domäne sollten einen TXT-Datensatz enthalten, der die DMARC-Einstellungen der Domäne angibt. Die Verfahren zum Hinzufügen von TXT-Datensätzen zu Ihrer DNS-Konfiguration hängen davon ab, welche DNS- oder Hosting-Anbieter Sie verwenden. Wenn Sie Route 53 verwenden, lesen Sie die Informationen zum [Bearbeiten von Datensätzen ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) im *Amazon-Route-53-Entwicklerhandbuch*. Wenn Sie einen anderen Anbieter verwenden, informieren Sie sich in der Dokumentation zur DNS-Konfiguration des betreffenden Anbieters.
Der Name des von Ihnen erstellten TXT-Datensatzes sollte `_dmarc.example.com` lauten, wobei `example.com` Ihre Domäne ist. Der Wert des TXT-Datensatzes enthält die DMARC-Richtlinie, die auf Ihre Domäne zutrifft. Nachfolgend finden Sie ein Beispiel eines TXT-Datensatzes mit einer DMARC-Richtlinie:
| Name | Typ | Wert |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
Im vorherigen Beispiel für eine DMARC-Richtlinie weist diese Richtlinie E-Mail-Anbieter an, Folgendes zu tun:
+ Senden Sie alle Nachrichten, bei denen die Authentifizierung fehlschlägt, an den Spam-Ordner, `p=quarantine` wie im Richtlinienparameter angegeben. Zu den weiteren Optionen gehört, dass Sie nichts tun`p=none`, indem Sie die Nachricht verwenden, oder die Nachricht direkt zurückweisen. `p=reject`
+ Im nächsten Abschnitt wird erläutert, wie und wann Sie diese drei Richtlinieneinstellungen verwenden sollten. Wenn Sie *die falsche Einstellung zur falschen Zeit verwenden, kann dies dazu führen, dass Ihre E-Mail nicht zugestellt wird, siehe*. [Bewährte Methoden für die Implementierung von DMARC](#send-email-authentication-dmarc-implement)
+ Senden Sie Berichte über alle E-Mails, bei denen die Authentifizierung fehlgeschlagen ist, in einem Digest (d. h. einem Bericht, der die Daten für einen bestimmten Zeitraum zusammenfasst, anstatt einzelne Berichte für jedes Ereignis zu senden), wie im Berichtsparameter angegeben `rua=mailto:my_dmarc_report@example.com` (*rua* steht für Berichts-URI für Aggregierte Berichte). E-Mail-Anbieter senden diese aggregierten Berichten in der Regel einmal pro Tag, wobei diese Richtlinien von Anbieter zu Anbieter verschieden sind.
Weitere Informationen zur Konfiguration von DMARC für Ihre Domäne finden Sie in der [Übersicht](https://dmarc.org/overview/) über die DMARC-Website.
Vollständige Spezifikationen des DMARC-Systems finden Sie unter DMARC-Entwurf der [Internet Engineering Task Force (IETF](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)).
## Bewährte Methoden für die Implementierung von DMARC
Es ist am besten, die Durchsetzung Ihrer DMARC-Richtlinien schrittweise und schrittweise umzusetzen, damit der Rest Ihres E-Mail-Flusses nicht unterbrochen wird. Erstellen und implementieren Sie einen Rollout-Plan, der diesen Schritten folgt. Führen Sie jeden dieser Schritte zuerst mit jeder Ihrer Subdomänen und schließlich mit der Top-Level-Domain in Ihrer Organisation aus, bevor Sie mit dem nächsten Schritt fortfahren.
1. Überwachen Sie die Auswirkungen der Implementierung von DMARC (p=none).
+ Beginnen Sie mit einem einfachen Datensatz im Überwachungsmodus für eine Subdomain oder Domain, der anfordert, dass E-Mail-Empfangsunternehmen Ihnen Statistiken über Nachrichten senden, die sie unter Verwendung dieser Domain sehen. Ein Datensatz im Überwachungsmodus ist ein DMARC-TXT-Eintrag, dessen Richtlinie auf „Keine“ gesetzt ist. `p=none`
+ Über DMARC generierte Berichte geben die Anzahl und Herkunft der Nachrichten an, die diese Prüfungen bestehen, im Vergleich zu Nachrichten, die dies nicht tun. Sie können leicht erkennen, wie viel Ihres legitimen Datenverkehrs von ihnen abgedeckt wird oder nicht. Sie werden Anzeichen einer Weiterleitung erkennen, da weitergeleitete Nachrichten SPF- und DKIM-Fehler aufweisen, wenn der Inhalt geändert wird. Außerdem werden Sie feststellen, wie viele betrügerische Nachrichten gesendet wurden und von wo sie gesendet wurden.
+ Ziel dieses Schritts ist es, herauszufinden, welche E-Mails betroffen sein werden, wenn Sie einen der nächsten beiden Schritte implementieren, und sicherzustellen, dass alle Drittanbieter oder autorisierten Absender ihre SPF- oder DKIM-Richtlinien aufeinander abstimmen.
+ Am besten für bestehende Domains.
1. Bitten Sie externe E-Mail-Systeme, E-Mails, die DMARC nicht bestehen, unter Quarantäne zu stellen (p=quarantine).
+ Wenn Sie der Meinung sind, dass Ihr gesamter oder der Großteil Ihres legitimen Datenverkehrs domänengerecht entweder SPF oder DKIM versendet wird, und Sie sich der Auswirkungen der Implementierung von DMARC bewusst sind, können Sie eine Quarantänerichtlinie implementieren. Eine Quarantänerichtlinie ist ein DMARC-TXT-Eintrag, dessen Richtlinie auf Quarantäne eingestellt ist. `p=quarantine` Auf diese Weise bitten Sie die DMARC-Empfänger, Nachrichten von Ihrer Domain, die DMARC nicht bestanden haben, in das lokale Äquivalent eines Spam-Ordners zu legen, anstatt in die Posteingänge Ihrer Kunden.
+ Am besten für die Umstellung von Domains, die in Schritt 1 DMARC-Berichte analysiert haben.
1. Fordern Sie an, dass externe Mailsysteme keine Nachrichten akzeptieren, die DMARC nicht bestehen (p=reject).
+ Die Implementierung einer Ablehnungsrichtlinie ist normalerweise der letzte Schritt. Eine Ablehnungsrichtlinie ist ein DMARC-TXT-Eintrag, dessen Richtlinie auf Ablehnung `p=reject` gesetzt ist. Wenn Sie dies tun, bitten Sie die DMARC-Empfänger, keine Nachrichten anzunehmen, die die DMARC-Prüfungen nicht bestehen. Das bedeutet, dass sie nicht einmal in einem Spam- oder Junk-Ordner unter Quarantäne gestellt, sondern sofort abgelehnt werden.
+ Wenn Sie eine Ablehnungsrichtlinie verwenden, wissen Sie genau, welche Nachrichten die DMARC-Richtlinie nicht einhalten, da die Ablehnung zu einem SMTP-Bounce führt. Bei Quarantäne liefern die aggregierten Daten Informationen über den Prozentsatz der E-Mails, die SPF-, DKIM- und DMARC-Prüfungen bestanden oder nicht bestanden haben.
+ Am besten für neue Domains oder bestehende Domains, die die beiden vorherigen Schritte durchlaufen haben.
## Einhaltung von DMARC über SPF
Damit eine E-Mail basierend auf SPF DMARC erfüllt, müssen beide der folgenden Bedingungen erfüllt sein:
+ Die Nachricht muss eine SPF-Prüfung bestehen, die auf einem gültigen SPF-Eintrag (Typ TXT) basiert, den Sie in der DNS-Konfiguration Ihrer benutzerdefinierten MAIL FROM-Domäne veröffentlicht haben.
+ Die Domain in der Absenderadresse des E-Mail-Headers muss mit der Domain oder einer Subdomain von übereinstimmen, die in der MAIL FROM-Adresse angegeben ist. Um eine SPF-Anpassung an SES zu erreichen, darf die DMARC-Richtlinie der Domain keine strikte SPF-Richtlinie (aspf=s) vorschreiben.
Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:
+ Befolgen Sie die Anleitung unter [Verwenden einer benutzerdefinierten MAIL FROM-Domäne](mail-from.md), um eine benutzerdefinierte MAIL FROM-Domäne einzurichten.
+ Stellen Sie sicher, dass Ihre sendende Domäne eine lockere Richtlinie für SPF verwendet. Wenn Sie die Ausrichtung der Richtlinien Ihrer Domain nicht geändert haben, verwendet sie standardmäßig eine lockere Richtlinie, ebenso wie SES.
**Anmerkung**
Um die DMARC-Ausrichtung Ihrer Domäne für SPF herauszufinden, geben Sie in der Befehlszeile den folgenden Befehl ein. Ersetzen Sie dabei `example.com` durch Ihre Domäne:
```
dig TXT _dmarc.example.com
```
Suchen Sie in der Ausgabe des Befehls unter **Non-authoritative answer** nach einem Eintrag, der mit `v=DMARC1` beginnt. Wenn dieser Eintrag die Zeichenfolge `aspf=r` enthält oder die Zeichenfolge `aspf` nicht vorhanden ist, verwendet Ihre Domäne eine lockere Ausrichtung für SPF. Wenn der Eintrag die Zeichenfolge `aspf=s` enthält, verwendet Ihre Domäne eine enge Ausrichtung für SPF. In diesem Fall muss der Systemadministrator diesen Tag in der DNS-Konfiguration Ihrer Domäne aus dem DMARC TXT-Eintrag entfernen.
Alternativ können Sie ein webbasiertes DMARC-Lookup-Tool verwenden, z. B. den [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) von der dmarcian-Website oder das [DMARC Check Tool-Tool](https://mxtoolbox.com/dmarc.aspx) von der MxToolBox Website, um die Richtlinienausrichtung Ihrer Domain für SPF zu ermitteln.
## Einhaltung von DMARC über DKIM
Damit eine E-Mail basierend auf DKIM DMARC erfüllt, müssen beide der folgenden Bedingungen erfüllt sein:
+ Die Nachricht muss eine gültige DKIM-Signatur haben und die DKIM-Prüfung bestanden haben.
+ Die in der DKIM-Signatur angegebene Domäne muss mit der Domäne in der Absenderadresse übereinstimmen (übereinstimmen). Wenn die DMARC-Richtlinie der Domain eine strikte Ausrichtung für DKIM vorsieht, müssen diese Domänen exakt übereinstimmen (SES verwendet standardmäßig eine strikte DKIM-Richtlinie).
Gehen Sie wie folgt vor, um diese Anforderungen zu erfüllen:
+ Richten Sie Easy DKIM anhand der Anleitung unter [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md) ein. Wenn Sie Easy DKIM verwenden, signiert Amazon SES Ihre E-Mails automatisch.
**Anmerkung**
Statt Easy DKIM zu verwenden, können Sie [Ihre Nachrichten auch manuell signieren](send-email-authentication-dkim-manual.md). Diese Methode ist jedoch mit Vorsicht zu verwenden, da Amazon SES die von Ihnen erstellte DKIM-Signatur nicht validiert. Daher empfehlen wir dringend die Verwendung von Easy DKIM.
+ Stellen Sie sicher, dass die in der DKIM-Signatur angegebene Domain mit der Domain in der Absenderadresse übereinstimmt. Oder, wenn Sie von einer Subdomain der Domain in der Absenderadresse senden, stellen Sie sicher, dass Ihre DMARC-Richtlinie auf eine lockere Ausrichtung eingestellt ist.
**Anmerkung**
Um die DMARC-Ausrichtung Ihrer Domäne für DKIM herauszufinden, geben Sie in der Befehlszeile den folgenden Befehl ein. Ersetzen Sie dabei `example.com` durch Ihre Domäne:
```
dig TXT _dmarc.example.com
```
Suchen Sie in der Ausgabe des Befehls unter **Non-authoritative answer** nach einem Eintrag, der mit `v=DMARC1` beginnt. Wenn dieser Eintrag die Zeichenfolge `adkim=r` enthält oder die Zeichenfolge `adkim` nicht vorhanden ist, verwendet Ihre Domäne eine lockere Ausrichtung für DKIM. Wenn der Eintrag die Zeichenfolge `adkim=s` enthält, verwendet Ihre Domäne eine enge Ausrichtung für DKIM. In diesem Fall muss der Systemadministrator diesen Tag in der DNS-Konfiguration Ihrer Domäne aus dem DMARC TXT-Eintrag entfernen.
Alternativ können Sie ein webbasiertes DMARC-Lookup-Tool verwenden, z. B. den [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) von der dmarcian-Website oder das [DMARC Check Tool-Tool](https://mxtoolbox.com/dmarc.aspx) von der MxToolBox Website, um die Richtlinienausrichtung Ihrer Domain für DKIM zu ermitteln.
# Verwenden von BIMI in Amazon SES
Brand Indicators for Message Identification (BIMI) ist eine E-Mail-Spezifikation, mit der in E-Mail-Posteingängen das Logo einer Marke neben den authentifizierten E-Mail-Nachrichten der Marke in unterstützenden E-Mail-Clients angezeigt werden kann.
BIMI ist eine E-Mail-Spezifikation, die direkt mit der Authentifizierung verbunden ist. Es handelt sich jedoch nicht um ein eigenständiges E-Mail-Authentifizierungsprotokoll, da alle Ihre E-Mails der [DMARC](send-email-authentication-dmarc.md)-Authentifizierung entsprechen müssen.
BIMI erfordert zwar DMARC, DMARC erfordert jedoch, dass Ihre Domain entweder SPF- oder DKIM-Einträge zum Abgleichen hat. Es ist jedoch am besten, sowohl SPF- als auch DKIM-Einträge hinzuzufügen, um zusätzliche Sicherheit zu gewährleisten und weil einige E-Mail-Dienstanbieter () ESPs beide benötigen, wenn sie BIMI verwenden. Im folgenden Abschnitt werden die Schritte zur Implementierung von BIMI in Amazon SES beschrieben.
## Einrichtung von BIMI in SES
Sie können BIMI für eine E-Mail-Domain konfigurieren, die Sie besitzen – in SES wird dies als *benutzerdefinierte* MAIL FROM-Domain bezeichnet. Nach der Konfiguration wird in allen Nachrichten, die Sie von dieser Domain senden, Ihr BIMI-Logo in [E-Mail-Clients angezeigt, die BIMI unterstützen](https://bimigroup.org/bimi-infographic/).
Damit Ihre E-Mails ein BIMI-Logo anzeigen können, müssen innerhalb von SES einige Voraussetzungen erfüllt sein. Im folgenden Verfahren werden diese Voraussetzungen verallgemeinert und es wird auf spezielle Abschnitte verwiesen, die diese Themen ausführlich behandeln. Die für BIMI spezifischen Schritte und die für die Konfiguration in SES erforderliche Vorgehensweise werden hier ausführlich beschrieben.
**So richten Sie eine benutzerdefinierte MAIL FROM-Domain ein**
1. Sie müssen eine benutzerdefinierte MAIL FROM-Domain in SES konfiguriert haben, in der sowohl SPF- (Typ TXT) als auch MX-Einträge für diese Domain veröffentlicht sind. Wenn Sie keine benutzerdefinierte MAIL FROM-Domain haben oder eine neue für Ihr BIMI-Logo erstellen möchten, finden Sie weitere Informationen unter [Verwenden einer benutzerdefinierten MAIL FROM-Domäne](mail-from.md).
1. Konfigurieren Sie Ihre Domain mit Easy DKIM. Siehe [Easy DKIM in Amazon SES](send-email-authentication-dkim-easy.md).
1. Konfigurieren Sie Ihre Domain mit DMARC, indem Sie bei Ihrem DNS-Anbieter einen TXT-Eintrag veröffentlichen, der die folgenden für BIMI erforderlichen Durchsetzungsrichtlinien enthält, die einem der beiden Beispiele ähneln:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-bimi.html)
Im vorherigen Beispiel für eine DMARC-Richtlinie, wie für BIMI erforderlich:
+ `example.com` sollte durch Ihren Domain- oder Subdomainnamen ersetzt werden.
+ Der Wert `p=` kann einer der folgenden sein:
+ *Quarantäne* mit einem *PCT*-Wert, der wie abgebildet auf *100* festgelegt ist, oder
+ *ablehnen* wie gezeigt.
+ Wenn Sie von einer Subdomain aus senden, ist für BIMI erforderlich, dass die übergeordnete Domain ebenfalls über diese Durchsetzungsrichtlinie verfügen muss. Subdomains fallen unter die Richtlinie der übergeordneten Domain. Wenn Sie jedoch zusätzlich zu dem, was für die übergeordnete Domain veröffentlicht wird, einen DMARC-Eintrag für Ihre Subdomain hinzufügen, muss Ihre Subdomain ebenfalls über dieselbe Durchsetzungsrichtlinie verfügen, um für BIMI infrage zu kommen.
+ Wenn Sie noch nie eine DMARC-Richtlinie für Ihre Domain eingerichtet haben, lesen Sie den Abschnitt [Einhaltung des DMARC-Authentifizierungsprotokolls in Amazon SES](send-email-authentication-dmarc.md) und stellen Sie sicher, dass Sie nur die DMARC-Richtlinienwerte verwenden, die für BIMI spezifisch sind, wie abgebildet.
1. Produzieren Sie Ihr BIMI-Logo als `.svg` SVG-Datei (Scalable Vector Graphics) — das spezifische SVG-Profil, das von BIMI benötigt wird, ist als SVG (SVG P/S) definiert. Portable/Secure Damit Ihr Logo im E-Mail-Client angezeigt werden kann, muss es genau diesen Spezifikationen entsprechen. Lesen Sie die Anleitung der [BIMI Group](https://bimigroup.org/) zur [Erstellung von SVG-Logodateien](https://bimigroup.org/creating-bimi-svg-logo-files/) und zu den empfohlenen [SVG-Konvertierungstools](https://bimigroup.org/svg-conversion-tools-released/).
1. (Optional) Besorgen Sie sich ein Verified Mark Certificate (VMC). Einige ESPs, wie Gmail und Apple, verlangen eine VMC, um nachzuweisen, dass Sie die Marke und den Inhalt Ihres BIMI-Logos besitzen. Dies ist zwar keine Voraussetzung für die Implementierung von BIMI in Ihrer Domain, Ihr BIMI-Logo wird jedoch nicht im E-Mail-Client angezeigt, wenn der ESP, an den Sie E-Mails senden, die VMC-Compliance erzwingt. Sehen Sie sich die Verweise der BIMI Group auf die [teilnehmenden Zertifizierungsstellen](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) an, um ein VMC für Ihr Logo zu erhalten.
1. Hosten Sie die SVG-Datei Ihres BIMI-Logos auf einem Server, auf den Sie Zugriff haben, um sie über HTTPS öffentlich zugänglich zu machen. Sie könnten sie beispielsweise in einen [Amazon-S3-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html) hochladen.
1. Erstellen und veröffentlichen Sie einen BIMI-DNS-Eintrag, der eine URL zu Ihrem Logo enthält. Wenn ein [ESP, der BIMI unterstützt](https://bimigroup.org/bimi-infographic/), Ihren DMARC-Eintrag überprüft, sucht er auch nach einem BIMI-Datensatz, der die URL für die `.svg`-Datei Ihres Logos und, falls konfiguriert, die URL für die `.pem`-Datei Ihres VMC enthält. Wenn die Einträge übereinstimmen, wird Ihr BIMI-Logo angezeigt.
Konfigurieren Sie Ihre Domain mit BIMI, indem Sie einen TXT-Eintrag mit Ihrem DNS-Anbieter mit den folgenden Werten wie gezeigt veröffentlichen. Das Senden von einer Domain wird im ersten Beispiel und das Senden von einer Subdomain im zweiten Beispiel dargestellt:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/send-email-authentication-bimi.html)
In den vorhergehenden BIMI-Eintragsbeispielen:
+ Der Namenswert sollte wörtlich `default._bimi.` als Subdomain von `example.com` oder `marketing.example.com` angeben, was durch Ihren Domain- oder Subdomainnamen ersetzt werden sollte.
+ Der Wert `v=` ist die *Version* des BIMI-Eintrags.
+ Der Wert `l=` ist das *Logo*, das die URL darstellt, die auf die `.svg`-Datei Ihres Image verweist.
+ Der Wert `a=` ist die *Zertifizierungsstelle*, die die URL darstellt, die auf die `.pem`-Datei Ihres Zertifikats verweist.
Sie können Ihren BIMI-Eintrag mit einem Tool wie [BIMI Inspector](https://bimigroup.org/bimi-generator/) der BIMI Group validieren.
Der letzte Schritt in diesem Prozess besteht darin, ein regelmäßiges Sendemuster an diejenigen zu haben ESPs , die die Platzierung des BIMI-Logos unterstützen. Ihre Domain sollte einen regelmäßigen Zustellrhythmus haben und bei der Domain, an die Sie senden ESPs , einen guten Ruf haben. Es kann einige Zeit dauern, bis die Platzierung des BIMI-Logos so weit verbreitet ist ESPs , dass Sie keinen guten Ruf oder keine Versandfrequenz haben.
Weitere Informationen und Ressourcen zu BIMI finden Sie über [BIMI Group](https://bimigroup.org/).
# Einrichten von Ereignisbenachrichtigungen für Amazon SES
Um E-Mails mit Amazon SES zu senden, müssen Sie ein System für die Verwaltung von Unzustellbarkeitsnachrichten und Beschwerden haben. Amazon SES kann Sie auf drei Arten über Unzustellbarkeits- und Beschwerdeereignisse informieren: durch Senden einer Benachrichtigungs-E-Mail, durch Benachrichtigung eines Amazon-SNS-Themas oder durch Veröffentlichung von Sendeereignissen. Dieser Abschnitt enthält Informationen über das Einrichten von Amazon SES zum Senden bestimmter Arten von Benachrichtigungen per E-Mail oder durch Benachrichtigen eines Amazon-SNS-Themas. Weitere Informationen zum Veröffentlichen von Sendeereignissen finden Sie unter [Überwachen des E-Mail-Versands mithilfe der Amazon SES-Ereignisveröffentlichung](monitor-using-event-publishing.md).
Sie können Benachrichtigungen mithilfe der Amazon-SES-Konsole oder der Amazon-SES-API einrichten.
**Topics**
+ [Wichtige Überlegungen](#monitor-sending-activity-using-notifications-considerations)
+ [Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang](monitor-sending-activity-using-notifications-email.md)
+ [Verwenden von Benachrichtigungen für den Amazon SNS E-Mail-Empfang](monitor-sending-activity-using-notifications-sns.md)
## Wichtige Überlegungen
Es sind mehrere wichtige Punkte zu berücksichtigen, wenn Sie Amazon SES zum Senden von Benachrichtigungen einrichten:
+ E-Mail- und Amazon-SNS-Benachrichtigungen gelten für einzelne Identitäten (die verifizierten E-Mail-Adressen oder Domänen, die Sie zum Senden von E-Mails verwenden). Wenn Sie Benachrichtigungen für eine Identität aktivieren, sendet Amazon SES nur Benachrichtigungen für E-Mails, die von dieser Identität gesendet wurden, und zwar nur in der AWS Region, in der Sie Benachrichtigungen konfiguriert haben.
+ Sie müssen eine Methode für den Empfang von Unzustellbarkeits- und Beschwerdebenachrichtigungen aktivieren. Sie können Benachrichtigungen an die Domäne oder E-Mail-Adresse senden, die die unzustellbare E-Mail und Beschwerde generiert hat, oder an ein Amazon-SNS-Thema. Sie können das [Veröffentlichen von Veranstaltungen](monitor-using-event-publishing.md) auch verwenden, um Benachrichtigungen über verschiedene Arten von Ereignissen (einschließlich Bounces, Beschwerden, Lieferungen und mehr) an ein Amazon SNS SNS-Thema oder einen Firehose-Stream zu senden.
Wenn Sie keine dieser Methoden für den Empfang von Unzustellbarkeits- oder Beschwerdebenachrichtigungen einrichten, leitet Amazon SES Unzustellbarkeits- und Beschwerdebenachrichtigungen automatisch weiter an die „Return-Path“-Adresse (Antwortpfad bei Unzustellbarkeit) (oder die „Source“-Adresse (Quelle), wenn Sie keine "Return-Path"-Adresse angegeben haben) in der E-Mail, die das Unzustellbarkeits- und Beschwerdeereignis ausgelöst hat, selbst wenn Sie die Weiterleitung von E-Mail-Feedback deaktiviert haben.
Wenn Sie die Weiterleitung von E-Mail-Feedback deaktivieren und Ereignisveröffentlichung aktivieren, müssen Sie den Konfigurationssatz, der die Ereignisveröffentlichungsregel enthält, auf alle E-Mails, die Sie senden, anwenden. In diesem Fall, wenn Sie den Konfigurationssatz nicht verwenden, leitet Amazon SES Unzustellbarkeits- und Beschwerdebenachrichtigungen automatisch weiter an die „Return-Path“-Adresse (Antwortpfad bei Unzustellbarkeit) oder die „Source“-Adresse (Quelle) in der E-Mail, die das Unzustellbarkeits- und Beschwerdeereignis ausgelöst hat.
+ Wenn Sie Amazon SES für das Senden von Unzustellbarkeits- und Beschwerdeereignissen mithilfe von mehr als einer Methode einrichten (z. B. durch das Senden von E-Mail-Benachrichtigungen und durch das Senden von Ereignissen), erhalten Sie möglicherweise mehr als eine Benachrichtigung für dasselbe Ereignis.
# Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang
Amazon SES kann Ihnen eine E-Mail senden, wenn Sie Unzustellbarkeitsnachrichten und Beschwerden erhalten, indem ein Prozess namens *Weiterleitung von E-Mail-Feedback* angewandt wird.
Zum Senden von E-Mails mit Amazon SES müssen Sie es so konfigurieren, dass Unzustellbarkeits- und Beschwerdebenachrichtigungen gesendet werden. Verwenden Sie dazu eine der folgenden Methoden:
+ Aktivieren der Weiterleitung von E-Mail-Feedback. Die Schritte zum Einrichten dieser Art von Benachrichtigung sind in diesem Abschnitt enthalten.
+ Senden von Benachrichtigungen an ein Amazon-SNS-Thema. Weitere Informationen finden Sie unter [Verwenden von Benachrichtigungen für den Amazon SNS E-Mail-Empfang](monitor-sending-activity-using-notifications-sns.md).
+ Veröffentlichen von Ereignisbenachrichtigungen. Weitere Informationen finden Sie unter [Überwachen des E-Mail-Versands mithilfe der Amazon SES-Ereignisveröffentlichung](monitor-using-event-publishing.md).
**Wichtig**
Wichtige Informationen zu Benachrichtigungen finden Sie unter [Einrichten von Ereignisbenachrichtigungen für Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Aktivieren der E-Mail-Feedback-Weiterleitung](#monitor-sending-activity-using-notifications-email-enabling)
+ [Deaktivieren der E-Mail-Feedback-Weiterleitung](#monitor-sending-activity-using-notifications-email-disabling)
+ [E-Mail-Feedback-Weiterleitungsziel](#monitor-sending-activity-using-notifications-email-destination)
## Aktivieren der E-Mail-Feedback-Weiterleitung
Die E-Mail-Feedback-Weiterleitung ist standardmäßig aktiviert. Wenn Sie sie zuvor deaktiviert haben, können Sie sie mit der folgenden Vorgehensweise in diesem Abschnitt aktivieren.
**So ermöglichen Sie die Weiterleitung von Unzustellbarkeits- und Beschwerdebenachrichtigungen per E-Mail über die Amazon-SES-Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der verifizierten E-Mail-Adressen oder Domänen die E-Mail-Adresse oder Domäne aus, für die Sie Unzustellbarkeits- und Beschwerdebenachrichtigungen konfigurieren möchten.
1. Erweitern Sie im Detailbereich den Abschnitt **Notifications** (Benachrichtigungen).
1. Wählen Sie **Edit Configuration** (Konfiguration bearbeiten) aus.
1. Wählen Sie unter **Email Feedback Forwarding** (E-Mail-Feedback-Weiterleitung) die Option **Enabled** (Aktiviert) aus.
**Anmerkung**
Bis Änderungen, die Sie auf dieser Seite vornehmen, wirksam werden, können einige Minuten vergehen.
Mithilfe der [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API-Operation können Sie auch Benachrichtigungen über Rücksendungen und Beschwerden per E-Mail aktivieren.
## Deaktivieren der E-Mail-Feedback-Weiterleitung
Wenn Sie eine andere Methode zur Bereitstellung von Unzustellbarkeits- und Beschwerdebenachrichtigungen einrichten, können Sie die Weiterleitung von E-Mail-Feedback deaktivieren, sodass Sie nicht mehrere Benachrichtigungen erhalten, wenn ein Unzustellbarkeits- und Beschwerdeereignis eintritt.
**So deaktivieren Sie die Weiterleitung von Unzustellbarkeits- und Beschwerdebenachrichtigungen per E-Mail über die Amazon-SES-Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der verifizierten E-Mail-Adressen oder Domänen die E-Mail-Adresse oder Domäne aus, für die Sie Unzustellbarkeits- und Beschwerdebenachrichtigungen konfigurieren möchten.
1. Erweitern Sie im Detailbereich den Abschnitt **Notifications** (Benachrichtigungen).
1. Wählen Sie **Edit Configuration** (Konfiguration bearbeiten) aus.
1. Wählen Sie unter **Email Feedback Forwarding** (E-Mail-Feedback-Weiterleitung) die Option **Disabled** (Deaktiviert) aus.
**Anmerkung**
Sie müssen eine Methode für den Empfang von Unzustellbarkeits- und Beschwerdebenachrichtigungen konfigurieren, um E-Mails über Amazon SES senden zu können. [Wenn Sie die Weiterleitung von Feedback per E-Mail deaktivieren, müssen Sie die von Amazon SNS gesendeten Benachrichtigungen aktivieren oder Bounce- und Beschwerdeereignisse mithilfe von Event Publishing in einem Amazon SNS SNS-Thema oder einem Firehose-Stream veröffentlichen.](monitor-using-event-publishing.md) Wenn Sie Ereignisveröffentlichung verwenden, müssen Sie auch den Konfigurationssatz, der die Ereignisveröffentlichungsregel enthält, auf jede E-Mail, die Sie senden, anwenden. Wenn Sie keine Methode für den Empfang von Unzustellbarkeits- und Beschwerdebenachrichtigungen einrichten, leitet Amazon SES Feedback-Benachrichtigungen automatisch per E-Mail weiter an die Adresse im Feld „Return-Path“ (Antwortpfad bei Unzustellbarkeit) (oder im Feld „Source“ (Quelle), wenn Sie keine „Return-Path“-Adresse angegeben haben) der Nachricht, die das Unzustellbarkeits- und Beschwerdeereignis ausgelöst hat. In diesem Fall leitet Amazon SES Unzustellbarkeits- und Beschwerdebenachrichtigungen weiter, auch wenn Sie Benachrichtigungen über E-Mail-Feedback deaktiviert haben.
1. Wählen Sie **Save Config**, um die Benachrichtigungskonfiguration zu speichern.
**Anmerkung**
Bis Änderungen, die Sie auf dieser Seite vornehmen, wirksam werden, können einige Minuten vergehen.
Mithilfe der API-Operation können Sie auch Benachrichtigungen über Bounce und Beschwerden per E-Mail deaktivieren. [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
## E-Mail-Feedback-Weiterleitungsziel
Wenn Sie Benachrichtigungen per E-Mail erhalten, schreibt Amazon SES die `From` Kopfzeile neu und sendet die Benachrichtigung an Sie. Die Adresse, an die Amazon SES die Benachrichtigung weiterleitet, hängt davon ab, wie Sie die Originalnachricht versendet haben.
Wenn Sie die Nachricht über die SMTP-Schnittstelle versendet haben, werden die Benachrichtigungen entsprechend den folgenden Regeln zugestellt:
+ Wenn Sie im `SMTP DATA`-Abschnitt eine `Return-Path`-Kopfzeile angegeben haben, werden die Benachrichtigungen an diese Adresse gesendet.
+ Andernfalls werden Benachrichtigungen an die Adresse gesendet, die Sie bei der Eingabe des Befehls MAIL FROM angegeben haben.
Wenn Sie die Nachricht über die `SendEmail`-API-Operation versendet haben, werden die Benachrichtigungen entsprechend den folgenden Regeln zugestellt:
+ Wenn Sie im Aufruf der `SendEmail`-API den optionalen `ReturnPath`-Parameter angegeben haben, dann werden Benachrichtigungen an diese Adresse gesendet.
+ Andernfalls werden Benachrichtigungen an die Adresse gesendet, die im erforderlichen `Source`-Parameter von `SendEmail` angegeben wird.
Wenn Sie die Nachricht über die `SendRawEmail`-API-Operation versendet haben, werden die Benachrichtigungen entsprechend den folgenden Regeln zugestellt:
+ Wenn Sie in der unformatierten Nachricht eine `Return-Path`-Kopfzeile angegeben haben, werden die Benachrichtigungen an diese Adresse gesendet.
+ Wenn Sie im Aufruf der `SendRawEmail`-API einen `Source`-Parameter angegeben haben, werden Benachrichtigungen andernfalls an diese Adresse gesendet.
+ Andernfalls werden Benachrichtigungen an die Adresse in der Kopfzeile `From` der unformatierten Nachricht gesendet.
**Anmerkung**
Wenn Sie eine `Return-Path`-Adresse in einer E-Mail angeben, erhalten Sie Benachrichtigungen an dieser Adresse. Die Version der Nachricht, die der Empfänger erhält, enthält jedoch eine `Return-Path`-Kopfzeile mit einer anonymisierten E-Mail-Adresse (z. B. *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*). Diese Anonymisierung findet unabhängig davon statt, wie Sie die E-Mail gesendet haben.
# Verwenden von Benachrichtigungen für den Amazon SNS E-Mail-Empfang
Sie können Amazon SES so konfigurieren, dass ein Amazon-SNS-Thema benachrichtigt wird, wenn Sie Unzustellbarkeitsnachrichten oder Beschwerden erhalten oder wenn E-Mails übermittelt werden. Amazon SNS SNS-Benachrichtigungen sind im Format [JavaScript Object Notation (JSON)](http://www.json.org), sodass Sie sie programmgesteuert verarbeiten können.
Zum Senden von E-Mails mit Amazon SES müssen Sie es so konfigurieren, dass Unzustellbarkeits- und Beschwerdebenachrichtigungen gesendet werden. Verwenden Sie dazu eine der folgenden Methoden:
+ Senden von Benachrichtigungen an ein Amazon-SNS-Thema. Die Schritte zum Einrichten dieser Art von Benachrichtigung sind in diesem Abschnitt enthalten.
+ Aktivieren der Weiterleitung von E-Mail-Feedback. Weitere Informationen finden Sie unter [Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang](monitor-sending-activity-using-notifications-email.md).
+ Veröffentlichen von Ereignisbenachrichtigungen. Weitere Informationen finden Sie unter [Überwachen des E-Mail-Versands mithilfe der Amazon SES-Ereignisveröffentlichung](monitor-using-event-publishing.md).
**Wichtig**
Wichtige Informationen zu Benachrichtigungen finden Sie unter [Einrichten von Ereignisbenachrichtigungen für Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Konfigurieren von Amazon-SNS-Benachrichtigungen für Amazon SES](configure-sns-notifications.md)
+ [Amazon-SNS-Benachrichtigungsinhalte für Amazon SES](notification-contents.md)
+ [Amazon-SNS-Benachrichtigungsbeispiele für Amazon SES](notification-examples.md)
# Konfigurieren von Amazon-SNS-Benachrichtigungen für Amazon SES
Amazon SES kann Sie über Unzustellungszustellungen, Beschwerden und Zustellungen über[Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns)benachrichtigen.
Sie können die Benachrichtigungen mit der Amazon-SES-Konsole oder mithilfe der Amazon-SES-API konfigurieren.
**Topics**
+ [Voraussetzungen](#configure-feedback-notifications-prerequisites)
+ [Konfigurieren von Benachrichtigungen mit der Amazon-SES-Konsole](#configure-feedback-notifications-console)
+ [Konfigurieren von Benachrichtigungen mit der Amazon-SES-API](#configure-feedback-notifications-api)
+ [Fehlerbehebung bei Feedback-Benachrichtigungen](#configure-feedback-notifications-troubleshooting)
## Voraussetzungen
Führen Sie die folgenden Schritte aus, bevor Sie Amazon-SNS-Benachrichtigungen in Amazon SES einrichten:
1. Erstellen Sie ein Amazon SNS-Thema. Weitere Informationen finden Sie unter [Erstellen eines Themas](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) im *Amazon Simple Notification Service-Entwicklerhandbuch*.
**Wichtig**
Wenn Sie Ihr Thema mit Amazon SNS erstellen, wählen Sie für **Type** (Typ) nur **Standard** (Standard) aus. (SES unterstützt keine FIFO-Typ-Themen.)
Unabhängig davon, ob Sie ein neues SNS-Thema erstellen oder ein vorhandenes auswählen, müssen Sie Zugriff auf SES gewähren, um Benachrichtigungen für das Thema zu veröffentlichen.
Um Amazon SES die Berechtigung zum Veröffentlichen von Benachrichtigungen für das Thema zu erteilen, erweitern Sie auf dem Bildischirm **Edit topic (Thema bearbeiten)** der SNS-Konsole die **Access policy (Zugriffsrichtlinie)** und fügen Sie im **JSON editor (JSON-Editor)** die folgende Berechtigungsrichtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:
+ *topic\$1region*Ersetzen Sie es durch die AWS Region, in der Sie das SNS-Thema erstellt haben.
+ Ersetzen Sie *111122223333* durch Ihre AWS -Konto-ID.
+ *topic\$1name*Ersetzen Sie es durch den Namen Ihres SNS-Themas.
+ Ersetze es durch die verifizierte Identität (E-Mail-Adresse oder Domain), *identity\$1name* mit der du das SNS-Thema abonniert hast.
1. Abonnieren Sie mindestens einen Endpunkt für das Thema. Wenn Sie beispielsweise Benachrichtigungen per Textnachricht erhalten möchten, abonnieren Sie einen SMS-Endpunkt (d. h. eine Mobiltelefonnummer) für das Thema. Um Benachrichtigungen per E-Mail zu erhalten, abonnieren Sie einen E-Mail-Endpunkt (eine E-Mail-Adresse) für das Thema.
Weitere Informationen dazu erhalten Sie unter [Erste Schritte](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Amazon Simple Notification Service Leitfaden*.
1. (Optional) Wenn Ihr Amazon SNS SNS-Thema AWS Key Management Service (AWS KMS) für die serverseitige Verschlüsselung verwendet, müssen Sie der AWS KMS Schlüsselrichtlinie Berechtigungen hinzufügen. Sie können Berechtigungen hinzufügen, indem Sie die folgende Richtlinie an die Schlüsselrichtlinie anhängen: AWS KMS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Konfigurieren von Benachrichtigungen mit der Amazon-SES-Konsole
**So konfigurieren Sie Benachrichtigungen mithilfe der Amazon-SES-Konsole**
1. Öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie im Container **Identities** (Identitäten) die bestätigte Identität aus, für die Sie Feedback-Benachrichtigungen erhalten möchten, wenn eine von dieser Identität gesendete Nachricht entweder zu einer Unzustellbarkeit, Beschwerde oder Zustellung führt.
**Wichtig**
Die Benachrichtigungseinstellungen für die verifizierte Domäne gelten für alle E-Mail-Adressen in dieser Domäne, *außer* für E-Mail-Adressen, die auch noch verifiziert sind.
1. Wählen Sie im Detailfenster der ausgewählten bestätigten Identität die Registerkarte **Notification** (Benachrichtigungen) und wählen Sie **Edit** (Bearbeiten) im Container **Feedback notifications** (Feedback-Benachrichtigungen).
1. Erweitern Sie das Listenfeld SNS-Thema jedes Feedback-Typs, für den Sie Benachrichtigungen erhalten möchten, und wählen Sie entweder ein SNS-Thema aus, das Ihnen gehört, **No SNS topic** (Kein SNS-Thema) oder ein **SNS topic you don‘t own** (SNS-Thema, das Ihnen nicht gehört).
1. Wenn Sie ein **SNS-Thema, das Ihnen nicht gehört**, ausgewählt haben, wird das Feld **SNS topic ARN** (SNS-Themen-ARN) angezeigt, in das Sie den SNS-Themen-ARN eingeben müssen, der Ihnen von Ihrem delegierten Sender mitgeteilt wurde. (Nur Ihr delegierter Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt. Weitere Informationen zur Sendung finden Sie unter [Übersicht über die Sendeautorisierung](sending-authorization-overview.md).)
**Wichtig**
Die Amazon SNS SNS-Themen, die Sie für Bounce-, Beschwerde- und Lieferbenachrichtigungen verwenden, müssen dieselben sein AWS-Region , in denen Sie Amazon SES verwenden.
Zusätzlich müssen Sie einen oder mehrere Endpunkte für das Thema abonniert haben, um Benachrichtigungen zu erhalten. Beispiel: Wenn Sie möchten, dass Benachrichtigungen an eine E-Mail-Adresse gesendet werden, müssen Sie einen E-Mail-Endpunkt für das Thema abonnieren. Weitere Informationen dazu erhalten Sie unter [Erste Schritte](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Amazon Simple Notification Service Leitfaden*.
1. (Optional) Wenn Sie möchten, dass Ihre Themenachrichtigung die Header der ursprünglichen E-Mail einschließt, aktivieren Sie das Kontrollkästchen **Include original email headers** (Ursprüngliche E-Mail-Header einschließen) direkt unter dem SNS-Themennamen jedes Feedback-Typs. Diese Option ist nur verfügbar, sofern Sie der zugeordneten Benachrichtigungsart ein Amazon-SNS-Thema zugewiesen haben. Weitere Informationen zum Inhalt der ursprünglichen E-Mail-Header finden Sie im Abschnitt zum `mail`-Objekt unter [Benachrichtigungsinhalte](notification-contents.md).
1. Wählen Sie **Änderungen speichern ** aus. Es kann ein paar Minuten dauern, bis die Änderungen an den Benachrichtigungseinstellungen übernommen werden.
1. (Optional) Wenn Sie Amazon-SNS-Themenbenachrichtigungen sowohl für Unzustellbarkeit als auch für Beschwerden ausgewählt haben, können Sie die E-Mail-Benachrichtigungen vollständig deaktivieren, sodass Sie keine doppelten Benachrichtigungen per E-Mail und SNS-Benachrichtigungen erhalten. Um E-Mail-Benachrichtigungen für Unzustellbarkeiten und Beschwerden zu deaktivieren, wählen Sie auf der Registerkarte **Notifications** (Benachrichtigungen) auf dem Detailfenster der bestätigten Identität im Container **E-Mail-Feedback-Weiterleitung** **Edit** (Bearbeiten), deaktivieren Sie das Kontrollkästchen **Enabled** (Aktiviert) und wählen Sie **Save changes** (Änderungen speichern).
Nachdem Sie Ihre Einstellungen konfiguriert haben, werden die Unzustellbarkeits-, Beschwerde- und Zustellungsbenachrichtigungen an Ihre Amazon-SNS-Themen gesendet. Diese Benachrichtigungen sind im Format JavaScript Object Notation (JSON) und folgen der unter beschriebenen Struktur. [Benachrichtigungsinhalte](notification-contents.md)
Für Unzustellbarkeits-, Beschwerde- und Zustellungsbenachrichtigungen werden die Amazon-SNS-Standardgebühren erhoben. Weitere Informationen finden Sie in der [Amazon-SNS-](https://aws.amazon.com/sns/pricing)Preisliste.
**Anmerkung**
Wenn ein Versuch, in Ihrem Amazon SNS SNS-Thema zu veröffentlichen, fehlschlägt, weil das Thema gelöscht wurde oder Sie nicht AWS-Konto mehr über die erforderlichen Berechtigungen verfügen, entfernt Amazon SES die Konfiguration für dieses Thema, sofern es für Bounces oder Beschwerden (nicht für Lieferungen — bei Lieferbenachrichtigungen löscht SES die Konfigurationseinstellung für das SNS-Thema nicht) konfiguriert wurde. Darüber hinaus aktiviert Amazon SES E-Mail-Benachrichtigungen über Unzustellbarkeiten und Beschwerden für die Identität erneut und Sie erhalten per E-Mail eine Benachrichtigung über die Änderung. Wenn mehrere Identitäten für die Verwendung des Themas konfiguriert sind, wird die Themenkonfiguration für jede Identität geändert, wenn bei jeder Identität ein Fehler beim Veröffentlichen des Themas auftritt.
## Konfigurieren von Benachrichtigungen mit der Amazon-SES-API
Sie können Unzustellbarkeits-, Beschwerde- und Zustellungsbenachrichtigungen auch mithilfe der Amazon-SES-API konfigurieren. Verwenden Sie zum Konfigurieren von Benachrichtigungen die folgenden Operationen:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
Sie können mit diesen API-Aktionen eine benutzerdefinierte Front-End-Anwendung für Benachrichtigungen schreiben. Eine vollständige Beschreibung der API-Aktionen für Benachrichtigungen finden Sie in der [API-Referenz von Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
## Fehlerbehebung bei Feedback-Benachrichtigungen
**Benachrichtigungen werden nicht empfangen**
Wenn Sie keine Benachrichtigungen erhalten, stellen Sie sicher, dass Sie einen Endpunkt für das Thema abonniert haben, über das die Benachrichtigungen gesendet werden. Wenn Sie einen E-Mail-Endpunkt für ein Thema abonnieren, erhalten Sie eine E-Mail, in der Sie aufgefordert werden, Ihr Abonnement zu bestätigen. Sie müssen Ihr Abonnement bestätigen, bevor Sie E-Mail-Benachrichtigungen empfangen. Weitere Informationen dazu erhalten Sie unter [Erste Schritte](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Amazon Simple Notification Service Leitfaden*.
**`InvalidParameterValue`-Fehler beim Auswählen eines Themas**
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass ein `InvalidParameterValue`Fehler aufgetreten ist, überprüfen Sie das Amazon-SNS-Thema, um zu sehen, ob es mit AWS KMS verschlüsselt ist. Ist dies der Fall, müssen Sie die Richtlinie für den Schlüssel ändern. AWS KMS Eine Beispielrichtlinie finden Sie unter [Voraussetzungen](#configure-feedback-notifications-prerequisites).
# Amazon-SNS-Benachrichtigungsinhalte für Amazon SES
Bounce-, Beschwerde- und Lieferbenachrichtigungen werden unter [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns) -Themen im Format JavaScript Object Notation (JSON) veröffentlicht. Das JSON-Objekt der obersten Ebene enthält eine `notificationType`-Zeichenfolge und ein `mail`-Objekt sowie entweder ein `bounce`-Objekt, ein `complaint`-Objekt oder ein `delivery`-Objekt.
In den folgenden Abschnitten finden Sie Beschreibungen der verschiedenen Objekttypen:
+ [JSON-Objekt der obersten Ebene](#top-level-json-object)
+ [`mail`-Objekt](#mail-object)
+ [`bounce`-Objekt](#bounce-object)
+ [`complaint`-Objekt](#complaint-object)
+ [`delivery`-Objekt](#delivery-object)
Im Folgenden finden Sie einige wichtige Hinweise zum Inhalt der Amazon-SNS-Benachrichtigungen für Amazon SES::
+ Bei einem angegebenen Benachrichtigungstyp erhalten Sie unter Umständen eine Amazon-SNS-Benachrichtigung für mehrere Empfänger oder aber pro Empfänger eine Amazon-SNS-Benachrichtigung. Ihr Code sollte in der Lage sein, die Amazon SNS-Benachrichtigung zu analysieren und beide Fälle zu behandeln. SES gibt keine Bestell- oder Batching-Garantien für Benachrichtigungen, die über Amazon SNS gesendet werden. Unterschiedliche Amazon-SNS-Benachrichtigungstypen (beispielsweise Unzustellbarkeit und Beschwerden) werden jedoch nicht in einer einzelnen Benachrichtigung zusammengefasst.
+ Sie erhalten möglicherweise verschiedene Amazon-SNS-Benachrichtigungstypen für einen Empfänger. So ist es beispielsweise möglich, dass der empfangende E-Mail-Server die E-Mail akzeptiert (und eine Zustellbenachrichtigung auslöst), nach der Verarbeitung der E-Mail aber feststellt, dass die E-Mail nicht zustellbar ist (und eine Unzustellbarkeitsbenachrichtigung auslöst). Da es sich jedoch um verschiedene Benachrichtigungstypen handelt, werden immer separate Benachrichtigungen gesendet.
+ SES behält sich das Recht vor, den Benachrichtigungen zusätzliche Felder hinzuzufügen. Deshalb müssen Anwendungen, die diese Benachrichtigungen analysieren, in der Lage sein, unbekannte Felder zu verarbeiten.
+ SES überschreibt die Kopfzeilen der Nachricht, wenn es die E-Mail sendet. Sie können die Header der ursprünglichen Nachricht aus den Feldern `headers` und `commonHeaders` des `mail`-Objekts abrufen.
## JSON-Objekt der obersten Ebene
Das JSON-Objekt der obersten Ebene in einer SES-Benachrichtigung enthält die folgenden Felder.
| Feldname | Description |
| --- | --- |
| notificationType | Eine Zeichenfolge, die den Typ der Benachrichtigung enthält, der vom JSON-Objekt dargestellt wird. Die möglichen Werte sind `Bounce`, `Complaint` oder `Delivery`. Wenn Sie [Einrichten der Ereignisveröffentlichung](monitor-sending-using-event-publishing-setup.md) wählen, heißt dieses Feld `eventType`. |
| mail | Ein JSON-Objekt, das Informationen zur ursprünglichen E-Mail enthält, auf die sich die Benachrichtigung bezieht. Weitere Informationen finden Sie unter [Mail-Objekt](#mail-object). |
| bounce | Dieses Feld ist nur dann vorhanden, wenn `notificationType` `Bounce` ist, und enthält ein JSON-Objekt mit Informationen über die Unzustellbarkeit. Weitere Informationen finden Sie unter [Bounce-Objekt](#bounce-object). |
| complaint | Dieses Feld ist nur dann vorhanden, wenn `notificationType` `Complaint` ist, und enthält ein JSON-Objekt mit Informationen zur Beschwerde. Weitere Informationen finden Sie unter [Complaint-Objekt](#complaint-object). |
| delivery | Dieses Feld ist nur dann vorhanden, wenn `notificationType` `Delivery` ist, und enthält ein JSON-Objekt mit Informationen zur Zustellung. Weitere Informationen finden Sie unter [Delivery-Objekt](#delivery-object). |
## Mail-Objekt
Jede Benachrichtigung über eine Unzustellbarkeit, Beschwerde oder Lieferung enthält Informationen über die ursprüngliche E-Mail-Benachrichtigung im `mail`-Objekt. Das JSON-Objekt enthält Informationen über ein `mail`-Objekt mit den folgenden Feldern.
| Feldname | Description |
| --- | --- |
| timestamp | Der Zeitpunkt, zu dem die ursprüngliche Nachricht gesendet wurde (im ISO8601 Format). |
| messageId | Eine eindeutige ID, die SES der Nachricht zugewiesen hat. SES hat Ihnen diesen Wert zurückgegeben, als Sie die Nachricht gesendet haben. Diese Nachrichten-ID wurde von SES zugewiesen. Sie finden diese Mitteilungs-ID in der ursprünglichen E-Mail in den Feldern `headers` des `mail`-Objekts. |
| source | Die E-Mail-Adresse, von der die ursprüngliche Nachricht gesendet wurde (die Envelope-MAIL-FROM-Adresse). |
| sourceArn | Der Amazon-Ressourcenname (ARN) der Identität, die zum Senden der E-Mail verwendet wurde. Im Fall einer Sendeautorisierung gibt `sourceArn` den ARN der ID an, die – gemäß Autorisierung durch den Identitätsbesitzer – vom stellvertretenden Sender zum Senden der E-Mail verwendet werden soll. Weitere Informationen zur Sendeautorisierung finden Sie unter [E-Mail-AuthentifizierungsmethodenVerwenden der Sendeautorisierung](sending-authorization.md). |
| sourceIp | Die ursprüngliche öffentliche IP-Adresse des Clients, der die E-Mail-Versandanfrage an SES ausgeführt hat. |
| sendingAccountId | Die AWS-Konto ID des Kontos, das zum Senden der E-Mail verwendet wurde. Im Fall einer Sendeautorisierung gibt `sendingAccountId` die Konto-ID des stellvertretenden Senders an. |
| callerIdentity | Die IAM-Identität des SES-Benutzers, der die E-Mail gesendet hat. |
| destination | Eine Liste der E-Mail-Adressen, an die die ursprüngliche E-Mail gesendet wurde. |
| headersTruncated | Dieses Objekt ist nur vorhanden, wenn Sie die Benachrichtigungseinstellungen so konfiguriert haben, dass die Header der ursprünglichen E-Mail eingeschlossen werden. Gibt an, ob die Kopfzeilen in der Benachrichtigung abgeschnitten werden. SES kürzt die Kopfzeilen in der Benachrichtigung, wenn die Kopfzeilen der ursprünglichen Nachricht mindestens 10 KB groß sind. Mögliche Werte sind `true` und `false`. |
| headers | Dieses Objekt ist nur vorhanden, wenn Sie die Benachrichtigungseinstellungen so konfiguriert haben, dass die Header der ursprünglichen E-Mail eingeschlossen werden. Eine Liste der ursprünglichen Header der E-Mail. Jeder Header in der Liste verfügt über die Felder `name` und `value`. Jede Nachrichten-ID innerhalb des `headers` Objekts stammt aus der ursprünglichen Nachricht, die Sie an SES übergeben haben. Die Nachrichten-ID, die SES der Nachricht anschließend zugewiesen hat, befindet sich im `messageId` Feld des `mail` Objekts. |
| commonHeaders | Dieses Objekt ist nur vorhanden, wenn Sie die Benachrichtigungseinstellungen so konfiguriert haben, dass die Header der ursprünglichen E-Mail eingeschlossen werden. Enthält Informationen über häufig verwendete E-Mail-Header aus der ursprünglichen E-Mail, einschließlich der Felder für den Absender, Empfänger und den Betreff. Innerhalb dieses Objekt ist jeder Header ein Schlüssel. Die Absender- und Empfängerfelder werden durch Arrays repräsentiert, die mehrere Werte enthalten. Bei Ergeinissen ist dies die Nachrichten-ID im Feld `commonHeaders` ist die Nachrichten-ID, die Amazon SES der Nachricht später im Feld `messageId` des Mail-Objekts zugewiesen hat. Benachrichtigungen enthalten die Nachrichten-ID der ursprünglichen E-Mail. |
Im Folgenden finden Sie ein Beispiel eines `mail`-Objekts, das die Header der ursprünglichen E-Mail enthält. Wenn dieser Benachrichtigungstyp nicht so konfiguriert wurde, dass die ursprünglichen E-Mail-Header eingeschlossen werden, enthält das `mail`-Objekt die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" "
},
{
"name":"To",
"value":"\"Recipient Name\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Mon, 08 Oct 2018 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"Sender Name "
],
"date":"Mon, 08 Oct 2018 14:05:45 +0000",
"to":[
"Recipient Name "
],
"messageId":" custom-message-ID",
"subject":"Message sent using SES"
}
}
```
## Bounce-Objekt
Das JSON-Objekt, das Informationen zu Unzustellbarkeiten enthält, weist die folgenden Felder auf.
| Feldname | Description |
| --- | --- |
| bounceType | Die Art des Bounces, wie von SES festgelegt. Weitere Informationen finden Sie unter [Unzustellbarkeitstypen](#bounce-types). |
| bounceSubType | Der Subtyp des Bounces, wie von SES bestimmt. Weitere Informationen finden Sie unter [Unzustellbarkeitstypen](#bounce-types). |
| bouncedRecipients | Eine Liste mit Informationen über die Empfänger der ursprünglichen E-Mail, an die diese nicht zugestellt werden konnte. Weitere Informationen finden Sie unter [Empfänger, an die nicht zugestellt werden konnte](#bounced-recipients). |
| timestamp | Das Datum und die Uhrzeit, zu denen der Bounce gesendet wurde (im ISO8601 Format). Beachten Sie, dass dies die Uhrzeit ist, zu der die Benachrichtigung vom ISP gesendet wurde, und nicht die Uhrzeit, zu der sie bei SES eingegangen ist. |
| feedbackId | Eine eindeutige ID für die Unzustellbarkeit. |
Wenn SES in der Lage war, die Remote Message Transfer Authority (MTA) zu kontaktieren, ist das folgende Feld ebenfalls vorhanden.
| Feldname | Description |
| --- | --- |
| remoteMtaIp | Die IP-Adresse des MTA, an den SES versucht hat, die E-Mail zuzustellen. |
Wurde der Unzustellbarkeitsbenachrichtigung eine Zustellungsstatusbenachrichtigung (DSN, Delivery Status Notification) angefügt, ist auch das folgende Feld enthalten.
| Feldname | Description |
| --- | --- |
| reportingMTA | Der Wert des `Reporting-MTA`-Felds der DSN. Dies ist der Wert der MTA, die versucht hat, die Zustellungs-, Weiterleitungs- oder Gateway-Operation durchzuführen, die in der DSN beschrieben ist. |
Es folgt ein Beispiel für ein `bounce`-Objekt.
```
{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"status":"5.0.0",
"action":"failed",
"diagnosticCode":"smtp; 550 user unknown",
"emailAddress":"recipient1@example.com"
},
{
"status":"4.0.0",
"action":"delayed",
"emailAddress":"recipient2@example.com"
}
],
"reportingMTA": "example.com",
"timestamp":"2012-05-25T14:59:38.605Z",
"feedbackId":"000001378603176d-5a4b5ad9-6f30-4198-a8c3-b1eb0c270a1d-000000",
"remoteMtaIp":"127.0.2.0"
}
```
### Empfänger, an die nicht zugestellt werden konnte
Eine Benachrichtigung über die Unzustellbarkeit kann für einen einzelnen Empfänger oder für mehrere Empfänger gelten. Das `bouncedRecipients`-Feld enthält eine Liste von Objekten – eines pro Empfänger, für den die Benachrichtigung über die Unzustellbarkeit gilt – und weist zusätzlich immer das folgende Feld auf.
| Feldname | Description |
| --- | --- |
| emailAddress | Die E-Mail-Adresse des Empfängers. Ist eine DSN verfügbar, ist dies der Wert des `Final-Recipient`-Felds der DSN. |
Wurde eine DSN an eine Unzustellbarkeitsbenachrichtigung angehängt, sind möglicherweise folgende Felder ebenfalls vorhanden.
| Feldname | Description |
| --- | --- |
| action | Der Wert des `Action`-Felds der DSN. Es zeigt die Aktion an, die von der berichtenden MTA als Reaktion auf die gescheiterte Zustellung der Benachrichtigung an diesen Empfänger ausgeführt wurde. |
| status | Der Wert des `Status`-Felds der DSN. Dies ist der vom Transport unabhängige Statuscode pro Empfänger, der den Zustellstatus der Nachricht anzeigt. |
| diagnosticCode | Der vom berichtenden MTA gemeldete Statuscode. Dies ist der Wert des `Diagnostic-Code`-Felds der DSN. Dieses Feld ist möglicherweise nicht im DSN und daher auch nicht in JSON enthalten. |
Das folgende Beispiel zeigt ein Objekt, das möglicherweise in der `bouncedRecipients`-Liste enthalten ist.
```
{
"emailAddress": "recipient@example.com",
"action": "failed",
"status": "5.0.0",
"diagnosticCode": "X-Postfix; unknown user"
}
```
### Unzustellbarkeitstypen
Das Bounce-Objekt enthält den Bounce-Typ`Undetermined`, `Permanent` *(hart)* oder `Transient` *(*weich). Die Bounce-Typen `Permanent` *(Hard)* und `Transient` *(Soft)* können auch einen von mehreren Bounce-Untertypen enthalten.
Wenn Sie eine Bounce-Benachrichtigung mit dem Bounce-Typ `Transient` *(Soft)* erhalten, können Sie möglicherweise in future eine E-Mail an diesen Empfänger senden, wenn das Problem, das zum Bounce der Nachricht geführt hat, behoben ist.
Wenn Sie eine Bounce-Benachrichtigung mit dem Bounce-Typ `Permanent` *(schwer)* erhalten, ist es unwahrscheinlich, dass Sie in future E-Mails an diesen Empfänger senden können. Aus diesem Grund sollten Sie sofort den Empfänger, dessen Adresse die Unzustellbarkeit erzeugt hat, aus Ihren Mailinglisten entfernen.
**Anmerkung**
Wenn ein *Soft Bounce* auftritt (ein Bounce, der auf ein vorübergehendes Problem zurückzuführen ist, z. B. wenn der Posteingang des Empfängers voll ist), versucht SES, die E-Mail für einen bestimmten Zeitraum erneut zuzustellen. Wenn SES die E-Mail am Ende dieses Zeitraums immer noch nicht zustellen kann, wird der Versuch eingestellt.
SES sendet Benachrichtigungen für Hard Bounces und für Soft Bounces, die nicht mehr zugestellt wurden. Wenn Sie jedes Mal eine Benachrichtigung erhalten möchten, wenn eine temporäre Unzustellbarkeit auftritt, [aktivieren Sie die Ereignisveröffentlichung](monitor-sending-using-event-publishing-setup.md) und konfigurieren Sie sie so, dass Benachrichtigungen gesendet werden, wenn Zustellungsverzögerungsereignisse auftreten.
| bounceType | bounceSubType | Description |
| --- | --- | --- |
| Undetermined | Undetermined | Der E-Mail-Anbieter des Empfängers hat eine Unzustellbarkeitsnachricht gesendet. Die Bounce-Nachricht enthielt nicht genügend Informationen, damit SES den Grund für den Bounce ermitteln konnte. Die Unzustellbarkeits-E-Mail, die an die Adresse im Return-Path-Header der E-Mail gesendet wurde, die zur Unzustellbarkeit geführt hat, enthält möglicherweise zusätzliche Informationen zum Problem, das die Unzustellbarkeit der E-Mail verursacht hat. |
| Permanent | General | Der E-Mail-Anbieter des Empfängers hat eine Nachricht mit permanenter Unzustellbarkeit gesendet. Wenn Sie diese Art von Unzustellbarkeitsbenachrichtigung erhalten, sollten Sie die E-Mail-Adresse des Empfängers sofort aus Ihrer Mailingliste entfernen. Das Senden von Nachrichten an Adressen, die permanente Unzustellbarkeiten erzeugen, kann negative Auswirkungen auf Ihren guten Ruf als Absender haben. Wenn Sie weiter E-Mails an Adressen senden, die permanente Unzustellbarkeiten erzeugen, können wir Ihre Fähigkeit, weitere E-Mails zu senden, vorübergehend unterbrechen. Siehe [Verwenden der Unterdrückungsliste auf Kontoebene der Amazon-SES-Konsole](sending-email-suppression-list.md). |
| Permanent | NoEmail | Es war nicht möglich, die E-Mail-Adresse des Empfängers aus der unzustellbaren Nachricht abzurufen. |
| Permanent | Suppressed | Die E-Mail-Adresse des Empfängers steht auf der SES-Unterdrückungsliste, da sie in jüngster Zeit zu Hard Bounces geführt hat. Informationen zum Überschreiben der globalen Unterdrückungsliste finden Sie unter[Verwenden der Unterdrückungsliste auf Kontoebene der Amazon-SES-Konsole](sending-email-suppression-list.md). |
| Permanent | OnAccountSuppressionList | SES hat das Senden an diese Adresse unterdrückt, da sie auf der Sperrliste auf [Kontoebene](sending-email-suppression-list.md) steht. Dies zählt nicht für Ihre Unzustellbarkeitsraten-Metrik. |
| Permanent | UnsubscribedRecipient | [Dieser Bounce-Typ tritt auf, wenn der Kontakt des Empfängers das Thema abbestellt hat und ihm mithilfe der Listenverwaltungsoptionen eine E-Mail zugesandt wird.](sending-email-list-management.md#configuring-list-management-list-contacts) SES respektiert die Kontaktpräferenz und versucht nicht, sie zuzustellen. Außerdem wirkt sich diese Zurückweisung nicht auf die Reputation des Absenders aus, da die Zustellung nicht versucht wurde und der Kontakt des Empfängers aufgrund der Zurückweisung auch nicht zu einer Unterdrückungsliste hinzugefügt wurde. Es wird empfohlen, UnsubscribedRecipient Ereignisse zu abonnieren, um zu vermeiden, dass weiterhin Nachrichten an Empfänger gesendet werden, die sich nicht angemeldet haben. Überlegen Sie. [Verwenden von Listenverwaltung](sending-email-list-management.md) Die Listenverwaltung sollte die Quelle der Wahrheit für Ihre Abonnentenliste sein. Aus Sicht der SES-Durchsetzung haben Sie den Ruf, sich nicht an bewährte Methoden für den E-Mail-Versand zu halten, wenn Sie weiterhin Nachrichten an unterdrückte oder abgemeldete Empfänger versenden. |
| Transient | General | Der E-Mail-Anbieter des Empfängers hat eine allgemeine Unzustellbarkeitsnachricht gesendet. Sie können in Zukunft Nachrichten an denselben Empfänger senden, wenn das Problem, das zur Unzustellbarkeit führte, gelöst ist. Wenn Sie eine E-Mail an einen Empfänger senden, der über eine aktive automatische Antwortregel (z. B. eine "außer Haus"-Abwesenheitsnachricht) verfügt, erhalten Sie möglicherweise diese Art von Benachrichtigung. Auch wenn die Antwort den Benachrichtigungstyp hat`Bounce`, zählt SES bei der Berechnung der Absprungrate für Ihr Konto keine automatischen Antworten. |
| Transient | MailboxFull | Der E-Mail-Anbieter des Empfängers hat eine Unzustellbarkeitsnachricht gesendet, da der Posteingang des Empfängers voll ist. Sie können in Zukunft Nachrichten an denselben Empfänger senden, sobald das Postfach nicht mehr voll ist. |
| Transient | MessageTooLarge | Der E-Mail-Anbieter des Empfängers hat eine Unzustellbarkeitsnachricht gesendet, da die Nachricht, die Sie gesendet haben, zu groß ist. Sie können Nachrichten an denselben Empfänger senden, wenn Sie die Größe der Nachricht reduzieren. |
| Transient | ContentRejected | Der E-Mail-Anbieter des Empfängers hat eine Unzustellbarkeitsnachricht gesendet, da die von Ihnen gesendete Nachricht Inhalte enthält, die der Anbieter nicht erlaubt. Sie können Nachrichten an denselben Empfänger senden, wenn Sie den Inhalt der Nachricht ändern. |
| Transient | AttachmentRejected | Der E-Mail-Anbieter des Empfängers hat eine Unzustellbarkeitsnachricht gesendet, da die Nachricht einen nicht akzeptablen Anhang enthält. Beispiel: Einige E-Mail-Anbieter können Nachrichten mit Anhängen eines bestimmten Dateityps oder Nachrichten mit sehr großen Anhängen ablehnen. Sie können Nachrichten an denselben Empfänger senden, wenn Sie den Inhalt des Anhangs entfernen oder ändern. |
## Complaint-Objekt
Das JSON-Objekt, das Informationen zu Beschwerden enthält, weist die folgenden Felder auf.
| Feldname | Description |
| --- | --- |
| complainedRecipients | Eine Liste mit Informationen zu Empfängern, die möglicherweise für die Beschwerde verantwortlich sind. Weitere Informationen finden Sie unter [Empfänger, die sich beschwert haben](#complained-recipients). |
| timestamp | Das Datum und der Zeitpunkt, zu dem der ISP die Beschwerdebenachrichtigung gesendet hat, im Format ISO 8601. Das Datum und die Uhrzeit in diesem Feld stimmen möglicherweise nicht mit dem Datum und der Uhrzeit überein, an dem SES die Benachrichtigung erhalten hat. |
| feedbackId | Eine eindeutige ID, die mit der Beschwerde verknüpft ist. |
| complaintSubType | Der Wert des Feldes `complaintSubType` kann entweder null oder `OnAccountSuppressionList` sein. Wenn der Wert lautet`OnAccountSuppressionList`, hat SES die Nachricht akzeptiert, aber nicht versucht, sie zu senden, da sie auf der Sperrliste auf [Kontoebene stand.](sending-email-suppression-list.md) |
Ist zudem ein Feedback-Bericht an die Beschwerde angehängt, sind möglicherweise die folgenden Felder vorhanden.
| Feldname | Description |
| --- | --- |
| userAgent | Der Wert des `User-Agent`-Felds aus dem Feedback-Bericht. Gibt den Namen und die Version des Systems an, das den Bericht generiert hat. |
| complaintFeedbackType | Der Wert des `Feedback-Type`-Felds aus dem Feedback-Bericht, der vom ISP empfangen wurde. Enthält die Art des Feedbacks. |
| arrivalDate | Der Wert des `Received-Date` Felds `Arrival-Date` oder aus dem Feedback-Bericht (im ISO8601 Format). Dieses Feld ist möglicherweise nicht im Bericht und daher auch nicht in JSON enthalten. |
Es folgt ein Beispiel für ein `complaint`-Objekt.
```
{
"userAgent":"ExampleCorp Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"recipient1@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2009-12-03T04:24:21.000-05:00",
"timestamp":"2012-05-25T14:59:38.623Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
}
```
### Empfänger, die sich beschwert haben
Das `complainedRecipients`-Feld enthält eine Liste von Empfängern, die sich möglicherweise beschwert haben. Anhand dieser Informationen sollten Sie ermitteln, welcher Empfänger die Beschwerde eingereicht hat, und diesen Empfänger dann sofort aus Ihren Mailinglisten entfernen.
**Wichtig**
Die meisten ISPs entfernen die E-Mail-Adresse des Empfängers, der die Beschwerde eingereicht hat, aus ihrer Beschwerdebenachrichtigung. Aus diesem Grund enthält diese Liste Informationen zu Empfängern, die sich beschwert haben könnten. Dabei basiert die Einschätzung auf den Empfängern der ursprünglichen E-Mail und dem ISP, von dem wir die Beschwerde erhalten haben. SES führt eine Suche anhand der ursprünglichen Nachricht durch, um diese Empfängerliste zu ermitteln.
JSON-Objekte in dieser Liste enthalten das folgende Feld.
| Feldname | Description |
| --- | --- |
| emailAddress | Die E-Mail-Adresse des Empfängers. |
Es folgt ein Beispiel für ein Complained-Recipient-Objekt.
```
{ "emailAddress": "recipient1@example.com" }
```
**Anmerkung**
Aufgrund dieses Verhaltens können Sie besser einschätzen, von welchen E-Mail-Adressen Beschwerden über Ihre Nachricht kamen, wenn Sie das Senden auf eine Nachricht pro Empfänger beschränken (und nicht eine Nachricht an 30 verschiedene E-Mail-Adressen im Feld "BCC" senden).
#### Beschwerdetypen
Sie sehen möglicherweise die folgenden Beschwerdetypen im `complaintFeedbackType`-Feld, so wie sie vom meldenden ISP entsprechend der [Website zu Internet Assigned Numbers Authority](http://www.iana.org/assignments/marf-parameters/marf-parameters.xml#marf-parameters-2) zugewiesen wurden:
+ `abuse` – Weist auf eine unerwünschte E-Mail oder eine andere Art von E-Mail-Missbrauch hin.
+ `auth-failure` – Bericht über einen E-Mail-Authentifizierungsfehler.
+ `fraud` – Weist auf einen Betrug oder Phishing hin.
+ `not-spam` – Weist darauf hin, dass die Entität, die den Bericht bereitstellt, die Nachricht nicht als Spam betrachtet. Dies kann verwendet werden, um eine Nachricht zu korrigieren, die fälschlicherweise als Spam gekennzeichnet oder kategorisiert wurde.
+ `other` – Gibt eine andere Art von Feedback an, dass nicht zu den registrierten Typen passt.
+ `virus` – Meldet, dass in der ursprünglichen Nachricht ein Virus entdeckt wurde.
## Delivery-Objekt
Das JSON-Objekt, das die Informationen zu Zustellungen enthält, weist immer die folgenden Felder auf.
| Feldname | Description |
| --- | --- |
| timestamp | Der Zeitpunkt, zu dem SES die E-Mail an den E-Mail-Server des Empfängers zugestellt hat (im ISO8601 Format). |
| processingTimeMillis | Die Zeit in Millisekunden zwischen der Annahme der Anfrage des Absenders durch SES und der Weiterleitung der Nachricht an den E-Mail-Server des Empfängers. |
| recipients | Eine Liste der beabsichtigten Empfänger der E-Mail, für die die Zustellungsbenachrichtigung gilt. |
| smtpResponse | Die SMTP-Antwortnachricht des Remote-ISP, der die E-Mail von SES akzeptiert hat. Diese Nachricht variiert je nach E-Mail, empfangendem Mail-Server und empfangendem ISP. |
| reportingMTA | Der Hostname des SES-Mailservers, der die E-Mail gesendet hat. |
| remoteMtaIp | Die IP-Adresse des MTA, an den SES die E-Mail zugestellt hat. |
Es folgt ein Beispiel für ein `delivery`-Objekt.
```
{
"timestamp":"2014-05-28T22:41:01.184Z",
"processingTimeMillis":546,
"recipients":["success@simulator.amazonses.com"],
"smtpResponse":"250 ok: Message 64111812 accepted",
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"remoteMtaIp":"127.0.2.0"
}
```
# Amazon-SNS-Benachrichtigungsbeispiele für Amazon SES
Die folgenden Abschnitte enthalten Beispiele für die drei Arten von Benachrichtigungen:
+ Beispiele für Unzustellbarkeitsbenachrichtigungen finden Sie unter [Beispiele für Amazon-SNS-Unzustellbarkeitsbenachrichtigungen](#notification-examples-bounce).
+ Beispiele für Beschwerdebenachrichtigungen finden Sie unter [Beispiele für Amazon-SNS-Beschwerdebenachrichtigungen](#notification-examples-complaint).
+ Beispiele für Zustellungsbenachrichtigungen finden Sie unter [Beispiel einer Amazon-SNS-Zustellungsbenachrichtigung](#notification-examples-delivery).
## Beispiele für Amazon-SNS-Unzustellbarkeitsbenachrichtigungen
Dieser Abschnitt enthält Beispiele für Unzustellbarkeitsbenachrichtigungen mit und ohne Zustellungsstatusbenachrichtigung, bereitgestellt von dem E-Mail-Empfänger, der das Feedback gesendet hat.
### Unzustellbarkeitsbenachrichtigung mit Zustellungsstatusbenachrichtigung
Es folgt ein Beispiel für eine Unzustellbarkeitsbenachrichtigung, die eine Zustellungsstatusbenachrichtigung und die ursprünglichen E-Mail-Header enthält. Wenn Unzustellbarkeitsbenachrichtigungen nicht so konfiguriert sind, dass sie die ursprünglichen E-Mail-Header enthalten, enthält das `mail`-Objekt innerhalb der Benachrichtigungen die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"reportingMTA":"dns; email.example.com",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com",
"status":"5.1.1",
"action":"failed",
"diagnosticCode":"smtp; 550 5.1.1 ... User"
}
],
"bounceSubType":"General",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa068a-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"messageId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa0680-000000",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Unzustellbarkeitsbenachrichtigung ohne Zustellungsstatusbenachrichtigung
Es folgt ein Beispiel für eine Unzustellbarkeitsbenachrichtigung, die die ursprünglichen E-Mail-Header, aber keine Zustellungsstatusbenachrichtigung enthält. Wenn Unzustellbarkeitsbenachrichtigungen nicht so konfiguriert sind, dass sie die ursprünglichen E-Mail-Header enthalten, enthält das `mail`-Objekt innerhalb der Benachrichtigungen die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com"
},
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000137860315fd-869464a4-8680-4114-98d3-716fe35851f9-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"00000137860315fd-34208509-5b74-41f3-95c5-22c1edc3c924-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Beispiele für Amazon-SNS-Beschwerdebenachrichtigungen
Dieser Abschnitt enthält Beispiele für Beschwerdebenachrichtigungen mit und ohne Feedbackbericht, bereitgestellt von dem E-Mail-Empfänger, der das Feedback gesendet hat.
### Beschwerdebenachrichtigung mit Feedbackbericht
Es folgt ein Beispiel für eine Beschwerdebenachrichtigungen, die einen Feedbackbericht und die ursprünglichen E-Mail-Header enthält. Wenn Beschwerdebenachrichtigungen nicht so konfiguriert sind, dass sie die ursprünglichen E-Mail-Header enthalten, enthält das `mail`-Objekt innerhalb der Benachrichtigungen die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"notificationType":"Complaint",
"complaint":{
"userAgent":"AnyCompany Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2016-01-27T14:59:38.237Z",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Beschwerdebenachrichtigung ohne Feedbackbericht
Es folgt ein Beispiel für eine Beschwerdebenachrichtigung, die die ursprünglichen E-Mail-Header, aber keinen Feedbackbericht enthält. Wenn Beschwerdebenachrichtigungen nicht so konfiguriert sind, dass sie die ursprünglichen E-Mail-Header enthalten, enthält das `mail`-Objekt innerhalb der Benachrichtigungen die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"notificationType":"Complaint",
"complaint":{
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"0000013786031775-fea503bc-7497-49e1-881b-a0379bb037d3-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000013786031775-163e3910-53eb-4c8e-a04a-f29debf88a84-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Beispiel einer Amazon-SNS-Zustellungsbenachrichtigung
Es folgt ein Beispiel für eine Zustellungsbenachrichtigung, die die ursprünglichen E-Mail-Header enthält. Wenn Zustellungsbenachrichtigungen nicht so konfiguriert sind, dass sie die ursprünglichen E-Mail-Header enthalten, enthält das `mail`-Objekt innerhalb der Benachrichtigungen die Felder `headersTruncated`, `headers` und `commonHeaders` nicht.
```
{
"notificationType":"Delivery",
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000014644fe5ef6-9a483358-9170-4cb4-a269-f5dcdf415321-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:58:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:58:45 +0000",
"to":[
"Jane Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
},
"delivery":{
"timestamp":"2016-01-27T14:59:38.237Z",
"recipients":["jane@example.com"],
"processingTimeMillis":546,
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"smtpResponse":"250 ok: Message 64111812 accepted",
"remoteMtaIp":"127.0.2.0"
}
}
```
# Verwenden der Identitätsautorisierung in Amazon SES
Identitätsautorisierungsrichtlinien definieren, wie einzelne verifizierte Identitäten Amazon SES verwenden können, indem sie angeben, welche SES-API-Aktionen unter welchen Bedingungen für die Identität zulässig sind oder verweigert werden.
Mit diesen Autorisierungsrichtlinien behalten Sie die Kontrolle über Ihre Identitäten, da Sie Berechtigungen jederzeit ändern oder widerrufen können. Sie können auch andere Benutzer autorisieren, Ihre Identitäten (Domains oder E-Mail-Adressen) mit ihren eigenen SES-Konten zu verwenden.
**Topics**
+ [Anatomie von Amazon-SES-Richtlinien](policy-anatomy.md)
+ [Erstellen einer Identitätsautorisierungsrichtlinie in Amazon SES](identity-authorization-policies-creating.md)
+ [Beispiele für Identitätsrichtlinien in Amazon SES](identity-authorization-policy-examples.md)
+ [Verwalten Ihrer Identitätsautorisierungsrichtlinien in Amazon SES](managing-policies.md)
# Anatomie von Amazon-SES-Richtlinien
Richtlinien halten sich an eine bestimmte Struktur, enthalten Elemente und müssen bestimmte Anforderungen erfüllen.
## Richtlinienstruktur
Bei jeder Autorisierungsrichtlinie handelt es sich um ein JSON-Dokument, das einer Identität angefügt wurde. Jede Richtlinie enthält folgende Abschnitte:
+ Richtlinienweite Informationen oben im Dokument
+ Eine oder mehrere einzelne Anweisungen, die jeweils eine Gruppe von Berechtigungen beschreiben
*Die folgende Beispielrichtlinie gewährt der AWS Konto-ID *123456789012* die im Abschnitt *Aktion* angegebenen Berechtigungen für die verifizierte Domain example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Weitere Beispiele für Autorisierungsrichtlinien finden Sie unter [Beispiele für Identitätsrichtlinien](identity-authorization-policy-examples.md).
## Richtlinienelemente
Dieser Abschnitt beschreibt die Elemente von Identitätsautorisierungsrichtlinien. Zunächst beschreiben wir richtlinienweite Elemente und anschließend Elemente, die nur auf die Anweisung zutreffen, in der sie enthalten sind. Im Anschluss daran besprechen wir, wie Sie Ihren Anweisungen Bedingungen hinzufügen.
Ausführlichere Informationen über die Syntax der Elemente finden Sie unter [Grammatik von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) im *IAM Benutzerhandbuch*.
### Richtlinienweite Informationen
Es gibt zwei richtlinienweite Elemente: `Id` und `Version`. Die folgende Tabelle enthält Informationen über diese Elemente.
****
| Name | Description | Erforderlich | Zulässige Werte |
| --- | --- | --- | --- |
| `Id` | Kennzeichnet die Richtlinie eindeutig. | Nein | Jede Zeichenfolge |
| `Version` | Gibt die Sprachversion des Richtlinienzugriffs an. | Nein | Jede Zeichenfolge. Als bewährte Methode empfehlen wir, dass Sie dieses Feld mit dem Wert "2012-10-17" einschließen. |
### Richtlinienspezifische Anweisungen
Identitätsautorisierungsrichtlinien erfordern mindestens eine Anweisung. Jede Anweisung kann die in der folgenden Tabelle beschriebenen Elementen enthalten.
****
| Name | Description | Erforderlich | Zulässige Werte |
| --- | --- | --- | --- |
| `Sid` | Kennzeichnet die Anweisung eindeutig. | Nein | Jede Zeichenfolge. |
| `Effect` | Gibt das Ergebnis an, das die Richtlinienanweisung zum Bewertungszeitpunkt zurückgeben soll. | Ja | "Allow" oder "Deny". |
| `Resource` | Gibt die Identität an, auf die die Richtlinie zutrifft. (Für die [Sendeautorisierung](sending-authorization-identity-owner-tasks-policy.md) ist dies die E-Mail-Adresse oder Domain, für die der Identitätsbesitzer dem delegierten Sender die Berechtigung erteilt.) | Ja | Der Amazon-Ressourcenname (ARN) der Identität |
| `Principal` | Gibt den AWS-Konto Benutzer oder AWS Dienst an, der die in der Anweisung angegebene Berechtigung erhält. | Ja | Eine gültige AWS-Konto ID, Benutzer-ARN oder AWS Dienst. AWS-Konto IDs und Benutzer ARNs werden mit `"AWS"` (zum Beispiel `"AWS": ["123456789012"]` oder`"AWS": ["arn:aws:iam::123456789012:root"]`) angegeben. AWS Dienstnamen werden mit `"Service"` (zum Beispiel`"Service": ["cognito-idp.amazonaws.com"]`) angegeben. Beispiele für das ARNs Benutzerformat finden Sie unter [Allgemeine AWS-Referenz](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Gibt die Aktion an, für die die Anweisung gilt. | Ja | „ses: BatchGetMetricData „, „ses: „, CancelExportJob „ses: „, CreateDeliverabilityTestReport „ses: „, „ses: CreateEmailIdentityPolicy „, „ses: CreateExportJob „, „ses: „, DeleteEmailIdentity „ses: „, DeleteEmailIdentityPolicy „ses: „, "ses: GetDomainStatisticsReport „, „ses: GetEmailIdentity „, „ses: GetEmailIdentityPolicies „, „ses: „, GetExportJob „ses: „, „ses: ListExportJobs „, „ses: ListRecommendations „, „ses: PutEmailIdentityConfigurationSetAttributes „, „ses: „, PutEmailIdentityDkimAttributes „ses: „, „ses: PutEmailIdentityDkimSigningAttributes „, „ses: PutEmailIdentityFeedbackAttributes „, „ses: PutEmailIdentityMailFromAttributes „, „ses: „, TagResource „ses: „, „ses: UntagResource „, „ses:UpdateEmailIdentityPolicy“ ([Autorisierungsaktionen senden](sending-authorization-identity-owner-tasks-policy.md): „ses: SendEmail „, „ses: SendRawEmail „, „ses: SendTemplatedEmail „, „ses: SendBulkTemplatedEmail „) Sie können eine oder mehrere dieser Operationen angeben. |
| `Condition` | Gibt alle Einschränkungen oder Details über die Berechtigung an. | Nein | Weitere Informationen über Bedingungen finden Sie im Anschluss an diese Tabelle. |
### Bedingungen
Bei einer *Bedingung* handelt es sich um jegliche Einschränkung, die die Berechtigung in der Anweisung betrifft. Der Teil der Anweisung, der die Bedingungen festlegt, kann der ausführlichste aller Bestandteile sein. Ein *Schlüssel* ist die Besonderheit, die die Grundlage für die Zugriffsbeschränkung, z. B. das Datum und die Uhrzeit der Anfrage, darstellt.
Sie verwenden Bedingungen und Schlüssel zusammen, um die Einschränkung auszudrücken. Wenn Sie beispielsweise den stellvertretenden Sender davon abhalten möchten, nach dem 30. Juli 2019 in Ihrem Namen Anfragen an Amazon SES zu stellen, verwenden Sie die Bedingung namens `DateLessThan`. Sie verwenden den Schlüssel `aws:CurrentTime` und legen den Wert mit `2019-07-30T00:00:00Z` fest.
SES implementiert nur die folgenden Richtlinienschlüssel für AWS alle Bereiche:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Weitere Informationen zu diesen Schlüsseln finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Politische Anforderungen
Richtlinien müssen alle folgenden Anforderungen erfüllen:
+ Jede Richtlinie muss mindestens eine Anweisung enthalten.
+ Jede Richtlinie muss mindestens über einen gültigen Prinzipal verfügen.
+ Jede Richtlinie muss eine Ressource angeben und diese Ressource muss der ARN der Identität sein, der die Richtlinie zugeordnet ist.
+ Identitätsbesitzer können jeder eindeutigen Identität bis zu 20 Richtlinien zuordnen.
+ Richtlinien dürfen die Größe von 4 KB nicht überschreiten.
+ Richtliniennamen dürfen 64 Zeichen nicht überschreiten. Darüber hinaus dürfen sie nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten.
# Erstellen einer Identitätsautorisierungsrichtlinie in Amazon SES
Eine Identitätsautorisierungsrichtlinie besteht aus Anweisungen, die angeben, welche API-Aktionen unter welchen Bedingungen für eine Identität zulässig sind oder verweigert werden.
Um eine Amazon-SES-Domain- oder -E-Mail-Adressidentität in Ihrem Besitz zu autorisieren, erstellen Sie eine Autorisierungsrichtlinie und fügen diese Richtlinie dann der Identität an. Eine Identität kann null, eine oder viele Richtlinien haben. Eine einzelne Richtlinie kann jedoch nur mit einer einzigen Identität verknüpft werden.
Eine Liste der API-Aktionen, die in einer Identitätsautorisierungsrichtlinie verwendet werden können, finden Sie in der Zeile *Action* in der Tabelle [Richtlinienspezifische Anweisungen](policy-anatomy.md#identity-authorization-policy-statements).
Sie können eine Identitätsautorisierungsrichtlinie auf folgende Weisen erstellen:
+ **Mit dem Richtliniengenerator** – Sie können eine einfache Richtlinie mithilfe des Richtliniengenerators in der SES-Konsole erstellen. Sie können nicht nur Berechtigungen für SES-API-Aktionen zulassen oder verweigern, sondern die Aktionen auch mit Bedingungen einschränken. Sie können den Richtliniengenerator auch zum schnellen Erstellen der grundlegenden Struktur einer Richtlinie verwenden und diese zu einem späteren Zeitpunkt anpassen, indem Sie die Richtlinie bearbeiten.
+ **Durch Erstellen einer benutzerdefinierten Richtlinie** — Wenn Sie erweiterte Bedingungen einbeziehen oder einen AWS Dienst als Prinzipal verwenden möchten, können Sie eine benutzerdefinierte Richtlinie erstellen und sie mithilfe der SES-Konsole oder der SES-API an die Identität anhängen.
**Topics**
+ [Verwenden des Richtliniengenerators](using-policy-generator.md)
+ [Erstellen einer benutzerdefinierten Richtlinie](creating-custom-policy.md)
# Verwenden des Richtliniengenerators
Sie können den Richtliniengenerator verwenden, um eine einfache Autorisierungsrichtlinie zu erstellen, indem Sie diese Schritte ausführen.
**So erstellen Sie eine Richtlinie mit dem Richtliniengenerator**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie im Container **Identitäten** auf dem Bildschirm **Identitäten** die verifizierte Identität aus, für die Sie eine Autorisierungsrichtlinie erstellen möchten.
1. Wählen Sie im Detailfenster der verifizierten Identität, die Sie im vorherigen Schritt ausgewählt haben, die Registerkarte **Authorization** (Autorisierung).
1. Wählen Sie im Bereich **Authorization policies** (Autorisierungsrichtlinien) **Create policy** (Richtlinie erstellen) und anschließend in der Drop-down-Liste **Use policy generator** (Richtliniengenerator verwenden) aus.
1. Wählen Sie im Bereich **Create statement** (Anweisung erstellen) im Feld **Effect** (Effekt) die Option **Allow** (Erlauben) aus. (Wenn Sie eine Richtlinie zum Einschränken dieser Identität erstellen möchten, wählen Sie stattdessen **Deny** (Verweigern) aus.)
1. **Geben Sie im Feld **Principals** die *AWS-Konto ID*, den *IAM-Benutzer-ARN* oder den AWS Dienst ein, um die Berechtigungen zu erhalten, die Sie für diese Identität autorisieren möchten, und wählen Sie dann Hinzufügen aus.** (Wenn Sie mehr als eine autorisieren möchten, wiederholen Sie diesen Schritt jeweils.)
1. Aktivieren Sie im Feld **Actions** (Aktionen) das Kontrollkästchen für jede Aktion, die Sie für Ihre Prinzipale autorisieren möchten.
1. (Optional) Erweitern Sie **Specify conditions** (Bedingungen angeben), wenn Sie der Berechtigung eine qualifizierende Anweisung hinzufügen möchten.
1. Wählen Sie einen Operator aus der Dropdown-Liste **Operator** aus.
1. Wählen Sie einen Typ aus der Dropdown-Liste **Key** (Schlüssel) aus.
1. Geben Sie den Wert des ausgewählten Schlüsseltyps in das Feld **Value** (Wert) ein. (Wenn Sie weitere Bedingungen hinzufügen möchten, wählen Sie **Add new condition** (Neue Bedingung hinzufügen) und wiederholen Sie diesen Schritt für jede weitere.)
1. Wählen Sie **Save statement** (Anweisung speichern) aus.
1. (Optional) Erweitern Sie **Create another statement** (Eine weitere Anweisung erstellen), wenn Sie Ihrer Richtlinie weitere Anweisungen hinzufügen möchten und wiederholen Sie die Schritte 6 - 10.
1. Wählen Sie **Next (Weiter)** und auf dem Bildschirm **Cutomize policy (Richtlinie anpassen)** enthält der Container **Edit policy details (Richtliniendetails bearbeiten)** Felder, in denen Sie **Name** der Richtlinie und das **Policy document (Richtliniendokument)** selbst ändern oder anpassen können.
1. Wählen Sie **Next** (Weiter) aus. Auf dem Bildschirm **Review and apply** (Überprüfen und anwenden) zeigt der Container **Overview** (Übersicht) die verifizierte Identität, die Sie autorisieren, sowie den Namen dieser Richtlinie an. Im Bereich **Policy document** (Richtliniendokument) wird die aktuelle Richtlinie, die Sie gerade geschrieben haben, zusammen mit den von Ihnen hinzugefügten Bedingungen angezeigt. Überprüfen Sie die Richtlinie und wählen Sie **Apply policy** (Richtlinie anwenden), wenn sie richtig aussieht. (Wenn Sie etwas ändern oder korrigieren müssen, wählen Sie **Previous** (Zurück) und arbeiten Sie im Container **Edit policy details** (Richtliniendetails bearbeiten).)
# Erstellen einer benutzerdefinierten Richtlinie
Wenn Sie eine benutzerdefinierte Richtlinie erstellen und Sie einer Identität anfügen möchten, haben Sie die folgenden Optionen:
+ **Mithilfe der Amazon-SES-API** – Erstellen Sie eine Richtlinie in einem Texteditor, und fügen Sie die Richtlinie dann mithilfe der in der [Amazon-Simple-Email-Service-API-Referenz](https://docs.aws.amazon.com/ses/latest/APIReference/) beschriebenen `PutIdentityPolicy`API an die Identität an.
+ **Mithilfe der Amazon-SES-Konsole** – Erstellen Sie die Richtlinie in einem Texteditor und fügen Sie sie anschließend einer Identität hinzu, indem Sie die Richtlinie in den Editor für benutzerdefinierte Richtlinien in der Amazon-SES-Konsole einfügen. Im folgenden Abschnitt wird diese Methode beschrieben.
**So erstellen Sie eine benutzerdefinierte Richtlinie mit dem Editor für benutzerdefinierte Richtlinien**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie im Container **Identitäten** auf dem Bildschirm **Identitäten** die verifizierte Identität aus, für die Sie eine Autorisierungsrichtlinie erstellen möchten.
1. Wählen Sie im Detailfenster der verifizierten Identität, die Sie im vorherigen Schritt ausgewählt haben, die Registerkarte **Authorization** (Autorisierung).
1. Wählen Sie im Bereich **Authorization policies** (Autorisierungsrichtlinien) **Create policy** (Richtlinie erstellen) und anschließend in der Drop-down-Liste **Create custom policy** (Benutzerdefinierte Richtlinie erstellen) aus.
1. Geben oder fügen Sie im Bereich **Policy document** (Richtliniendokument) den Text Ihrer Richtlinie im JSON-Format ein. Sie können den Richtliniengenerator auch zum schnellen Erstellen der grundlegenden Struktur einer Richtlinie verwenden und diese anschließend hier anpassen.
1. Klicken Sie auf **Apply Policy** (Richtlinie anwenden). (Wenn Sie Ihre benutzerdefinierte Richtlinie jemals ändern müssen, aktivieren Sie einfach das Kontrollkästchen auf der Registerkarte **Authorization** (Autorisierung), wählen Sie **Edit** (Bearbeiten) und nehmen Sie Ihre Änderungen im Bereich **Policy document** (Richtliniendokument) vor und **Save changes** (Änderungen speichern) vor).
# Beispiele für Identitätsrichtlinien in Amazon SES
Mit der Identitätsautorisierung können Sie die detaillierten Bedingungen angeben, unter denen Sie API-Aktionen für eine Identität zulassen oder verweigern.
**Topics**
+ [Angeben des Prinzipals](#identity-authorization-policy-example-delegate-user)
+ [Einschränken der Aktion](#sending-authorization-policy-example-restricting-action)
+ [Verwenden mehrerer Anweisungen](#identity-authorization-policy-example-multiple-statements)
## Angeben des Prinzipals
Der *Principal*, also die Entität, der Sie die Berechtigung erteilen, kann ein AWS-Konto AWS Identity and Access Management (IAM-) Benutzer oder ein AWS Dienst sein, der zu demselben Konto gehört.
*Das folgende Beispiel zeigt eine einfache Richtlinie, die es der AWS ID *123456789012* ermöglicht, die verifizierte Identität *example.com* zu kontrollieren, die ebenfalls 123456789012 gehört. AWS-Konto *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
Die folgende Beispielrichtlinie erteilt zwei Benutzern die Berechtigung, die verifizierte Identität *example.com* zu kontrollieren. Die Benutzer werden durch ihren Amazon-Ressourcennamen (ARN) angegeben.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Einschränken der Aktion
Es gibt verschiedene Aktionen, die in einer Identitätsautorisierungsrichtlinie festgelegt werden können, je nachdem, welche Kontrollebene Sie autorisieren möchten:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Mithilfe von Identitätsautorisierungsrichtlinien können Sie den Prinzipal auch auf nur eine dieser Aktionen einschränken.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Verwenden mehrerer Anweisungen
Ihre Identitätsautorisierungsrichtlinie kann mehrere Anweisungen enthalten. Die folgende Beispielrichtlinie enthält zwei Anweisungen. Die erste Aussage verweigert zwei Benutzern den Zugriff auf `getemailidentity` von *sender@example.com* innerhalb desselben Kontos `123456789012` aus. Die zweite Aussage verweigert `UpdateEmailIdentityPolicy` für den Prinzipal, *Jack*, innerhalb desselben Kontos `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Verwalten Ihrer Identitätsautorisierungsrichtlinien in Amazon SES
Zusätzlich zum Erstellen und Anfügen von Richtlinien an Identitäten können Sie die Richtlinien einer Identität auch bearbeiten, entfernen, auflisten und abrufen, wie in den folgenden Abschnitten beschrieben.
## Verwalten von Richtlinien mit der Amazon-SES-Konsole
Das Verwalten von Amazon-SES-Richtlinien beinhaltet das Anzeigen, Bearbeiten oder Löschen einer Richtlinie, die mit einer Identität verbunden ist, mit der Amazon-SES-Konsole.
**So verwalten Sie Richtlinien mit der Amazon-SES-Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im linken Navigationsbereich **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, die Sie verwalten möchten.
1. Navigieren Sie auf der Detailseite der Identität zur Registerkarte **Authorization** (Autorisierung). Hier finden Sie eine Liste aller Richtlinien, die dieser Identität zugeordnet sind.
1. Wählen Sie die Richtlinie aus, die Sie verwalten möchten, indem Sie das Kontrollkästchen aktivieren.
1. Wählen Sie je nach gewünschter Verwaltungsaufgabe die entsprechende Schaltfläche wie folgt aus:
1. Um die Richtlinie anzuzeigen, wählen Sie **View policy** (Richtlinie anzeigen). Wenn Sie eine Kopie davon benötigen, klicken Sie auf **Copy** (Kopieren), um sie in die Zwischenablage zu kopieren.
1. Um die Richtlinie zu bearbeiten, wählen Sie **Edit** (Bearbeiten) aus. Bearbeiten Sie im Bereich **Policy Dokument** (Richtliniendokument) die Richtlinie, und wählen Sie dann **Save changes** (Änderungen speichern) aus.
**Anmerkung**
Wenn Sie Berechtigungen widerrufen möchten, können Sie die Richtlinie entweder bearbeiten oder entfernen.
1. Um die Richtlinie zu entfernen, wählen Sie **Delete** (Löschen) aus.
**Wichtig**
Das Entfernen einer Richtlinie ist dauerhaft. Wir empfehlen, die Richtlinie vor dem Entfernen durch Kopieren und Einfügen in eine Textdatei zu sichern.
## Verwalten von Richtlinien mit der Amazon-SES-API
Das Verwalten von Amazon-SES-Richtlinien beinhaltet das Anzeigen, Bearbeiten oder Löschen einer Richtlinie, die mit einer Identität verbunden ist, mit der Amazon-SES-API.
**So listen Sie Richtlinien mithilfe der Amazon SES API auf und zeigen Sie sie an**
+ Mithilfe der [ListIdentityPolicies API-Operation](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html) können Sie die Richtlinien auflisten, die mit einer Identität verknüpft sind. Sie können die Richtlinien auch selbst mithilfe der [GetIdentityPoliciesAPI-Operation](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html) abrufen.
**So bearbeiten Sie eine Richtlinie mit der Amazon-SES-API**
+ Sie können eine Richtlinie, die an eine Identität angehängt ist, mithilfe der [PutIdentityPolicy API-Operation](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html) bearbeiten.
**So löschen Sie eine Richtlinie mit der Amazon-SES-API**
+ Sie können eine Richtlinie, die mit einer Identität verknüpft ist, mithilfe der [DeleteIdentityPolicy API-Operation](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html) löschen.
# Verwenden der Sendeautorisierung mit Amazon SES
Sie können Amazon SES so konfigurieren, dass andere Benutzer autorisiert werden, E-Mails von Ihren eigenen Identitäten (Domänen oder E-Mail-Adressen) mit ihren eigenen Amazon-SES-Konten zu senden. Mit der Funktion *Sendeautorisierung* behalten Sie die Kontrolle über Ihre Identität, sodass Sie Berechtigungen jederzeit ändern oder widerrufen können. Als Besitzer eines Unternehmens können Sie beispielsweise mit der Sendeautorisierung einen Dritten (z. B. ein E-Mail-Marketing-Unternehmen) berechtigen, E-Mails von einer Domäne zu senden, die Sie besitzen.
In diesem Kapitel werden die Besonderheiten der Sendeautorisierung behandelt, die die veraltete Funktion für kontoübergreifende Benachrichtigungen ersetzt. Zunächst sollten Sie sich unter [Verwenden der Identitätsautorisierung in Amazon SES](identity-authorization-policies.md) mit den Grundlagen der identitätsbasierten Autorisierung mithilfe von Autorisierungsrichtlinien vertraut machen. In diesem Kapitel werden wichtige Themen wie die Anatomie einer Autorisierungsrichtlinie und die Verwaltung von Richtlinien behandelt.
## Kontoübergreifender Legacy-Benachrichtigungssupport
Feedback-Benachrichtigungen für Unzustellbarkeiten, Beschwerden und Zustellungen im Zusammenhang mit E-Mails, die von einem delegierten Sender gesendet wurden, der von einem Identitätsbesitzer autorisiert wurde, von einer seiner verifizierten Identitäten zu senden, wurden traditionell mit kontoübergreifenden Benachrichtigungen konfiguriert, bei denen der delegierte Sender ein Thema einer Identität zuordnet, in deren Besitz er nicht ist (das bedeutet kontoübergreifend). Kontoübergreifende Benachrichtigungen wurden jedoch durch die Verwendung von Konfigurationssätzen und verifizierten Identitäten in Verbindung mit dem delegierten Senden ersetzt, wobei der delegierte Sender vom Identitätsbesitzer autorisiert wurde, eine seiner verifizierten Identitäten zum Senden von E-Mails zu verwenden. Diese neue Methode ermöglicht die Flexibilität, Unzustellbarkeits-, Beschwerde-, Zustellungs- und andere Ereignisbenachrichtigungen durch die folgenden zwei Konstrukte zu konfigurieren, je nachdem, ob Sie der delegierte Sender oder der Besitzer der verifizierten Identität sind:
+ **Konfigurationssätze** – Der delegierte Sender kann die Veröffentlichung von Ereignissen in seinem eigenen Konfigurationssatz einrichten, den er angeben kann, wenn er E-Mails von einer verifizierten Identität sendet, die er nicht besitzt, aber vom Identitätsbesitzer über eine Autorisierungsrichtlinie gesendet werden darf. Durch die Veröffentlichung von Ereignissen können Benachrichtigungen über Bounce, Beschwerden, Lieferungen und andere Ereignisse auf Amazon CloudWatch, Amazon Data Firehose, Amazon Pinpoint und Amazon SNS veröffentlicht werden. Siehe [Ereignisziele erstellen](event-destinations-manage.md).
+ **Verifizierte Identitäten** – Abgesehen davon, dass der Identitätsbesitzer den delegierten Sender autorisieren muss, eine seiner verifizierten Identitäten zum Senden von E-Mails zu verwenden, kann er auf Anfrage des delegierten Senders auch Feedbackbenachrichtigungen zur gemeinsamen Identität konfigurieren, um SNS-Themen zu verwenden, die dem delegierten Sender gehören. Nur der delegierte Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt. In Schritt 14 erfahren Sie, wie Sie ein [„SNS-Thema, das Ihnen nicht gehört“ in den Autorisierungsrichtlinienverfahren konfigurieren](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Anmerkung**
Aus Gründen der Kompatibilität werden kontoübergreifende Benachrichtigungen für kontoübergreifende Legacy-Benachrichtigungen unterstützt, die derzeit in Ihrem Konto verwendet werden. Dieser Support beschränkt sich darauf, alle aktuellen kontoübergreifenden Konten zu ändern und zu verwenden, die Sie in der klassischen Amazon-SES-Konsole erstellt haben. Sie können jedoch keine *neuen* kontoübergreifenden Benachrichtigungen mehr erstellen. Um neue in der neuen Amazon-SES-Konsole zu erstellen, verwenden Sie die neuen Methoden zum delegierten Senden entweder mit Konfigurationssätzen, die [Ereignisveröffentlichung](event-destinations-manage.md) verwenden, oder mit verifizierten Identitäten, [die mit Ihren eigenen SNS-Themen konfiguriert sind](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Topics**
+ [Kontoübergreifender Legacy-Benachrichtigungssupport](#sending-authorization-cross-account-sunsetting)
+ [Übersicht über die Amazon-SES-Sendeautorisierung](sending-authorization-overview.md)
+ [Aufgaben des Identitätsbesitzers für die Amazon-SES-Sendeautorisierung](sending-authorization-identity-owner-tasks.md)
+ [Delegieren der Senderaufgaben für die Amazon-SES-Sendeautorisierung](sending-authorization-delegate-sender-tasks.md)
# Übersicht über die Amazon-SES-Sendeautorisierung
Dieses Thema bietet eine Übersicht über den Vorgang der Sendeautorisierung und erklärt, wie die Amazon-SES-Funktionen zum Senden von E-Mails, z. B. Sendekontingente und Benachrichtigungen, in Bezug auf die Sendeautorisierung funktionieren.
In diesem Abschnitt werden die folgenden Begriffe verwendet:
+ **Identität** – Eine E-Mail-Adresse oder Domäne, die Amazon-SES-Benutzer zur Versendung von E-Mails verwenden.
+ **Identitätsbesitzer** – Ein Amazon-SES-Benutzer, der aufgrund der unter [Verifizierte Identitäten](verify-addresses-and-domains.md) beschriebenen Verfahren die verifizierte Eigentümerschaft über eine E-Mail-Adresse oder Domäne besitzt.
+ **Delegierter Absender** — Ein AWS Konto, ein AWS Identity and Access Management (IAM-) Benutzer oder ein AWS Dienst, der durch eine Autorisierungsrichtlinie autorisiert wurde, E-Mails im Namen des Identitätsinhabers zu senden.
+ **Sendeautorisierungsrichtlinie** – Ein Dokument, das Sie einer Identität anfügen können, um festzulegen, welche Benutzer für diese Identität und unter welchen Bedingungen E-Mails senden können
+ **Amazon Resource Name (ARN)** — Eine standardisierte Methode zur eindeutigen Identifizierung einer AWS Ressource in allen AWS Services. Für die Sendeberechtigung ist die Ressource die Identität, deren Verwendung der Identitätsbesitzer dem delegierten Sender autorisiert hat. Hier sehen Sie ein Beispiel für einen ARN *arn:aws:ses:us-east-1:123456789012:identity/example.com*.
## Sendeautorisierungsverfahren
Die Sendeautorisierung beruht auf den Sendeautorisierungsrichtlinien. Wenn Sie einem stellvertretenden Sender die Berechtigung erteilen möchten, E-Mails in Ihrem Auftrag senden zu können, müssen Sie eine Sendeautorisierungsrichtlinie erstellen, die Sie mithilfe der Amazon-SES-Konsole oder der Amazon-SES-API Ihrer Identität zuordnen. Wenn der stellvertretende Sender versucht, in Ihrem Namen eine E-Mail über Amazon SES zu senden, muss er den ARN Ihrer Identität in der Anfrage oder in der Kopfzeile der E-Mail übergeben.
Wenn Amazon SES die Anfrage zum Senden der E-Mail erhält, überprüft der Service die Richtlinie der Identität (sofern vorhanden), um festzustellen, ob Sie den stellvertretenden Sender autorisiert haben, im Namen der Identität E-Mails zu senden. Wenn der stellvertretende Sender autorisiert ist, akzeptiert Amazon SES die E-Mail, andernfalls gibt Amazon SES eine Fehlermeldung zurück.
Das folgende Diagramm zeigt die enge Beziehung zwischen den Konzepten der Sendeautorisierung:
![\[Übersicht über die Sendeautorisierung\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/images/sending_authorization_overview.png)
Das Sendeautorisierungsverfahren besteht aus den folgenden Schritten:
1. Der Identitätsinhaber wählt eine verifizierte Identität aus, die der stellvertretende Sender verwenden soll. (Falls Sie keine Identität verifiziert haben, finden Sie Informationen unter [Verifizierte Identitäten](verify-addresses-and-domains.md)).
**Anmerkung**
Der verifizierten Identität, die Sie für Ihren stellvertretenden Sender auswählen, darf kein [Standardkonfigurationssatz](managing-configuration-sets.md#default-config-sets) zugewiesen sein.
1. Der Delegate-Absender teilt dem Identitätsinhaber mit, welche AWS Konto-ID oder welchen IAM-Benutzer-ARN er zum Senden verwenden möchte.
1. Wenn der Identitätsbesitzer zustimmt, dass der delegierte Sender von einem Konto des Besitzers aus senden darf, erstellt er eine Sendeautorisierungsrichtlinie und hängt die Richtlinie über die Amazon-SES-Konsole oder die Amazon-SES-API an die ausgewählte Identität an.
1. Der Identitätsbesitzer gibt dem delegierten Sender den ARN der autorisierten Identität, damit der delegierte Sender den ARN beim Senden der E-Mail an Amazon SES übermitteln kann.
1. Der delegierte Sender kann Unzustellbarkeits- und Beschwerdebenachrichtigungen über [Event Publishing](monitor-using-event-publishing.md) (Ereignisveröffentlichung) einrichten, die in einem Konfigurationssatz aktiviert ist, der beim delegierten Senden festgelegt wurde. Der Identitätsbesitzer kann auch E-Mail-Feedback-Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, die an die Amazon-SNS-Themen des delegierten Senders gesendet werden.
**Anmerkung**
Wenn der Identitätsinhaber das Senden von Ereignisbenachrichtigungen deaktiviert, muss der delegierte Absender die Ereignisveröffentlichung einrichten, um Bounce- und Beschwerdeereignisse in einem Amazon SNS SNS-Thema oder einem Firehose-Stream zu veröffentlichen. Der Sender muss ebenfalls den Konfigurationssatz, der die Ereignisveröffentlichungsregel enthält, auf jede E-Mail, die er sendet, anwenden. Wenn weder der Identitätsbesitzer noch der stellierte Absender eine Methode zum Senden von Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten, sendet Amazon SES automatisch Ereignisbenachrichtigungen per E-Mail an die Adresse im Feld „Antwortpfad bei Unzustellbarkeit“ der E-Mail (oder die Adresse im Feld „Quelle“, wenn Sie keine Absenderpfadadresse angegeben haben), selbst wenn der Identitätsbesitzer die Weiterleitung von E-Mail-Feedback deaktiviert hat.
1. Der stellvertretende Sender versucht, im Namen des Identitätsbesitzers eine E-Mail über Amazon SES zu senden, indem er den ARN der Identität des Identitätsbesitzers in der Anfrage oder in der Kopfzeile der E-Mail übergibt. Der stellvertretende Sender kann die E-Mail entweder über die Amazon-SES-SMTP-Schnittstelle oder die Amazon-SES-API senden. Nach Eingang der Anfrage untersucht Amazon SES alle Richtlinien, die der Identität angefügt wurden, und akzeptiert die E-Mail, wenn der stellvertretende Sender zur Verwendung der angegebenen „Von-“ und „Rücksendepfad-“ -Adresse autorisiert ist. Andernfalls gibt einen Fehler zurück und die Nachricht wird nicht akzeptiert.
**Wichtig**
Das AWS Konto des delegierten Absenders muss aus der Sandbox entfernt werden, bevor es zum Senden von E-Mails an nicht verifizierte Adressen verwendet werden kann.
1. Wenn der Identitätsbesitzer die Autorisierung des stellvertretenden Senders aufheben muss, muss der Identitätsbesitzer die Richtlinie für die Sendeautorisierung bearbeiten oder die Richtlinie vollständig löschen. Der Identitätsbesitzer kann jede dieser Aktionen über die Amazon-SES-Konsole oder die Amazon-SES-API ausführen.
Weitere Informationen darüber, wie der Identitätsbesitzer oder der delegierte Sender diese Aufgaben ausführt, finden Sie unter [Aufgaben des Identitätsbesitzers](sending-authorization-identity-owner-tasks.md) bzw. [Delegieren der Senderaufgaben](sending-authorization-delegate-sender-tasks.md).
## Zuordnung der Funktionen für den E-Mail-Versand
Es ist wichtig, die Rolle des delegierten Senders und des Identitätsbesitzers in Bezug auf die Funktionen des Amazon-SES-E-Mail-Versands zu verstehen. Diese Funktionen umfassen beispielsweise die tägliche Sendequote, Unzustellbarkeitsnachrichten und Beschwerden, DKIM-Signatur, Feedback-Weiterleitung usw. Die Zuordnung erfolgt folgendermaßen:
+ **Sendequoten** – E-Mails, die über die Identitäten des Identitätsbesitzers gesendet werden, werden auf die täglichen Sendekontingente des stellvertretenden Senders angerechnet.
+ **Unzustellbarkeitsnachrichten und Beschwerden** – Unzustellbarkeits- und Beschwerdeereignisse werden für das Amazon-SES-Konto des stellvertretenden Senders dokumentiert und können sich daher auf die Reputation des stellvertretenden Senders auswirken.
+ **DKIM-Signatur** – Wenn der Identitätsbesitzer die Easy DKIM-Signatur für eine Identität aktiviert hat, verfügen alle von dieser Identität gesendeten E-Mails über die DKIM-Signatur, einschließlich E-Mails, die von dem stellvertretenden Sender gesendet wurden. Nur der Identitätsbesitzer kann steuern, ob die E-Mails mit einer DKIM-Signatur versehen werden.
+ **Benachrichtigungen** – Sowohl der Identitätsbesitzer als auch der stellvertretende Sender kann Benachrichtigungen für Unzustellbarkeitsnachrichten und Beschwerden einrichten. Der E-Mail-Identitätsbesitzer kann auch die Weiterleitung von E-Mail-Feedback aktivieren. Weitere Informationen zum Einrichten von Benachrichtigungen finden Sie unter [Überwachen Ihrer Amazon SES-Sendeaktivität](monitor-sending-activity.md).
+ **Verifizierung** – Identitätsbesitzer müssen sicherstellen, dass sie die Verfahren unter [Verifizierte Identitäten](verify-addresses-and-domains.md) befolgen, um zu gewährleisten, dass sie die E-Mail-Adressen und Domänen auch tatsächlich besitzen, bevor sie delegierte Sender zu deren Verwendung autorisieren. Delegierte Sender müssen speziell für die Sendeautorisierung keine E-Mail-Adressen oder Domänen bestätigen.
**Wichtig**
Das AWS Konto des Absenders des Delegierten muss aus der Sandbox entfernt werden, bevor es zum Senden von E-Mails an nicht verifizierte Adressen verwendet werden kann.
+ **AWS Regionen** — Der Absender des Delegierten muss die E-Mails aus der AWS Region senden, in der die Identität des Identitätsinhabers verifiziert wurde. Die Richtlinie für die Sendeautorisierung, die dem stellvertretenden Sender seine Berechtigung erteilt, muss der Identität in dieser Region angefügt sein.
+ **Fakturierung** – Alle Nachrichten, die aus dem Konto des stellvertretenden Senders gesendet werden, einschließlich E-Mails, die der stellvertretende Sender unter Verwendung der Adressen des Identitätsbesitzers sendet, werden dem stellvertretenden Sender in Rechnung gestellt.
# Aufgaben des Identitätsbesitzers für die Amazon-SES-Sendeautorisierung
Dieser Abschnitt beschreibt die Schritte, die Identitätsbesitzer bei der Konfiguration für die Autorisierung von Sendungen durchführen müssen.
**Topics**
+ [Bestätigen einer Identität für die Amazon-SES-Sendeautorisierung](sending-authorization-identity-owner-tasks-verification.md)
+ [Einrichten der Benachrichtigungen für Identitätsbesitzer für die Amazon-SES-Sendeautorisierung](sending-authorization-identity-owner-tasks-notifications.md)
+ [Abrufen von Informationen vom delegierten Sender für die Amazon-SES-Sendeautorisierung](sending-authorization-identity-owner-tasks-information.md)
+ [Erstellen einer Sendeautorisierungsrichtlinie in Amazon SES](sending-authorization-identity-owner-tasks-policy.md)
+ [Beispiele für Senderichtlinien](sending-authorization-policy-examples.md)
+ [Bereitstellen der Identitätsinformationen für den delegierten Sender im Zusammenhang mit der Amazon-SES-Sendeautorisierung](sending-authorization-identity-owner-tasks-identity.md)
# Bestätigen einer Identität für die Amazon-SES-Sendeautorisierung
Der erste Schritt bei der Konfiguration der Sendeautorisierung besteht darin, nachzuweisen, dass Sie die E-Mail-Adresse oder Domäne besitzen, die der stellvertretende Sender zum Senden der E-Mails verwendet. Das Verifizierungsverfahren wird unter [Verifizierte Identitäten](verify-addresses-and-domains.md) beschrieben.
Sie können überprüfen, ob eine E-Mail-Adresse oder Domain verifiziert ist, indem Sie ihren Status im Abschnitt Verifizierte Identitäten von [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)oder mithilfe der `GetIdentityVerificationAttributes` API-Operation überprüfen.
Bevor Sie oder der stellvertretende Sender E-Mails an nicht verifizierte E-Mail-Adressen senden können, müssen Sie eine Anfrage senden, damit Ihr Konto aus der Amazon-SES-Sandbox entfernt wird. Weitere Informationen finden Sie unter [Produktionszugriff anfordern (Verlassen der Amazon SES SES-Sandbox)](request-production-access.md).
**Wichtig**
Der Name AWS-Konto des delegierten Absenders muss aus der Sandbox entfernt werden, bevor er zum Senden von E-Mails an oder von nicht verifizierten Adressen verwendet werden kann.
Wenn sich Ihr Konto in der Sandbox befindet, können Sie keine E-Mails an E-Mail-Adressen senden, die in Ihrem Konto nicht verifiziert wurden, selbst wenn diese Domänen oder E-Mail-Adressen im Identitätskonto verifiziert wurden
# Einrichten der Benachrichtigungen für Identitätsbesitzer für die Amazon-SES-Sendeautorisierung
Wenn Sie einen stellvertretenden Sender autorisieren, in Ihrem Auftrag E-Mails zu versenden, rechnet Amazon SES alle Unzustellbarkeitsnachrichten und Beschwerden, die durch diese E-Mails generiert werden, den Unzustellbarkeits- und Beschwerdelimits des stellvertretenden Senders an und nicht den Ihren. Wenn Ihre IP-Adresse jedoch aufgrund von Nachrichten, die von einem delegierten Absender gesendet wurden, in DNS-basierten Anti-Spam-Listen (DNSBLs) von Drittanbietern erscheint, kann dies den Ruf Ihrer Identitäten schädigen. Aus diesem Grund sollten Sie als Identitätsbesitzer eine E-Mail-Feedback-Weiterleitung für alle Ihre Identitäten einrichten, einschließlich derjenigen, die Sie zum delegierten Senden autorisiert haben. Weitere Informationen finden Sie unter [Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang](monitor-sending-activity-using-notifications-email.md).
Delegierte Sender können ihre eigenen Unzustellbarkeits- und Beschwerdebenachrichtigungen für die Identitäten einrichten, für deren Verwendung sie von Ihnen autorisiert wurden. Sie können die [Veröffentlichung von Ereignissen](monitor-using-event-publishing.md) einrichten, um Bounce- und Beschwerdeereignisse in einem Amazon SNS SNS-Thema oder einem Firehose-Stream zu veröffentlichen.
Wenn weder der Identitätsbesitzer noch der stellierte Absender eine Methode zum Senden von Benachrichtigungen für Unzustellbarkeits- und Beschwerdeereignisse einrichten oder wenn der Absender den Konfigurationssatz, der die Ereignisveröffentlichungsregel verwendet, nicht anwendet, sendet Amazon SES automatisch Ereignisbenachrichtigungen per E-Mail an die Adresse im Feld „Antwortpfad bei Unzustellbarkeit“ der E-Mail (oder die Adresse im Feld Quelle, wenn Sie keine Return-Path-Adresse angegeben haben), auch wenn Sie die E-Mail-Feedback-Weiterleitung deaktiviert haben. Dieser Prozess wird in der folgenden Abbildung veranschaulicht.
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/images/feedback_forwarding.png)
# Abrufen von Informationen vom delegierten Sender für die Amazon-SES-Sendeautorisierung
Ihre Sendeautorisierungsrichtlinie muss mindestens einen *Prinzipal* angeben, bei dem es sich um die Entität Ihres delegierten Senders handelt, dem Sie Zugriff gewähren, damit er im Namen einer Ihrer bestätigten Identitäten senden kann. Bei den Richtlinien zur Versandautorisierung von Amazon SES kann der Principal entweder das AWS Konto Ihres Delegierten Absenders oder Ihr AWS Identity and Access Management (IAM-) Benutzer-ARN oder ein AWS Service sein.
Eine einfache Möglichkeit, dies zu bedenken, besteht darin, dass der *Prinzipal* (delegierter Sender) der Empfänger ist und Sie (Identitätsbesitzer) der Erteilender in der Autorisierungsrichtlinie sind, in der Sie ihm die Berechtigung zum Senden einer beliebigen Kombination aus E-Mail, Roh-E-Mail, Vorlagen-E-Mail oder Massen-Vorlagen-E-Mail von der *Ressource* (bestätigte Identität) *erlaubt*, die Sie besitzen.
Wenn Sie über größtmögliche Kontrolle verfügen möchten, bitten Sie den delegierten Sender einen IAM-Benutzer einzurichten. Auf diese Weise kann nur ein delegierter Sender in Ihrem Namen E-Mails senden und nicht jeder Benutzer, der sich im AWS -Konto des delegierten Senders befindet. Der delegierte Sender kann unter [Erstellen eines IAM-Benutzers in Ihrem AWS -Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html) im *IAM Benutzerhandbuch* weitere Informationen über das Einrichten eines IAM-Benutzers finden.
Fragen Sie Ihren delegierten Absender nach der AWS Konto-ID oder dem Amazon-Ressourcennamen (ARN) des IAM-Benutzers, damit Sie ihn in Ihre Versandautorisierungsrichtlinie aufnehmen können. Sie können den stellvertretenden Sender an die Anweisungen zum Auffinden dieser Information unter [Bereitstellen von Informationen für den Identitätsbesitzer](sending-authorization-delegate-sender-tasks-information.md) verweisen. Wenn es sich bei dem Absender des Delegierten um einen AWS Dienst handelt, finden Sie den Namen des Dienstes in der Dokumentation zu diesem Dienst.
Die folgende Beispielrichtlinie veranschaulicht die grundlegenden Elemente dessen, was in einer Richtlinie erforderlich ist, die vom Identitätsbesitzer erstellt wurde, um den delegierten Sender zum Senden von der Ressource des Identitätsbesitzers zu autorisieren. Der Identitätsbesitzer würde in den Workflow „Verified identities“ (Verifizierte Identitäten) wechseln und unter Autorisierung den Richtliniengenerator verwenden, um in seiner einfachsten Form die folgende grundlegende Richtlinie zu erstellen, die es dem delegierten Sender ermöglicht, im Namen einer Ressource des Identitätsbesitzers zu senden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
Für die obige Richtlinie erläutert die folgende Legende die Schlüsselelemente und wem sie gehören:
+ **Prinzipal** – dieses Feld wird mit dem ARN des IAM-Benutzers des delegierten Senders ausgefüllt.
+ **Aktion** – Dieses Feld wird mit zwei SES-Aktionen (`SendEmail` und `SendRawEmail`) gefüllt, die der Identitätsbesitzer dem delegierten Sender von der Ressource des Identitätsbesitzers aus ausführen lässt.
+ **Ressource** – Dieses Feld wird mit der verifizierten Ressource des Identitätsbesitzers ausgefüllt, von der er den delegierten Sender zum Senden autorisiert.
# Erstellen einer Sendeautorisierungsrichtlinie in Amazon SES
Ähnlich wie beim Erstellen einer Autorisierungsrichtlinie in Amazon SES, wie unter [Erstellen einer Identitätsautorisierungsrichtlinie](identity-authorization-policies-creating.md) beschrieben, erstellen Sie die Richtlinie unter Angabe von API-Aktionen zum Senden in SES und fügen diese Richtlinie dann der Identität an, um einen delegierten Sender zum Senden von E-Mails mit einer E-Mail-Adresse oder Domain (einer *Identität*) in Ihrem Besitz zu autorisieren.
Eine Liste der API-Aktionen, die in einer Sendeautorisierungsrichtlinie angegeben werden können, finden Sie in der Zeile *Action* in der Tabelle [Richtlinienspezifische Anweisungen](policy-anatomy.md#identity-authorization-policy-statements).
Sie können eine Sendeautorisierungsrichtlinie erstellen, indem Sie entweder den Richtliniengenerator verwenden oder eine benutzerdefinierte Richtlinie erstellen. Es werden für beide Methoden der Erstellung einer Sendeautorisierungsrichtlinie spezifische Anleitungen bereitgestellt.
**Anmerkung**
Sendeautorisierungsrichtlinien, die Sie an E-Mail-Adressidentitäten anfügen, haben Vorrang vor Richtlinien, die Sie den entsprechenden Domänenidentitäten anfügen. Wenn Sie beispielsweise eine Richtlinie für *example.com* erstellen, die einen delegierten Sender nicht zulässt, und eine Richtlinie für *sender@example.com* die den delegierten Sender zulässt, kann der delegierte Sender E-Mails von *sender@example.com* senden, jedoch von keiner anderen Adresse in der Domäne *example.com*.
Wenn Sie eine Richtlinie für *example.com* erstellen, die einen stellvertretenden Sender zulässt, und eine Richtlinie für *sender@example.com*, die den stellvertretenden Sender nicht zulässt, kann der stellvertretende Sender E-Mails von jeder Adresse in der Domäne *example.com* senden, mit Ausnahme von *sender@example.com*.
Wenn Sie mit der Struktur von SES-Autorisierungsrichtlinien nicht vertraut sind, informieren Sie sich unter [Richtlinienanatomie](policy-anatomy.md).
Wenn die Identität, die Sie autorisieren, im Rahmen der Funktion [Globale Endgeräte](global-endpoints.md) in einer sekundären Region dupliziert wird, müssen Sie Sendeautorisierungsrichtlinien für die Identität sowohl in der primären als auch in der sekundären Region erstellen, damit der delegierte Absender berechtigt ist, diese Identität für den Versand in beiden Regionen zu verwenden.
## Erstellen einer Sendeautorisierungsrichtlinie mithilfe des Richtliniengenerators
Sie können den Richtliniengenerator verwenden, um eine Sendeautorisierungsrichtlinie zu erstellen, indem Sie diese Schritte ausführen.
**So erstellen Sie eine Sendeautorisierungsrichtlinie mithilfe des Richtliniengenerators**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie im Container **Identities** (Identitäten) auf dem Bildschirm **Verified identities** (Verifizierte Identitäten) die verifizierte Identität aus, die Sie für den delegierten Sender autorisieren möchten, um sie in Ihrem Namen zu senden.
1. Wählen Sie die Registerkarte **Autorisierung** der verifizierten Identität aus.
1. Wählen Sie im Bereich **Authorization policies** (Autorisierungsrichtlinien) **Create policy** (Richtlinie erstellen) und anschließend in der Drop-down-Liste **Use policy generator** (Richtliniengenerator verwenden) aus.
1. Wählen Sie im Bereich **Create statement** (Anweisung erstellen) im Feld **Effect** (Effekt) die Option **Allow** (Erlauben) aus. (Wenn Sie eine Richtlinie erstellen möchten, um Ihren delegierten Sender einzuschränken, wählen Sie stattdessen **Deny** (Verweigern).)
1. Geben Sie im Feld **Principals** (Prinzipale) die *AWS-Konto -ID* oder den *IAM user ARN* (IAM-Benutzer-ARN) ein, die Ihr delegierter Sender mit Ihnen geteilt hat, um ihn zu autorisieren, E-Mails im Namen Ihres Kontos für diese Identität zu senden und wählen Sie dann **Add** (Hinzufügen) aus. (Wenn Sie mehr als einen delegierten Sender autorisieren möchten, wiederholen Sie diesen Schritt für jeden.)
1. Aktivieren Sie im Feld **Actions** (Aktionen) das Kontrollkästchen für jeden Sendetyp, den Sie für Ihren delegierten Sender autorisieren möchten.
1. (Optional) Erweitern Sie **Specify conditions** (Bedingungen angeben), wenn Sie der Berechtigung für den delegierten Sender eine qualifizierende Anweisung hinzufügen möchten.
1. Wählen Sie einen Operator aus der Dropdown-Liste **Operator** aus.
1. Wählen Sie einen Typ aus der Dropdown-Liste **Key** (Schlüssel) aus.
1. Geben Sie den Wert des ausgewählten Schlüsseltyps in das Feld **Value** (Wert) ein. (Wenn Sie weitere Bedingungen hinzufügen möchten, wählen Sie **Add new condition** (Neue Bedingung hinzufügen) und wiederholen Sie diesen Schritt für jede weitere.)
1. Wählen Sie **Save statement** (Anweisung speichern) aus.
1. (Optional) Erweitern Sie **Create another statement** (Eine weitere Anweisung erstellen), wenn Sie Ihrer Richtlinie weitere Anweisungen hinzufügen möchten und wiederholen Sie die Schritte 6 - 10.
1. Wählen Sie **Next (Weiter)** und auf dem Bildschirm **Cutomize policy (Richtlinie anpassen)** enthält der Container **Edit policy details (Richtliniendetails bearbeiten)** Felder, in denen Sie **Name** der Richtlinie und das **Policy document (Richtliniendokument)** selbst ändern oder anpassen können.
1. Wählen Sie **Next** (Weiter) und auf dem Bildschirm **Review and apply** (Überprüfen und anwenden) zeigt der Container **Overview** (Übersicht) die bestätigte Identität an, die Sie für Ihren delegierten Sender autorisieren, sowie den Namen dieser Richtlinie. Im Bereich **Policy document** (Richtliniendokument) wird die aktuelle Richtlinie, die Sie gerade geschrieben haben, zusammen mit den von Ihnen hinzugefügten Bedingungen angezeigt. Überprüfen Sie die Richtlinie und wählen Sie **Apply policy** (Richtlinie anwenden), wenn sie richtig aussieht. (Wenn Sie etwas ändern oder korrigieren müssen, wählen Sie **Previous** (Zurück) und arbeiten Sie im Container **Edit policy details** (Richtliniendetails bearbeiten).) Die gerade erstellte Richtlinie ermöglicht es Ihrem delegierten Sender, in Ihrem Namen zu senden.
1. (Optional) Wenn Ihr delegierter Sender auch ein SNS-Thema verwenden möchte, das er besitzt, um Feedback-Benachrichtigungen zu erhalten, wenn er Unzustellbarkeit oder Beschwerden erhält oder wenn E-Mails zugestellt werden, müssen Sie sein SNS-Thema in dieser verifizierten Identität konfigurieren. (Ihr delegierter Sender muss mit Ihnen seinen SNS-Thema-ARN teilen.) Wählen Sie die Registerkarte **Notifications** (Benachrichtigungen) und wählen Sie **Edit** (Bearbeiten) im Container **Feedback notifications** (Feedback-Benachrichtigungen):
1. Wählen Sie im Bereich **SNS-Themen konfigurieren** in einem der Feedbackfelder (Unzustellbarkeit, Beschwerde oder Zustellung) ein **SNS-Thema aus, das Ihnen nicht gehört** und geben Sie den **SNS-Themen-ARN** ein, der Ihnen gehört und von Ihrem delegierten Sender für Sie freigegeben wurde. (Nur Ihr delegierter Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt – Sie als Identitätsbesitzer nicht.)
1. (Optional) Wenn Sie möchten, dass Ihre Themenachrichtigung die Header der ursprünglichen E-Mail einschließt, aktivieren Sie das Kontrollkästchen **Einschließen von ursprünglichen E-Mail-Header** direkt unter dem SNS-Themennamen jedes Feedback-Typs. Diese Option ist nur verfügbar, sofern Sie der zugeordneten Benachrichtigungsart ein Amazon-SNS-Thema zugewiesen haben. Weitere Informationen zum Inhalt der ursprünglichen E-Mail-Header finden Sie im Abschnitt zum `mail`-Objekt unter [Benachrichtigungsinhalte](notification-contents.md).
1. Wählen Sie **Änderungen speichern ** aus. Es kann ein paar Minuten dauern, bis die Änderungen an den Benachrichtigungseinstellungen übernommen werden.
1. (Optional) Da Ihr delegierter Sender Benachrichtigungen über Amazon-SNS-Themenbenachrichtigungen für Unzustellbarkeit und Beschwerden erhält, können Sie E-Mail-Benachrichtigungen vollständig deaktivieren, wenn Sie kein Feedback für die Sendungen dieser Identität erhalten möchten. Um E-Mail-Feedback für Unzustellbarkeiten und Beschwerden zu deaktivieren, wählen Sie auf der Registerkarte **Notifications** (Benachrichtigungen) im Container **Email Feedback Forwarding** (E-Mail-Feedback-Weiterleitung) die Option **Edit** (Bearbeiten), deaktivieren Sie das Kontrollkästchen **Enabled** (Aktiviert) und wählen Sie **Save changes** (Änderungen speichern). Benachrichtigungen über den Lieferstatus werden jetzt nur an die SNS-Themen gesendet, die Ihrem delegierten Sender gehören.
## Erstellen einer benutzerdefinierten Sendeautorisierungsrichtlinie
Wenn Sie eine benutzerdefinierte Sendeautorisierungsrichtlinie erstellen und Sie einer Identität anfügen möchten, haben Sie die folgenden Optionen:
+ **Mithilfe der Amazon-SES-API** – Erstellen Sie eine Richtlinie in einem Texteditor, und fügen Sie die Richtlinie dann mithilfe der in der [Amazon-Simple-Email-Service-API-Referenz](https://docs.aws.amazon.com/ses/latest/APIReference/) beschriebenen `PutIdentityPolicy`API an die Identität an.
+ **Mithilfe der Amazon-SES-Konsole** – Erstellen Sie die Richtlinie in einem Texteditor und fügen Sie sie anschließend einer Identität hinzu, indem Sie die Richtlinie in den Editor für benutzerdefinierte Richtlinien in der Amazon-SES-Konsole einfügen. Im folgenden Abschnitt wird diese Methode beschrieben.
**So erstellen Sie eine benutzerdefinierte Sendeautorisierungsrichtlinie mit dem Editor für benutzerdefinierte Richtlinien**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Wählen Sie im Navigationsbereich unter **Konfiguration** die Option **Identitäten** aus.
1. Wählen Sie im Container **Identities** (Identitäten) auf dem Bildschirm **Verified identities** (Verifizierte Identitäten) die verifizierte Identität aus, die Sie für den delegierten Sender autorisieren möchten, um sie in Ihrem Namen zu senden.
1. Wählen Sie im Detailfenster der verifizierten Identität, die Sie im vorherigen Schritt ausgewählt haben, die Registerkarte **Authorization** (Autorisierung).
1. Wählen Sie im Bereich **Authorization policies** (Autorisierungsrichtlinien) **Create policy** (Richtlinie erstellen) und anschließend in der Drop-down-Liste **Create custom policy** (Benutzerdefinierte Richtlinie erstellen) aus.
1. Geben oder fügen Sie im Bereich **Policy document** (Richtliniendokument) den Text Ihrer Richtlinie im JSON-Format ein. Sie können den Richtliniengenerator auch zum schnellen Erstellen der grundlegenden Struktur einer Richtlinie verwenden und diese anschließend hier anpassen.
1. Klicken Sie auf **Apply Policy** (Richtlinie anwenden). (Wenn Sie Ihre benutzerdefinierte Richtlinie jemals ändern müssen, aktivieren Sie einfach das Kontrollkästchen auf der Registerkarte **Authorization** (Autorisierung), wählen Sie **Edit** (Bearbeiten) und nehmen Sie Ihre Änderungen im Bereich **Policy document** (Richtliniendokument) vor und **Save changes** (Änderungen speichern) vor).
1. (Optional) Wenn Ihr delegierter Sender auch ein SNS-Thema verwenden möchte, das er besitzt, um Feedback-Benachrichtigungen zu erhalten, wenn er Unzustellbarkeit oder Beschwerden erhält oder wenn E-Mails zugestellt werden, müssen Sie sein SNS-Thema in dieser verifizierten Identität konfigurieren. (Ihr delegierter Sender muss mit Ihnen seinen SNS-Thema-ARN teilen.) Wählen Sie die Registerkarte **Notifications** (Benachrichtigungen) und wählen Sie **Edit** (Bearbeiten) im Container **Feedback notifications** (Feedback-Benachrichtigungen):
1. Wählen Sie im Bereich **SNS-Themen konfigurieren** in einem der Feedbackfelder (Unzustellbarkeit, Beschwerde oder Zustellung) ein **SNS-Thema aus, das Ihnen nicht gehört** und geben Sie den **SNS-Themen-ARN** ein, der Ihnen gehört und von Ihrem delegierten Sender für Sie freigegeben wurde. (Nur Ihr delegierter Sender erhält diese Benachrichtigungen, da er das SNS-Thema besitzt – Sie als Identitätsbesitzer nicht.)
1. (Optional) Wenn Sie möchten, dass Ihre Themenachrichtigung die Header der ursprünglichen E-Mail einschließt, aktivieren Sie das Kontrollkästchen **Einschließen von ursprünglichen E-Mail-Header** direkt unter dem SNS-Themennamen jedes Feedback-Typs. Diese Option ist nur verfügbar, sofern Sie der zugeordneten Benachrichtigungsart ein Amazon-SNS-Thema zugewiesen haben. Weitere Informationen zum Inhalt der ursprünglichen E-Mail-Header finden Sie im Abschnitt zum `mail`-Objekt unter [Benachrichtigungsinhalte](notification-contents.md).
1. Wählen Sie **Änderungen speichern ** aus. Es kann ein paar Minuten dauern, bis die Änderungen an den Benachrichtigungseinstellungen übernommen werden.
1. (Optional) Da Ihr delegierter Sender Benachrichtigungen über Amazon-SNS-Themenbenachrichtigungen für Unzustellbarkeit und Beschwerden erhält, können Sie E-Mail-Benachrichtigungen vollständig deaktivieren, wenn Sie kein Feedback für die Sendungen dieser Identität erhalten möchten. Um E-Mail-Feedback für Unzustellbarkeiten und Beschwerden zu deaktivieren, wählen Sie auf der Registerkarte **Notifications** (Benachrichtigungen) im Container **Email Feedback Forwarding** (E-Mail-Feedback-Weiterleitung) die Option **Edit** (Bearbeiten), deaktivieren Sie das Kontrollkästchen **Enabled** (Aktiviert) und wählen Sie **Save changes** (Änderungen speichern). Benachrichtigungen über den Lieferstatus werden jetzt nur an die SNS-Themen gesendet, die Ihrem delegierten Sender gehören.
# Beispiele für Senderichtlinien
In der Sendeautorisierung können Sie die spezifischen Bedingungen angeben, unter denen stellvertretende Sender in Ihrem Namen E-Mails senden dürfen.
**Topics**
+ [Spezifische Bedingungen für die Sendeautorisierung](#sending-authorization-policy-conditions)
+ [Angeben des delegierten Senders](#sending-authorization-policy-example-sender)
+ [Beschränken der "From"-Adresse](#sending-authorization-policy-example-from)
+ [Beschränken der Zeit, zu der der delegierte Sender E-Mails senden kann](#sending-authorization-policy-example-time)
+ [Beschränkung des E-Mail-Versands](#sending-authorization-policy-example-action)
+ [Beschränken des Anzeigenamens des E-Mail-Senders](#sending-authorization-policy-example-display-name)
+ [Verwenden mehrerer Anweisungen](#sending-authorization-policy-example-multiple-statements)
## Spezifische Bedingungen für die Sendeautorisierung
Bei einer *Bedingung* handelt es sich um jegliche Einschränkung, die die Berechtigung in der Anweisung betrifft. Der Teil der Anweisung, der die Bedingungen festlegt, kann der ausführlichste aller Bestandteile sein. Ein *Schlüssel* ist die Besonderheit, die die Grundlage für die Zugriffsbeschränkung, z. B. das Datum und die Uhrzeit der Anfrage, darstellt.
Sie verwenden Bedingungen und Schlüssel zusammen, um die Einschränkung auszudrücken. Wenn Sie beispielsweise den stellvertretenden Sender davon abhalten möchten, nach dem 30. Juli 2019 in Ihrem Namen Anfragen an Amazon SES zu stellen, verwenden Sie die Bedingung namens `DateLessThan`. Sie verwenden den Schlüssel `aws:CurrentTime` und legen den Wert mit `2019-07-30T00:00:00Z` fest.
Sie können einen der AWS-weiten Schlüssel verwenden, die im *IAM-Benutzerhandbuch* unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys) aufgeführt sind, oder Sie können einen der folgenden SES-spezifischen Schlüssel verwenden, die beim Senden von Autorisierungsrichtlinien nützlich sind:
****
| Bedingungsschlüssel | Description |
| --- | --- |
| `ses:Recipients` | Beschränkt die Empfängeradressen, einschließlich der Adressen "To", "CC" und "BCC". |
| `ses:FromAddress` | Beschränkt die "From"-Adresse. |
| `ses:FromDisplayName` | Beschränkt den Inhalt der Zeichenfolge, die als der "From"-Anzeigename verwendet wird (manchmal auch "Friendly from" genannt). So lautet beispielsweise der Anzeigename für "John Doe " John Doe. |
| `ses:FeedbackAddress` | Beschränkt die "Return Path"-Adresse. Dies ist die Adresse, an die Unzustellbarkeitsnachrichten und Beschwerden an Sie anhand von Feedback-E-Mails weitergeleitet werden können. Weitere Informationen zum Weiterleiten von Feedback per E-Mail finden Sie unter [Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang](monitor-sending-activity-using-notifications-email.md). |
Sie können die Bedingungen `StringEquals` und `StringLike` mit Amazon-SES-Schlüsseln verwenden. Für diese Bedingungen wird zur Übereinstimmung der Zeichenfolge die Groß-/Kleinschreibung beachtet. Für `StringLike` können die Werte einen Mehrzeichenplatzhalter (\$1) oder einen Einzelzeichenplatzhalter (?) an einer beliebigen Stelle in der Zeichenfolge enthalten. Die folgende Bedingung gibt beispielsweise an, dass der stellvertretende Sender nur von einer "From" -Adresse senden kann, die mit der *Fakturierung* beginnt und mit *@example.com*endet:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
Sie können auch die Bedingung `StringNotLike` verwenden, um zu verhindern, dass stellvertretende Sender E-Mails von bestimmten E-Mail-Adressen senden. Beispielsweise können Sie das Senden von E-Mails von *admin@example.com* sowie von ähnlichen Adressen wie *"admin"@example.com*, *admin\$11@example.com* oder *sender@admin.example.com* untersagen, indem Sie die folgende Bedingung in Ihre Richtlinienanweisung aufnehmen:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [IAM;-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM Benutzerhandbuch*.
## Angeben des delegierten Senders
Der *Principal*, also die Entität, der Sie die Erlaubnis erteilen, kann ein AWS-Konto AWS Identity and Access Management (IAM-) Benutzer oder ein Dienst sein. AWS
*Das folgende Beispiel zeigt eine einfache Richtlinie, die es der AWS ID *123456789012* ermöglicht, E-Mails von der verifizierten Identität *example.com* (die 888888888888 gehört) zu senden. AWS-Konto * *Die `Condition` Aussage in dieser Richtlinie erlaubt nur dem Delegierten (d. h. der ID 123456789012), E-Mails von der Adresse marketing\$1 zu senden AWS .* * **\$1 @example .com, wobei *\$1* eine beliebige Zeichenfolge ist, die der Absender nach marketing\$1 hinzufügen möchte.* .
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
Die folgende Beispielrichtlinie erteilt zwei IAM-Benutzern die Berechtigung, von der Identität *example.com* E-Mails zu senden. Die IAM-Benutzer werden durch ihren Amazon-Ressourcennamen (ARN) angegeben.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
Die folgende Beispielrichtlinie erteilt Amazon Cognito die Berechtigung, von der Identität *example.com* E-Mails zu senden.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
Die folgende Beispielrichtlinie erteilt allen Konten innerhalb einer AWS Organization die Berechtigung zum Senden von Identitäts- example.com. Die AWS Organisation wird mithilfe des globalen Bedingungsschlüssels [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) angegeben.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## Beschränken der "From"-Adresse
Wenn Sie eine verifizierte Domäne verwenden, können Sie eine Richtlinie erstellen, die dem delegierten Sender nur ermöglicht, E-Mails von einer bestimmten E-Mail-Adresse zu senden. Um die Absenderadresse einzuschränken, legen Sie für den Schlüssel eine Bedingung namens *ses:* festFromAddress. *Die folgende Richtlinie ermöglicht das Senden der AWS-Konto ID *123456789012* von der Identität *example.com* aus, jedoch nur von der E-Mail-Adresse sender@example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## Beschränken der Zeit, zu der der delegierte Sender E-Mails senden kann
Sie können die Senderautorisierungsrichtlinie auch so konfigurieren, dass ein stellvertretender Sender E-Mails nur zu einer bestimmten Tageszeit oder während eines bestimmten Zeitraums senden kann. Wenn Sie beispielsweise im September 2021 eine E-Mail-Kampagne planen, können Sie mit der folgenden Richtlinie die Möglichkeit des delegierten Senders, E-Mails zu versenden, auf diesen Monat beschränken.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## Beschränkung des E-Mail-Versands
Sender können zwei Aktionen verwenden, um eine E-Mail mit Amazon SES zu senden: `SendEmail` und `SendRawEmail`, je nachdem, wie viel Kontrolle der Sender über das Format der E-Mail haben möchte. Anhand von Sendeautorisierungsrichtlinien können Sie den stellvertretenden Sender auf eine dieser beiden Aktionen beschränken. Jedoch überlassen viele Identitätsbesitzer die Details der Aufrufe zum Senden der E-Mails dem stellvertretenden Sender, indem sie beide Aktionen in ihren Richtlinien aktivieren.
**Anmerkung**
Soll der stellvertretende Sender in der Lage sein, über die SMTP-Schnittstelle auf Amazon SES zugreifen zu können, müssen Sie zumindest `SendRawEmail` auswählen.
Wenn Sie für Ihren Anwendungsfall die Aktion einschränken möchten, schließen Sie nur eine der Aktionen in die Sendeautorisierungsrichtlinie ein. Das folgende Beispiel zeigt, wie Sie die Aktion auf `SendRawEmail` beschränken.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## Beschränken des Anzeigenamens des E-Mail-Senders
Einige E-Mail-Clients zeigen den "friendly"-Namen des E-Mail-Senders (sofern die E-Mail-Kopfzeile dies unterstützt) und nicht die tatsächliche "From"-Adresse an. So lautet beispielsweise der Anzeigename für "John Doe " John Doe. Wenn Sie beispielsweise E-Mails von *user@example.com* senden, es aber bevorzugen, dass die Empfänger *Marketing* und nicht *user@example.com* als den Sender der E-Mail sehen. *Mit der folgenden Richtlinie kann die AWS-Konto ID 123456789012 von identity *example.com* aus gesendet werden, jedoch nur, wenn der Anzeigename der Absenderadresse Marketing enthält.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## Verwenden mehrerer Anweisungen
Ihre Sendeautorisierungsrichtlinie kann mehrere Anweisungen enthalten. Die folgende Beispielrichtlinie enthält zwei Anweisungen. *Die erste Anweisung autorisiert zwei Personen, von *sender@example.com* aus AWS-Konten zu senden, sofern sowohl die Absenderadresse als auch die Feedback-Adresse die Domain example.com verwenden.* Die zweite Anweisung autorisiert einen IAM-Benutzer, E-Mails von *sender@example.com* zu senden, solange sich die E-Mail-Adresse des Empfängers unter der Domäne *example.com* befindet.
# Bereitstellen der Identitätsinformationen für den delegierten Sender im Zusammenhang mit der Amazon-SES-Sendeautorisierung
Nachdem Sie die Richtlinie für die Sendeautorisierung erstellt und sie Ihrer Identität angefügt haben, können Sie dem stellvertretenden Sender den Amazon-Ressourcennamen (ARN) der Identität mitteilen. Der stellvertretende Sender übergibt den ARN während des Sendevorgangs oder in der Kopfzeile der E-Mail an Amazon SES. Um den ARN Ihrer Identität zu finden, führen Sie diese Schritte aus.
**So finden Sie den ARN einer Identität**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Klicken Sie im Navigationsbereich unter **Configuration** (Konfiguration), wählen Sie **Verified identities** (Verifizierte Identitäten) aus.
1. Wählen Sie in der Liste der Identitäten die Identität aus, der Sie die Sendeautorisierungsrichtlinie angefügt haben.
1. Im Bereich **Summary** (Zusammenfassung) enthält die zweite Spalte, **Amazon-Ressourcenname (ARN)**, den ARN der Identität. Er sollte folgendem Beispiel ähneln: *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*. Kopieren Sie den gesamte ARN und geben Sie ihn dem stellvertretenden Sender.
**Wichtig**
Wenn die Identität, die Sie autorisieren, im Rahmen der Funktion „[Globale Endgeräte](global-endpoints.md)“ in einer sekundären Region dupliziert wird, ersetzen Sie den Regionsparameter, z. B.,`us-east-1`, durch ein Sternchen `*` wie im folgenden Beispiel. `arn:aws:ses:*:123456789012:identity/user@example.com`
# Delegieren der Senderaufgaben für die Amazon-SES-Sendeautorisierung
Als delegierter Sender senden Sie E-Mails im Namen einer Identität, die Ihnen nicht gehört, zu deren Verwendung Sie jedoch berechtigt sind. Auch wenn Sie im Namen des Identitätsinhabers versenden, werden Bounces und Beschwerden auf die Metriken zu Bounce und Beschwerden für Ihr AWS Konto angerechnet, und die Anzahl der von Ihnen gesendeten Nachrichten wird auf Ihr Versandkontingent angerechnet. Sie sind auch dafür verantwortlich, wenn Sie eine Erhöhung der Sendequote anfordern, um die E-Mails des Identitätsbesitzers zu versenden.
Als stellvertretender Sender müssen Sie die folgenden Aufgaben ausführen:
+ [Bereitstellen von Informationen für den Identitätsbesitzer](sending-authorization-delegate-sender-tasks-information.md)
+ [Benachrichtigungen an den delegierten Sender](sending-authorization-delegate-sender-tasks-notifications.md)
+ [Senden von E-Mails im Namen des Identitätsbesitzers](sending-authorization-delegate-sender-tasks-email.md)
# Bereitstellen von Informationen für den Identitätsbesitzer im Zusammenhang mit der Amazon-SES-Sendeautorisierung
Als delegierter Absender müssen Sie dem Identitätsinhaber entweder Ihre AWS Konto-ID oder den Amazon Resource Name (ARN) Ihres IAM-Benutzers mitteilen, da Sie E-Mails im Namen des Identitätsinhabers senden. Der Identitätsinhaber benötigt Ihre Kontoinformationen, damit er eine Richtlinie erstellen kann, die Ihnen die Erlaubnis erteilt, von einer seiner verifizierten Identitäten aus zu senden.
Wenn Sie Ihre eigenen SNS-Themen verwenden möchten, können Sie beantragen, dass Ihr Identitätsbesitzer Feedback-Benachrichtigungen für Unzustellbarkeiten, Beschwerden oder Lieferungen konfiguriert, die an eines oder mehrere Ihrer SNS-Themen gesendet werden. Dazu musst du deinen SNS-Thema-ARN mit deinem Identitätsinhaber teilen, damit dieser dein SNS-Thema in der verifizierten Identität konfigurieren kann, von der aus er dich zum Senden autorisiert hat.
In den folgenden Verfahren wird erklärt, wie Sie Ihre Kontoinformationen und Ihr SNS-Thema finden, um sie mit Ihrem ARNs Identitätsinhaber zu teilen.
**So finden Sie Ihre AWS Konto-ID**
1. Melden Sie sich unter AWS-Managementkonsole an [https://console.aws.amazon.com](https://console.aws.amazon.com/).
1. Erweitern Sie in der oberen rechten Ecke der Konsole Ihre name/account Nummer und wählen Sie in der Dropdownliste **Mein Konto** aus.
1. Die Seite mit den Kontoeinstellungen wird geöffnet und zeigt all Ihre Kontoinformationen, einschließlich Ihrer AWS Konto-ID, an.
**So finden Sie Ihren ARN Ihres IAM-Benutzers**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Klicken Sie im Navigationsbereich auf **Users** (Benutzer).
1. Wählen Sie in der Liste der Benutzer den Namen des Benutzers aus. Im Abschnitt **Summary** (Zusammenfassung) wird der IAM-Benutzer-ARN angezeigt. Der ARN sieht in etwa wie folgendes Beispiel aus: *arn:aws:iam::123456789012:user/John*.
**So finden Sie Ihren SNS-Thema-ARN**
1. Öffnen Sie die Amazon SNS SNS-Konsole unter [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. Wählen Sie im Navigationsbereich **Themen** aus.
1. In der Themenliste ARNs werden die SNS-Themen in der **ARN-Spalte** angezeigt. Der ARN ähnelt dem folgenden Beispiel: *arn:aws:sns:us-east* - 1:444455556666:. my-sns-topic
# Benachrichtigungen an den delegierten Sender bei Verwendung der Amazon-SES-Sendeautorisierung
Als delegierter Sender senden Sie E-Mails im Namen einer Identität, die Ihnen nicht gehört, zu deren Verwendung Sie jedoch berechtigt sind. Unzustellbarkeiten und Beschwerden zählen jedoch weiterhin zu *Ihren* Unzustellbarkeits- und Beschwerde-Metriken, nicht denen des Identitätsbesitzers.
Wenn die Unzustellbarkeits- oder Beschwerderate für Ihr Konto zu hoch wird, besteht die Gefahr, dass Ihr Konto überprüft wird oder die Möglichkeit zum Senden von E-Mails angehalten wird. Aus diesem Grund ist es wichtig, dass Sie die Benachrichtigungen eingerichtet haben und über einen Prozess verfügen, mit dem sie überwacht werden können. Sie benötigen außerdem einen Prozess zum Entfernen von Adressen, die unzustellbar sind oder die sich beschwert haben, aus Ihrer Mailing-Listen.
Daher können Sie als delegierter Sender Amazon SES so konfigurieren, dass es Benachrichtigungen sendet, wenn Unzustellbarkeits- und Beschwerdeereignisse für die E-Mails auftreten, die Sie im Namen von Identitäten senden, die Sie nicht besitzen, aber vom Identitätsbesitzer zur Verwendung autorisiert wurden. Sie können auch die [Veröffentlichung von Veranstaltungen](monitor-using-event-publishing.md) einrichten, um Benachrichtigungen über Abmeldungen und Beschwerden auf Amazon SNS oder Firehose zu veröffentlichen.
**Anmerkung**
Wenn Sie Amazon SES zum Senden von Benachrichtigungen über einrichten, werden Ihnen die üblichen Amazon-SNS-Standardgebühren für die Benachrichtigungen, die Sie erhalten, berechnet. Weitere Informationen finden Sie in der [Amazon-SNS-Preisliste](https://aws.amazon.com/sns/pricing).
## Erstellen einer neuen Benachrichtigung für den delegierten Sender
Sie können das delegierte Senden von Benachrichtigungen entweder mit Konfigurationssätzen unter Verwendung der [Ereignisveröffentlichung](event-destinations-manage.md) oder mit verifizierten Identitäten einrichten, die [mit Ihren eigenen SNS-Themen konfiguriert wurden](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
Im Folgenden werden Verfahren zum Einrichten des delegierten Sendens von Benachrichtigungen mit einer der beiden Methoden beschrieben:
+ Ereignisveröffentlichung über einen Konfigurationssatz
+ Feedback-Benachrichtigungen zu SNS-Themen, die Sie besitzen
**So richten Sie die Ereignisveröffentlichung über einen Konfigurationssatz für das delegierte Senden ein**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SES SES-Konsole unter [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Folgen Sie den Verfahren in [Ereignisziele erstellen](event-destinations-manage.md).
1. Nachdem Sie die Ereignisveröffentlichung in Ihrem Konfigurationssatz eingerichtet haben, geben Sie den Namen des Konfigurationssatzes an, wenn Sie als delegierter Sender E-Mails mit der bestätigten Identität senden, von der der Identitätsbesitzer Sie autorisiert hat. Siehe [Senden von E-Mails im Namen des Identitätsbesitzers](sending-authorization-delegate-sender-tasks-email.md).
**So richten Sie Feedbackbenachrichtigungen zu SNS-Themen, deren Eigentümer Sie sind, für das delegierte Senden ein**
1. Nachdem Sie sich entschieden haben, welches Ihrer SNS-Themen Sie für Feedbackbenachrichtigungen verwenden möchten, befolgen Sie die Schritte, [um Ihren SNS-Themen-ARN zu finden](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn), kopieren Sie den vollständigen ARN und teilen Sie ihn mit Ihrem Identitätsbesitzer.
1. Bitten Sie Ihren Identitätsbesitzer, Ihre SNS-Themen für Feedback-Benachrichtigungen über die gemeinsame Identität zu konfigurieren, von der er Sie senden darf. (Ihr Identitätsbesitzer muss die Verfahren zum [Konfigurieren von SNS-Themen](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) in den Verfahren für die Autorisierungsrichtlinie befolgen.)
# Senden von E-Mails im Namen des Identitätsbesitzers im Zusammenhang mit der Amazon-SES-Sendeautorisierung
Als delegierter Sender senden Sie E-Mails wie jeder andere Amazon-SES-Sender auch, mit der Ausnahme, dass Sie den Amazon-Ressourcennamen (ARN) der Identität angeben, für deren Nutzung Sie vom Identitätsbesitzer berechtigt wurden. Wenn Sie Amazon SES zum Senden der E-Mail aufrufen, überprüft Amazon SES, ob die von Ihnen angegebene Identität über eine Richtlinie verfügt, die Sie zum Senden der E-Mail berechtigt.
Es gibt verschiedene Möglichkeiten, wie Sie den ARN der Identität beim Senden einer E-Mail angeben können. Die zu verwendende Methode hängt davon ab, ob Sie sich für die Amazon-SES-API-Operationen oder die Amazon-SES-SMTP-Schnittstelle entscheiden.
**Wichtig**
Um erfolgreich eine E-Mail zu senden, müssen Sie eine Verbindung zum Amazon SES SES-Endpunkt in der AWS Region herstellen, in der der Identitätsinhaber die Identität verifiziert hat.
Darüber hinaus müssen die AWS Konten **sowohl** des Identitätsinhabers als auch des delegierten Absenders aus der Sandbox entfernt werden, bevor eines der Konten E-Mails an nicht verifizierte Adressen senden kann. Weitere Informationen finden Sie unter [Produktionszugriff anfordern (Verlassen der Amazon SES SES-Sandbox)](request-production-access.md).
[Wenn die Identität, zu deren Verwendung Sie autorisiert wurden, im Rahmen der Funktion „Globale Endgeräte“ in einer sekundären Region dupliziert wird:](global-endpoints.md)
Der Identitätseigentümer hätte Ihnen einen Identitäts-ARN zur Verfügung stellen müssen, bei dem der Parameter Region`us-east-1`, `*` wie im folgenden Beispiel, `arn:aws:ses:*:123456789012:identity/user@example.com` durch ein Sternchen ersetzt wurde.
Der Identitätsinhaber hätte für Sie Richtlinien zur Versandautorisierung sowohl in der primären als auch in der sekundären Region erstellen müssen.
## Verwenden der Amazon-SES-API
Wie bei jedem Amazon SES-E-Mail-Absender können Sie, wenn Sie über die Amazon SES-API auf Amazon SES zugreifen (entweder direkt über HTTPS oder indirekt über ein AWS SDK), zwischen drei E-Mail-Versandaktionen wählen: `SendEmail``SendTemplatedEmail`, und. `SendRawEmail` Die [Amazon Simple Email Service API-Referenz](https://docs.aws.amazon.com/ses/latest/APIReference/) beschreibt deren Einzelheiten APIs, aber wir bieten hier einen Überblick über die Versandautorisierungsparameter.
### SendRawEmail
Wenn Sie `SendRawEmail` verwenden möchten, um das Format Ihrer E-Mails kontrollieren zu können, können Sie die delegierte autorisierte Identität auf eine von zwei Arten festlegen:
+ **Übermitteln Sie optionale Parameter an die `SendRawEmail`-API**. Die erforderlichen Parameter werden in der folgenden Tabelle beschrieben:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **Schließen Sie X-Header in die E-Mail ein**. X-Header sind benutzerdefinierte Header, die Sie zusätzlich zu den Standard-E-Mail-Headern (wie „Von“, „Antworten“ oder „Betreff“) verwenden können. Amazon SES erkennt drei X-Header, die Sie zum Einrichten der Sendeautorisierungsparameter verwenden können:
**Wichtig**
Schließen Sie diese X-Header nicht in der DKIM-Signatur mit ein, da sie vor dem Senden der E-Mail von Amazon SES entfernt werden.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
Amazon SES entfernt alle X-Header vor dem Senden der E-Mail. Wenn Sie mehrere Instances eines X-Headers angeben, verwendet Amazon SES nur die erste Instance.
Das folgende Beispiel zeigt eine E-Mail, die für die Sendeautorisierung X-Header umfasst:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail und SendTemplatedEmail
Wenn Sie die Operation `SendEmail` oder `SendTemplatedEmail` verwenden, können Sie die delegierte autorisierte Identität angeben, indem Sie die optionalen Parameter unten übergeben. Für die Methode `SendEmail` oder `SendTemplatedEmail` können Sie nicht die X-Header-Methode verwenden.
****
| Parameter | Description |
| --- | --- |
| `SourceArn` | ARN der Identität, die mit der Sendeautorisierungsrichtlinie verknüpft ist, die Sie zum Senden von E-Mail im Namen der im `Source`-Parameter entweder von `SendEmail` oder `SendTemplatedEmail` angegebenen E-Mail-Adresse berechtigt. |
| `ReturnPathArn` | ARN der Identität, die mit der Sendeautorisierungsrichtlinie verknüpft ist, die Sie zum Verwenden der im `ReturnPath`-Parameter entweder von `SendEmail` oder `SendTemplatedEmail` angegebenen E-Mail-Adresse berechtigt. |
Das folgende Beispiel zeigt, wie Sie eine E-Mail mit den Attributen `SourceArn` und `ReturnPathArn` unter Verwendung der Operation `SendEmail` oder `SendTemplatedEmail` und der [SDK für Python](https://aws.amazon.com/sdk-for-python) senden.
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## Verwenden der Amazon SES SMTP-Schnittstelle
Wenn Sie die SMTP-Schnittstelle von Amazon SES zum delegierten Senden verwenden, müssen Sie die Header `X-SES-SOURCE-ARN`, `X-SES-FROM-ARN` und `X-SES-RETURN-PATH-ARN` in Ihre Nachricht einfügen. Übergeben Sie diese Header, nachdem Sie den `DATA`-Befehl in der SMTP-Aushandlung erteilen.