Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengonfigurasi identitas di Amazon SES
Amazon Simple Email Service (Amazon SES) menggunakan Protokol Transfer Surat Sederhana (SMTP) untuk mengirim email. Karena SMTP tidak menyediakan autentikasi apa pun dengan sendirinya, pelaku spam dapat mengirim pesan email yang mengklaim berasal dari orang lain, sambil menyembunyikan asal yang sebenarnya. Dengan memalsukan header email dan spoofing alamat IP sumber, spammer dapat menyesatkan penerima agar percaya bahwa pesan email yang diterima asli.
Sebagian besar ISPs lalu lintas email penerusan mengambil langkah-langkah untuk mengevaluasi apakah email itu sah. Salah satu langkah yang ISPs diambil adalah menentukan apakah email *diautentikasi.* Autentikasi mengharuskan pengirim untuk memverifikasi bahwa mereka adalah pemilik akun yang mengirim. Dalam beberapa kasus, ISPs menolak untuk meneruskan email yang tidak diautentikasi. Untuk memastikan kemampuan pengiriman yang optimal, sebaiknya Anda mengautentikasi email Anda.
Bagian berikut menjelaskan dua mekanisme otentikasi yang ISPs digunakan — Kerangka Kebijakan Pengirim (SPF) dan DomainKeys Identified Mail (DKIM) —dan memberikan instruksi tentang cara menggunakan standar ini dengan Amazon SES.
+ Untuk mempelajari tentang SPF, yang menyediakan cara untuk melacak pesan email kembali ke sistem yang mengirim, lihat [Mengautentikasi Email dengan SPF di Amazon SES](send-email-authentication-spf.md).
+ Untuk mempelajari tentang DKIM, standar yang memungkinkan Anda menandatangani pesan email untuk menunjukkan ISPs bahwa pesan Anda sah dan belum dimodifikasi saat transit, lihat[Mengautentikasi Email dengan DKIM di Amazon SES](send-email-authentication-dkim.md).
+ Untuk mempelajari cara mematuhi Autentikasi Pesan, Pelaporan, dan Kesesuaian berbasis Domain (DMARC), yang bergantung pada SPF dan DKIM, lihat [Mematuhi protokol otentikasi DMARC di Amazon SES](send-email-authentication-dmarc.md).
# Metode autentikasi email
Amazon Simple Email Service (Amazon SES) menggunakan Protokol Transfer Surat Sederhana (SMTP) untuk mengirim email. Karena SMTP tidak menyediakan autentikasi dengan sendirinya, spammer dapat mengirim pesan email yang mengklaim berasal dari orang lain, sambil menyembunyikan asal yang sebenarnya. Dengan memalsukan header email dan spoofing alamat IP sumber, spammer dapat menyesatkan penerima agar percaya bahwa pesan email yang diterima asli.
Sebagian besar ISPs lalu lintas email penerusan mengambil langkah-langkah untuk mengevaluasi apakah email itu sah. Salah satu langkah yang ISPs diambil adalah menentukan apakah email diautentikasi. Autentikasi mengharuskan pengirim untuk memverifikasi bahwa mereka adalah pemilik akun yang mengirim. Dalam beberapa kasus, ISPs menolak untuk meneruskan email yang tidak diautentikasi. Untuk memastikan kemampuan pengiriman yang optimal, sebaiknya Anda mengautentikasi email Anda.
**Topics**
+ [Mengautentikasi Email dengan DKIM di Amazon SES](send-email-authentication-dkim.md)
+ [Mengautentikasi Email dengan SPF di Amazon SES](send-email-authentication-spf.md)
+ [Menggunakan domain MAIL FROM kustom](mail-from.md)
+ [Mematuhi protokol otentikasi DMARC di Amazon SES](send-email-authentication-dmarc.md)
+ [Menggunakan BIMI di Amazon SES](send-email-authentication-bimi.md)
# Mengautentikasi Email dengan DKIM di Amazon SES
*DomainKeys Identified Mail* (*DKIM*) adalah standar keamanan email yang dirancang untuk memastikan bahwa email yang mengklaim berasal dari domain tertentu memang disahkan oleh pemilik domain tersebut. Ini menggunakan kriptografi kunci publik untuk menandatangani email dengan kunci pribadi. Server penerima kemudian dapat menggunakan kunci publik yang dipublikasikan ke DNS domain untuk memverifikasi bahwa bagian email belum dimodifikasi selama transit.
Tanda tangan DKIM adalah opsional. Anda dapat memutuskan untuk menandatangani email menggunakan tanda tangan DKIM untuk meningkatkan kemampuan pengiriman dengan penyedia email yang sesuai dengan DKIM. Amazon SES menyediakan tiga pilihan untuk menandatangani pesan Anda menggunakan tanda tangan DKIM:
+ **Easy DKIM**: SES menghasilkan key pair publik-pribadi dan secara otomatis menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. [Easy DKIM di Amazon SES](send-email-authentication-dkim-easy.md)
+ **Deterministic Easy DKIM (DEED)**: Memungkinkan Anda mempertahankan penandatanganan DKIM yang konsisten di beberapa Wilayah AWS dengan membuat identitas replika yang secara otomatis mewarisi atribut penandatanganan DKIM sebagai identitas induk yang menggunakan Easy DKIM, lihat. [Menggunakan Deterministic Easy DKIM (DEED) di Amazon SES](send-email-authentication-dkim-deed.md)
+ **BYODKIM (Bring Your Own DKIM)**: Anda memberikan key pair public-private Anda sendiri dan SES menambahkan tanda tangan DKIM ke setiap pesan yang Anda kirim dari identitas itu, lihat. [Berikan token otentikasi DKIM Anda sendiri (BYODKIM) di Amazon SES](send-email-authentication-dkim-bring-your-own.md)
+ **Tambahkan tanda tangan DKIM secara manual**: Anda menambahkan tanda tangan DKIM Anda sendiri ke email yang Anda kirim menggunakan `SendRawEmail` API, lihat. [Penandatanganan Manual DKIM di Amazon SES](send-email-authentication-dkim-manual.md)
## Panjang kunci penandatanganan DKIM
Karena banyak penyedia DNS sekarang sepenuhnya mendukung enkripsi RSA DKIM 2048 bit, Amazon SES juga mendukung DKIM 2048 untuk memungkinkan otentikasi email yang lebih aman dan karenanya menggunakannya sebagai panjang kunci default saat Anda mengonfigurasi Easy DKIM baik dari API atau konsol. Kunci 2048 bit dapat diatur dan digunakan dalam Bring Your Own DKIM (BYODKIM) juga, di mana panjang kunci penandatanganan Anda harus setidaknya 1024 bit dan tidak lebih dari 2048 bit.
Demi keamanan serta pengiriman email Anda, ketika dikonfigurasi dengan Easy DKIM, Anda memiliki pilihan untuk menggunakan panjang kunci 1024 dan 2048 bit bersama dengan fleksibilitas membalik kembali ke 1024 jika ada masalah yang disebabkan oleh penyedia DNS yang masih tidak mendukung 2048. *Ketika Anda membuat identitas baru, itu akan dibuat dengan DKIM 2048 secara default kecuali Anda menentukan 1024.*
Untuk menjaga pengiriman email dalam transit, ada batasan frekuensi di mana Anda dapat mengubah panjang kunci DKIM Anda. Pembatasan meliputi:
+ Tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.
+ Tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali jika itu adalah penurunan versi pertama ke 1024 pada periode itu).
Ketika email Anda dalam perjalanan, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengautentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan ini melindungi terhadap hal itu.
## Pertimbangan DKIM
Saat Anda menggunakan DKIM untuk mengautentikasi email Anda, aturan berikut berlaku:
+ Anda hanya perlu mengatur DKIM untuk domain yang Anda gunakan di alamat “Dari” Anda. Anda tidak perlu menyiapkan DKIM untuk domain yang Anda gunakan di alamat “Return-Path” atau “Reply-to”.
+ Amazon SES tersedia di beberapa AWS Wilayah. Jika Anda menggunakan lebih dari satu AWS Wilayah untuk mengirim email, Anda harus menyelesaikan proses penyiapan DKIM di masing-masing Wilayah tersebut untuk memastikan bahwa semua email Anda ditandatangani oleh DKIM.
+ Karena properti DKIM diwarisi dari domain induk, saat Anda memverifikasi domain dengan otentikasi DKIM:
+ Otentikasi DKIM juga akan berlaku untuk semua subdomain domain tersebut.
+ Pengaturan DKIM untuk subdomain dapat mengganti pengaturan untuk domain induk dengan menonaktifkan pewarisan jika Anda tidak ingin subdomain menggunakan otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.
+ Otentikasi DKIM juga akan berlaku untuk semua email yang dikirim dari identitas email yang mereferensikan domain terverifikasi DKIM di alamatnya.
+ Pengaturan DKIM untuk alamat email dapat mengganti pengaturan untuk subdomain (jika berlaku) dan domain induk dengan menonaktifkan warisan jika Anda ingin mengirim email tanpa otentikasi DKIM, serta kemampuan untuk mengaktifkan kembali nanti.
## Memahami properti penandatanganan DKIM yang diwariskan
Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta kunci ini:
+ Jika Anda sudah menyiapkan DKIM untuk domain yang menjadi milik alamat email, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.
+ Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwarisi dari domain induk.
+ Pengaturan DKIM untuk identitas alamat email tertentu *secara otomatis mengganti pengaturan domain induk atau subdomain (jika ada) yang menjadi* milik alamat tersebut.
Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis penggantian seperti yang dijelaskan dalam tabel di bawah ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim.html)
Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko email terkirim Anda masuk ke folder sampah atau spam atau domain Anda dipalsukan.
Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu. Lihat [Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email).
# Easy DKIM di Amazon SES
Saat Anda mengatur Easy DKIM untuk identitas domain, Amazon SES secara otomatis menambahkan kunci DKIM 2048-bit ke setiap email yang Anda kirim dari identitas tersebut. Anda dapat mengonfigurasi Easy DKIM dengan menggunakan konsol Amazon SES, atau menggunakan API.
**catatan**
Untuk menyiapkan Easy DKIM, Anda harus mengubah pengaturan DNS untuk domain Anda. Jika Anda menggunakan Route 53 sebagai penyedia DNS, Amazon SES dapat secara otomatis membuat catatan yang sesuai untuk Anda. Jika Anda menggunakan penyedia DNS lain, lihat dokumentasi penyedia Anda untuk mempelajari selengkapnya tentang mengubah pengaturan DNS untuk domain Anda.
**Awas**
Jika saat ini Anda mengaktifkan BYODKIM dan sedang beralih ke Easy DKIM, ketahuilah bahwa Amazon SES tidak akan menggunakan BYODKIM untuk menandatangani email Anda saat Easy DKIM sedang disiapkan dan status DKIM Anda dalam keadaan tertunda. Antara saat Anda melakukan panggilan untuk mengaktifkan Easy DKIM (baik melalui API atau konsol) dan saat SES dapat mengonfirmasi konfigurasi DNS Anda, email Anda mungkin dikirim oleh SES tanpa tanda tangan DKIM. Oleh karena itu, disarankan untuk menggunakan langkah perantara untuk bermigrasi dari satu metode penandatanganan DKIM ke metode lainnya (misalnya, menggunakan subdomain domain Anda dengan BYODKIM diaktifkan dan kemudian menghapusnya setelah verifikasi Easy DKIM telah berlalu), atau lakukan aktivitas ini selama downtime aplikasi Anda, jika ada.
## Menyiapkan Easy DKIM untuk identitas domain terverifikasi
Prosedur di bagian ini disederhanakan untuk hanya menunjukkan langkah-langkah yang diperlukan untuk mengkonfigurasi Easy DKIM pada identitas domain yang telah Anda buat. Jika Anda belum membuat identitas domain atau ingin melihat semua opsi yang tersedia untuk menyesuaikan identitas domain, seperti menggunakan set konfigurasi default, email kustom dari domain, dan tag, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
Bagian dari membuat identitas domain Easy DKIM adalah mengonfigurasi verifikasi berbasis DKIM di mana Anda akan memiliki pilihan untuk menerima default Amazon SES sebesar 2048 bit, atau mengganti default dengan memilih 1024 bit. Lihat [Panjang kunci penandatanganan DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) untuk mempelajari lebih lanjut tentang panjang kunci penandatanganan DKIM dan cara mengubahnya.
**Untuk menyiapkan Easy DKIM untuk domain**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Domain*.
**catatan**
Jika Anda perlu membuat atau memverifikasi domain, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Dalam wadah **pengaturan Advanced DKIM**, pilih tombol **Easy DKIM** di bidang **Jenis identitas**.
1. **Di bidang **panjang kunci penandatanganan DKIM**, pilih RSA\$12048\$1BIT atau [**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048).**
1. **Di bidang **tanda tangan DKIM**, centang kotak Diaktifkan.**
1. Pilih **Simpan perubahan**.
1. Sekarang setelah Anda mengonfigurasi identitas domain Anda dengan Easy DKIM, Anda harus menyelesaikan proses verifikasi dengan penyedia DNS Anda - lanjutkan ke [Memverifikasi identitas domain DKIM dengan penyedia DNS Anda](creating-identities.md#just-verify-domain-proc) dan ikuti prosedur otentikasi DNS untuk Easy DKIM.
## Ubah panjang kunci penandatanganan Easy DKIM untuk identitas
Prosedur di bagian ini menunjukkan bagaimana Anda dapat dengan mudah mengubah bit Easy DKIM yang diperlukan untuk algoritma penandatanganan. Sementara panjang penandatanganan 2048 bit selalu lebih disukai untuk keamanan yang ditingkatkan yang diberikannya, mungkin ada situasi yang mengharuskan Anda untuk menggunakan panjang 1024 bit, seperti harus menggunakan penyedia DNS yang hanya mendukung DKIM 1024.
Untuk menjaga pengiriman email dalam transit, ada batasan frekuensi di mana Anda dapat mengubah atau membalik panjang kunci DKIM Anda.
Ketika email Anda dalam perjalanan, DNS menggunakan kunci publik Anda untuk mengautentikasi email Anda; oleh karena itu, jika Anda mengubah kunci terlalu cepat atau sering, DNS mungkin tidak dapat DKIM mengautentikasi email Anda karena kunci sebelumnya mungkin sudah tidak valid, dengan demikian, pembatasan berikut melindungi terhadap hal itu:
+ Anda tidak dapat beralih ke panjang kunci yang sama seperti yang sudah dikonfigurasi.
+ Anda tidak dapat beralih ke panjang kunci yang berbeda lebih dari sekali dalam periode 24 jam (kecuali jika itu adalah downgrade pertama ke 1024 pada periode itu).
Dalam menggunakan prosedur berikut untuk mengubah panjang kunci Anda, jika Anda melanggar salah satu pembatasan ini, konsol akan mengembalikan spanduk kesalahan yang menyatakan bahwa *input yang Anda berikan tidak valid* bersama dengan alasan mengapa itu tidak valid.
**Untuk mengubah bit panjang kunci penandatanganan DKIM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda ubah panjang kunci penandatanganan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. ****Dalam wadah **pengaturan Advanced DKIM**, pilih [**RSA\$12048\$1BIT atau RSA\$11024\$1BIT** di bidang panjang kunci penandatanganan](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) DKIM.****
1. Pilih **Simpan perubahan**.
# Menggunakan Deterministic Easy DKIM (DEED) di Amazon SES
Deterministic Easy DKIM (DEED) menawarkan solusi untuk mengelola konfigurasi DKIM di beberapa. Wilayah AWS Dengan menyederhanakan manajemen DNS dan memastikan penandatanganan DKIM yang konsisten, DEED membantu Anda merampingkan operasi pengiriman email multi-wilayah sambil mempertahankan praktik otentikasi email yang kuat.
## Apa itu Deterministic Easy DKIM (DEED)?
[Deterministic Easy DKIM (DEED) adalah fitur yang menghasilkan token DKIM yang konsisten di semua Wilayah AWS berdasarkan domain induk yang dikonfigurasi dengan Easy DKIM.](send-email-authentication-dkim-easy.md) Ini memungkinkan Anda untuk mereplikasi identitas yang berbeda Wilayah AWS yang secara otomatis mewarisi dan mempertahankan konfigurasi penandatanganan DKIM yang sama sebagai identitas induk yang saat ini dikonfigurasi dengan Easy DKIM. Dengan DEED, Anda hanya perlu mempublikasikan catatan DNS sekali untuk identitas induk, dan identitas replika akan menggunakan catatan DNS yang sama untuk memverifikasi kepemilikan domain dan mengelola penandatanganan DKIM.
Dengan menyederhanakan pengelolaan DNS dan memastikan penandatanganan DKIM yang konsisten, DEED membantu Anda merampingkan operasi pengiriman email multi-wilayah sambil mempertahankan praktik otentikasi email terbaik.
Terminologi yang digunakan ketika berbicara tentang DEED:
+ **Identitas induk** — Identitas terverifikasi yang dikonfigurasi dengan Easy DKIM yang berfungsi sebagai sumber konfigurasi DKIM untuk identitas replika.
+ **Identitas replika** — Salinan identitas induk yang berbagi pengaturan DNS dan konfigurasi penandatanganan DKIM yang sama.
+ **Wilayah induk** — Wilayah AWS Tempat identitas induk diatur.
+ **Replica region** — Sebuah Wilayah AWS tempat identitas replika diatur.
+ **Identitas DEED** — Identitas apa pun yang digunakan sebagai identitas orang tua atau identitas replika. (Ketika identitas baru dibuat, awalnya diperlakukan sebagai identitas biasa (non-Akta). Namun, setelah replika dibuat, identitas tersebut kemudian dianggap sebagai identitas DEED.)
Manfaat utama menggunakan DEED meliputi:
+ **Manajemen DNS yang disederhanakan** — Publikasikan catatan DNS hanya sekali untuk identitas induk.
+ **Operasi multi-wilayah yang lebih mudah** — Sederhanakan proses perluasan operasi pengiriman email ke wilayah baru.
+ **Mengurangi overhead administratif** — Mengelola konfigurasi DKIM secara terpusat dari identitas induk.
## Cara kerja Deterministic Easy DKIM (DEED)
Saat Anda membuat identitas replika, Amazon SES secara otomatis mereplikasi kunci penandatanganan DKIM dari identitas induk ke identitas replika. Setiap rotasi kunci DKIM berikutnya atau perubahan panjang kunci yang dibuat pada identitas induk secara otomatis disebarkan ke semua identitas replika.
Prosesnya melibatkan alur kerja berikut:
1. Buat identitas induk dalam Wilayah AWS menggunakan Easy DKIM.
1. Siapkan catatan DNS yang diperlukan untuk identitas induk.
1. Buat identitas replika di lain Wilayah AWS, tentukan nama domain identitas induk dan wilayah penandatanganan DKIM.
1. Amazon SES secara otomatis mereplikasi konfigurasi DKIM induk ke identitas replika.
Pertimbangan penting:
+ Anda tidak dapat membuat replika identitas yang sudah menjadi replika.
+ Identitas induk harus mengaktifkan [Easy DKIM](send-email-authentication-dkim-easy.md) — Anda tidak dapat membuat replika BYODKIM atau identitas yang ditandatangani secara manual.
+ Identitas induk tidak dapat dihapus sampai semua identitas replika dihapus.
## Menyiapkan identitas replika menggunakan DEED
Bagian ini akan memberikan contoh yang menunjukkan kepada Anda cara membuat dan memverifikasi identitas replika menggunakan DEED bersama dengan izin yang diperlukan.
**Topics**
+ [Membuat identitas replika](#creating-replica-identity)
+ [Memverifikasi konfigurasi identitas replika](#verifying-replica-identity)
+ [Izin yang diperlukan untuk menggunakan DEED](#required-permissions)
### Membuat identitas replika
Untuk membuat identitas replika:
1. Di Wilayah AWS tempat Anda ingin membuat identitas replika, buka konsol SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
(Di konsol SES, identitas replika disebut sebagai *identitas Global*.)
1. Di panel navigasi, pilih **Identitas**.
1. Pilih **Buat identitas**.
1. Pilih **Domain** di bawah **Jenis identitas** dan masukkan nama domain dari identitas yang ada yang dikonfigurasi dengan Easy DKIM yang ingin Anda replikasi dan berfungsi sebagai induk.
1. Perluas **pengaturan Advanced DKIM** dan pilih **Deterministic Easy** DKIM.
1. Dari menu tarik-turun **wilayah Induk**, pilih wilayah induk tempat identitas yang ditandatangani Easy DKIM dengan nama yang sama dengan yang Anda masukkan untuk identitas Global (replika) Anda berada. (Wilayah replika Anda default ke wilayah tempat Anda masuk ke konsol SES.)
1. Pastikan **tanda tangan DKIM** diaktifkan.
1. (Opsional) Tambahkan satu atau beberapa **Tag** ke identitas domain Anda.
1. Tinjau konfigurasi dan pilih **Buat identitas**.
Menggunakan AWS CLI:
Untuk membuat identitas replika berdasarkan identitas induk yang dikonfigurasi dengan Easy DKIM, Anda perlu menentukan nama domain induk, wilayah tempat Anda ingin membuat identitas replika, dan wilayah penandatanganan DKIM induk seperti yang ditunjukkan dalam contoh ini:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
Dalam contoh sebelumnya:
1. Ganti *example.com* dengan identitas domain induk yang direplikasi.
1. Ganti *us-west-2* dengan wilayah tempat identitas domain replika akan dibuat.
1. Ganti *AWS\$1SES\$1US\$1EAST\$11* dengan wilayah penandatanganan DKIM induk yang mewakili konfigurasi penandatanganan Easy DKIM yang akan direplikasi ke identitas replika.
**catatan**
`AWS_SES_`Awalan menunjukkan bahwa DKIM dikonfigurasi untuk identitas induk dengan menggunakan Easy DKIM, dan `US_EAST_1` merupakan Wilayah AWS tempat ia dibuat.
### Memverifikasi konfigurasi identitas replika
Setelah membuat identitas replika, Anda dapat memverifikasi bahwa identitas tersebut telah dikonfigurasi dengan benar dengan konfigurasi penandatanganan DKIM identitas induk.
**Untuk memverifikasi identitas replika:**
1. Di Wilayah AWS tempat Anda membuat identitas replika, buka konsol SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, pilih **Identitas** dan pilih identitas yang ingin Anda verifikasi dari tabel **Identitas**.
1. Di bawah tab **Otentikasi**, bidang **konfigurasi DKIM** akan menunjukkan status, dan bidang **wilayah Induk akan menunjukkan wilayah** yang digunakan untuk konfigurasi penandatanganan DKIM identitas menggunakan DEED.
Menggunakan AWS CLI:
Gunakan `get-email-identity` perintah yang menentukan nama domain dan wilayah replika:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
Respons akan mencakup nilai wilayah induk dalam `SigningAttributesOrigin` parameter yang menandakan bahwa identitas replika telah berhasil dikonfigurasi dengan konfigurasi penandatanganan DKIM identitas induk:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### Izin yang diperlukan untuk menggunakan DEED
Untuk menggunakan DEED, Anda perlu:
1. Izin standar untuk membuat identitas email di wilayah replika.
1. Izin untuk mereplikasi kunci penandatanganan DKIM dari wilayah induk.
#### Contoh kebijakan IAM untuk replikasi DKIM
Kebijakan berikut memungkinkan DKIM menandatangani replikasi kunci dari identitas induk ke wilayah replika tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## Praktik terbaik
Praktik terbaik berikut direkomendasikan:
+ **Rencanakan wilayah induk dan replika Anda** — Pertimbangkan wilayah induk yang Anda pilih, karena ini akan menjadi sumber kebenaran untuk konfigurasi DKIM yang digunakan di wilayah replika.
+ **Gunakan kebijakan IAM yang konsisten — Pastikan bahwa kebijakan** IAM Anda memungkinkan replikasi DKIM di semua wilayah yang dituju.
+ Jaga **identitas induk tetap aktif** — Ingatlah bahwa identitas replika Anda mewarisi konfigurasi penandatanganan DKIM dari identitas induk, karena ketergantungan ini, Anda tidak dapat menghapus identitas induk hingga semua identitas replika dihapus.
## Pemecahan masalah
Jika Anda mengalami masalah dengan DEED, pertimbangkan hal berikut:
+ **Kesalahan verifikasi** — Pastikan Anda memiliki izin yang diperlukan untuk replikasi DKIM.
+ **Penundaan replikasi** — Berikan waktu untuk menyelesaikan replikasi, terutama saat membuat identitas replika baru.
+ **Masalah DNS** — Verifikasi bahwa catatan DNS untuk identitas induk telah diatur dan disebarkan dengan benar.
# Berikan token otentikasi DKIM Anda sendiri (BYODKIM) di Amazon SES
Sebagai alternatif untuk menggunakan [Easy DKIM](send-email-authentication-dkim-easy.md), Anda dapat mengonfigurasi autentikasi DKIM dengan menggunakan pasangan kunci publik-privat Anda sendiri. Proses ini dikenal sebagai *Bring Your Own DKIM* (*BYODKIM*).
Dengan BYODKIM, Anda dapat menggunakan satu catatan DNS untuk mengonfigurasi autentikasi DKIM untuk domain Anda, dibandingkan dengan Easy DKIM yang mengharuskan Anda memublikasikan tiga catatan DNS terpisah. Selain itu, BYODKIM memungkinkan Anda memutar kunci DKIM untuk domain sesering yang Anda inginkan.
**Topics**
+ [Langkah 1: Buat pasangan kunci](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Langkah 2: Tambahkan pemilih dan kunci publik ke konfigurasi domain penyedia DNS Anda](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Langkah 3: Konfigurasikan dan verifikasi domain untuk menggunakan BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**Awas**
Jika saat ini Anda mengaktifkan Easy DKIM dan sedang beralih ke BYODKIM, ketahuilah bahwa Amazon SES tidak akan menggunakan Easy DKIM untuk menandatangani email Anda saat BYODKIM sedang diatur dan status DKIM Anda dalam keadaan tertunda. Antara saat Anda melakukan panggilan untuk mengaktifkan BYODKIM (baik melalui API atau konsol) dan saat SES dapat mengonfirmasi konfigurasi DNS Anda, email Anda mungkin dikirim oleh SES tanpa tanda tangan DKIM. Oleh karena itu, disarankan untuk menggunakan langkah perantara untuk bermigrasi dari satu metode penandatanganan DKIM ke metode lainnya (misalnya, menggunakan subdomain domain Anda dengan Easy DKIM diaktifkan dan kemudian menghapusnya setelah verifikasi BYODKIM berlalu), atau lakukan aktivitas ini selama waktu henti aplikasi Anda, jika ada.
## Langkah 1: Buat pasangan kunci
Untuk menggunakan fitur Bring Your Own DKIM, pertama-tama Anda harus membuat key pair RSA.
[Kunci pribadi yang Anda hasilkan harus dalam format PKCS \$11 atau PKCS \$18, harus menggunakan setidaknya enkripsi RSA 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan pengkodean base64 (PEM).](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) Lihat [Panjang kunci penandatanganan DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) untuk mempelajari lebih lanjut tentang panjang kunci penandatanganan DKIM dan cara mengubahnya.
**catatan**
[Anda dapat menggunakan aplikasi dan alat pihak ketiga untuk menghasilkan pasangan kunci RSA selama kunci pribadi dihasilkan dengan setidaknya enkripsi RSA 1024-bit dan hingga 2048-bit, dan dikodekan menggunakan pengkodean base64 (PEM).](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)
Dalam prosedur berikut, contoh kode yang menggunakan `openssl genrsa` perintah yang dibangun ke sebagian besar sistem operasi Linux, macOS, atau Unix untuk membuat key pair akan secara otomatis menggunakan base64 [(](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)PEM) encoding.
**Untuk membuat pasangan kunci dari baris perintah Linux, macOS, atau Unix**
1. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci pribadi yang diganti *nnnn* dengan panjang bit minimal 1024 dan hingga 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. Pada baris perintah, masukkan perintah berikut untuk menghasilkan kunci publik:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Langkah 2: Tambahkan pemilih dan kunci publik ke konfigurasi domain penyedia DNS Anda
Setelah membuat pasangan kunci, Anda harus menambahkan kunci publik sebagai catatan TXT ke konfigurasi DNS untuk domain Anda.
**Untuk menambahkan kunci publik ke konfigurasi DNS untuk domain Anda**
1. Masuk ke konsol manajemen untuk penyedia DNS atau hosting Anda.
1. Tambahkan catatan teks ke konfigurasi DNS untuk domain Anda. Catatan harus menggunakan format berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *selector* dengan nama unik yang mengidentifikasi kunci.
**catatan**
Sejumlah kecil penyedia DNS tidak mengizinkan Anda untuk menyertakan garis bawah (\$1) di nama catatan. Namun, garis bawah di nama catatan DKIM diperlukan. Jika penyedia DNS Anda tidak mengizinkan Anda untuk memasukkan garis bawah di nama catatan, kontak tim dukungan pelanggan penyedia untuk mendapatkan bantuan.
+ Ganti *example.com* dengan domain Anda.
+ Ganti *yourPublicKey* dengan kunci publik yang Anda buat sebelumnya dan sertakan `p=` awalan seperti yang ditunjukkan pada kolom *Nilai* di atas.
**catatan**
Ketika Anda mempublikasikan (menambahkan) kunci publik Anda ke penyedia DNS Anda, itu harus diformat sebagai berikut:
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PUBLIC KEY-----` dan `-----END PUBLIC KEY-----`, secara berturut-turut) dari kunci publik yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci publik yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
Anda harus menyertakan `p=` awalan seperti yang ditunjukkan pada kolom *Nilai* pada tabel di atas.
Penyedia yang berbeda memiliki prosedur yang berbeda untuk memperbarui catatan DNS. Tabel berikut mencakup tautan ke dokumentasi untuk beberapa penyedia DNS yang banyak digunakan. Daftar ini tidak lengkap dan tidak menandakan dukungan; demikian juga, jika penyedia DNS Anda tidak terdaftar, itu tidak berarti Anda tidak dapat menggunakan domain dengan Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Langkah 3: Konfigurasikan dan verifikasi domain untuk menggunakan BYODKIM
Anda dapat mengatur BYODKIM untuk kedua domain baru (yaitu, domain yang saat ini tidak Anda gunakan untuk mengirim email melalui Amazon SES) dan domain yang ada (yaitu, domain yang telah Anda atur untuk digunakan dengan Amazon SES) dengan menggunakan konsol atau. AWS CLI Sebelum Anda menggunakan AWS CLI prosedur di bagian ini, Anda harus terlebih dahulu menginstal dan mengkonfigurasi AWS CLI. Untuk informasi selengkapnya, lihat [Panduan AWS Command Line Interface Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/)..
### Opsi 1: Membuat identitas domain baru yang menggunakan BYODKIM
Bagian ini berisi prosedur untuk membuat identitas domain baru yang menggunakan BYODKIM. Identitas domain baru adalah domain yang belum Anda siapkan untuk mengirim email menggunakan Amazon SES sebelumnya.
Jika Anda ingin mengonfigurasi domain yang ada untuk menggunakan BYODKIM, selesaikan prosedur di [Opsi 2: Mengonfigurasi identitas domain yang ada](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) sebagai gantinya.
**Untuk membuat identitas menggunakan BYODKIM dari konsol**
+ Ikuti prosedur di[Membuat identitas domain](creating-identities.md#verify-domain-procedure), dan ketika Anda sampai ke Langkah 8, ikuti instruksi khusus BYODKIM.
**Untuk membuat identitas menggunakan BYODKIM dari AWS CLI**
Untuk mengonfigurasi domain baru, gunakan `CreateEmailIdentity` operasi di Amazon SES API.
1. Di editor teks, tempel kode berikut:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *example.com* dengan domain yang ingin Anda buat.
+ Ganti *privateKey* dengan kunci pribadi Anda.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
+ Ganti *selector* dengan pemilih unik yang Anda tentukan saat Anda membuat catatan TXT dalam konfigurasi DNS untuk domain Anda.
Setelah selesai, simpan file sebagai `create-identity.json`.
1. Di baris perintah, masukkan perintah berikut:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
Pada perintah sebelumnya, ganti *path/to/create-identity.json* dengan path lengkap ke file yang Anda buat pada langkah sebelumnya.
### Opsi 2: Mengonfigurasi identitas domain yang ada
Bagian ini berisi prosedur untuk memperbarui identitas domain yang ada untuk menggunakan BYODKIM. Identitas domain yang ada adalah domain yang sebelumnya sudah Anda siapkan untuk mengirim email menggunakan Amazon SES.
**Untuk memperbarui identitas domain menggunakan BYODKIM dari konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Domain*.
**catatan**
Jika Anda perlu membuat atau memverifikasi domain, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. **Di bawah tab **Autentikasi**, di panel **DomainKeys Identified Mail (DKIM)**, pilih Edit.**
1. **Di panel **pengaturan DKIM lanjutan**, pilih tombol **Berikan token otentikasi DKIM (BYODKIM)** di bidang Jenis identitas.**
1. Untuk **kunci Privat**, tempel kunci pribadi yang Anda buat sebelumnya.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
1. Untuk **Nama pemilih**, masukkan nama pemilih yang Anda tentukan di pengaturan DNS domain Anda.
1. **Di bidang **tanda tangan DKIM**, centang kotak Diaktifkan.**
1. Pilih **Simpan perubahan**.
**Untuk memperbarui identitas domain menggunakan BYODKIM dari AWS CLI**
Untuk mengonfigurasi domain yang ada, gunakan `PutEmailIdentityDkimSigningAttributes` operasi di Amazon SES API.
1. Di editor teks, tempel kode berikut:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
Pada contoh sebelumnya, lakukan perubahan berikut:
+ Ganti *privateKey* dengan kunci pribadi Anda.
**catatan**
Anda harus menghapus baris pertama dan terakhir (`-----BEGIN PRIVATE KEY-----`dan`-----END PRIVATE KEY-----`, masing-masing) dari kunci pribadi yang dihasilkan. Selain itu, Anda harus menghapus jeda baris di kunci pribadi yang dihasilkan. Nilai yang dihasilkan adalah string karakter tanpa spasi atau jeda baris.
+ Ganti *selector* dengan pemilih unik yang Anda tentukan saat Anda membuat catatan TXT dalam konfigurasi DNS untuk domain Anda.
Setelah selesai, simpan file sebagai `update-identity.json`.
1. Di baris perintah, masukkan perintah berikut:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
Di perintah sebelumnya, lakukan perubahan berikut:
+ Ganti *path/to/update-identity.json* dengan path lengkap ke file yang Anda buat pada langkah sebelumnya.
+ Ganti *example.com* dengan domain yang ingin Anda perbarui.
### Memverifikasi status DKIM untuk domain yang menggunakan BYODKIM
**Untuk memverifikasi status DKIM domain dari konsol**
Setelah mengonfigurasi domain untuk menggunakan BYODKIM, Anda dapat menggunakan konsol SES untuk memverifikasi bahwa DKIM telah dikonfigurasi dengan benar.
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang status DKIM yang ingin Anda verifikasi.
1. Diperlukan waktu hingga 72 jam agar perubahan pada pengaturan DNS menyebar. Segera setelah Amazon SES mendeteksi semua catatan DKIM yang diperlukan dalam pengaturan DNS domain Anda, proses verifikasi selesai. **Jika semuanya telah dikonfigurasi dengan benar, bidang **konfigurasi DKIM** domain Anda menampilkan **Berhasil** di panel **DomainKeysIdentified Mail (DKIM)**, dan bidang **status Identitas** menampilkan **Terverifikasi** di panel Ringkasan.**
**Untuk memverifikasi status DKIM domain menggunakan AWS CLI**
Setelah Anda mengonfigurasi domain untuk menggunakan BYODKIM, Anda dapat menggunakan GetEmailIdentity operasi untuk memverifikasi bahwa DKIM telah dikonfigurasi dengan benar.
+ Di baris perintah, masukkan perintah berikut:
```
aws sesv2 get-email-identity --email-identity example.com
```
Pada perintah sebelumnya, ganti *example.com* dengan domain Anda.
Perintah ini mengembalikan sebuah objek JSON yang berisi bagian yang menyerupai contoh berikut.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
BYODKIM dikonfigurasi dengan benar untuk domain jika semua hal berikut betul:
+ Nilai dari properti `SigningAttributesOrigin` adalah `EXTERNAL`.
+ Nilai dari `SigningEnabled` adalah `true`.
+ Nilai dari `Status` adalah `SUCCESS`.
# Mengelola Mudah DKIM dan BYODKIM
Anda dapat mengelola pengaturan DKIM untuk identitas Anda yang diautentikasi dengan Easy DKIM atau BYODKIM dengan menggunakan konsol Amazon SES berbasis web, atau dengan menggunakan Amazon SES API. Anda dapat menggunakan salah satu dari metode ini untuk mendapatkan catatan DKIM untuk identitas, atau untuk mengaktifkan atau menonaktifkan penandatanganan DKIM untuk identitas.
## Memperoleh Catatan DKIM untuk identitas
Anda dapat memperoleh catatan DKIM untuk domain atau alamat email Anda kapan saja dengan menggunakan konsol Amazon SES.
**Untuk mendapatkan catatan DKIM untuk identitas dengan menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda dapatkan catatan DKIM.
1. Pada tab **Otentikasi** halaman detail identitas, perluas **Lihat catatan DNS**.
1. Salin ketiga catatan CNAME jika Anda menggunakan Easy DKIM, atau catatan TXT jika Anda menggunakan BYODKIM, yang muncul di bagian ini. Sebagai alternatif, Anda dapat memilih **Unduh set catatan .csv** untuk menyimpan salinan catatan ke komputer Anda.
Gambar berikut menunjukkan contoh bagian **View DNS records yang diperluas yang mengungkapkan catatan** CNAME yang terkait dengan Easy DKIM.
![\[\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/images/dkim_existing_dns.png)
Anda juga dapat memperoleh catatan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk mendapatkan catatan DKIM untuk identitas dengan menggunakan AWS CLI**
1. Di baris perintah, ketik perintah berikut:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang Anda inginkan untuk mendapatkan catatan DKIM. Anda dapat menentukan alamat email atau domain.
1. Output dari perintah ini berisi bagian `DkimTokens`, seperti yang ditunjukkan pada contoh berikut:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
Anda dapat menggunakan token untuk membuat catatan CNAME yang ditambahkan ke pengaturan DNS untuk domain Anda. Untuk membuat catatan CNAME, gunakan templat berikut:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
Ganti setiap instance *token1* dengan token pertama dalam daftar yang Anda terima saat menjalankan `get-identity-dkim-attributes` perintah, ganti semua instance *token2* dengan token kedua dalam daftar, dan ganti semua instance *token3* dengan token ketiga dalam daftar.
Misalnya, menerapkan templat ini ke token yang ditampilkan di contoh sebelumnya menghasilkan catatan berikut:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**catatan**
Tidak semua Wilayah AWS menggunakan domain SES DKIM default, `dkim.amazonses.com` —untuk melihat apakah wilayah Anda menggunakan domain DKIM khusus wilayah, periksa tabel domain [DKIM](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains) di. *Referensi Umum AWS*
## Menonaktifkan Easy DKIM untuk identitas
Anda dapat dengan cepat menonaktifkan autentikasi DKIM untuk identitas dengan menggunakan konsol Amazon SES.
**Untuk menonaktifkan DKIM untuk identitas**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda nonaktifkan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Di **pengaturan DKIM lanjutan**, kosongkan kotak **Diaktifkan** di bidang **tanda tangan DKIM**.
Anda juga dapat menonaktifkan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk menonaktifkan DKIM untuk identitas dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang ingin Anda nonaktifkan DKIM. Anda dapat menentukan alamat email atau domain.
## Mengaktifkan Easy DKIM untuk identitas
Jika sebelumnya Anda menonaktifkan DKIM untuk identitas, Anda dapat mengaktifkannya lagi dengan menggunakan konsol Amazon SES.
**Untuk mengaktifkan DKIM untuk identitas**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda aktifkan DKIM.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeysIdentified Mail (DKIM)**, pilih Edit.**
1. Di **Pengaturan DKIM lanjutan**, centang kotak **Diaktifkan** di bidang **tanda tangan DKIM**.
Anda juga dapat mengaktifkan DKIM untuk identitas dengan menggunakan Amazon SES API. Metode umum berinteraksi dengan API adalah dengan menggunakan AWS CLI.
**Untuk mengaktifkan DKIM untuk identitas dengan menggunakan AWS CLI**
+ Di baris perintah, ketik perintah berikut:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
Pada contoh sebelumnya, ganti *example.com* dengan identitas yang ingin Anda aktifkan DKIM. Anda dapat menentukan alamat email atau domain.
## Mengesampingkan penandatanganan DKIM yang diwariskan pada identitas alamat email
Di bagian ini Anda akan mempelajari cara mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan Amazon SES. Anda hanya dapat melakukan ini untuk identitas alamat email milik domain yang sudah Anda miliki karena pengaturan DNS dikonfigurasi pada tingkat domain.
**penting**
Anda tidak dapat menandatangani disable/enable DKIM untuk identitas alamat email...
pada domain yang tidak Anda miliki. *Misalnya, Anda tidak dapat mengaktifkan penandatanganan DKIM untuk alamat *gmail.com atau hotmail.com*,*
pada domain yang Anda miliki, tetapi belum diverifikasi di Amazon SES,
pada domain yang Anda miliki, tetapi belum mengaktifkan penandatanganan DKIM di domain.
Bagian ini berisi topik berikut:
+ [Memahami properti penandatanganan DKIM yang diwariskan](#dkim-easy-setup-email-key-points-mng)
+ [Mengesampingkan penandatanganan DKIM pada identitas alamat email (konsol)](#override-dkim-email-console-mng)
+ [Mengesampingkan penandatanganan DKIM pada identitas alamat email ()AWS CLI](#override-dkim-email-cli-mng)
### Memahami properti penandatanganan DKIM yang diwariskan
Penting untuk dipahami terlebih dahulu bahwa identitas alamat email mewarisi properti penandatanganan DKIM dari domain induknya jika domain tersebut dikonfigurasi dengan DKIM, terlepas dari apakah Easy DKIM atau BYODKIM digunakan. Oleh karena itu, menonaktifkan atau mengaktifkan penandatanganan DKIM pada identitas alamat email, berlaku, mengesampingkan properti penandatanganan DKIM domain berdasarkan fakta-fakta kunci ini:
+ Jika Anda sudah menyiapkan DKIM untuk domain yang menjadi milik alamat email, Anda tidak perlu mengaktifkan penandatanganan DKIM untuk identitas alamat email juga.
+ Saat Anda menyiapkan DKIM untuk domain, Amazon SES secara otomatis mengautentikasi setiap email dari setiap alamat pada domain tersebut melalui properti DKIM yang diwarisi dari domain induk.
+ Pengaturan DKIM untuk identitas alamat email tertentu *secara otomatis mengganti pengaturan domain induk atau subdomain (jika ada) yang menjadi* milik alamat tersebut.
Karena properti penandatanganan DKIM identitas alamat email diwarisi dari domain induk, jika Anda berencana mengganti properti ini, Anda harus mengingat aturan hierarkis penggantian seperti yang dijelaskan dalam tabel di bawah ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
Umumnya tidak pernah disarankan untuk menonaktifkan penandatanganan DKIM Anda karena berisiko menodai reputasi pengirim Anda, dan meningkatkan risiko email terkirim Anda masuk ke folder sampah atau spam atau domain Anda dipalsukan.
Namun, ada kemampuan untuk mengganti properti penandatanganan DKIM yang diwarisi domain pada identitas alamat email untuk kasus penggunaan tertentu atau keputusan bisnis terpencil yang mungkin Anda harus menonaktifkan penandatanganan DKIM secara permanen atau sementara, atau untuk mengaktifkannya kembali di lain waktu.
### Mengesampingkan penandatanganan DKIM pada identitas alamat email (konsol)
Prosedur konsol SES berikut menjelaskan cara mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan Amazon SES.
**Ke disable/enable DKIM menandatangani identitas alamat email menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar identitas, pilih identitas di mana **tipe Identitas** adalah *Alamat email* dan milik salah satu domain terverifikasi Anda.
1. **Di bawah tab **Otentikasi**, dalam wadah **DomainKeys Identified Mail (DKIM)**, pilih Edit.**
**catatan**
Tab **Otentikasi** hanya ada jika identitas alamat email yang dipilih milik domain yang telah diverifikasi oleh SES. Jika Anda belum memverifikasi domain Anda, lihat[Membuat identitas domain](creating-identities.md#verify-domain-procedure).
1. Di bawah **Pengaturan DKIM lanjutan**, di bidang **tanda tangan DKIM**, kosongkan kotak centang **Diaktifkan** untuk menonaktifkan penandatanganan DKIM, atau pilih untuk mengaktifkan kembali penandatanganan DKIM (jika telah diganti sebelumnya).
1. Pilih **Simpan perubahan**.
### Mengesampingkan penandatanganan DKIM pada identitas alamat email ()AWS CLI
Contoh berikut menggunakan perintah AWS CLI with a SES API dan parameter yang akan mengganti (menonaktifkan atau mengaktifkan) properti penandatanganan DKIM yang diwarisi dari domain induk pada identitas alamat email tertentu yang telah Anda verifikasi dengan SES.
**Untuk penandatanganan disable/enable DKIM untuk identitas alamat email menggunakan AWS CLI**
+ Dengan asumsi Anda memiliki domain *example.com*, dan Anda ingin menonaktifkan penandatanganan DKIM untuk salah satu alamat email domain, pada baris perintah, ketikkan perintah berikut:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. Ganti *marketing@example.com* dengan identitas alamat email yang ingin Anda nonaktifkan penandatanganan DKIM.
1. `--no-signing-enabled`akan menonaktifkan penandatanganan DKIM. Untuk mengaktifkan kembali penandatanganan DKIM, gunakan. `--signing-enabled`
# Penandatanganan Manual DKIM di Amazon SES
Sebagai alternatif untuk menggunakan Easy DKIM, Anda dapat menambahkan tanda tangan DKIM secara manual ke pesan Anda, dan kemudian mengirim pesan tersebut menggunakan Amazon SES. Jika Anda memilih untuk menandatangani pesan secara manual, Anda harus membuat tanda tangan DKIM terlebih dahulu. Setelah Anda membuat pesan dan tanda tangan DKIM, Anda dapat menggunakan [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html)API untuk mengirimkannya.
Jika Anda memutuskan untuk menandatangani email secara manual, pertimbangkan faktor-faktor berikut:
+ Setiap pesan yang Anda kirim dengan menggunakan Amazon SES berisi header DKIM yang merujuk domain penandatanganan *amazonses.com* (yaitu, berisi string berikut: `d=amazonses.com`). Oleh karena itu, jika Anda menandatangani pesan secara manual, pesan Anda akan menyertakan *dua* header DKIM: satu untuk domain Anda, dan satu yang dibuat otomatis oleh Amazon SES untuk *amazonses.com*.
+ Amazon SES tidak memvalidasi tanda tangan DKIM yang Anda tambahkan secara manual ke pesan Anda. Jika ada kesalahan dengan tanda tangan DKIM di pesan, pesan tersebut mungkin ditolak oleh penyedia email.
+ Ketika Anda menandatangani pesan, Anda harus menggunakan panjang bit setidaknya 1024 bit.
+ Jangan menandatangani bidang berikut: ID Pesan, Tanggal, Jalur Kembali, Pentalan Ke.
**catatan**
Jika Anda menggunakan klien email untuk mengirim email menggunakan antarmuka SMTP Amazon SES, klien Anda mungkin secara otomatis melakukan penandatanganan DKIM pesan Anda. Beberapa klien mungkin menandatangani beberapa bidang ini. Untuk informasi tentang bidang yang ditandatangani secara default, lihat dokumentasi untuk klien email Anda.
# Mengautentikasi Email dengan SPF di Amazon SES
*Kerangka Kerja Kebijakan Pengirim* (SPF) adalah standar validasi email yang dirancang untuk mencegah pemalsuan email. Pemilik domain menggunakan SPF untuk memberi tahu penyedia email server mana yang diizinkan untuk mengirim email dari domain mereka. SPF ditentukan di [RFC 7208](https://tools.ietf.org/html/rfc7208).
Pesan yang Anda kirim melalui Amazon SES secara otomatis menggunakan subdomain `amazonses.com` sebagai domain MAIL FROM default. Otentikasi SPF berhasil memvalidasi pesan-pesan ini karena domain MAIL FROM default cocok dengan aplikasi yang mengirim email—dalam hal ini, SES. Oleh karena itu, di SES, SPF secara implisit disiapkan untuk Anda.
Namun, jika Anda tidak ingin menggunakan domain SES MAIL FROM default, dan lebih suka menggunakan subdomain dari domain yang Anda miliki, ini disebut dalam SES sebagai menggunakan domain MAIL *FROM kustom*. Untuk melakukan ini, Anda harus mempublikasikan catatan SPF Anda sendiri untuk domain MAIL FROM kustom Anda. Selain itu, SES juga mengharuskan Anda untuk menyiapkan data MX sehingga domain MAIL FROM kustom Anda dapat menerima pemberitahuan pentalan dan keluhan yang dikirimkan oleh penyedia email kepada Anda.
**Pelajari cara mengatur otentikasi SPF**
Instruksi diberikan untuk mengonfigurasi domain Anda dengan SPF dan cara mempublikasikan catatan MX dan SPF (tipe TXT) di. [Menggunakan domain MAIL FROM kustom](mail-from.md)
# Menggunakan domain MAIL FROM kustom
Ketika email dikirim, ada dua alamat yang menunjukkan sumbernya: alamat Dari yang ditampilkan ke penerima pesan, dan alamat MAIL FROM yang menunjukkan asal pesan tersebut. Alamat MAIL FROM terkadang disebut *pengirim envelope*, *envelope dari*, *alamat pentalan*, atau alamat *Jalur Kembali*. Server mail menggunakan alamat MAIL FROM untuk mengembalikan pesan pentalan dan notifikasi kesalahan lainnya. Alamat MAIL FROM biasanya hanya dapat dilihat oleh penerima jika mereka melihat kode sumber untuk pesan tersebut.
Amazon SES menetapkan domain MAIL FROM untuk pesan yang Anda kirim ke nilai default kecuali Anda menentukan domain (kustom) Anda sendiri. Bagian ini membahas manfaat menyiapkan domain MAIL FROM kustom, dan mencakup prosedur pengaturan.
## Mengapa menggunakan domain MAIL FROM kustom?
Pesan yang Anda kirim melalui Amazon SES secara otomatis menggunakan subdomain `amazonses.com` sebagai domain MAIL FROM default. Otentikasi Kerangka Kebijakan Pengirim (SPF) berhasil memvalidasi pesan-pesan ini karena domain MAIL FROM default cocok dengan aplikasi yang mengirim email—dalam hal ini, SES.
Jika Anda tidak ingin menggunakan domain SES MAIL FROM default, dan lebih suka menggunakan subdomain dari domain yang Anda miliki, ini disebut dalam SES sebagai menggunakan domain MAIL *FROM kustom*. Untuk melakukan ini, Anda harus mempublikasikan catatan SPF Anda sendiri untuk domain MAIL FROM kustom Anda. Selain itu, SES juga mengharuskan Anda untuk menyiapkan catatan MX sehingga domain Anda dapat menerima pemberitahuan pentalan dan keluhan yang dikirimkan oleh penyedia email kepada Anda.
Dengan menggunakan domain MAIL FROM kustom, Anda memiliki fleksibilitas untuk menggunakan SPF, DKIM, atau keduanya untuk mencapai validasi [Autentikasi Pesan, Pelaporan, dan Kesesuaian (DMARC) berbasis Domain](send-email-authentication-dmarc.md). DMARC memungkinkan domain pengirim untuk menunjukkan bahwa email yang dikirim dari domain dilindungi oleh satu atau beberapa sistem autentikasi. Ada dua cara untuk mencapai validasi DMARC: dan. [Mematuhi DMARC melalui SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) [Mematuhi DMARC melalui DKIM](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim)
## Memilih domain MAIL FROM kustom
Berikut ini, istilah *MAIL FROM domain selalu mengacu pada subdomain dari* domain yang Anda miliki - subdomain ini yang Anda gunakan untuk domain MAIL FROM kustom Anda tidak boleh digunakan untuk hal lain dan memenuhi persyaratan berikut:
+ Domain MAIL FROM harus menjadi subdomain dari domain induk dari identitas terverifikasi (alamat email atau domain).
+ Domain MAIL FROM seharusnya tidak menjadi subdomain yang juga Anda gunakan untuk mengirim email.
+ Domain MAIL FROM tidak boleh menjadi subdomain yang Anda gunakan untuk menerima email.
## Menggunakan SPF dengan domain MAIL FROM kustom
*Kerangka Kerja Kebijakan Pengirim* (SPF) adalah standar validasi email yang dirancang untuk mencegah pemalsuan email. Anda dapat mengonfigurasi domain MAIL FROM kustom Anda dengan SPF untuk memberi tahu penyedia email server mana yang diizinkan mengirim email dari domain MAIL FROM kustom Anda. SPF ditentukan di [RFC 7208](https://tools.ietf.org/html/rfc7208).
Untuk menyiapkan SPF, Anda memublikasikan catatan TXT ke konfigurasi DNS untuk domain MAIL FROM kustom Anda. Catatan ini berisi daftar server yang Anda otorisasi untuk mengirim email dari menggunakan domain MAIL FROM kustom Anda. Ketika penyedia email menerima pesan dari domain MAIL FROM kustom Anda, ia memeriksa catatan DNS untuk domain tersebut untuk memastikan bahwa email tersebut dikirim dari server resmi.
Jika Anda ingin menggunakan data SPF ini sebagai cara untuk mematuhi DMARC, domain di alamat Dari harus cocok dengan domain MAIL FROM. Lihat [Mematuhi DMARC melalui SPF](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf).
Bagian selanjutnya[Mengonfigurasi domain MAIL FROM kustom](#mail-from-set), menjelaskan cara mengatur SPF untuk domain MAIL FROM kustom Anda.
## Mengonfigurasi domain MAIL FROM kustom
Proses penyiapan domain MAIL FROM kustom mengharuskan Anda untuk menambahkan catatan ke konfigurasi DNS untuk domain. SES mengharuskan Anda untuk mempublikasikan catatan MX sehingga domain Anda dapat menerima pemberitahuan pentalan dan keluhan yang dikirimkan oleh penyedia email kepada Anda. Anda juga harus mempublikasikan catatan SPF (tipe TXT) untuk membuktikan bahwa Amazon SES berwenang untuk mengirim email dari domain Anda.
Anda dapat mengatur domain MAIL FROM kustom untuk seluruh domain atau subdomain, serta untuk alamat email individual. Prosedur berikut menunjukkan cara menggunakan konsol Amazon SES untuk mengonfigurasi domain MAIL FROM kustom. Anda juga dapat mengonfigurasi domain MAIL FROM kustom menggunakan operasi [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API.
### Menyiapkan domain MAIL FROM kustom untuk domain terverifikasi
Prosedur ini menunjukkan kepada Anda cara mengonfigurasi domain MAIL FROM kustom untuk seluruh domain atau subdomain sehingga semua pesan yang dikirim dari alamat pada domain tersebut akan menggunakan domain MAIL FROM kustom ini.
**Untuk mengonfigurasi domain terverifikasi untuk menggunakan domain MAIL FROM kustom yang ditentukan**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi kiri, di bawah **Konfigurasi**, pilih **Identitas.**
1. Dalam daftar identitas, pilih identitas yang ingin Anda konfigurasikan di mana **tipe Identitas** adalah **Domain** dan **Status** *Terverifikasi*.
1. Jika **Status** *Belum Diverifikasi*, selesaikan prosedur di [Memverifikasi identitas domain DKIM dengan penyedia DNS Anda](creating-identities.md#just-verify-domain-proc) untuk memverifikasi domain alamat email.
1. Di bagian bawah layar di panel **Custom MAIL FROM domain**, pilih **Edit**.
1. Di panel **Detail umum**, lakukan hal berikut:
1. Pilih kotak centang **Use a custom MAIL FROM domain**.
1. Untuk **domain MAIL FROM**, masukkan subdomain yang ingin Anda gunakan sebagai domain MAIL FROM.
1. Untuk **Perilaku pada kegagalan MX**, pilih salah satu opsi berikut:
+ **Gunakan domain MAIL FROM default** — Jika data MX domain MAIL FROM kustom tidak diatur dengan benar, Amazon SES menggunakan subdomain dari. `amazonses.com` Subdomain bervariasi berdasarkan tempat Wilayah AWS Anda menggunakan Amazon SES.
+ **Tolak pesan** – Jika catatan MX domain MAIL FROM kustom tidak disiapkan dengan benar, Amazon SES akan mengembalikan kesalahan `MailFromDomainNotVerified`. Email yang Anda coba kirimkan dari domain ini akan ditolak secara otomatis.
1. Pilih **Simpan perubahan** - Anda akan dikembalikan ke layar sebelumnya.
1. Publikasikan catatan MX dan SPF (tipe TXT) ke server DNS domain MAIL FROM kustom:
Di panel **domain KUSTOM MAIL** FROM, tabel **Publikasikan catatan DNS** sekarang menampilkan data MX dan SPF (tipe TXT) yang harus Anda publikasikan (tambahkan) ke konfigurasi DNS domain Anda. Catatan ini menggunakan format yang ditunjukkan di tabel berikut.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/mail-from.html)
Dalam catatan sebelumnya,
+ *subdomain*. *domain*. *com*akan diisi dengan subdomain MAIL FROM
+ *region*akan diisi dengan nama Wilayah AWS tempat Anda ingin memverifikasi domain MAIL FROM (seperti`us-west-2`,, atau `us-east-1``eu-west-1`, dll.)
+ Angka *10* yang tercantum bersama dengan nilai MX adalah urutan preferensi untuk server email dan harus dimasukkan ke dalam bidang nilai terpisah seperti yang ditentukan oleh GUI penyedia DNS Anda
+ Nilai catatan TXT SPF biasanya harus menyertakan tanda kutip, tetapi beberapa penyedia DNS tidak memerlukannya.
Dari tabel **Publikasikan catatan DNS**, salin catatan MX dan SPF (tipe TXT) dengan memilih ikon salin di samping setiap nilai dan tempelkan ke bidang yang sesuai di GUI penyedia DNS Anda. Sebagai alternatif, Anda dapat memilih **Unduh set catatan .csv** untuk menyimpan salinan catatan ke komputer Anda.
**penting**
Prosedur khusus untuk menerbitkan catatan MX dan SPF (tipe TXT) bergantung pada DNS atau penyedia hosting Anda. Lihat dokumentasi penyedia Anda atau hubungi mereka untuk informasi tentang menambahkan catatan ini ke konfigurasi DNS untuk domain Anda.
Agar berhasil menyiapkan domain MAIL FROM kustom dengan Amazon SES, Anda harus memublikasikan persis satu catatan MX ke server DNS domain MAIL FROM Anda. Jika domain MAIL FROM memiliki beberapa catatan MX, penyiapan MAIL FROM kustom dengan Amazon SES akan gagal.
Jika Route 53 menyediakan layanan DNS untuk domain MAIL FROM Anda, dan Anda masuk ke akun yang sama dengan Konsol Manajemen AWS yang Anda gunakan untuk Route 53, lalu pilih **Publikasikan Catatan Menggunakan Route 53**. Catatan DNS secara otomatis diterapkan ke konfigurasi DNS domain Anda.
Jika Anda menggunakan penyedia DNS yang berbeda, Anda harus memublikasikan catatan DNS ke server DNS domain MAIL FROM secara manual. Prosedur untuk menambahkan catatan DNS ke server DNS domain bervariasi berdasarkan layanan hosting web atau penyedia DNS Anda.
Prosedur untuk memublikasikan catatan DNS untuk domain Anda bergantung pada penyedia DNS yang digunakan. Tabel berikut mencakup tautan ke dokumentasi untuk beberapa penyedia DNS yang banyak digunakan. Daftar ini tidak lengkap dan tidak menandakan dukungan; demikian juga, jika penyedia DNS Anda tidak terdaftar, itu tidak berarti mereka tidak mendukung konfigurasi domain MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/mail-from.html)
Ketika Amazon SES mendeteksi bahwa catatan ada di tempatnya, Anda menerima email yang menginformasikan bahwa domain MAIL FROM kustom Anda berhasil disiapkan. Tergantung pada penyedia DNS Anda, mungkin ada penundaan hingga 72 jam sebelum Amazon SES mendeteksi catatan MX.
### Menyiapkan domain MAIL FROM kustom untuk alamat email terverifikasi
Anda juga dapat menyiapkan domain MAIL FROM kustom untuk alamat email tertentu. Untuk menyiapkan domain MAIL FROM kustom untuk alamat email, Anda harus mengubah catatan DNS untuk domain yang terkait dengan alamat email.
**catatan**
Anda tidak dapat menyiapkan domain MAIL FROM kustom untuk alamat di domain yang tidak Anda miliki (misalnya, Anda tidak dapat membuat domain MAIL FROM kustom untuk alamat di domain `gmail.com`, karena Anda tidak dapat menambahkan catatan DNS yang diperlukan ke domain tersebut).
**Untuk mengonfigurasi alamat email terverifikasi untuk menggunakan domain MAIL FROM tertentu**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi kiri, di bawah **Konfigurasi**, pilih **Identitas.**
1. Dalam daftar identitas, pilih identitas yang ingin Anda konfigurasikan di mana **Jenis identitas** adalah **Alamat email** dan **Status** *Terverifikasi*.
1. Jika **Status** *Belum Diverifikasi*, selesaikan prosedur di [Memverifikasi identitas alamat email](creating-identities.md#just-verify-email-proc) untuk memverifikasi domain alamat email.
1. Di bawah tab **MAIL FROM Domain**, pilih **Edit** di panel **Custom MAIL FROM domain**.
1. Di panel **Detail umum**, lakukan hal berikut:
1. Pilih kotak centang **Use a custom MAIL FROM domain**.
1. Untuk **domain MAIL FROM**, masukkan subdomain yang ingin Anda gunakan sebagai domain MAIL FROM.
1. Untuk **Perilaku pada kegagalan MX**, pilih salah satu opsi berikut:
+ **Gunakan domain MAIL FROM default** — Jika data MX domain MAIL FROM kustom tidak diatur dengan benar, Amazon SES menggunakan subdomain dari. `amazonses.com` Subdomain bervariasi berdasarkan tempat Wilayah AWS Anda menggunakan Amazon SES.
+ **Tolak pesan** – Jika catatan MX domain MAIL FROM kustom tidak disiapkan dengan benar, Amazon SES akan mengembalikan kesalahan `MailFromDomainNotVerified`. Email yang Anda coba kirimkan dari alamat email ini akan ditolak secara otomatis.
1. Pilih **Simpan perubahan** - Anda akan dikembalikan ke layar sebelumnya.
1. Publikasikan catatan MX dan SPF (tipe TXT) ke server DNS domain MAIL FROM kustom:
Di panel **domain KUSTOM MAIL** FROM, tabel **Publikasikan catatan DNS** sekarang menampilkan data MX dan SPF (tipe TXT) yang harus Anda publikasikan (tambahkan) ke konfigurasi DNS domain Anda. Catatan ini menggunakan format yang ditunjukkan di tabel berikut.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/mail-from.html)
Dalam catatan sebelumnya,
+ *subdomain*. *domain*. *com*akan diisi dengan subdomain MAIL FROM
+ *region*akan diisi dengan nama Wilayah AWS tempat Anda ingin memverifikasi domain MAIL FROM (seperti`us-west-2`,, atau `us-east-1``eu-west-1`, dll.)
+ Angka *10* yang tercantum bersama dengan nilai MX adalah urutan preferensi untuk server email dan harus dimasukkan ke dalam bidang nilai terpisah seperti yang ditentukan oleh GUI penyedia DNS Anda
+ Nilai catatan TXT SPF harus menyertakan tanda kutip
Dari tabel **Publikasikan catatan DNS**, salin catatan MX dan SPF (tipe TXT) dengan memilih ikon salin di samping setiap nilai dan tempelkan ke bidang yang sesuai di GUI penyedia DNS Anda. Sebagai alternatif, Anda dapat memilih **Unduh set catatan .csv** untuk menyimpan salinan catatan ke komputer Anda.
**penting**
Agar berhasil menyiapkan domain MAIL FROM kustom dengan Amazon SES, Anda harus memublikasikan persis satu catatan MX ke server DNS domain MAIL FROM Anda. Jika domain MAIL FROM memiliki beberapa catatan MX, penyiapan MAIL FROM kustom dengan Amazon SES akan gagal.
Jika Route 53 menyediakan layanan DNS untuk domain MAIL FROM Anda, dan Anda masuk ke akun yang sama dengan Konsol Manajemen AWS yang Anda gunakan untuk Route 53, lalu pilih **Publikasikan Catatan Menggunakan Route 53**. Catatan DNS secara otomatis diterapkan ke konfigurasi DNS domain Anda.
Jika Anda menggunakan penyedia DNS yang berbeda, Anda harus memublikasikan catatan DNS ke server DNS domain MAIL FROM secara manual. Prosedur untuk menambahkan catatan DNS ke server DNS domain bervariasi berdasarkan layanan hosting web atau penyedia DNS Anda.
Prosedur untuk memublikasikan catatan DNS untuk domain Anda bergantung pada penyedia DNS yang digunakan. Tabel berikut mencakup tautan ke dokumentasi untuk beberapa penyedia DNS yang banyak digunakan. Daftar ini tidak lengkap dan tidak menandakan dukungan; demikian juga, jika penyedia DNS Anda tidak terdaftar, itu tidak berarti mereka tidak mendukung konfigurasi domain MAIL FROM.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/mail-from.html)
Ketika Amazon SES mendeteksi bahwa catatan ada di tempatnya, Anda menerima email yang menginformasikan bahwa domain MAIL FROM kustom Anda berhasil disiapkan. Tergantung pada penyedia DNS Anda, mungkin ada penundaan hingga 72 jam sebelum Amazon SES mendeteksi catatan MX.
## KUSTOM MAIL DARI status pengaturan domain dengan Amazon SES
Setelah Anda mengonfigurasi identitas untuk menggunakan domain MAIL FROM kustom, status penyiapan adalah "tertunda" sementara Amazon SES mencoba untuk mendeteksi catatan MX yang diperlukan di pengaturan DNS Anda. Status kemudian berubah tergantung jika Amazon SES mendeteksi catatan MX. Tabel berikut menjelaskan perilaku pengiriman email, dan tindakan Amazon SES terkait dengan masing-masing status. Setiap kali status berubah, Amazon SES mengirimkan pemberitahuan ke alamat email yang terkait dengan Anda Akun AWS.
****
| Status | Perilaku pengiriman email | Tindakan Amazon SES |
| --- | --- | --- |
| Tertunda | Menggunakan pengaturan fallback MAIL FROM kustom | Amazon SES mencoba untuk mendeteksi catatan MX yang diperlukan selama 72 jam. Jika tidak berhasil, status berubah menjadi "Gagal". |
| Berhasil | Menggunakan domain MAIL FROM kustom | Amazon SES terus memeriksa bahwa catatan MX yang diperlukan ada di tempatnya. |
| TemporaryFailure | Menggunakan pengaturan fallback MAIL FROM kustom | Amazon SES mencoba untuk mendeteksi catatan MX yang diperlukan selama 72 jam. Jika tidak berhasil, status berubah menjadi "Gagal"; jika berhasil, status berubah menjadi "Berhasil". |
| Gagal | Menggunakan pengaturan fallback MAIL FROM kustom | Amazon SES tidak lagi mencoba untuk mendeteksi catatan MX yang diperlukan. Untuk menggunakan domain MAIL FROM kustom, Anda harus memulai ulang proses pengaturan di [Mengonfigurasi domain MAIL FROM kustom](#mail-from-set). |
# Mematuhi protokol otentikasi DMARC di Amazon SES
Domain-based Message Authentication, Reporting and Conformance (DMARC) adalah protokol otentikasi email yang menggunakan Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM) untuk mendeteksi spoofing email dan phishing. Untuk mematuhi DMARC, pesan harus diautentikasi melalui SPF atau DKIM, tetapi idealnya, ketika keduanya digunakan dengan DMARC, Anda akan memastikan tingkat perlindungan tertinggi yang mungkin untuk pengiriman email Anda.
Mari kita tinjau secara singkat mana yang masing-masing lakukan dan bagaimana DMARC mengikat mereka semua:
+ **SPF** - Mengidentifikasi server email mana yang diizinkan untuk mengirim email atas nama domain MAIL FROM kustom Anda melalui catatan DNS TXT yang digunakan oleh DNS. Sistem surat penerima merujuk ke data SPF TXT untuk menentukan apakah pesan dari domain kustom Anda berasal dari server pesan resmi. Pada dasarnya, SPF dirancang untuk membantu mencegah spoofing, tetapi ada teknik spoofing yang rentan terhadap SPF dalam praktiknya dan inilah mengapa Anda juga perlu menggunakan DKIM bersama dengan DMARC.
+ **DKIM** - Menambahkan tanda tangan digital ke pesan keluar Anda di header email. Sistem email penerima dapat menggunakan tanda tangan digital ini untuk membantu memverifikasi apakah email masuk ditandatangani oleh kunci yang dimiliki oleh domain. Namun, ketika sistem email penerima meneruskan pesan, amplop pesan diubah dengan cara yang membatalkan otentikasi SPF. Karena tanda tangan digital tetap dengan pesan email karena merupakan bagian dari header email, DKIM berfungsi bahkan ketika pesan telah diteruskan antara server email (selama konten pesan belum diubah).
+ **DMARC** — Memastikan bahwa ada penyelarasan domain dengan setidaknya satu SPF dan DKIM. Menggunakan SPF dan DKIM saja tidak melakukan apa pun untuk memastikan bahwa alamat Dari diautentikasi (ini adalah alamat email yang dilihat penerima Anda di klien email mereka). SPF hanya memeriksa domain yang ditentukan dalam alamat MAIL FROM (tidak terlihat oleh penerima Anda). DKIM hanya memeriksa domain yang ditentukan dalam tanda tangan DKIM (juga, tidak terlihat oleh penerima Anda). DMARC mengatasi dua masalah ini dengan mewajibkan penyelarasan domain agar benar pada SPF atau DKIM:
+ Agar SPF meneruskan penyelarasan DMARC, domain di alamat Dari harus cocok dengan domain di alamat MAIL FROM (juga disebut sebagai alamat Return-Path dan Envelope-from). Ini jarang dimungkinkan dengan surat yang diteruskan karena akan dilucuti atau ketika mengirim email melalui penyedia email massal pihak ketiga karena Jalur Kembali (MAIL DARI) digunakan untuk pantulan dan keluhan yang dilacak oleh penyedia (SES) menggunakan alamat yang mereka miliki.
+ Agar DKIM dapat melewati perataan DMARC, domain yang ditentukan dalam tanda tangan DKIM harus cocok dengan domain di alamat Dari. Jika Anda menggunakan pengirim atau layanan pihak ketiga yang mengirim email atas nama Anda, hal ini dapat dilakukan dengan memastikan pengirim pihak ketiga dikonfigurasi dengan benar untuk penandatanganan DKIM dan Anda telah menambahkan catatan DNS yang sesuai dalam domain Anda. Menerima server email kemudian akan dapat memverifikasi email yang dikirim kepada mereka oleh pihak ketiga Anda seolah-olah itu adalah email yang dikirim oleh seseorang yang berwenang untuk menggunakan alamat dalam domain.
**Menyatukan semuanya dengan DMARC**
Pemeriksaan penyelarasan DMARC yang kami bahas di atas menunjukkan bagaimana SPF, DKIM, dan DMARC semua bekerja sama untuk meningkatkan kepercayaan domain Anda dan pengiriman email Anda ke kotak masuk. DMARC menyelesaikan ini dengan memastikan bahwa alamat Dari, dilihat oleh penerima, diautentikasi oleh SPF atau DKIM:
+ Sebuah pesan melewati DMARC jika salah satu atau kedua pemeriksaan SPF atau DKIM yang dijelaskan lolos.
+ Pesan gagal DMARC jika kedua pemeriksaan SPF atau DKIM yang dijelaskan gagal.
Oleh karena itu, baik SPF maupun DKIM diperlukan agar DMARC memiliki peluang terbaik dalam mencapai otentikasi untuk email yang Anda kirim, dan dengan memanfaatkan ketiganya, Anda akan membantu memastikan Anda memiliki domain pengiriman yang sepenuhnya dilindungi.
DMARC juga memungkinkan Anda untuk menginstruksikan server email bagaimana menangani email ketika mereka gagal otentikasi DMARC melalui kebijakan yang Anda tetapkan. Ini akan dijelaskan di bagian berikut,[Menyiapkan kebijakan DMARC di domain Anda](#send-email-authentication-dmarc-dns), yang berisi informasi tentang cara mengkonfigurasi domain SES Anda sehingga email yang Anda kirim mematuhi protokol otentikasi DMARC melalui SPF dan DKIM.
## Menyiapkan kebijakan DMARC di domain Anda
Untuk menyiapkan DMARC, Anda harus mengubah pengaturan DNS untuk domain Anda. Pengaturan DNS untuk domain Anda harus menyertakan catatan TXT yang menentukan pengaturan DMARC domain. Prosedur untuk menambahkan catatan TXT ke konfigurasi DNS Anda bergantung pada penyedia DNS atau hosting yang Anda gunakan. Jika Anda menggunakan Route 53, lihat [Bekerja dengan Catatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) di *Panduan Developer Amazon Route 53*. Jika Anda menggunakan penyedia lain, lihat dokumentasi konfigurasi DNS untuk penyedia Anda.
Nama catatan TXT yang Anda buat seharusnya `_dmarc.example.com`, dengan `example.com` adalah domain Anda. Nilai catatan TXT berisi kebijakan DMARC yang berlaku untuk domain Anda. Berikut ini adalah contoh catatan TXT yang berisi kebijakan DMARC:
| Nama | Tipe | Nilai |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
Dalam contoh kebijakan DMARC sebelumnya, kebijakan ini memberi tahu penyedia email untuk melakukan hal berikut:
+ Untuk setiap pesan yang gagal otentikasi, kirim ke folder Spam seperti yang ditentukan oleh parameter kebijakan,`p=quarantine`. Pilihan lain termasuk tidak melakukan apa-apa dengan menggunakan`p=none`, atau menolak pesan langsung dengan menggunakan. `p=reject`
+ Bagian selanjutnya membahas bagaimana dan kapan menggunakan ketiga pengaturan kebijakan ini — *menggunakan yang salah pada waktu yang salah dapat menyebabkan email Anda tidak terkirim,* lihat[Praktik terbaik untuk menerapkan DMARC](#send-email-authentication-dmarc-implement).
+ Kirim laporan tentang semua email yang gagal otentikasi dalam intisari (yaitu, laporan yang mengumpulkan data untuk jangka waktu tertentu, daripada mengirim laporan individual untuk setiap peristiwa) sebagaimana ditentukan oleh parameter pelaporan, `rua=mailto:my_dmarc_report@example.com` (*rua* singkatan dari URI Pelaporan untuk laporan Agregat). Penyedia email biasanya mengirimkan laporan gabungan ini satu kali per hari, meskipun kebijakan ini berbeda antara satu penyedia dengan penyedia lainnya.
Untuk mempelajari selengkapnya tentang mengonfigurasi DMARC untuk domain Anda, lihat [Gambaran Umum](https://dmarc.org/overview/) di situs web DMARC.
Untuk spesifikasi lengkap sistem DMARC, lihat [Internet Engineering Task Force (IETF](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)) DMARC Draft.
## Praktik terbaik untuk menerapkan DMARC
Yang terbaik adalah menerapkan penegakan kebijakan DMARC Anda secara bertahap dan bertahap sehingga tidak mengganggu sisa alur email Anda. Buat dan implementasikan rencana peluncuran yang mengikuti langkah-langkah ini. Lakukan setiap langkah ini terlebih dahulu dengan masing-masing sub-domain Anda, dan terakhir dengan domain tingkat atas di organisasi Anda sebelum melanjutkan ke langkah berikutnya.
1. Memantau dampak penerapan DMARC (p=none).
+ Mulailah dengan catatan mode pemantauan sederhana untuk sub-domain atau domain yang meminta organisasi penerima email mengirimi Anda statistik tentang pesan yang mereka lihat menggunakan domain tersebut. Rekaman mode pemantauan adalah catatan DMARC TXT yang kebijakannya ditetapkan ke none. `p=none`
+ Laporan yang dihasilkan melalui DMARC akan memberikan nomor dan sumber pesan yang lulus pemeriksaan ini, dibandingkan yang tidak. Anda dapat dengan mudah melihat berapa banyak lalu lintas sah Anda atau tidak tercakup oleh mereka. Anda akan melihat tanda-tanda penerusan, karena pesan yang diteruskan akan gagal SPF dan DKIM jika konten diubah. Anda juga akan mulai melihat berapa banyak pesan penipuan yang dikirim, dan dari mana mereka dikirim.
+ Tujuan dari langkah ini adalah untuk mempelajari email apa yang akan terpengaruh ketika Anda menerapkan salah satu dari dua langkah berikutnya, dan agar pengirim pihak ketiga atau pengirim resmi mendapatkan kebijakan SPF atau DKIM mereka ke dalam keselarasan.
+ Terbaik untuk domain yang ada.
1. Minta agar sistem surat eksternal mengkarantina surat yang gagal DMARC (p=karantina).
+ Ketika Anda yakin bahwa semua atau sebagian besar lalu lintas sah Anda mengirimkan domain yang selaras dengan SPF atau DKIM, dan Anda memahami dampak penerapan DMARC, Anda dapat menerapkan kebijakan karantina. Kebijakan karantina adalah catatan DMARC TXT yang memiliki kebijakan yang ditetapkan untuk karantina. `p=quarantine` Dengan melakukan ini, Anda meminta penerima DMARC untuk memasukkan pesan dari domain Anda yang gagal DMARC ke dalam folder spam yang setara dengan folder spam, bukan kotak masuk pelanggan Anda.
+ Terbaik untuk mentransisikan domain yang telah menganalisis laporan DMARC selama Langkah 1.
1. Meminta agar sistem surat eksternal tidak menerima pesan yang gagal DMARC (p=reject).
+ Menerapkan kebijakan penolakan biasanya merupakan langkah terakhir. Kebijakan penolakan adalah catatan DMARC TXT yang memiliki kebijakan yang ditetapkan untuk ditolak. `p=reject` Ketika Anda melakukan ini, Anda meminta penerima DMARC untuk tidak menerima pesan yang gagal dalam pemeriksaan DMARC — ini berarti mereka bahkan tidak akan dikarantina ke folder spam atau sampah, tetapi akan langsung ditolak.
+ Saat menggunakan kebijakan penolakan, Anda akan tahu persis pesan mana yang gagal dalam kebijakan DMARC karena penolakan akan menghasilkan pantulan SMTP. Dengan karantina, data agregat memberikan informasi tentang persentase email yang lewat atau kegagalan pemeriksaan SPF, DKIM, dan DMARC.
+ Terbaik untuk domain baru atau domain yang sudah ada yang telah melalui dua langkah sebelumnya.
## Mematuhi DMARC melalui SPF
Agar email dapat mematuhi DMARC berdasarkan SPF, kedua persyaratan berikut harus dipenuhi:
+ Pesan harus melewati pemeriksaan SPF berdasarkan memiliki catatan SPF (tipe TXT) yang valid yang harus dipublikasikan ke konfigurasi DNS domain MAIL FROM kustom Anda.
+ Domain di alamat Dari header email harus sejajar (cocok) dengan domain, atau subdomain dari, yang ditentukan dalam alamat MAIL FROM. Untuk mencapai penyelarasan SPF dengan SES, kebijakan DMARC domain tidak boleh menentukan kebijakan SPF yang ketat (aspf=s).
Untuk memenuhi persyaratan ini, selesaikan langkah berikut:
+ Siapkan domain MAIL FROM kustom dengan menyelesaikan prosedur di [Menggunakan domain MAIL FROM kustom](mail-from.md).
+ Pastikan domain pengiriman Anda menggunakan kebijakan yang longgar untuk SPF. Jika Anda belum mengubah penyelarasan kebijakan domain Anda, ia menggunakan kebijakan santai secara default seperti halnya SES.
**catatan**
Anda dapat menentukan penyelarasan DMARC domain Anda untuk SPF dengan mengetikkan perintah berikut di baris perintah, mengganti `example.com` dengan domain Anda:
```
dig TXT _dmarc.example.com
```
Di output perintah ini, di bawah **Jawaban nonotoritatif**, cari catatan yang diawali dengan `v=DMARC1`. Jika catatan ini termasuk string `aspf=r`, atau jika string `aspf` tidak ada sama sekali, maka domain Anda menggunakan keselarasan yang longgar untuk SPF. Jika catatan termasuk string `aspf=s`, maka domain Anda menggunakan keselarasan ketat untuk SPF. Administrator sistem Anda harus menghapus tanda ini dari catatan DMARC TXT di konfigurasi DNS domain Anda.
Atau, Anda dapat menggunakan alat pencarian DMARC berbasis web, seperti DMARC [Inspector](https://dmarcian.com/dmarc-inspector/) dari situs web dmarcian atau alat [DMARC Check Tool](https://mxtoolbox.com/dmarc.aspx) dari situs web, untuk menentukan penyelarasan kebijakan domain Anda untuk SPF. MxToolBox
## Mematuhi DMARC melalui DKIM
Agar email dapat mematuhi DMARC berdasarkan DKIM, kedua persyaratan berikut harus dipenuhi:
+ Pesan harus memiliki tanda tangan DKIM yang valid dan lolos cek DKIM.
+ Domain yang ditentukan dalam tanda tangan DKIM harus sejajar (cocok) dengan domain di alamat Dari. Jika kebijakan DMARC domain menentukan keselarasan ketat untuk DKIM, domain ini harus sama persis (SES menggunakan kebijakan DKIM yang ketat secara default).
Untuk memenuhi persyaratan ini, selesaikan langkah berikut:
+ Siapkan Easy DKIM dengan menyelesaikan prosedur di [Easy DKIM di Amazon SES](send-email-authentication-dkim-easy.md). Saat Anda menggunakan Easy DKIM, Amazon SES akan secara otomatis menandatangani email Anda.
**catatan**
Daripada menggunakan Easy DKIM, Anda juga dapat [menandatangani pesan Anda secara manual](send-email-authentication-dkim-manual.md). Namun, berhati-hatilah jika Anda memilih untuk melakukannya, karena Amazon SES tidak memvalidasi tanda tangan DKIM yang Anda bangun. Untuk alasan ini, kami sangat merekomendasikan penggunaan Easy DKIM.
+ Pastikan domain yang ditentukan dalam tanda tangan DKIM disejajarkan dengan domain di alamat Dari. Atau, jika mengirim dari subdomain domain di alamat Dari, pastikan bahwa kebijakan DMARC Anda disetel ke penyelarasan santai.
**catatan**
Anda dapat menentukan penyelarasan DMARC domain Anda untuk DKIM dengan mengetikkan perintah berikut di baris perintah, mengganti `example.com` dengan domain Anda:
```
dig TXT _dmarc.example.com
```
Di output perintah ini, di bawah **Jawaban nonotoritatif**, cari catatan yang diawali dengan `v=DMARC1`. Jika catatan ini termasuk string `adkim=r`, atau jika string `adkim` tidak ada sama sekali, maka domain Anda menggunakan keselarasan yang longgar untuk DKIM. Jika catatan termasuk string `adkim=s`, maka domain Anda menggunakan keselarasan ketat untuk DKIM. Administrator sistem Anda harus menghapus tanda ini dari catatan DMARC TXT di konfigurasi DNS domain Anda.
Atau, Anda dapat menggunakan alat pencarian DMARC berbasis web, seperti DMARC [Inspector](https://dmarcian.com/dmarc-inspector/) dari situs web dmarcian atau alat [DMARC Check Tool dari situs web, untuk menentukan penyelarasan kebijakan domain Anda untuk DKIM](https://mxtoolbox.com/dmarc.aspx). MxToolBox
# Menggunakan BIMI di Amazon SES
Indikator Merek untuk Identifikasi Pesan (BIMI) adalah spesifikasi email yang memungkinkan kotak masuk email untuk menampilkan logo merek di samping pesan email yang diautentikasi merek dalam mendukung klien email.
[BIMI adalah spesifikasi email yang terhubung langsung ke otentikasi, tetapi ini bukan protokol otentikasi email mandiri karena mengharuskan semua email Anda untuk mematuhi otentikasi DMARC.](send-email-authentication-dmarc.md)
Meskipun BIMI memerlukan DMARC, DMARC mengharuskan domain Anda memiliki catatan SPF atau DKIM untuk diselaraskan, tetapi yang terbaik adalah menyertakan catatan SPF dan DKIM untuk keamanan tambahan, dan karena beberapa penyedia layanan email () memerlukan keduanya saat menggunakan BIMI. ESPs Bagian berikut membahas langkah-langkah untuk mengimplementasikan BIMI di Amazon SES.
## Menyiapkan BIMI di SES
Anda dapat mengonfigurasi BIMI untuk domain email yang Anda miliki—di SES yang disebut sebagai domain MAIL FROM *kustom*. Setelah dikonfigurasi, semua pesan yang Anda kirim dari domain itu akan menampilkan logo BIMI Anda di [klien email yang mendukung BIMI](https://bimigroup.org/bimi-infographic/).
Mengaktifkan email Anda untuk menampilkan logo BIMI memerlukan beberapa prasyarat untuk ditempatkan dalam SES-dalam prosedur berikut, prasyarat ini digeneralisasi dan akan merujuk bagian khusus yang mencakup topik-topik ini secara rinci. Langkah-langkah khusus untuk BIMI dan apa yang diperlukan untuk mengkonfigurasinya di SES akan dirinci di sini.
**Untuk mengatur BIMI pada domain MAIL FROM kustom**
1. Anda harus memiliki domain MAIL FROM kustom yang dikonfigurasi di SES dengan data SPF (tipe TXT) dan MX yang diterbitkan untuk domain tersebut. Jika Anda tidak memiliki domain MAIL FROM kustom, atau ingin membuat domain baru untuk logo BIMI Anda, lihat[Menggunakan domain MAIL FROM kustom](mail-from.md).
1. Konfigurasikan domain Anda dengan Easy DKIM. Lihat [Easy DKIM di Amazon SES](send-email-authentication-dkim-easy.md).
1. Konfigurasikan domain Anda dengan DMARC dengan menerbitkan catatan TXT dengan penyedia DNS Anda dengan spesifikasi kebijakan penegakan berikut yang diperlukan untuk BIMI yang serupa dengan salah satu dari dua contoh:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-bimi.html)
Dalam contoh kebijakan DMARC sebelumnya seperti yang dipersyaratkan untuk BIMI:
+ `example.com`harus diganti dengan nama domain atau subdomain Anda.
+ `p=`Nilainya bisa berupa:
+ *karantina* dengan nilai *pct* diatur ke *100* seperti yang ditunjukkan, atau
+ *menolak* seperti yang ditunjukkan.
+ Jika Anda mengirim dari subdomain, BIMI mengharuskan domain induk juga harus memiliki kebijakan penegakan ini. Subdomain akan berada di bawah kebijakan domain induk. Namun, jika Anda menambahkan data DMARC untuk subdomain Anda selain apa yang diposting untuk domain induk, subdomain Anda juga harus memiliki kebijakan penegakan yang sama agar memenuhi syarat untuk BIMI.
+ Jika Anda belum pernah menyiapkan kebijakan DMARC untuk domain Anda, lihat [Mematuhi protokol otentikasi DMARC di Amazon SES](send-email-authentication-dmarc.md) memastikan bahwa Anda hanya menggunakan nilai kebijakan DMARC khusus untuk BIMI seperti yang ditunjukkan.
1. Buat logo BIMI Anda sebagai `.svg` file Scalable Vector Graphics (SVG) — profil SVG spesifik yang diperlukan oleh BIMI didefinisikan sebagai SVG (SVG P/S). Portable/Secure Agar logo Anda ditampilkan di klien email, logo harus sesuai dengan spesifikasi ini. Lihat panduan [Grup BIMI untuk](https://bimigroup.org/) [membuat file logo SVG](https://bimigroup.org/creating-bimi-svg-logo-files/) dan alat konversi [SVG](https://bimigroup.org/svg-conversion-tools-released/) yang direkomendasikan.
1. (Opsional) Dapatkan Verified Mark Certificate (VMC). Beberapa ESPs, seperti Gmail dan Apple, memerlukan VMC untuk memberikan bukti bahwa Anda memiliki merek dagang dan konten logo BIMI Anda. Meskipun ini bukan persyaratan untuk menerapkan BIMI pada domain Anda, logo BIMI Anda tidak akan ditampilkan di klien email jika ESP yang Anda kirim email untuk memberlakukan kepatuhan VMC. Lihat referensi Grup BIMI ke [otoritas sertifikat yang berpartisipasi](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) untuk mendapatkan VMC untuk logo Anda.
1. Host file SVG logo BIMI Anda di server Anda memiliki akses untuk membuatnya dapat diakses publik melalui HTTPS. Misalnya, Anda dapat mengunggahnya ke bucket [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html).
1. Buat dan publikasikan catatan DNS BIMI yang menyertakan URL ke logo Anda. Ketika [ESP yang mendukung BIMI](https://bimigroup.org/bimi-infographic/) memeriksa catatan DMARC Anda, itu juga akan mencari catatan BIMI yang berisi URL untuk file logo Anda, dan jika dikonfigurasi, URL untuk `.svg` file VMC Anda. `.pem` Jika catatan cocok, mereka akan menampilkan logo BIMI Anda.
Konfigurasikan domain Anda dengan BIMI dengan menerbitkan catatan TXT dengan penyedia DNS Anda dengan nilai berikut seperti yang ditampilkan—pengiriman dari domain direpresentasikan dalam contoh pertama; pengiriman dari subdomain direpresentasikan dalam contoh kedua:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/send-email-authentication-bimi.html)
Dalam contoh catatan BIMI sebelumnya:
+ Nilai nama harus secara harfiah ditentukan `default._bimi.` sebagai subdomain dari `example.com` atau `marketing.example.com` yang harus diganti dengan nama domain atau subdomain Anda.
+ `v=`Nilainya adalah *versi* catatan BIMI.
+ `l=`Nilainya adalah *logo* yang mewakili URL yang menunjuk ke `.svg` file gambar Anda.
+ `a=`Nilainya adalah *otoritas* yang mewakili URL yang menunjuk ke `.pem` file sertifikat Anda.
[Anda dapat memvalidasi catatan BIMI Anda dengan alat seperti BIMI Inspector BIMI Group.](https://bimigroup.org/bimi-generator/)
Langkah terakhir dalam proses ini adalah memiliki pola pengiriman reguler ke ESPs yang mendukung penempatan logo BIMI. Domain Anda harus memiliki irama pengiriman reguler dan harus memiliki reputasi yang baik dengan ESPs yang Anda kirim. Penempatan logo BIMI mungkin membutuhkan waktu untuk mengisi ke ESPs tempat Anda tidak memiliki reputasi yang mapan atau irama pengiriman.
Anda dapat menemukan lebih banyak informasi dan sumber daya yang berkaitan dengan BIMI melalui organisasi [BIMI Group](https://bimigroup.org/).
# Menyiapkan pemberitahuan acara untuk Amazon SES
Dalam rangka mengirim email menggunakan Amazon SES, Anda harus memiliki sistem di tempat untuk mengelola pentalan dan aduan. Amazon SES dapat memberi tahu Anda tentang peristiwa pentalan atau aduan dalam tiga cara: dengan mengirimkan email notifikasi, dengan memberitahukan topik Amazon SNS, atau dengan memublikasikan peristiwa pengiriman. Bagian ini berisi informasi tentang penyiapan Amazon SES untuk mengirim jenis notifikasi tertentu melalui email atau dengan memberi tahu topik Amazon SNS. Untuk informasi selengkapnya tentang publikasi peristiwa pengiriman, lihat [Pantau pengiriman email menggunakan penerbitan peristiwa Amazon SES](monitor-using-event-publishing.md).
Anda dapat menyiapkan notifikasi menggunakan konsol Amazon SES atau API Amazon SES.
**Topics**
+ [Pertimbangan penting](#monitor-sending-activity-using-notifications-considerations)
+ [Menerima notifikasi Amazon SES melalui email](monitor-sending-activity-using-notifications-email.md)
+ [Menerima notifikasi Amazon SES menggunakan Amazon SNS](monitor-sending-activity-using-notifications-sns.md)
## Pertimbangan penting
Ada beberapa poin penting yang perlu dipertimbangkan ketika Anda mengatur Amazon SES untuk mengirim notifikasi:
+ Notifikasi email dan Amazon SNS berlaku untuk identitas individu (alamat email atau domain terverifikasi yang Anda gunakan untuk mengirim email). Saat Anda mengaktifkan notifikasi untuk identitas, Amazon SES hanya mengirimkan notifikasi untuk email yang dikirim dari identitas tersebut, dan hanya di AWS Wilayah tempat Anda mengonfigurasi notifikasi.
+ Anda harus mengaktifkan satu metode penerimaan notifikasi pentalan atau aduan. Anda dapat mengirim notifikasi ke domain atau alamat email yang menghasilkan pentalan atau aduan, atau ke topik Amazon SNS. Anda juga dapat menggunakan [penerbitan acara](monitor-using-event-publishing.md) untuk mengirim pemberitahuan tentang beberapa jenis acara (termasuk pantulan, keluhan, pengiriman, dan lainnya) ke topik Amazon SNS atau aliran Firehose.
Jika Anda tidak mengatur salah satu metode notifikasi penerimaan pentalan atau aduan ini, Amazon SES secara otomatis meneruskan notifikasi pentalan dan aduan ke alamat Jalur Kembali (atau alamat Sumber, jika Anda tidak menentukan alamat Jalur Kembali) di email yang mengakibatkan peristiwa pentalan atau aduan, bahkan jika Anda menonaktifkan penerusan umpan balik email.
Jika Anda menonaktifkan penerusan umpan balik email dan mengaktifkan publikasi peristiwa, Anda harus menerapkan set konfigurasi yang berisi aturan publikasi peristiwa untuk semua email yang Anda kirim. Dalam situasi ini, jika Anda tidak menggunakan set konfigurasi, Amazon SES secara otomatis meneruskan notifikasi pentalan dan aduan ke Jalur Kembali atau alamat Sumber di email yang mengakibatkan peristiwa pentalan atau aduan.
+ Jika Anda menyiapkan Amazon SES untuk mengirim peristiwa pentalan dan aduan menggunakan lebih dari satu metode (seperti dengan mengirim notifikasi email dan dengan menggunakan peristiwa pengiriman), Anda mungkin menerima lebih dari satu notifikasi untuk peristiwa yang sama.
# Menerima notifikasi Amazon SES melalui email
Amazon SES dapat mengirimkan email ketika Anda menerima pentalan dan aduan dengan menggunakan proses yang disebut *penerusan umpan balik email*.
Dalam rangka mengirim email menggunakan Amazon SES, Anda harus mengonfigurasinya untuk mengirim notifikasi pentalan dan aduan dengan menggunakan salah satu metode berikut:
+ Dengan mengaktifkan penerusan umpan balik email. Prosedur untuk menyiapkan tipe notifikasi ini disertakan di bagian ini.
+ Dengan mengirimkan notifikasi ke topik Amazon SNS. Untuk informasi lebih lanjut, lihat [Menerima notifikasi Amazon SES menggunakan Amazon SNS](monitor-sending-activity-using-notifications-sns.md).
+ Dengan memublikasikan notifikasi peristiwa. Untuk informasi lebih lanjut, lihat [Pantau pengiriman email menggunakan penerbitan peristiwa Amazon SES](monitor-using-event-publishing.md).
**penting**
Untuk beberapa poin penting tentang notifikasi, lihat [Menyiapkan pemberitahuan acara untuk Amazon SES](monitor-sending-activity-using-notifications.md).
**Topics**
+ [Mengaktifkan penerusan umpan balik email](#monitor-sending-activity-using-notifications-email-enabling)
+ [Menonaktifkan penerusan umpan balik email](#monitor-sending-activity-using-notifications-email-disabling)
+ [Tujuan penerusan umpan balik email](#monitor-sending-activity-using-notifications-email-destination)
## Mengaktifkan penerusan umpan balik email
Penerusan umpan balik email diaktifkan secara default. Jika sebelumnya Anda menonaktifkannya, Anda dapat mengaktifkannya dengan mengikuti prosedur di bagian ini.
**Untuk mengaktifkan penerusan pentalan dan aduan melalui email menggunakan konsol Amazon SES**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar alamat email atau domain terverifikasi, pilih alamat email atau domain yang ingin Anda konfigurasikan notifikasi pentalan dan aduannya.
1. Di panel detail, perluas bagian **Notifikasi**.
1. Pilih **Edit Konfigurasi**.
1. Di bawah **Penerusan Umpan Balik Email**, pilih **Diaktifkan**.
**catatan**
Perubahan yang Anda buat di halaman ini mungkin memerlukan beberapa menit untuk diterapkan.
Anda juga dapat mengaktifkan pemberitahuan pentalan dan keluhan melalui email dengan menggunakan operasi [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Menonaktifkan penerusan umpan balik email
Jika Anda menyiapkan metode yang berbeda dalam memberikan notifikasi pentalan dan aduan, Anda dapat menonaktifkan penerusan umpan balik email sehingga Anda tidak menerima banyak notifikasi ketika terjadi peristiwa pentalan atau aduan.
**Untuk menonaktifkan penerusan pentalan dan aduan melalui email menggunakan konsol Amazon SES**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Dalam daftar alamat email atau domain terverifikasi, pilih alamat email atau domain yang ingin Anda konfigurasikan notifikasi pentalan dan aduannya.
1. Di panel detail, perluas bagian **Notifikasi**.
1. Pilih **Edit Konfigurasi**.
1. Di bawah **Penerusan Umpan Balik Email**, pilih **Dinonaktifkan**.
**catatan**
Anda harus mengonfigurasi salah satu metode penerimaan notifikasi pentalan dan aduan untuk mengirim email melalui Amazon SES. [Jika menonaktifkan penerusan umpan balik email, Anda harus mengaktifkan notifikasi yang dikirim oleh Amazon SNS, atau memublikasikan peristiwa pentalan dan keluhan ke topik Amazon SNS atau aliran Firehose dengan menggunakan penerbitan acara.](monitor-using-event-publishing.md) Jika Anda menggunakan publikasi peristiwa, Anda juga harus menerapkan set konfigurasi yang berisi aturan publikasi peristiwa ke setiap email yang Anda kirim. Jika Anda tidak menyiapkan metode penerimaan notifikasi pentalan dan aduan, Amazon SES secara otomatis meneruskan notifikasi umpan balik melalui email ke alamat di bidang Jalur Kembali (atau bidang Sumber, jika Anda tidak menentukan alamat Jalur Kembali) dari pesan yang mengakibatkan peristiwa pentalan atau aduan. Dalam situasi ini, Amazon SES meneruskan notifikasi pentalan dan aduan bahkan jika Anda menonaktifkan notifikasi umpan balik email.
1. Untuk menyimpan konfigurasi notifikasi Anda, pilih **Simpan Config**.
**catatan**
Perubahan yang Anda buat di halaman ini mungkin perlu beberapa menit untuk diterapkan.
Anda juga dapat menonaktifkan pemberitahuan pentalan dan keluhan melalui email dengan menggunakan operasi [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API.
## Tujuan penerusan umpan balik email
Ketika Anda menerima notifikasi melalui email, Amazon SES menulis ulang header `From` dan mengirimkan notifikasi kepada Anda. Alamat tempat Amazon SES meneruskan notifikasi tergantung pada cara Anda mengirim pesan asli.
Jika Anda menggunakan antarmuka SMTP untuk mengirim pesan, maka notifikasi dikirimkan sesuai dengan aturan berikut:.
+ Jika Anda menentukan `Return-Path` header di `SMTP DATA` bagian tersebut, maka notifikasi masuk ke alamat itu.
+ Jika tidak, pemberitahuan pergi ke alamat yang Anda tentukan saat Anda mengeluarkan perintah MAIL FROM.
Jika Anda menggunakan operasi API `SendEmail` untuk mengirim pesan, maka notifikasi dikirimkan sesuai dengan aturan berikut:
+ Jika Anda menentukan parameter `ReturnPath` opsional dalam panggilan Anda ke API `SendEmail`, maka notifikasi masuk ke alamat tersebut.
+ Jika tidak, notifikasi masuk ke alamat yang ditentukan dalam parameter `Source` dari `SendEmail` yang diperlukan.
Jika Anda menggunakan operasi API `SendRawEmail` untuk mengirim pesan, maka notifikasi dikirimkan sesuai dengan aturan berikut:
+ Jika Anda menentukan `Return-Path` header dalam pesan mentah, maka notifikasi masuk ke alamat itu.
+ Jika tidak, jika Anda menentukan `Source` parameter dalam panggilan Anda ke `SendRawEmail` API, maka notifikasi akan masuk ke alamat tersebut.
+ Sebaliknya, notifikasi masuk ke alamat di header `From` dari pesan mentah.
**catatan**
Ketika Anda menentukan alamat `Return-Path` di email, Anda menerima notifikasi di alamat tersebut. Namun, versi pesan yang diterima oleh penerima berisi header `Return-Path` yang menyertakan alamat email anonim (seperti *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*). Anonimisasi ini terjadi terlepas dari cara Anda mengirim email.
# Menerima notifikasi Amazon SES menggunakan Amazon SNS
Anda dapat mengonfigurasi Amazon SES untuk memberi tahu topik Amazon SNS ketika Anda menerima pentalan atau aduan, atau ketika email dikirim. Notifikasi Amazon SNS dalam format [JavaScript Object Notation (JSON)](http://www.json.org), yang memungkinkan Anda memprosesnya secara terprogram.
Dalam rangka mengirim email menggunakan Amazon SES, Anda harus mengonfigurasinya untuk mengirim notifikasi pentalan dan aduan dengan menggunakan salah satu metode berikut:
+ Dengan mengirimkan notifikasi ke topik Amazon SNS. Prosedur untuk menyiapkan tipe notifikasi ini disertakan di bagian ini.
+ Dengan mengaktifkan penerusan umpan balik email. Untuk informasi lebih lanjut, lihat [Menerima notifikasi Amazon SES melalui email](monitor-sending-activity-using-notifications-email.md).
+ Dengan memublikasikan notifikasi peristiwa. Untuk informasi lebih lanjut, lihat [Pantau pengiriman email menggunakan penerbitan peristiwa Amazon SES](monitor-using-event-publishing.md).
**penting**
Lihat [Menyiapkan pemberitahuan acara untuk Amazon SES](monitor-sending-activity-using-notifications.md) untuk informasi penting tentang notifikasi.
**Topics**
+ [Mengonfigurasi notifikasi Amazon SNS untuk Amazon SES](configure-sns-notifications.md)
+ [Isi notifikasi Amazon SNS untuk Amazon SES](notification-contents.md)
+ [Contoh notifikasi Amazon SNS untuk Amazon SES](notification-examples.md)
# Mengonfigurasi notifikasi Amazon SNS untuk Amazon SES
Amazon SES dapat memberi tahu Anda tentang pentalan, aduan, dan pengiriman Anda melalui [Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns).
Anda dapat mengonfigurasi notifikasi di konsol Amazon SES, atau dengan menggunakan API Amazon SES.
**Topics**
+ [Prasyarat](#configure-feedback-notifications-prerequisites)
+ [Mengonfigurasi notifikasi menggunakan konsol Amazon SES](#configure-feedback-notifications-console)
+ [Mengonfigurasi notifikasi menggunakan API Amazon SES](#configure-feedback-notifications-api)
+ [Pemecahan masalah notifikasi umpan balik](#configure-feedback-notifications-troubleshooting)
## Prasyarat
Selesaikan langkah-langkah berikut sebelum Anda menyiapkan notifikasi Amazon SNS di Amazon SES:
1. Buat topik di Amazon SNS. Untuk informasi lebih lanjut, lihat [Buat Topik](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) di *Panduan Developer Amazon Simple Notification Service*.
**penting**
**Saat Anda membuat topik menggunakan Amazon SNS, untuk **Jenis**, pilih saja Standar.** (SES tidak mendukung topik tipe FIFO.)
Apakah Anda membuat topik SNS baru atau memilih yang sudah ada, Anda perlu memberikan akses ke SES untuk mempublikasikan pemberitahuan ke topik tersebut.
Untuk memberikan izin Amazon SES untuk memublikasikan pemberitahuan ke topik, pada layar **Edit topik** di konsol SNS, perluas **kebijakan Access** dan di **editor JSON**, tambahkan kebijakan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
Buat perubahan berikut ke contoh kebijakan sebelumnya:
+ Ganti *topic\$1region* dengan AWS Wilayah tempat Anda membuat topik SNS.
+ Ganti *111122223333* dengan ID akun AWS Anda.
+ Ganti *topic\$1name* dengan nama topik SNS Anda.
+ Ganti *identity\$1name* dengan identitas terverifikasi (alamat email atau domain) yang Anda berlangganan ke topik SNS.
1. Berlangganan setidaknya satu titik akhir ke topik. Misalnya, jika Anda ingin menerima notifikasi melalui pesan teks, berlanggananlah titik akhir SMS (yaitu nomor ponsel) ke topik tersebut. Untuk menerima notifikasi melalui email, berlanggananlah titik akhir email (alamat email) ke topik tersebut.
Untuk informasi lebih lanjut, lihat [Memulai](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) di *Panduan Developer Amazon Simple Notification Service*.
1. (Opsional) Jika topik Amazon SNS Anda menggunakan AWS Key Management Service (AWS KMS) untuk enkripsi sisi server, Anda harus menambahkan izin ke kebijakan utama. AWS KMS Anda dapat menambahkan izin dengan melampirkan kebijakan berikut ke kebijakan AWS KMS utama:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Mengonfigurasi notifikasi menggunakan konsol Amazon SES
**Untuk mengonfigurasi notifikasi menggunakan konsol Amazon SES**
1. Buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam wadah **Identitas**, pilih identitas terverifikasi yang ingin Anda terima pemberitahuan umpan balik ketika pesan yang dikirim dari identitas ini menghasilkan bouncing, keluhan, atau pengiriman.
**penting**
Pengaturan notifikasi domain terverifikasi berlaku untuk semua email yang dikirim dari alamat email di domain tersebut *kecuali* untuk alamat email yang juga terverifikasi.
1. Di layar detail identitas terverifikasi yang Anda pilih, pilih tab **Pemberitahuan** dan pilih **Edit** di wadah **Pemberitahuan umpan balik**.
1. Perluas kotak daftar topik SNS dari setiap jenis umpan balik yang ingin Anda terima notifikasi, dan pilih topik SNS yang Anda miliki, **Tidak ada topik SNS, atau topik SNS** **yang tidak Anda** miliki.
1. Jika Anda memilih **topik SNS yang tidak Anda miliki**, bidang **ARN topik SNS akan disajikan di mana Anda harus memasukkan topik SNS ARN** yang dibagikan kepada Anda oleh pengirim delegasi Anda. (Hanya pengirim delegasi Anda yang akan mendapatkan notifikasi ini karena mereka memiliki topik SNS. Untuk mempelajari lebih lanjut tentang pengiriman delegasi, lihat[Gambaran umum otorisasi pengiriman](sending-authorization-overview.md).)
**penting**
Topik Amazon SNS yang Anda gunakan untuk pemberitahuan pentalan, keluhan, dan pengiriman harus sama Wilayah AWS dengan yang Anda gunakan Amazon SES.
Selain itu, Anda harus berlangganan satu atau beberapa titik akhir ke topik tersebut untuk menerima notifikasi. Misalnya, jika Anda ingin notifikasi dikirimkan ke suatu alamat email, Anda harus berlangganan titik akhir email ke topik tersebut. Untuk informasi lebih lanjut, lihat [Memulai](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) di *Panduan Developer Amazon Simple Notification Service*.
1. (Opsional) Jika Anda ingin pemberitahuan topik Anda menyertakan header dari email asli, centang **Sertakan header email asli** kotak tepat di bawah nama topik SNS dari setiap jenis umpan balik. Opsi ini hanya tersedia jika Anda telah menetapkan topik Amazon SNS untuk tipe notifikasi terkait. Untuk informasi tentang isi header email asli, lihat objek `mail` di [Isi notifikasi](notification-contents.md).
1. Pilih **Simpan perubahan**. Perubahan yang Anda buat pada pengaturan notifikasi Anda mungkin memerlukan beberapa menit untuk diterapkan.
1. (Opsional) Jika Anda memilih notifikasi topik Amazon SNS untuk pantulan dan keluhan, Anda dapat menonaktifkan notifikasi email sepenuhnya sehingga Anda tidak menerima pemberitahuan ganda melalui email dan notifikasi SNS. **Untuk menonaktifkan pemberitahuan email untuk bouncing dan keluhan, di bawah tab **Notifikasi** pada layar detail identitas terverifikasi, dalam wadah **Penerusan Umpan Balik Email**, pilih **Edit**, hapus centang pada kotak **Diaktifkan**, dan pilih Simpan perubahan.**
Setelah mengonfigurasi pengaturan, Anda akan mulai menerima notifikasi pentalan, aduan, dan pengiriman ke topik Amazon SNS Anda. Notifikasi ini dalam format JavaScript Object Notation (JSON) dan mengikuti struktur yang dijelaskan dalam. [Isi notifikasi](notification-contents.md)
Anda akan dikenakan tarif Amazon SNS standar untuk notifikasi pentalan, aduan, dan pengiriman. Untuk informasi lebih lanjut, lihat [halaman harga Amazon SNS](https://aws.amazon.com/sns/pricing).
**catatan**
Jika upaya untuk memublikasikan ke topik Amazon SNS Anda gagal karena topik telah dihapus atau Anda Akun AWS tidak lagi memiliki izin untuk mempublikasikannya, Amazon SES menghapus konfigurasi untuk topik tersebut jika telah dikonfigurasi untuk pantulan atau keluhan (bukan pengiriman - untuk pemberitahuan pengiriman, SES tidak akan menghapus setelan konfigurasi topik SNS). Selain itu, Amazon SES kembali mengaktifkan notifikasi email pentalan dan aduan untuk identitas, dan Anda menerima notfikasi dari perubahan tersebut melalui email. Jika beberapa identitas dikonfigurasi untuk menggunakan topik tersebut, konfigurasi topik untuk setiap identitas berubah ketika masing-masing identitas mengalami kegagalan untuk memublikasikan ke topik.
## Mengonfigurasi notifikasi menggunakan API Amazon SES
Anda juga dapat mengonfigurasi notifikasi pentalan, aduan, dan pengiriman dengan menggunakan API Amazon SES. Gunakan operasi berikut untuk mengonfigurasi notifikasi:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
Anda dapat menggunakan tindakan API ini untuk menulis aplikasi front-end yang disesuaikan untuk notifikasi. Untuk deskripsi lengkap mengenai tindakan API terkait notifikasi, lihat [Referensi API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
## Pemecahan masalah notifikasi umpan balik
**Tidak menerima notifikasi**
Jika Anda tidak menerima notifikasi, pastikan bahwa Anda berlangganan titik akhir ke topik yang dikirimkan notifikasi. Ketika Anda berlangganan titik akhir email ke topik, Anda menerima email yang meminta Anda untuk mengonfirmasi langganan Anda. Anda harus mengonfirmasi langganan sebelum mulai menerima notifikasi email. Untuk informasi lebih lanjut, lihat [Memulai](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) di *Panduan Developer Amazon Simple Notification Service*.
**Kesalahan `InvalidParameterValue` saat memilih topik**
Jika Anda menerima kesalahan yang menyatakan bahwa terjadi kesalahan `InvalidParameterValue`, periksa topik Amazon SNS untuk melihat jika dienkripsi menggunakan AWS KMS. Jika ya, Anda harus mengubah kebijakan untuk AWS KMS kunci tersebut. Lihat [Prasyarat](#configure-feedback-notifications-prerequisites) untuk kebijakan sampel.
# Isi notifikasi Amazon SNS untuk Amazon SES
Pemberitahuan pantulan, keluhan, dan pengiriman dipublikasikan ke topik [Amazon Simple Notification Service (Amazon SNS) dalam format JavaScript Object Notation (JSON)](https://aws.amazon.com/sns). Tingkat atas objek JSON berisi string `notificationType`, objek `mail`, dan objek `bounce`, objek `complaint`, atau objek `delivery`.
Lihat bagian berikut untuk deskripsi berbagai tipe objek:
+ [Objek JSON tingkat atas](#top-level-json-object)
+ [objek `mail`](#mail-object)
+ [Objek `bounce`](#bounce-object)
+ [Objek `complaint`](#complaint-object)
+ [Objek `delivery`](#delivery-object)
Berikut ini adalah beberapa catatan penting tentang isi notifikasi Amazon SNS untuk Amazon SES:
+ Untuk tipe notifikasi tertentu, Anda mungkin menerima satu notifikasi Amazon SNS untuk beberapa penerima, atau Anda mungkin menerima satu notifikasi Amazon SNS per penerima. Kode Anda harus dapat mengurai notifikasi Amazon SNS dan menangani kedua kasus; SES tidak membuat jaminan pemesanan atau pengelompokan untuk notifikasi yang dikirim melalui Amazon SNS. Namun, tipe notifikasi Amazon SNS yang berbeda (misalnya, pentalan dan aduan) tidak digabungkan menjadi satu notifikasi.
+ Anda mungkin menerima beberapa tipe notifikasi Amazon SNS untuk satu penerima. Misalnya, server email penerima mungkin menerima email tersebut (memicu notifikasi pengiriman), tapi setelah memproses email, server email penerima mungkin menentukan bahwa email tersebut benar-benar menghasilkan pentalan (memicu notifikasi pentalan). Namun, notifikasi ini selalu terpisah karena notifikasi tersebut merupakan tipe notifikasi yang berbeda.
+ SES berhak untuk menambahkan bidang tambahan ke notifikasi. Dengan demikian, aplikasi yang mengurai notifikasi ini harus cukup fleksibel untuk menangani bidang yang tidak diketahui.
+ SES menimpa header pesan saat mengirim email. Anda dapat mengambil header pesan asli dari bidang `headers` dan `commonHeaders` dari objek `mail`.
## Objek JSON Tingkat Atas
Objek JSON tingkat atas dalam pemberitahuan SES berisi bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| notificationType | String yang memiliki tipe notifikasi yang diwakili oleh objek JSON. Kemungkinan nilai adalah: `Bounce`, `Complaint`, atau `Delivery`. Jika Anda [menyiapkan penerbitan acara](monitor-sending-using-event-publishing-setup.md), bidang ini diberi nama`eventType`. |
| mail | Objek JSON yang berisi informasi tentang email asli yang dikaitkan dengan notifikasi. Untuk informasi lebih lanjut, lihat [Objek surat](#mail-object). |
| bounce | Bidang ini muncul hanya jika `notificationType` adalah `Bounce` dan berisi objek JSON yang menyimpan informasi tentang pentalan. Untuk informasi lebih lanjut, lihat [Objek pentalan](#bounce-object). |
| complaint | Bidang ini muncul hanya jika `notificationType` adalah `Complaint` dan berisi objek JSON yang menyimpan informasi tentang aduan. Untuk informasi lebih lanjut, lihat [Objek aduan](#complaint-object). |
| delivery | Bidang ini muncul hanya jika `notificationType` adalah `Delivery` dan berisi objek JSON yang menyimpan informasi tentang pengiriman. Untuk informasi lebih lanjut, lihat [Objek pengiriman](#delivery-object). |
## Objek surat
Setiap notifikasi pentalan, aduan, atau pengiriman berisi informasi tentang email asli di objek `mail`. Objek JSON yang berisi informasi tentang objek `mail` memiliki bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| timestamp | Waktu di mana pesan asli dikirim (dalam ISO8601 format). |
| messageId | ID unik yang ditetapkan SES ke pesan. SES mengembalikan nilai ini kepada Anda saat Anda mengirim pesan. ID pesan ini ditetapkan oleh SES. Anda dapat menemukan ID pesan dari email asli di `headers` bidang `mail` objek. |
| source | Alamat email tempat pesan asli dikirim (alamat envelope MAIL FROM). |
| sourceArn | Amazon Resource Name (ARN) dari identitas yang digunakan untuk mengirim email. Dalam hal otorisasi pengiriman, `sourceArn` adalah ARN identitas yang pemilik identitasnya mengotorisasi penggunaan pengirim delegasi untuk mengirim email. Untuk informasi selengkapnya tentang otorisasi pengiriman, lihat [Metode autentikasi emailMenggunakan otorisasi pengiriman](sending-authorization.md). |
| sourceIp | Alamat IP publik yang berasal dari klien yang melakukan permintaan pengiriman email ke SES. |
| sendingAccountId | Akun AWS ID akun yang digunakan untuk mengirim email. Dalam hal otorisasi pengiriman, `sendingAccountId` adalah ID akun pengirim delegasi. |
| callerIdentity | Identitas IAM dari pengguna SES yang mengirim email. |
| destination | Daftar alamat email yang merupakan penerima email asli. |
| headersTruncated | Objek ini ada hanya jika Anda mengonfigurasi pengaturan notifikasi untuk menyertakan header dari email asli. Menunjukkan jika header dipotong dalam notifikasi. SES memotong header dalam notifikasi ketika header dari pesan asli berukuran 10 KB atau lebih besar. Kemungkinan nilai adalah `true` dan `false`. |
| headers | Objek ini ada hanya jika Anda mengonfigurasi pengaturan notifikasi untuk menyertakan header dari email asli. Daftar header asli email. Setiap header dalam daftar memiliki bidang `name` dan bidang `value`. Setiap ID pesan dalam `headers` objek berasal dari pesan asli yang Anda kirimkan ke SES. ID pesan yang selanjutnya ditetapkan SES ke pesan ada di `messageId` bidang `mail` objek. |
| commonHeaders | Objek ini ada hanya jika Anda mengonfigurasi pengaturan notifikasi untuk menyertakan header dari email asli. Mencakup informasi tentang header email umum dari email asli, termasuk bidang Dari, Kepada, dan Subjek. Dalam objek ini, setiap header adalah kunci. Bidang Dari dan Kepada diwakili oleh array yang dapat berisi beberapa nilai. Untuk peristiwa, ID pesan apa pun dalam `commonHeaders` bidang adalah ID pesan yang kemudian ditetapkan Amazon SES ke pesan di `messageId` bidang objek email. Notifikasi akan berisi ID pesan dari email asli. |
Berikut ini adalah contoh dari objek `mail` yang mencakup header email asli. Ketika tipe notifikasi ini tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" "
},
{
"name":"To",
"value":"\"Recipient Name\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Mon, 08 Oct 2018 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"Sender Name "
],
"date":"Mon, 08 Oct 2018 14:05:45 +0000",
"to":[
"Recipient Name "
],
"messageId":" custom-message-ID",
"subject":"Message sent using SES"
}
}
```
## Objek pentalan
Objek JSON yang berisi informasi tentang pentalan berisi bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| bounceType | Jenis pantulan, sebagaimana ditentukan oleh SES. Untuk informasi selengkapnya, lihat [Tipe pentalan](#bounce-types). |
| bounceSubType | Subtipe pantulan, sebagaimana ditentukan oleh SES. Untuk informasi selengkapnya, lihat [Tipe pentalan](#bounce-types). |
| bouncedRecipients | Daftar yang berisi informasi tentang penerima email asli yang terpental. Untuk informasi selengkapnya, lihat [Penerima yang terpental](#bounced-recipients). |
| timestamp | Tanggal dan waktu di mana pantulan dikirim (dalam ISO8601 format). Perhatikan bahwa ini adalah waktu di mana pemberitahuan dikirim oleh ISP, dan bukan waktu di mana pemberitahuan itu diterima oleh SES. |
| feedbackId | ID unik untuk pentalan. |
Jika SES dapat menghubungi Otoritas Transfer Pesan jarak jauh (MTA), bidang berikut juga ada.
| Nama bidang | Deskripsi |
| --- | --- |
| remoteMtaIp | Alamat IP MTA tempat SES berusaha mengirimkan email. |
Jika notifikasi status pengiriman (DSN) terlampir pada pentalan, bidang berikut ini juga ada.
| Nama bidang | Deskripsi |
| --- | --- |
| reportingMTA | Nilai bidang `Reporting-MTA` dari DSN. Ini adalah nilai MTA yang berusaha untuk melakukan pengiriman, relai, atau operasi gateway yang dijelaskan di DSN. |
Berikut ini adalah contoh dari objek `bounce`.
```
{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"status":"5.0.0",
"action":"failed",
"diagnosticCode":"smtp; 550 user unknown",
"emailAddress":"recipient1@example.com"
},
{
"status":"4.0.0",
"action":"delayed",
"emailAddress":"recipient2@example.com"
}
],
"reportingMTA": "example.com",
"timestamp":"2012-05-25T14:59:38.605Z",
"feedbackId":"000001378603176d-5a4b5ad9-6f30-4198-a8c3-b1eb0c270a1d-000000",
"remoteMtaIp":"127.0.2.0"
}
```
### Penerima yang terpental
Notifikasi pentalan mungkin berkaitan dengan satu penerima atau beberapa penerima. Bidang `bouncedRecipients` memiliki daftar objek—satu per penerima yang berkaitan dengan notifikasi pentalan—dan selalu berisi bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| emailAddress | Alamat email penerima. Jika DSN tersedia, ini adalah nilai bidang `Final-Recipient` dari DSN. |
Secara opsional, jika DSN dilampirkan ke pentalan, bidang berikut mungkin juga ada.
| Nama bidang | Deskripsi |
| --- | --- |
| action | Nilai bidang `Action` dari DSN. Hal ini menunjukkan tindakan yang dilakukan oleh Pelaporan-MTA sebagai hasil dari usahanya untuk mengirimkan pesan kepada penerima ini. |
| status | Nilai bidang `Status` dari DSN. Ini adalah kode status bebas-transportasi per penerima yang menunjukkan status penyampaian pesan. |
| diagnosticCode | Kode status yang dikeluarkan oleh MTA pelaporan. Ini adalah nilai bidang `Diagnostic-Code` dari DSN. Bidang ini mungkin tidak ada di DSN (sehingga juga tidak ada di JSON). |
Berikut ini adalah contoh objek yang mungkin ada di daftar `bouncedRecipients`.
```
{
"emailAddress": "recipient@example.com",
"action": "failed",
"status": "5.0.0",
"diagnosticCode": "X-Postfix; unknown user"
}
```
### Tipe pentalan
Objek bouncing berisi jenis bouncing`Undetermined`, `Permanent` *(keras)*, atau `Transient` *(lunak*). Jenis bouncing `Permanent` *(keras)* dan `Transient` *(lunak)* juga dapat berisi salah satu dari beberapa subtipe bouncing.
Saat menerima pemberitahuan bouncing dengan tipe bouncing `Transient` *(lunak)*, Anda mungkin dapat mengirim email ke penerima tersebut di masa mendatang jika masalah yang menyebabkan pesan terpental teratasi.
Ketika Anda menerima pemberitahuan bouncing dengan tipe bouncing `Permanent` *(hard)*, kecil kemungkinannya Anda akan dapat mengirim email ke penerima tersebut di masa mendatang. Untuk alasan ini, Anda harus segera menghapus penerima alamat yang menghasilkan pentalan tersebut dari milis Anda.
**catatan**
Ketika *soft bounce* (bouncing yang terkait dengan masalah sementara, seperti kotak masuk penerima penuh) terjadi, SES mencoba mengirim ulang email untuk jangka waktu tertentu. Pada akhir periode waktu itu, jika SES masih tidak dapat mengirimkan email, ia berhenti mencoba.
SES memberikan pemberitahuan untuk pantulan keras, dan untuk pantulan lunak yang berhenti mencoba mengirimkannya. Jika Anda ingin menerima notifikasi setiap kali terjadi pentalan lunak, [aktifkan publikasi peristiwa](monitor-sending-using-event-publishing-setup.md) dan konfigurasikan untuk mengirim notifikasi ketika peristiwa penundaan pengiriman terjadi.
| bounceType | bounceSubType | Deskripsi |
| --- | --- | --- |
| Undetermined | Undetermined | Penyedia email penerima mengirim pesan pentalan. Pesan bouncing tidak berisi informasi yang cukup bagi SES untuk menentukan alasan pantulan. Email pentalan, yang dikirim ke alamat di header Jalur Kembali email yang mengakibatkan pentalan, mungkin berisi informasi tambahan tentang masalah yang menyebabkan email terpental. |
| Permanent | General | Penyedia email penerima mengirim pesan hard bounce. Ketika Anda menerima tipe notifikasi pentalan ini, Anda harus segera menghapus alamat email penerima tersebut dari milis Anda. Mengirim pesan ke alamat yang menghasilkan pentalan keras dapat berdampak negatif pada reputasi Anda sebagai pengirim. Jika Anda terus mengirim email ke alamat yang menghasilkan pentalan keras, kami mungkin menjeda kemampuan Anda untuk mengirim email tambahan. Lihat [Menggunakan daftar penindasan tingkat akun Amazon SES](sending-email-suppression-list.md). |
| Permanent | NoEmail | Itu tidak mungkin untuk mengambil alamat email penerima dari pesan bouncing. |
| Permanent | Suppressed | Alamat email penerima ada di daftar penindasan SES karena memiliki riwayat baru-baru ini menghasilkan pantulan keras. Untuk mengganti daftar penindasan global, lihat. [Menggunakan daftar penindasan tingkat akun Amazon SES](sending-email-suppression-list.md) |
| Permanent | OnAccountSuppressionList | SES telah menekan pengiriman ke alamat ini karena ada di daftar penekanan [tingkat akun](sending-email-suppression-list.md). Ini tidak dihitung terhadap metrik rasio pentalan Anda. |
| Permanent | UnsubscribedRecipient | Jenis bouncing ini terjadi ketika kontak penerima telah berhenti berlangganan dari topik dan email dikirim kepada mereka menggunakan opsi manajemen [daftar](sending-email-list-management.md#configuring-list-management-list-contacts). SES menghormati preferensi kontak dan tidak mencoba pengiriman. Selain itu, bouncing ini tidak memengaruhi reputasi pengirim karena pengiriman tidak dicoba, kontak penerima juga tidak ditambahkan ke daftar penindasan karena pantulan. Disarankan agar Anda berlangganan UnsubscribedRecipient acara untuk menghindari pengiriman terus ke penerima yang berhenti berlangganan. Pertimbangkan[Menggunakan pengelolaan daftar](sending-email-list-management.md). Manajemen daftar harus menjadi sumber kebenaran untuk daftar pelanggan Anda. Dari perspektif penegakan SES, jika Anda terus mengirim ke penerima yang ditekan atau berhenti berlangganan, Anda akan memiliki reputasi tidak mengikuti praktik terbaik untuk pengiriman email. |
| Transient | General | Penyedia email penerima mengirim pesan pentalan umum. Anda mungkin dapat mengirim pesan ke penerima yang sama di masa mendatang jika masalah yang menyebabkan pesan terpental teratasi. Jika Anda mengirim email ke penerima yang memiliki aturan respons otomatis yang aktif (seperti pesan "di luar kantor"), Anda mungkin menerima tipe notifikasi ini. Meskipun respons memiliki jenis notifikasi`Bounce`, SES tidak menghitung respons otomatis saat menghitung rasio pentalan untuk akun Anda. |
| Transient | MailboxFull | Penyedia email penerima mengirim pesan pentalan karena kotak masuk penerima penuh. Anda mungkin dapat mengirim ke penerima yang sama di masa mendatang ketika kotak pesan tidak lagi penuh. |
| Transient | MessageTooLarge | Penyedia email penerima mengirim pesan pentalan karena pesan yang Anda kirim terlalu besar. Anda mungkin dapat mengirim pesan ke penerima yang sama jika Anda mengurangi ukuran pesan. |
| Transient | ContentRejected | Penyedia email penerima mengirim pesan pentalan karena pesan yang Anda kirim berisi konten yang tidak diizinkan oleh penyedia. Anda mungkin dapat mengirim pesan ke penerima yang sama jika mengubah konten pesan. |
| Transient | AttachmentRejected | Penyedia email penerima mengirim pesan pentalan karena pesan berisi lampiran yang tidak dapat diterima. Misalnya, beberapa penyedia email mungkin menolak pesan dengan lampiran tipe file tertentu, atau pesan dengan lampiran yang sangat besar. Anda mungkin dapat mengirim pesan ke penerima yang sama jika Anda menghapus atau mengubah konten lampiran. |
## Objek aduan
Objek JSON yang berisi informasi tentang aduan memiliki bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| complainedRecipients | Daftar yang berisi informasi tentang penerima yang mungkin bertanggung jawab atas aduan tersebut. Untuk informasi lebih lanjut, lihat [Penerima yang diadukan](#complained-recipients). |
| timestamp | Tanggal dan waktu saat ISP mengirimkan notifikasi aduan, dalam format ISO 8601. Tanggal dan waktu di bidang ini mungkin tidak sama dengan tanggal dan waktu saat SES menerima pemberitahuan. |
| feedbackId | ID unik yang terkait dengan aduan tersebut. |
| complaintSubType | Nilai bidang `complaintSubType` dapat null atau `OnAccountSuppressionList`. Jika nilainya`OnAccountSuppressionList`, SES menerima pesan tersebut, tetapi tidak mencoba mengirimkannya karena ada di daftar [penekanan tingkat akun](sending-email-suppression-list.md). |
Selanjutnya, jika laporan umpan balik dilampirkan pada aduan, bidang berikut mungkin ada.
| Nama bidang | Deskripsi |
| --- | --- |
| userAgent | Nilai bidang `User-Agent` dari laporan umpan balik. Nilai ini menunjukkan nama dan versi sistem yang menghasilkan laporan. |
| complaintFeedbackType | Nilai bidang `Feedback-Type` dari laporan umpan balik yang diterima dari ISP. Ini berisi tipe umpan balik. |
| arrivalDate | Nilai `Arrival-Date` atau `Received-Date` bidang dari laporan umpan balik (dalam ISO8601 format). Bidang ini mungkin tidak ada dalam laporan (sehingga juga tidak ada dalam JSON). |
Berikut ini adalah contoh dari objek `complaint`.
```
{
"userAgent":"ExampleCorp Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"recipient1@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2009-12-03T04:24:21.000-05:00",
"timestamp":"2012-05-25T14:59:38.623Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
}
```
### Penerima yang diadukan
Bidang `complainedRecipients` berisi daftar penerima yang mungkin telah mengirimkan aduan. Anda harus menggunakan informasi ini untuk menentukan penerima mana yang mengajukan keluhan, dan kemudian segera menghapus penerima itu dari milis Anda.
**penting**
Sebagian besar ISPs menghapus alamat email penerima yang mengajukan keluhan dari pemberitahuan keluhan mereka. Untuk alasan ini, daftar ini berisi informasi tentang penerima yang mungkin telah mengirim aduan, berdasarkan penerima pesan asli dan ISP tempat kami menerima aduan tersebut. SES melakukan pencarian terhadap pesan asli untuk menentukan daftar penerima ini.
Objek JSON dalam daftar ini berisi bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| emailAddress | Alamat email penerima. |
Berikut ini adalah contoh objek penerima yang diadukan.
```
{ "emailAddress": "recipient1@example.com" }
```
**catatan**
Karena perilaku ini, Anda dapat lebih yakin bahwa Anda mengetahui alamat email yang mengadu tentang pesan Anda jika Anda membatasi pengiriman ke satu pesan per penerima (daripada mengirim satu pesan dengan 30 alamat email yang berbeda di baris bcc).
#### Tipe aduan
Anda mungkin melihat tipe aduan berikut di bidang `complaintFeedbackType` seperti yang ditetapkan oleh ISP pelaporan, menurut [situs web Internet Assigned Numbers Authority](http://www.iana.org/assignments/marf-parameters/marf-parameters.xml#marf-parameters-2):
+ `abuse`—Menunjukkan email yang tidak diminta atau jenis penyalahgunaan email lainnya.
+ `auth-failure`—Laporan kegagalan autentikasi email.
+ `fraud`—Menunjukkan beberapa jenis penipuan atau aktivitas pengelabuan.
+ `not-spam`—Menunjukkan bahwa entitas yang menyediakan laporan tidak menganggap pesan tersebut sebagai spam. Tindakan ini dapat digunakan untuk memperbaiki pesan yang salah ditandai atau dikategorikan sebagai spam.
+ `other`—Menunjukkan umpan balik lain yang tidak sesuai dengan tipe terdaftar lainnya.
+ `virus`—Laporan bahwa virus ditemukan dalam pesan asal.
## Objek pengiriman
Objek JSON yang berisi informasi tentang pengiriman selalu memiliki bidang berikut.
| Nama bidang | Deskripsi |
| --- | --- |
| timestamp | Waktu SES mengirimkan email ke server email penerima (dalam ISO8601 format). |
| processingTimeMillis | Waktu dalam milidetik antara saat SES menerima permintaan dari pengirim untuk meneruskan pesan ke server email penerima. |
| recipients | Daftar penerima yang dimaksudkan dari email yang diterapkan notifikasi pengiriman. |
| smtpResponse | Pesan respons SMTP dari ISP jarak jauh yang menerima email dari SES. Pesan ini bervariasi menurut email, menurut server email penerima, dan menurut ISP penerima. |
| reportingMTA | Nama host dari server surat SES yang mengirim surat. |
| remoteMtaIp | Alamat IP MTA tempat SES mengirimkan email. |
Berikut ini adalah contoh dari objek `delivery`.
```
{
"timestamp":"2014-05-28T22:41:01.184Z",
"processingTimeMillis":546,
"recipients":["success@simulator.amazonses.com"],
"smtpResponse":"250 ok: Message 64111812 accepted",
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"remoteMtaIp":"127.0.2.0"
}
```
# Contoh notifikasi Amazon SNS untuk Amazon SES
Bagian berikut memberikan contoh tiga tipe notifikasi:
+ Untuk contoh notifikasi pentalan, lihat [Contoh notifikasi pentalan Amazon SNS](#notification-examples-bounce).
+ Untuk contoh notifikasi aduan, lihat [Contoh notifikasi aduan Amazon SNS](#notification-examples-complaint).
+ Untuk contoh notifikasi pengiriman, lihat [Contoh notifikasi pengiriman Amazon SNS](#notification-examples-delivery).
## Contoh notifikasi pentalan Amazon SNS
Bagian ini berisi contoh notifikasi pentalan dengan dan tanpa Delivery Status Notification (DSN) yang disediakan oleh penerima email yang mengirimkan umpan balik.
### Notifikasi pentalan dengan DSN
Berikut ini adalah contoh dari notifikasi pentalan yang berisi DSN dan header email asli. Ketika notifikasi pentalan tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` dalam notifikasi tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"reportingMTA":"dns; email.example.com",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com",
"status":"5.1.1",
"action":"failed",
"diagnosticCode":"smtp; 550 5.1.1 ... User"
}
],
"bounceSubType":"General",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa068a-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"messageId":"00000138111222aa-33322211-cccc-cccc-cccc-ddddaaaa0680-000000",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notifikasi pentalan tanpa DSN
Berikut ini adalah contoh dari notifikasi pentalan yang menyertakan header email asli tetapi tidak menyertakan DSN. Ketika notifikasi pentalan tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` dalam notifikasi tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"notificationType":"Bounce",
"bounce":{
"bounceType":"Permanent",
"bounceSubType": "General",
"bouncedRecipients":[
{
"emailAddress":"jane@example.com"
},
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"00000137860315fd-869464a4-8680-4114-98d3-716fe35851f9-000000",
"remoteMtaIp":"127.0.2.0"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"00000137860315fd-34208509-5b74-41f3-95c5-22c1edc3c924-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Contoh notifikasi aduan Amazon SNS
Bagian ini berisi contoh notifikasi aduan dengan dan tanpa laporan umpan balik yang diberikan oleh penerima email yang mengirimkan umpan balik.
### Notifikasi aduan dengan laporan umpan balik
Berikut ini adalah notifikasi aduan yang berisi laporan umpan balik dan header email asli. Ketika notifikasi aduan tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` dalam notifikasi tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"userAgent":"AnyCompany Feedback Loop (V0.01)",
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"complaintFeedbackType":"abuse",
"arrivalDate":"2016-01-27T14:59:38.237Z",
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"000001378603177f-18c07c78-fa81-4a58-9dd1-fedc3cb8f49a-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
### Notifikasi aduan tanpa laporan umpan balik
Berikut ini adalah contoh notifikasi aduan yang menyertakan header email asli namun tidak menyertakan laporan umpan balik. Ketika notifikasi aduan tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` dalam notifikasi tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"notificationType":"Complaint",
"complaint":{
"complainedRecipients":[
{
"emailAddress":"richard@example.com"
}
],
"timestamp":"2016-01-27T14:59:38.237Z",
"feedbackId":"0000013786031775-fea503bc-7497-49e1-881b-a0379bb037d3-000000"
},
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000013786031775-163e3910-53eb-4c8e-a04a-f29debf88a84-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com",
"mary@example.com",
"richard@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" , \"Mary Doe\" , \"Richard Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:05:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:05:45 +0000",
"to":[
"Jane Doe , Mary Doe , Richard Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
}
}
```
## Contoh notifikasi pengiriman Amazon SNS
Berikut ini adalah contoh notifikasi pengiriman yang menyertakan header email asli. Ketika notifikasi pengiriman tidak dikonfigurasi untuk menyertakan header email asli, objek `mail` dalam notifikasi tidak menyertakan bidang `headersTruncated`, `headers`, dan `commonHeaders`.
```
{
"notificationType":"Delivery",
"mail":{
"timestamp":"2016-01-27T14:59:38.237Z",
"messageId":"0000014644fe5ef6-9a483358-9170-4cb4-a269-f5dcdf415321-000000",
"source":"john@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"callerIdentity": "IAM_user_or_role_name",
"destination":[
"jane@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"John Doe\" "
},
{
"name":"To",
"value":"\"Jane Doe\" "
},
{
"name":"Message-ID",
"value":"custom-message-ID"
},
{
"name":"Subject",
"value":"Hello"
},
{
"name":"Content-Type",
"value":"text/plain; charset=\"UTF-8\""
},
{
"name":"Content-Transfer-Encoding",
"value":"base64"
},
{
"name":"Date",
"value":"Wed, 27 Jan 2016 14:58:45 +0000"
}
],
"commonHeaders":{
"from":[
"John Doe "
],
"date":"Wed, 27 Jan 2016 14:58:45 +0000",
"to":[
"Jane Doe "
],
"messageId":"custom-message-ID",
"subject":"Hello"
}
},
"delivery":{
"timestamp":"2016-01-27T14:59:38.237Z",
"recipients":["jane@example.com"],
"processingTimeMillis":546,
"reportingMTA":"a8-70.smtp-out.amazonses.com",
"smtpResponse":"250 ok: Message 64111812 accepted",
"remoteMtaIp":"127.0.2.0"
}
}
```
# Menggunakan otorisasi identitas di Amazon SES
Kebijakan otorisasi identitas menentukan bagaimana identitas terverifikasi individu dapat menggunakan Amazon SES dengan menentukan tindakan SES API mana yang diizinkan atau ditolak untuk identitas dan dalam kondisi apa.
Melalui penggunaan kebijakan otorisasi ini, Anda dapat mempertahankan kendali atas identitas Anda dengan mengubah atau mencabut izin kapan saja. Anda bahkan dapat mengizinkan pengguna lain untuk menggunakan identitas yang Anda miliki (domain atau alamat email) dengan akun SES mereka sendiri.
**Topics**
+ [Anatomi kebijakan Amazon SES](policy-anatomy.md)
+ [Membuat kebijakan otorisasi identitas di Amazon SES](identity-authorization-policies-creating.md)
+ [Contoh kebijakan identitas di Amazon SES](identity-authorization-policy-examples.md)
+ [Mengelola kebijakan otorisasi identitas Anda di Amazon SES](managing-policies.md)
# Anatomi kebijakan Amazon SES
Kebijakan mematuhi struktur tertentu, mengandung elemen, dan harus memenuhi persyaratan tertentu.
## Struktur kebijakan
Setiap kebijakan otorisasi adalah dokumen JSON yang dilampirkan pada identitas. Setiap kebijakan mencakup bagian berikut:
+ Informasi untuk seluruh kebijakan di bagian atas dokumen.
+ Satu atau beberapa pernyataan individu, masing-masing menjelaskan satu set izin.
*Contoh kebijakan berikut memberikan izin ID AWS akun *123456789012* yang ditentukan di bagian *Tindakan* untuk domain terverifikasi example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Anda dapat menemukan lebih banyak contoh kebijakan otorisasi di[Contoh kebijakan identitas](identity-authorization-policy-examples.md).
## Elemen kebijakan
Bagian ini menjelaskan elemen-elemen yang terkandung dalam kebijakan otorisasi identitas. Pertama kami menjelaskan elemen kebijakan secara keseluruhan, lalu kami menjelaskan elemen yang hanya berlaku untuk pernyataan tempat elemen tersebut disertakan. Kami selanjutnya mengadakan diskusi tentang cara menambahkan syarat untuk pernyataan Anda.
Untuk informasi spesifik tentang sintaksis elemen, lihat [Tata Bahasa Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) di *Panduan Pengguna IAM*.
### Informasi kebijakan keseluruhan
Ada dua elemen kebijakan secara keseluruhan: `Id` dan `Version`. Tabel berikut memberikan informasi tentang elemen-elemen ini.
****
| Nama | Deskripsi | Wajib | Nilai valid |
| --- | --- | --- | --- |
| `Id` | Secara unik mengidentifikasi kebijakan. | Tidak | String apa pun |
| `Version` | Menentukan versi bahasa akses kebijakan. | Tidak | String apa pun. Sebagai praktik terbaik, sebaiknya sertakan bidang ini dengan nilai "2012-10-17". |
### Pernyataan khusus untuk kebijakan
Kebijakan otorisasi identitas memerlukan setidaknya satu pernyataan. Setiap pernyataan dapat mencakup elemen yang dijelaskan di tabel berikut.
****
| Nama | Deskripsi | Wajib | Nilai valid |
| --- | --- | --- | --- |
| `Sid` | Secara unik mengidentifikasi pernyataan. | Tidak | String apa pun. |
| `Effect` | Menentukan hasil yang Anda inginkan dikembalikan oleh pernyataan kebijakan pada waktu evaluasi. | Ya | "Izinkan" atau "Tolak". |
| `Resource` | Menentukan identitas dengan kebijakan yang berlaku. (Untuk [mengirim otorisasi](sending-authorization-identity-owner-tasks-policy.md), ini adalah alamat email atau domain yang pemilik identitas memberi wewenang kepada pengirim delegasi untuk digunakan.) | Ya | Nama Sumber Daya Amazon (ARN) dari identitas. |
| `Principal` | Menentukan Akun AWS, pengguna, atau AWS layanan yang menerima izin dalam pernyataan. | Ya | Akun AWS ID, ARN pengguna, atau AWS layanan yang valid. Akun AWS IDs dan pengguna ARNs ditentukan menggunakan `"AWS"` (misalnya, `"AWS": ["123456789012"]` atau`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS nama layanan ditentukan menggunakan `"Service"` (misalnya,`"Service": ["cognito-idp.amazonaws.com"]`). Untuk contoh format pengguna ARNs, lihat [Referensi Umum AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Menentukan tindakan yang berlaku untuk pernyataan tersebut. | Ya | “ses: BatchGetMetricData “, “ses: CancelExportJob “, “ses: CreateDeliverabilityTestReport “, CreateEmailIdentityPolicy “ses: “, CreateExportJob “ses: “, DeleteEmailIdentity “ses: “, DeleteEmailIdentityPolicy “ses: “, GetDomainStatisticsReport “ses: GetEmailIdentity “, “ses: GetEmailIdentityPolicies “, "ses: GetExportJob “, “ses: ListExportJobs “, “ses: ListRecommendations “, “ses: PutEmailIdentityConfigurationSetAttributes “, “ses: PutEmailIdentityDkimAttributes “, PutEmailIdentityDkimSigningAttributes “ses: “, PutEmailIdentityFeedbackAttributes “ses: “, PutEmailIdentityMailFromAttributes “ses: “, TagResource “ses: UntagResource “, “ses:UpdateEmailIdentityPolicy” ([Mengirim tindakan otorisasi](sending-authorization-identity-owner-tasks-policy.md): “ses: SendEmail “, “ses: SendRawEmail “, “ses: SendTemplatedEmail “, “ses: SendBulkTemplatedEmail “) Anda dapat menentukan satu atau beberapa operasi ini. |
| `Condition` | Menentukan pembatasan atau detail tentang izin. | Tidak | Lihat informasi tentang syarat pada tabel berikut ini. |
### Ketentuan
*Syarat* adalah pembatasan tentang izin di pernyataan. Bagian dari pernyataan yang menentukan syarat dapat menjadi yang paling detail dari semua bagian. *Kunci* adalah karakteristik spesifik yang menjadi dasar pembatasan akses, seperti tanggal dan waktu permintaan.
Anda menggunakan syarat maupun kunci secara bersama-sama untuk mengekspresikan pembatasan. Misalnya, jika Anda ingin membatasi pengirim delegasi membuat permintaan ke Amazon SES atas nama Anda setelah 30 Juli 2019, Anda menggunakan syarat yang disebut `DateLessThan`. Anda menggunakan kunci yang disebut `aws:CurrentTime` dan mengaturnya ke nilai `2019-07-30T00:00:00Z`.
SES hanya mengimplementasikan kunci kebijakan AWS-wide berikut:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Untuk informasi selengkapnya tentang kunci ini, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Persyaratan kebijakan
Kebijakan harus memenuhi semua persyaratan berikut:
+ Setiap kebijakan harus menyertakan setidaknya satu pernyataan.
+ Setiap kebijakan harus menyertakan setidaknya satu prinsipiel yang valid.
+ Setiap kebijakan harus menentukan satu sumber daya, dan sumber daya tersebut harus ARN dari identitas yang dilampirkan pada kebijakan.
+ Pemilik identitas dapat mengaitkan hingga 20 kebijakan dengan setiap identitas unik.
+ Kebijakan tidak boleh melebihi 4 kilobyte (KB).
+ Nama kebijakan tidak boleh melebihi 64 karakter. Selain itu, kebijakan hanya dapat menyertakan karakter alfanumerik, tanda hubung, dan garis bawah.
# Membuat kebijakan otorisasi identitas di Amazon SES
Kebijakan otorisasi identitas terdiri dari pernyataan yang menentukan tindakan API apa yang diizinkan atau ditolak untuk identitas dan dalam kondisi apa.
Untuk mengotorisasi domain Amazon SES atau identitas alamat email yang Anda miliki, Anda membuat kebijakan otorisasi, lalu lampirkan kebijakan tersebut ke identitas tersebut. Identitas dapat memiliki nol, satu, atau banyak kebijakan. Namun, satu kebijakan hanya dapat dikaitkan dengan satu identitas.
Untuk daftar tindakan API yang dapat digunakan dalam kebijakan otorisasi identitas, lihat baris *Tindakan* dalam [Pernyataan khusus untuk kebijakan](policy-anatomy.md#identity-authorization-policy-statements) tabel.
Anda dapat membuat kebijakan otorisasi identitas dengan cara berikut:
+ **Dengan menggunakan pembuat kebijakan** — Anda dapat membuat kebijakan sederhana dengan menggunakan pembuat kebijakan di konsol SES. Selain mengizinkan atau menolak izin pada tindakan SES API, Anda dapat membatasi tindakan dengan kondisi. Anda juga dapat menggunakan pembuat kebijakan untuk membuat struktur dasar kebijakan dengan cepat dan kemudian menyesuaikannya nanti dengan mengedit kebijakan.
+ **Dengan membuat kebijakan khusus** — Jika Anda ingin menyertakan kondisi yang lebih lanjut atau menggunakan AWS layanan sebagai prinsipal, Anda dapat membuat kebijakan khusus dan melampirkannya ke identitas dengan menggunakan konsol SES atau SES API.
**Topics**
+ [Menggunakan generator kebijakan](using-policy-generator.md)
+ [Membuat kebijakan kustom](creating-custom-policy.md)
# Menggunakan generator kebijakan
Anda dapat menggunakan pembuat kebijakan untuk membuat kebijakan otorisasi sederhana dengan mengikuti langkah-langkah ini.
**Untuk membuat kebijakan dengan menggunakan generator kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam wadah **Identitas** di layar **Identitas**, pilih identitas terverifikasi yang ingin Anda buat kebijakan otorisasi.
1. Di layar detail identitas terverifikasi yang Anda pilih pada langkah sebelumnya, pilih tab **Otorisasi**.
1. Di panel **Kebijakan otorisasi**, pilih **Buat kebijakan dan pilih **Gunakan pembuat kebijakan**** dari menu tarik-turun.
1. Di panel **Create statement**, pilih **Allow** in the **Effect** field. (Jika Anda ingin membuat kebijakan untuk membatasi identitas ini, pilih **Tolak** sebagai gantinya.)
1. **Di bidang **Prinsipal**, masukkan *Akun AWS ID*, *ARN pengguna IAM*, AWS atau layanan untuk menerima izin yang ingin Anda otorisasi untuk identitas ini, lalu pilih Tambah.** (Jika Anda ingin mengotorisasi lebih dari satu, ulangi langkah ini untuk masing-masing.)
1. Di bidang **Tindakan**, pilih kotak centang untuk setiap tindakan yang ingin Anda otorisasi untuk prinsipal Anda.
1. (Opsional) Perluas **Tentukan kondisi** jika Anda ingin menambahkan pernyataan kualifikasi ke izin.
1. Pilih operator dari dropdown **Operator**.
1. Pilih jenis dari dropdown **Key**.
1. Sesuai dengan jenis kunci yang Anda pilih, masukkan nilainya di bidang **Nilai**. (Jika Anda ingin menambahkan lebih banyak kondisi, pilih **Tambahkan kondisi baru** dan ulangi langkah ini untuk setiap tambahan.)
1. Pilih **Simpan pernyataan**.
1. (Opsional) Perluas **Buat pernyataan lain** jika Anda ingin menambahkan lebih banyak pernyataan ke kebijakan Anda dan ulangi langkah 6 - 10.
1. Pilih **Berikutnya** dan pada layar **Sesuaikan kebijakan**, wadah **Edit detail kebijakan** memiliki bidang tempat Anda dapat mengubah atau menyesuaikan **Nama** kebijakan dan **dokumen Kebijakan** itu sendiri.
1. Pilih **Berikutnya** dan pada layar **Tinjau dan terapkan**, penampung **Ikhtisar** akan menampilkan identitas terverifikasi yang Anda otorisasi serta nama kebijakan ini. Di panel **Dokumen kebijakan** akan menjadi kebijakan aktual yang baru saja Anda tulis bersama dengan ketentuan apa pun yang Anda tambahkan - tinjau kebijakan dan jika terlihat benar, pilih **Terapkan kebijakan**. (Jika Anda perlu mengubah atau memperbaiki sesuatu, pilih **Sebelumnya** dan kerjakan di wadah **Edit detail kebijakan**.)
# Membuat kebijakan kustom
Jika Anda ingin membuat kebijakan kustom dan melampirkannya ke identitas, Anda memiliki opsi berikut:
+ **Menggunakan API Amazon SES** – Membuat kebijakan di editor teks lalu melampirkan kebijakan ke identitas dengan menggunakan API `PutIdentityPolicy` yang dijelaskan di [Referensi API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Menggunakan konsol Amazon SES** – Membuat kebijakan di editor teks dan melampirkannya ke identitas dengan menempelkannya ke editor kebijakan kustom di konsol Amazon SES. Prosedur berikut menjelaskan metode ini.
**Untuk membuat kebijakan kustom menggunakan editor kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam wadah **Identitas** di layar **Identitas**, pilih identitas terverifikasi yang ingin Anda buat kebijakan otorisasi.
1. Di layar detail identitas terverifikasi yang Anda pilih pada langkah sebelumnya, pilih tab **Otorisasi**.
1. Di panel **Kebijakan otorisasi**, pilih **Buat kebijakan dan pilih Buat kebijakan** **khusus** dari menu tarik-turun.
1. Di panel **Dokumen kebijakan**, ketik atau tempel teks kebijakan Anda dalam format JSON. Anda juga dapat menggunakan pembuat kebijakan untuk membuat struktur dasar kebijakan dengan cepat dan kemudian menyesuaikannya di sini.
1. Pilih **Terapkan Kebijakan**. (Jika Anda perlu mengubah kebijakan kustom Anda, cukup pilih kotak centang di bawah tab **Otorisasi**, pilih **Edit**, dan buat perubahan di panel **Dokumen kebijakan** diikuti dengan **Simpan perubahan**).
# Contoh kebijakan identitas di Amazon SES
Otorisasi identitas memungkinkan Anda menentukan kondisi berbutir halus di mana Anda mengizinkan atau menolak tindakan API untuk identitas.
**Topics**
+ [Menentukan kepala sekolah](#identity-authorization-policy-example-delegate-user)
+ [Membatasi tindakan](#sending-authorization-policy-example-restricting-action)
+ [Menggunakan beberapa pernyataan](#identity-authorization-policy-example-multiple-statements)
## Menentukan kepala sekolah
*Prinsipal*, yang merupakan entitas tempat Anda memberikan izin, dapat berupa Akun AWS, pengguna AWS Identity and Access Management (IAM), atau AWS layanan yang dimiliki oleh akun yang sama.
*Contoh berikut menunjukkan kebijakan sederhana yang memungkinkan AWS ID *123456789012* untuk mengontrol identitas terverifikasi *example.com* yang juga dimiliki oleh 123456789012. Akun AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
Contoh kebijakan berikut memberikan izin kepada dua pengguna untuk mengontrol identitas terverifikasi *example.com*. Pengguna ditentukan oleh Nama Sumber Daya Amazon (ARN) mereka.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Membatasi tindakan
Ada beberapa tindakan yang dapat ditentukan dalam kebijakan otorisasi identitas tergantung pada tingkat kontrol yang ingin Anda otorisasi:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Kebijakan otorisasi identitas juga memungkinkan Anda membatasi prinsipal hanya pada salah satu tindakan tersebut.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Menggunakan beberapa pernyataan
Kebijakan otorisasi identitas Anda dapat mencakup beberapa pernyataan. Contoh kebijakan berikut ini memiliki dua pernyataan. Pernyataan pertama menyangkal dua pengguna untuk mengakses `getemailidentity` dari *sender@example.com* dalam akun `123456789012` yang sama. Pernyataan kedua menyangkal `UpdateEmailIdentityPolicy` kepala sekolah, *Jack*, dalam akun `123456789012` yang sama.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Mengelola kebijakan otorisasi identitas Anda di Amazon SES
Selain membuat dan melampirkan kebijakan ke identitas, Anda dapat mengedit, menghapus, membuat daftar, dan mengambil kebijakan identitas seperti yang dijelaskan di bagian berikut.
## Mengelola kebijakan menggunakan konsol Amazon SES
Mengelola kebijakan Amazon SES memerlukan melihat, mengedit, atau menghapus kebijakan yang dilampirkan pada identitas dengan menggunakan konsol Amazon SES.
**Untuk mengelola kebijakan menggunakan konsol Amazon SES**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi kiri, pilih **Identitas Terverifikasi**.
1. Dalam daftar identitas, pilih identitas yang ingin Anda kelola.
1. Pada halaman detail identitas, navigasikan ke tab **Otorisasi**. Di sini Anda akan menemukan daftar semua kebijakan yang dilampirkan pada identitas ini.
1. Pilih kebijakan yang ingin Anda kelola dengan memilih kotak centang.
1. Bergantung pada tugas manajemen yang diinginkan, pilih tombol masing-masing sebagai berikut:
1. Untuk melihat kebijakan, pilih **Lihat kebijakan**. Jika Anda memerlukan salinannya, pilih tombol **Salin** dan itu akan disalin ke clipboard Anda.
1. Untuk mengedit kebijakan, pilih **Edit**. Di panel **Dokumen kebijakan**, edit kebijakan, lalu pilih **Simpan perubahan**.
**catatan**
Untuk mencabut izin, Anda dapat mengedit kebijakan atau menghapusnya.
1. Untuk menghapus kebijakan, pilih **Hapus**.
**penting**
Menghapus kebijakan bersifat permanen. Kami menyarankan Anda mencadangkan kebijakan dengan menyalin dan menempelkannya ke file teks sebelum Anda menghapusnya.
## Mengelola kebijakan menggunakan Amazon SES API
Mengelola kebijakan Amazon SES memerlukan melihat, mengedit, atau menghapus kebijakan yang dilampirkan pada identitas dengan menggunakan Amazon SES API.
**Untuk mencantumkan dan melihat kebijakan menggunakan API Amazon SES**
+ Anda dapat membuat daftar kebijakan yang dilampirkan ke identitas menggunakan [operasi ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). Anda juga dapat mengambil kebijakan sendiri dengan menggunakan [operasi GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Untuk mengedit kebijakan menggunakan Amazon SES API**
+ Anda dapat mengedit kebijakan yang dilampirkan ke identitas menggunakan [operasi PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Untuk menghapus kebijakan menggunakan Amazon SES API**
+ Anda dapat menghapus kebijakan yang dilampirkan ke identitas dengan menggunakan [operasi DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).
# Menggunakan otorisasi pengiriman dengan Amazon SES
Anda dapat mengonfigurasi Amazon SES untuk mengotorisasi pengguna lain untuk mengirim email dari identitas yang Anda miliki (domain atau alamat email) menggunakan akun Amazon SES mereka sendiri. Anda dapat mempertahankan kendali atas identitas Anda dengan fitur *otorisasi pengiriman* sehingga Anda dapat mengubah atau mencabut izin kapan saja. Misalnya, jika Anda adalah pemilik bisnis, Anda dapat menggunakan otorisasi pengiriman untuk mengaktifkan pihak ke tiga (seperti perusahaan pemasaran email) untuk mengirim email dari domain yang Anda miliki.
Bab ini mencakup spesifikasi otorisasi pengiriman yang menggantikan fitur notifikasi lintas akun lama. Anda harus terlebih dahulu memahami dasar-dasar otorisasi berbasis identitas menggunakan kebijakan otorisasi seperti yang dijelaskan di [Menggunakan otorisasi identitas di Amazon SES](identity-authorization-policies.md) mana mencakup topik-topik penting seperti anatomi kebijakan otorisasi dan bagaimana mengelola kebijakan Anda.
## Dukungan lama pemberitahuan lintas-akun
Pemberitahuan umpan balik untuk pantulan, keluhan, dan pengiriman yang terkait dengan email yang dikirim dari pengirim delegasi yang telah diberi wewenang oleh pemilik identitas untuk dikirim dari salah satu identitas terverifikasi, secara tradisional telah dikonfigurasi menggunakan pemberitahuan lintas akun di mana pengirim delegasi akan mengaitkan topik dengan identitas yang tidak mereka miliki (itulah akun silang). Namun, notifikasi lintas akun telah diganti dengan menggunakan set konfigurasi dan identitas terverifikasi sehubungan dengan pengiriman delegasi di mana pengirim delegasi telah diberi wewenang oleh pemilik identitas untuk menggunakan salah satu identitas terverifikasi mereka untuk mengirim email. Metode baru ini memungkinkan fleksibilitas untuk mengonfigurasi bouncing, keluhan, pengiriman, dan pemberitahuan peristiwa lainnya dengan dua konstruksi berikut tergantung apakah Anda pengirim delegasi atau pemilik identitas terverifikasi:
+ **Set konfigurasi** - Pengirim delegasi dapat mengatur penerbitan acara dalam set konfigurasinya sendiri yang dapat dia tentukan saat mengirim email dari identitas terverifikasi yang tidak dimilikinya, tetapi telah diberi wewenang untuk dikirim oleh pemilik identitas melalui kebijakan otorisasi. Penerbitan acara memungkinkan bouncing, keluhan, pengiriman, dan pemberitahuan acara lainnya dipublikasikan ke Amazon CloudWatch, Amazon Data Firehose, Amazon Pinpoint, dan Amazon SNS. Lihat [Buat tujuan acara](event-destinations-manage.md).
+ **Identitas terverifikasi** - Selain memiliki pemilik identitas yang memberi wewenang kepada pengirim delegasi untuk menggunakan salah satu identitas terverifikasi untuk mengirim email, ia juga dapat, atas permintaan pengirim delegasi, mengonfigurasi pemberitahuan umpan balik pada identitas bersama untuk menggunakan topik SNS yang dimiliki oleh pengirim delegasi. Hanya pengirim delegasi yang akan mendapatkan notifikasi ini karena mereka memiliki topik SNS. Lihat Langkah 14 untuk cara [mengonfigurasi “topik SNS yang tidak Anda miliki”](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) dalam prosedur kebijakan otorisasi.
**catatan**
Untuk kompatibilitas, notifikasi lintas akun didukung untuk pemberitahuan lintas akun lama yang saat ini digunakan di akun Anda. Dukungan ini terbatas untuk dapat memodifikasi dan menggunakan akun lintas apa pun saat ini yang Anda buat di konsol klasik Amazon SES; namun, Anda tidak dapat lagi membuat notifikasi lintas akun *baru*. Untuk membuat yang baru di konsol baru Amazon SES, gunakan metode pengiriman delegasi baru baik dengan set konfigurasi menggunakan [penerbitan acara](event-destinations-manage.md), atau dengan identitas terverifikasi yang [dikonfigurasi dengan topik SNS Anda sendiri](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
**Topics**
+ [Dukungan lama pemberitahuan lintas-akun](#sending-authorization-cross-account-sunsetting)
+ [Gambaran umum otorisasi pengiriman Amazon SES](sending-authorization-overview.md)
+ [Tugas pemilik identitas untuk otorisasi pengiriman Amazon SES](sending-authorization-identity-owner-tasks.md)
+ [Tugas pengirim delegasi untuk otorisasi pengiriman Amazon SES](sending-authorization-delegate-sender-tasks.md)
# Gambaran umum otorisasi pengiriman Amazon SES
Topik ini memberikan gambaran umum tentang proses otorisasi pengiriman dan kemudian menjelaskan cara fitur pengiriman email Amazon SES, seperti mengirim kuota dan notifikasi, bekerja dengan otorisasi pengiriman.
Bagian ini menggunakan syarat berikut:
+ **Identitas** – Alamat email atau domain yang digunakan pengguna Amazon SES untuk mengirim email.
+ **Pemilik identitas** – Pengguna Amazon SES yang telah memverifikasi kepemilikan alamat email atau domain dengan menggunakan prosedur yang dijelaskan di [Identitas terverifikasi](verify-addresses-and-domains.md).
+ **Pengirim delegasi** — AWS Akun, pengguna AWS Identity and Access Management (IAM), atau AWS layanan yang telah diotorisasi melalui kebijakan otorisasi untuk mengirim email atas nama pemilik identitas.
+ **Kebijakan otorisasi pengiriman** – Dokumen yang Anda lampirkan pada identitas untuk menentukan siapa yang dapat mengirimkan identitas tersebut beserta syaratnya.
+ **Amazon Resource Name (ARN)** — Cara standar untuk mengidentifikasi sumber daya secara unik di semua layanan. AWS AWS Untuk mengirim otorisasi, sumber daya adalah identitas yang pemilik identitas telah mengizinkan pengirim delegasi untuk digunakan. Contoh ARN adalah *arn:aws:ses:us-east* - 1:123456789012: identity/example.com.
## Proses otorisasi pengiriman
Otorisasi pengiriman didasarkan pada kebijakan otorisasi pengiriman. Jika Anda ingin mengaktifkan pengirim delegasi untuk mengirim atas nama Anda, Anda membuat kebijakan otorisasi pengiriman dan mengaitkan kebijakan ke identitas Anda dengan menggunakan konsol Amazon SES atau API Amazon SES. Ketika pengirim delegasi mencoba untuk mengirim email melalui Amazon SES atas nama Anda, pengirim delegasi meneruskan ARN identitas Anda di permintaan atau di header email.
Ketika Amazon SES menerima permintaan untuk mengirim email, Amazon SES memeriksa kebijakan identitas Anda (jika ada) untuk menentukan jika Anda telah mengotorisasi pengirim delegasi untuk mengirim atas nama identitas. Jika pengirim delegasi diotorisasi, Amazon SES menerima email; jika tidak, Amazon SES mengembalikan pesan kesalahan.
Diagram berikut menunjukkan hubungan tingkat tinggi antar konsep otorisasi pengiriman:
![\[Gambaran umum otorisasi pengiriman\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/images/sending_authorization_overview.png)
Proses otorisasi pengiriman terdiri dari langkah-langkah berikut:
1. Pemilik identitas memilih identitas terverifikasi untuk pengirim delegasi untuk digunakan. (Jika Anda belum memverifikasi identitas, lihat[Identitas terverifikasi](verify-addresses-and-domains.md).)
**catatan**
Identitas terverifikasi yang Anda pilih untuk pengirim delegasi Anda tidak dapat memiliki [konfigurasi default yang ditetapkan](managing-configuration-sets.md#default-config-sets) untuk itu.
1. Pengirim delegasi memungkinkan pemilik identitas mengetahui ID AWS akun atau ARN pengguna IAM mana yang ingin mereka gunakan untuk mengirim.
1. Jika pemilik identitas setuju untuk mengizinkan pengirim delegasi mengirim dari salah satu akun pemilik, pemilik membuat kebijakan otorisasi pengiriman dan melampirkan kebijakan ke identitas yang dipilih dengan menggunakan konsol Amazon SES atau Amazon SES API.
1. Pemilik identitas memberi pengirim delegasi ARN identitas resmi sehingga pengirim delegasi dapat memberikan ARN ke Amazon SES pada saat pengiriman email.
1. Pengirim delegasi dapat mengatur pemberitahuan pentalan dan keluhan melalui [penerbitan acara](monitor-using-event-publishing.md) yang diaktifkan dalam set konfigurasi yang ditentukan selama pengiriman delegasi. Pemilik identitas juga dapat mengatur pemberitahuan umpan balik email untuk peristiwa pentalan dan keluhan yang akan dikirim ke topik Amazon SNS pengirim delegasi.
**catatan**
Jika pemilik identitas menonaktifkan pengiriman pemberitahuan peristiwa, pengirim delegasi harus menyiapkan penerbitan acara untuk mempublikasikan peristiwa pentalan dan keluhan ke topik Amazon SNS atau aliran Firehose. Pengirim juga harus menerapkan set konfigurasi yang berisi aturan publikasi peristiwa ke setiap email yang dikirim. Apabila baik pemilik identitas maupun pengirim delegasi tidak menyiapkan metode pengiriman notifikasi untuk peristiwa pentalan dan aduan, maka Amazon SES secara otomatis mengirimkan notifikasi peristiwa melalui email ke alamat di bidang Jalur Kembali email (atau alamat di bidang Sumber, jika Anda tidak menentukan alamat Jalur Kembali), bahkan jika pemilik identitas menonaktifkan penerusan umpan balik email.
1. Pengirim delegasi mencoba untuk mengirim email melalui Amazon SES atas nama pemilik identitas dengan meneruskan ARN identitas pemilik identitas di permintaan atau di header email. Pengirim delegasi dapat mengirim email dengan menggunakan antarmuka SMTP Amazon SES atau API Amazon SES. Setelah menerima permintaan, Amazon SES memeriksa setiap kebijakan yang terlampir pada identitas, dan menerima email jika pengirim delegasi diotorisasi untuk menggunakan alamat "Dari" dan alamat "Jalur Kembali" yang ditentukan; jika tidak, Amazon SES mengembalikan kesalahan dan tidak menerima pesan.
**penting**
AWS Akun pengirim delegasi harus dihapus dari kotak pasir sebelum dapat digunakan untuk mengirim email ke alamat yang tidak diverifikasi.
1. Jika pemilik identitas perlu membatalkan otorisasi pengirim delegasi, pemilik identitas mengedit kebijakan otorisasi pengiriman atau menghapus kebijakan sepenuhnya. Pemilik identitas dapat melakukan tindakan baik dengan menggunakan konsol Amazon SES atau API Amazon SES.
Untuk informasi selengkapnya tentang cara pemilik identitas atau pengirim delegasi melakukan tugas-tugas tersebut, lihat [Tugas pemilik identitas](sending-authorization-identity-owner-tasks.md) atau [Tugas pengirim delegasi](sending-authorization-delegate-sender-tasks.md), masing-masing.
## Atribusi fitur pengiriman email
Penting untuk memahami peran pengirim delegasi dan pemilik identitas sehubungan dengan fitur pengiriman email Amazon SES seperti kuota pengiriman harian, pentalan dan aduan, penandatanganan DKIM, penerusan umpan balik, dan sebagainya. Atribusi adalah sebagai berikut:
+ **Kuota pengiriman** – Email yang dikirim dari identitas pemilik identitas dihitung terhadap kuota pengirim delegasi.
+ **Pentalan dan aduan** – Peristiwa pentalan dan aduan dicatat terhadap akun Amazon SES pengirim delegasi, sehingga dapat mempengaruhi reputasi pengirim delegasi.
+ **Penandatanganan DKIM** – Jika pemilik identitas telah mengaktifkan penandatanganan Easy DKIM untuk identitas, semua email yang dikirim dari identitas tersebut akan ditandatangani oleh DKIM, termasuk email yang dikirim oleh pengirim delegasi. Hanya pemilik identitas yang dapat mengendalikan jika email ditandatangani oleh DKIM.
+ **Notifikasi** – Baik pemilik identitas dan pengirim delegasi dapat menyiapkan notifikasi untuk pentalan dan aduan. Pemilik identitas email juga dapat mengaktifkan penerusan umpan balik email. Untuk informasi tentang penyiapan notifikasi, lihat [Memantau aktivitas pengiriman Amazon SES](monitor-sending-activity.md).
+ **Verifikasi** – Pemilik identitas bertanggung jawab untuk mengikuti prosedur di [Identitas terverifikasi](verify-addresses-and-domains.md) untuk memverifikasi bahwa mereka memiliki alamat email dan domain yang diotorisasi agar digunakan oleh pengirim delegasi. Pengirim delegasi tidak perlu memverifikasi alamat email atau domain khusus untuk otorisasi pengiriman.
**penting**
AWS Akun pengirim delegasi harus dihapus dari kotak pasir sebelum dapat digunakan untuk mengirim email ke alamat yang tidak diverifikasi.
+ **AWS Wilayah** — Pengirim delegasi harus mengirim email dari AWS Wilayah tempat identitas pemilik identitas diverifikasi. Kebijakan otorisasi pengiriman yang memberikan izin kepada pengirim delegasi harus dilampirkan ke identitas di Wilayah tersebut.
+ **Penagihan** – Semua pesan yang dikirim dari akun pengirim delegasi, termasuk email yang dikirim pengirim delegasi menggunakan alamat pemilik identitas, dibebankan ke pengirim delegasi.
# Tugas pemilik identitas untuk otorisasi pengiriman Amazon SES
Bagian ini menjelaskan langkah-langkah yang harus diambil pemilik identitas ketika mengonfigurasi otorisasi pengiriman.
**Topics**
+ [Memverifikasi identitas untuk otorisasi pengiriman Amazon SES](sending-authorization-identity-owner-tasks-verification.md)
+ [Menyiapkan notifikasi pemilik identitas untuk otorisasi pengiriman Amazon SES](sending-authorization-identity-owner-tasks-notifications.md)
+ [Mendapatkan informasi dari pengirim delegasi dengan otorisasi pengiriman Amazon SES](sending-authorization-identity-owner-tasks-information.md)
+ [Membuat kebijakan otorisasi pengiriman di Amazon SES](sending-authorization-identity-owner-tasks-policy.md)
+ [Mengirim contoh kebijakan](sending-authorization-policy-examples.md)
+ [Menyediakan informasi identitas kepada pengirim delegasi untuk otorisasi pengiriman Amazon SES](sending-authorization-identity-owner-tasks-identity.md)
# Memverifikasi identitas untuk otorisasi pengiriman Amazon SES
Langkah pertama dalam mengonfigurasi otorisasi pengiriman adalah membuktikan bahwa Anda memiliki alamat email atau domain yang akan digunakan pengirim delegasi untuk mengirim email. Prosedur verifikasi dijelaskan di [Identitas terverifikasi](verify-addresses-and-domains.md).
Anda dapat mengonfirmasi bahwa alamat email atau domain diverifikasi dengan memeriksa statusnya di bagian Identitas Terverifikasi [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)atau dengan menggunakan operasi `GetIdentityVerificationAttributes` API.
Sebelum Anda atau pengirim delegasi dapat mengirim email ke alamat email yang tidak diverifikasi, Anda harus mengirimkan permintaan agar akun Anda dihapus dari sandbox Amazon SES. Untuk informasi selengkapnya, lihat [Minta akses produksi (Pindah dari kotak pasir Amazon SES)](request-production-access.md).
**penting**
Pengirim delegasi harus dihapus dari kotak pasir sebelum dapat digunakan untuk mengirim email ke atau dari alamat yang tidak diverifikasi. Akun AWS
Jika akun Anda berada di kotak pasir, Anda tidak dapat mengirim ke alamat email yang tidak diverifikasi di akun Anda, bahkan jika domain atau alamat email tersebut telah diverifikasi di akun identitas
# Menyiapkan notifikasi pemilik identitas untuk otorisasi pengiriman Amazon SES
Jika Anda mengotorisasi pengirim delegasi untuk mengirim email atas nama Anda, Amazon SES menghitung semua pentalan atau aduan yang dihasilkan email tersebut terhadap batas pentalan dan aduan pengirim delegasi, bukan milik Anda sendiri. Namun, jika alamat IP Anda muncul pada anti-spam pihak ketiga, Blackhole Lists (DNSBLs) berbasis DNS sebagai akibat dari pesan yang dikirim oleh pengirim delegasi, reputasi identitas Anda mungkin rusak. Untuk alasan ini, jika Anda adalah pemilik identitas, Anda harus mengatur penerusan umpan balik email untuk semua identitas Anda, termasuk yang telah Anda otorisasi untuk pengiriman delegasi. Untuk informasi selengkapnya, lihat [Menerima notifikasi Amazon SES melalui email](monitor-sending-activity-using-notifications-email.md).
Pengirim delegasi dapat dan harus mengatur pemberitahuan bouncing dan keluhan mereka sendiri untuk identitas yang telah Anda izinkan untuk mereka gunakan. Mereka dapat mengatur [penerbitan acara](monitor-using-event-publishing.md) untuk mempublikasikan peristiwa bouncing dan keluhan ke topik Amazon SNS atau aliran Firehose.
Jika baik pemilik identitas maupun pengirim delegasi menyiapkan metode notifikasi pengiriman untuk peristiwa pentalan dan aduan, atau jika pengirim tidak menerapkan set konfigurasi yang menggunakan aturan publikasi peristiwa, maka Amazon SES secara otomatis mengirimkan notifikasi peristiwa melalui email ke alamat di bidang Jalur Kembali email (atau alamat di bidang Sumber, jika Anda tidak menentukan alamat Jalur Kembali), bahkan jika Anda menonaktifkan penerusan umpan balik email. Hal ini digambarkan dalam citra berikut.
![\[Flowchart showing notification paths for bounce/complaint events based on various settings.\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/images/feedback_forwarding.png)
# Mendapatkan informasi dari pengirim delegasi dengan otorisasi pengiriman Amazon SES
Kebijakan otorisasi pengiriman Anda harus menentukan setidaknya satu *prinsipal*, yang merupakan entitas pengirim delegasi Anda yang Anda berikan akses sehingga mereka dapat mengirim atas nama salah satu identitas terverifikasi Anda. Untuk kebijakan otorisasi pengiriman Amazon SES, prinsipal dapat berupa AWS akun pengirim delegasi Anda atau ARN pengguna AWS Identity and Access Management (IAM), atau layanan. AWS
*Cara mudah untuk memikirkan hal ini adalah bahwa *kepala sekolah* (pengirim delegasi) adalah penerima hibah, dan Anda (pemilik identitas) adalah pemberi dalam kebijakan otorisasi di mana Anda memberi mereka izin *Izinkan* untuk mengirim kombinasi email, email mentah, email template, atau email template massal dari sumber daya (identitas terverifikasi) yang Anda miliki.*
Jika Anda menginginkan kontrol butir terbaik, minta pengirim delegasi untuk mengatur pengguna IAM sehingga hanya satu pengirim delegasi yang dapat mengirim untuk Anda daripada pengguna mana pun di akun pengirim delegasi. AWS *Pengirim delegasi dapat menemukan informasi tentang pengaturan pengguna IAM dalam [Membuat pengguna IAM di AWS Akun Anda di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html) IAM.*
Tanyakan kepada pengirim delegasi Anda untuk ID AWS akun atau Nama Sumber Daya Amazon (ARN) pengguna IAM sehingga Anda dapat memasukkannya ke dalam kebijakan otorisasi pengiriman Anda. Anda dapat merujuk pengirim delegasi Anda ke petunjuk untuk menemukan informasi ini di [Memberikan informasi kepada pemilik identitas](sending-authorization-delegate-sender-tasks-information.md). Jika pengirim delegasi adalah AWS layanan, lihat dokumentasi untuk layanan tersebut untuk menentukan nama layanan.
Contoh kebijakan berikut menggambarkan elemen dasar dari apa yang diperlukan dalam kebijakan yang dibuat oleh pemilik identitas untuk memberi wewenang kepada pengirim delegasi untuk mengirim dari sumber daya pemilik identitas. Pemilik identitas akan masuk ke alur kerja identitas Terverifikasi, dan di bawah Otorisasi, gunakan pembuat Kebijakan untuk membuat, dalam bentuknya yang paling sederhana, kebijakan dasar berikut yang memungkinkan pengirim delegasi mengirim atas nama sumber daya yang dimiliki oleh pemilik identitas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESSendEmail",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource": [
"arn:aws:ses:us-east-1:444455556666:identity/bob@example.com"
],
"Condition": {}
}
]
}
```
------
Untuk kebijakan di atas, legenda berikut menjelaskan elemen-elemen kunci dan siapa pemiliknya:
+ **Principal** — bidang ini diisi dengan ARN pengguna IAM pengirim delegasi.
+ **Tindakan** — bidang ini diisi dengan dua tindakan SES (`SendEmail`&`SendRawEmail`) yang pemilik identitas mengizinkan pengirim delegasi untuk melakukan dari sumber daya pemilik identitas.
+ **Sumber daya** — bidang ini diisi dengan sumber daya terverifikasi pemilik identitas yang mereka otorisasi pengirim delegasi untuk mengirim.
# Membuat kebijakan otorisasi pengiriman di Amazon SES
Mirip dengan membuat kebijakan otorisasi apa pun di Amazon SES, seperti yang dijelaskan dalam[Membuat kebijakan otorisasi identitas](identity-authorization-policies-creating.md), untuk mengotorisasi pengirim delegasi untuk mengirim email menggunakan alamat email atau domain (*identitas*) yang Anda miliki, Anda membuat kebijakan dengan SES mengirimkan tindakan API yang ditentukan, dan kemudian melampirkan kebijakan itu ke identitas.
Untuk daftar tindakan API yang dapat ditentukan dalam kebijakan otorisasi pengiriman, lihat baris *Tindakan* dalam [Pernyataan khusus untuk kebijakan](policy-anatomy.md#identity-authorization-policy-statements) tabel.
Anda dapat membuat kebijakan otorisasi pengiriman dengan menggunakan pembuat kebijakan atau dengan membuat kebijakan khusus. Prosedur khusus untuk membuat kebijakan otorisasi pengiriman disediakan untuk salah satu metode.
**catatan**
Mengirim kebijakan otorisasi yang dilampirkan ke identitas alamat email lebih diutamakan daripada kebijakan yang dilampirkan ke identitas domain terkait. Misalnya, jika Anda membuat kebijakan untuk *example.com* yang melarang pengirim delegasi, dan Anda membuat kebijakan untuk *sender@example.com* yang mengizinkan pengirim delegasi, maka pengirim delegasi dapat mengirim email dari *sender@example.com*, tetapi tidak dari alamat lain di domain *example.com*.
Jika Anda membuat kebijakan untuk *example.com* yang mengizinkan pengirim delegasi, dan Anda membuat kebijakan untuk *sender@example.com* yang melarang pengirim delegasi, maka pengirim delegasi dapat mengirim email dari alamat mana pun di domain *example.com*, kecuali untuk *sender@example.com*.
Jika Anda tidak terbiasa dengan struktur kebijakan otorisasi SES, lihat. [Anatomi kebijakan](policy-anatomy.md)
Jika identitas yang Anda otorisasi diduplikasi di wilayah sekunder sebagai bagian dari fitur [titik akhir Global](global-endpoints.md), Anda harus membuat kebijakan otorisasi pengiriman pada identitas di wilayah primer dan sekunder sehingga pengirim delegasi memiliki izin untuk menggunakan identitas ini untuk mengirim di kedua wilayah.
## Membuat kebijakan otorisasi pengiriman dengan menggunakan pembuat kebijakan
Anda dapat menggunakan pembuat kebijakan untuk membuat kebijakan otorisasi pengiriman dengan mengikuti langkah-langkah berikut.
**Untuk membuat kebijakan otorisasi pengiriman dengan menggunakan pembuat kebijakan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam wadah **Identitas** di layar **Identitas terverifikasi**, pilih identitas terverifikasi yang ingin Anda otorisasi agar pengirim delegasi kirim atas nama Anda.
1. Pilih tab **Otorisasi** identitas terverifikasi.
1. Di panel **Kebijakan otorisasi**, pilih **Buat kebijakan dan pilih **Gunakan pembuat kebijakan**** dari menu tarik-turun.
1. Di panel **Create statement**, pilih **Allow** in the **Effect** field. (Jika Anda ingin membuat kebijakan untuk membatasi pengirim delegasi Anda, pilih **Tolak** sebagai gantinya.)
1. **Di bidang **Prinsipal**, masukkan *Akun AWS ID* atau *ARN pengguna IAM* yang dibagikan oleh pengirim delegasi Anda kepada Anda untuk mengizinkan mereka mengirim email atas nama akun Anda untuk identitas ini, lalu pilih Tambah.** (Jika Anda ingin mengotorisasi lebih dari satu pengirim delegasi, ulangi langkah ini untuk masing-masing pengirim.)
1. Di bidang **Tindakan**, pilih kotak centang untuk setiap jenis kirim yang ingin Anda otorisasi untuk pengirim delegasi Anda.
1. (Opsional) Perluas **Tentukan kondisi** jika Anda ingin menambahkan pernyataan kualifikasi ke izin pengirim delegasi.
1. Pilih operator dari dropdown **Operator**.
1. Pilih jenis dari dropdown **Key**.
1. Berkenaan dengan jenis kunci yang Anda pilih, masukkan nilainya di bidang **Nilai**. (Jika Anda ingin menambahkan lebih banyak kondisi, pilih **Tambahkan kondisi baru** dan ulangi langkah ini untuk setiap tambahan.)
1. Pilih **Simpan pernyataan**.
1. (Opsional) Perluas **Buat pernyataan lain** jika Anda ingin menambahkan lebih banyak pernyataan ke kebijakan Anda dan ulangi langkah 6 - 10.
1. Pilih **Berikutnya** dan pada layar **Sesuaikan kebijakan**, wadah **Edit detail kebijakan** memiliki bidang tempat Anda dapat mengubah atau menyesuaikan **Nama** kebijakan dan **dokumen Kebijakan** itu sendiri.
1. Pilih **Berikutnya** dan pada layar **Tinjau dan terapkan**, penampung **Ikhtisar** akan menampilkan identitas terverifikasi yang Anda otorisasi untuk pengirim delegasi Anda serta nama kebijakan ini. Di panel **Dokumen kebijakan** akan menjadi kebijakan aktual yang baru saja Anda tulis bersama dengan ketentuan apa pun yang Anda tambahkan - tinjau kebijakan dan jika terlihat benar, pilih **Terapkan kebijakan**. (Jika Anda perlu mengubah atau memperbaiki sesuatu, pilih **Sebelumnya** dan kerjakan di wadah **Edit detail kebijakan**.) Kebijakan yang baru saja Anda buat akan memungkinkan pengirim delegasi Anda untuk mengirim atas nama Anda.
1. (Opsional) Jika pengirim delegasi Anda juga ingin menggunakan topik SNS yang mereka miliki, untuk menerima pemberitahuan umpan balik saat mereka menerima pantulan atau keluhan, atau saat email dikirimkan, Anda harus mengonfigurasi topik SNS mereka dalam identitas terverifikasi ini. (Pengirim delegasi Anda perlu berbagi dengan Anda ARN topik SNS mereka.) Pilih tab **Notifikasi** dan pilih **Edit** di wadah **Pemberitahuan umpan balik**:
1. Pada panel **Konfigurasi topik SNS**, di salah satu bidang umpan balik, (Bounce, Complaint, atau Delivery), pilih topik **SNS yang tidak Anda miliki dan masukkan topik SNS** yang dimiliki **ARN** dan dibagikan dengan Anda oleh pengirim delegasi Anda. (Hanya pengirim delegasi Anda yang akan mendapatkan pemberitahuan ini karena mereka memiliki topik SNS - Anda, sebagai pemilik identitas, tidak akan melakukannya.)
1. (Opsional) Jika Anda ingin pemberitahuan topik Anda menyertakan header dari email asli, centang **Sertakan header email asli** kotak tepat di bawah nama topik SNS dari setiap jenis umpan balik. Opsi ini hanya tersedia jika Anda telah menetapkan topik Amazon SNS untuk tipe notifikasi terkait. Untuk informasi tentang isi header email asli, lihat objek `mail` di [Isi notifikasi](notification-contents.md).
1. Pilih **Simpan perubahan**. Perubahan yang Anda buat pada pengaturan notifikasi Anda mungkin memerlukan beberapa menit untuk diterapkan.
1. (Opsional) Karena pengirim delegasi Anda akan mendapatkan pemberitahuan topik Amazon SNS untuk pantulan dan keluhan, Anda dapat menonaktifkan pemberitahuan email sepenuhnya jika Anda tidak ingin menerima umpan balik untuk pengiriman identitas ini. **Untuk menonaktifkan umpan balik email untuk bouncing dan keluhan, di bawah tab **Notifikasi**, di wadah **Penerusan Umpan Balik Email**, pilih **Edit**, hapus centang pada kotak **Diaktifkan**, dan pilih Simpan perubahan.** Pemberitahuan status pengiriman sekarang hanya akan dikirim ke topik SNS yang dimiliki oleh pengirim delegasi Anda.
## Membuat kebijakan otorisasi pengiriman kustom
Jika Anda ingin membuat kebijakan otorisasi pengiriman kustom dan melampirkannya ke identitas, Anda memiliki opsi berikut:
+ **Menggunakan API Amazon SES** – Membuat kebijakan di editor teks lalu melampirkan kebijakan ke identitas dengan menggunakan API `PutIdentityPolicy` yang dijelaskan di [Referensi API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Menggunakan konsol Amazon SES** – Membuat kebijakan di editor teks dan melampirkannya ke identitas dengan menempelkannya ke editor kebijakan kustom di konsol Amazon SES. Prosedur berikut menjelaskan metode ini.
**Untuk membuat kebijakan otorisasi pengiriman kustom dengan menggunakan editor kebijakan kustom**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas**.
1. Dalam wadah **Identitas** di layar **Identitas terverifikasi**, pilih identitas terverifikasi yang ingin Anda otorisasi agar pengirim delegasi kirim atas nama Anda.
1. Di layar detail identitas terverifikasi yang Anda pilih pada langkah sebelumnya, pilih tab **Otorisasi**.
1. Di panel **Kebijakan otorisasi**, pilih **Buat kebijakan dan pilih Buat kebijakan** **khusus** dari menu tarik-turun.
1. Di panel **Dokumen kebijakan**, ketik atau tempel teks kebijakan Anda dalam format JSON. Anda juga dapat menggunakan pembuat kebijakan untuk membuat struktur dasar kebijakan dengan cepat dan kemudian menyesuaikannya di sini.
1. Pilih **Terapkan Kebijakan**. (Jika Anda perlu mengubah kebijakan kustom Anda, cukup pilih kotak centang di bawah tab **Otorisasi**, pilih **Edit**, dan buat perubahan di panel **Dokumen kebijakan** diikuti dengan **Simpan perubahan**).
1. (Opsional) Jika pengirim delegasi Anda juga ingin menggunakan topik SNS yang mereka miliki, untuk menerima pemberitahuan umpan balik saat mereka menerima pantulan atau keluhan, atau saat email dikirimkan, Anda harus mengonfigurasi topik SNS mereka dalam identitas terverifikasi ini. (Pengirim delegasi Anda perlu berbagi dengan Anda ARN topik SNS mereka.) Pilih tab **Notifikasi** dan pilih **Edit** di wadah **Pemberitahuan umpan balik**:
1. Pada panel **Konfigurasi topik SNS**, di salah satu bidang umpan balik, (Bounce, Complaint, atau Delivery), pilih topik **SNS yang tidak Anda miliki dan masukkan topik SNS** yang dimiliki **ARN** dan dibagikan dengan Anda oleh pengirim delegasi Anda. (Hanya pengirim delegasi Anda yang akan mendapatkan pemberitahuan ini karena mereka memiliki topik SNS - Anda, sebagai pemilik identitas, tidak akan melakukannya.)
1. (Opsional) Jika Anda ingin pemberitahuan topik Anda menyertakan header dari email asli, centang **Sertakan header email asli** kotak tepat di bawah nama topik SNS dari setiap jenis umpan balik. Opsi ini hanya tersedia jika Anda telah menetapkan topik Amazon SNS untuk tipe notifikasi terkait. Untuk informasi tentang isi header email asli, lihat objek `mail` di [Isi notifikasi](notification-contents.md).
1. Pilih **Simpan perubahan**. Perubahan yang Anda buat pada pengaturan notifikasi Anda mungkin memerlukan beberapa menit untuk diterapkan.
1. (Opsional) Karena pengirim delegasi Anda akan mendapatkan pemberitahuan topik Amazon SNS untuk pantulan dan keluhan, Anda dapat menonaktifkan pemberitahuan email sepenuhnya jika Anda tidak ingin menerima umpan balik untuk pengiriman identitas ini. **Untuk menonaktifkan umpan balik email untuk bouncing dan keluhan, di bawah tab **Notifikasi**, di wadah **Penerusan Umpan Balik Email**, pilih **Edit**, hapus centang pada kotak **Diaktifkan**, dan pilih Simpan perubahan.** Pemberitahuan status pengiriman sekarang hanya akan dikirim ke topik SNS yang dimiliki oleh pengirim delegasi Anda.
# Mengirim contoh kebijakan
Mengirim otorisasi memungkinkan Anda untuk menentukan syarat detail saat Anda mengizinkan pengirim delegasi untuk mengirim atas nama Anda.
**Topics**
+ [Ketentuan khusus untuk mengirim otorisasi](#sending-authorization-policy-conditions)
+ [Menentukan pengirim delegasi](#sending-authorization-policy-example-sender)
+ [Membatasi alamat "Dari"](#sending-authorization-policy-example-from)
+ [Membatasi waktu delegasi dapat mengirim email](#sending-authorization-policy-example-time)
+ [Membatasi tindakan pengiriman email](#sending-authorization-policy-example-action)
+ [Membatasi nama tampilan pengirim email](#sending-authorization-policy-example-display-name)
+ [Menggunakan beberapa pernyataan](#sending-authorization-policy-example-multiple-statements)
## Ketentuan khusus untuk mengirim otorisasi
*Syarat* adalah pembatasan tentang izin di pernyataan. Bagian dari pernyataan yang menentukan syarat dapat menjadi yang paling detail dari semua bagian. *Kunci* adalah karakteristik spesifik yang menjadi dasar pembatasan akses, seperti tanggal dan waktu permintaan.
Anda menggunakan syarat maupun kunci secara bersama-sama untuk mengekspresikan pembatasan. Misalnya, jika Anda ingin membatasi pengirim delegasi membuat permintaan ke Amazon SES atas nama Anda setelah 30 Juli 2019, Anda menggunakan syarat yang disebut `DateLessThan`. Anda menggunakan kunci yang disebut `aws:CurrentTime` dan mengaturnya ke nilai `2019-07-30T00:00:00Z`.
Anda dapat menggunakan salah satu kunci AWS-wide yang tercantum di [Kunci Tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys) di *Panduan Pengguna IAM*, atau Anda dapat menggunakan salah satu kunci berikut khusus untuk SES yang berguna dalam mengirimkan kebijakan otorisasi:
****
| Kunci syarat | Deskripsi |
| --- | --- |
| `ses:Recipients` | Membatasi alamat penerima, yang menyertakan alamat Kepada:, "CC", dan "BCC". |
| `ses:FromAddress` | Membatasi alamat "Dari". |
| `ses:FromDisplayName` | Membatasi isi string yang digunakan sebagai nama tampilan "Dari" (terkadang disebut "akrab dari"). Misalnya, nama tampilan "John Doe " adalah John Doe. |
| `ses:FeedbackAddress` | Batasi alamat "Jalur Kembali", yang merupakan alamat tempat pentalan dan aduan dapat dikirim kepada Anda melalui penerusan umpan balik email. Untuk informasi tentang penerusan umpan balik email, lihat [Menerima notifikasi Amazon SES melalui email](monitor-sending-activity-using-notifications-email.md). |
Anda dapat menggunakan syarat `StringEquals` dan `StringLike` dengan kunci Amazon SES. Syarat ini untuk pencocokan string peka huruf besar kecil. Untuk `StringLike`, nilai dapat mencakup wildcard yang cocok dengan beberapa karakter (\$1) atau wildcard yang cocok dengan karakter tunggal (?) di mana pun di string. Misalnya, syarat berikut menentukan bahwa pengirim delegasi hanya dapat mengirim dari alamat "Dari" yang dimulai dengan *faktur* dan diakhiri dengan *@example.com*:
```
1. "Condition": {
2. "StringLike": {
3. "ses:FromAddress": "invoicing*@example.com"
4. }
5. }
```
Anda juga dapat menggunakan syarat `StringNotLike` untuk mencegah pengirim delegasi mengirim email dari alamat email tertentu. Misalnya, Anda dapat melarang pengiriman dari *admin@example.com*, dan alamat serupa seperti *"admin"@example.com*, *admin\$11@example.com*, atau *sender@admin.example.com*, dengan menyertakan syarat berikut di pernyataan kebijakan Anda:
```
1. "Condition": {
2. "StringNotLike": {
3. "ses:FromAddress": "*admin*example.com"
4. }
5. }
```
Untuk informasi selengkapnya tentang cara menentukan syarat, lihat [Elemen Kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di *Panduan Pengguna IAM*.
## Menentukan pengirim delegasi
*Prinsipal*, yang merupakan entitas yang Anda berikan izin, dapat berupa Akun AWS, pengguna AWS Identity and Access Management (IAM), atau layanan. AWS
*Contoh berikut menunjukkan kebijakan sederhana yang memungkinkan AWS ID *123456789012* mengirim email dari *example.com* identitas terverifikasi (yang dimiliki oleh 88888888888888). Akun AWS * `Condition`*Pernyataan dalam kebijakan ini hanya mengizinkan delegasi (yaitu, AWS ID *123456789012*) untuk mengirim email dari alamat pemasaran\$1. \$1 @example .com*, di mana *\$1* adalah string apa pun yang ingin ditambahkan pengirim setelah *pemasaran\$1*. .
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromAddress":"marketing+.*@example.com"
}
}
}
]
}
```
------
Contoh kebijakan berikut memberikan izin ke dua pengguna IAM untuk mengirim dari identitas *example.com*. Pengguna IAM ditentukan oleh Amazon Resource Name (ARN) mereka.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::111122223333:user/John",
"arn:aws:iam::444455556666:user/Jane"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
]
}
]
}
```
------
Contoh kebijakan berikut memberikan izin ke Amazon Cognito untuk mengirim dari identitas *example.com*.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeService",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"Service":[
"cognito-idp.amazonaws.com"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "888888888888",
"aws:SourceArn": "arn:aws:cognito-idp:us-east-1:888888888888:userpool/your-user-pool-id-goes-here"
}
}
}
]
}
```
------
Contoh kebijakan berikut memberikan izin ke semua akun di Organisasi AWS untuk mengirim dari identitas example.com. AWS Organisasi ditentukan menggunakan kunci kondisi global [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeOrg",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":"*",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":"o-xxxxxxxxxxx"
}
}
}
]
}
```
------
## Membatasi alamat "Dari"
Jika Anda menggunakan domain terverifikasi, Anda mungkin ingin membuat kebijakan yang hanya mengizinkan pengirim delegasi untuk mengirim dari alamat email yang ditentukan. Untuk membatasi alamat “Dari”, Anda menetapkan kondisi pada kunci yang disebut *ses: FromAddress*. *Kebijakan berikut memungkinkan Akun AWS ID *123456789012* untuk mengirim dari identitas *example.com*, tetapi hanya dari alamat email sender@example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringEquals":{
"ses:FromAddress":"sender@example.com"
}
}
}
]
}
```
------
## Membatasi waktu delegasi dapat mengirim email
Anda juga dapat mengonfigurasi kebijakan otorisasi pengirim sehingga pengirim delegasi hanya dapat mengirim email pada waktu tertentu dalam sehari, atau dalam rentang tanggal tertentu. Misalnya, jika Anda berencana mengirim kampanye email selama bulan September 2021, Anda dapat menggunakan kebijakan berikut untuk membatasi kemampuan delegasi untuk mengirim email ke bulan itu saja.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlTimePeriod",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2021-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2021-10-01T12:00Z"
}
}
}
]
}
```
------
## Membatasi tindakan pengiriman email
Ada dua tindakan yang dapat digunakan pengirim untuk mengirim email dengan Amazon SES: `SendEmail` dan `SendRawEmail`, tergantung pada banyaknya kendali yang diinginkan pengirim atas format email. Kebijakan otorisasi pengiriman memungkinkan Anda untuk membatasi pengirim delegasi ke salah satu dari dua tindakan tersebut. Namun, banyak pemilik identitas meninggalkan detail email yang mengirim panggilan ke pengirim delegasi dengan mengaktifkan kedua tindakan di kebijakan mereka.
**catatan**
Jika Anda ingin memungkinkan pengirim delegasi untuk mengakses Amazon SES melalui antarmuka SMTP, Anda minimal harus memilih `SendRawEmail`.
Jika kasus penggunaan Anda sedemikian rupa sehingga Anda ingin membatasi tindakan, Anda dapat melakukannya dengan memasukkan hanya salah satu tindakan di kebijakan otorisasi pengiriman Anda. Contoh berikut menunjukkan cara membatasi tindakan untuk `SendRawEmail`.
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ControlAction",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendRawEmail"
]
}
]
}
```
------
## Membatasi nama tampilan pengirim email
Beberapa klien email menampilkan nama "akrab" pengirim email (jika header email menyediakannya), bukan alamat "Dari" yang sebenarnya. Misalnya, nama tampilan "John Doe " adalah John Doe. Untuk instans, Anda dapat mengirim email dari *user@example.com*, namun Anda lebih suka penerima melihat bahwa email berasal dari *Pemasaran* daripada dari *user@example.com*. *Kebijakan berikut memungkinkan Akun AWS ID 123456789012 untuk mengirim dari identitas *example.com*, tetapi hanya jika nama tampilan alamat “Dari” termasuk Pemasaran.*
------
#### [ JSON ]
****
```
{
"Id":"ExamplePolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeFromAddress",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:888888888888:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
## Menggunakan beberapa pernyataan
Kebijakan otorisasi pengiriman Anda dapat mencakup beberapa pernyataan. Contoh kebijakan berikut ini memiliki dua pernyataan. Pernyataan pertama mengizinkan dua orang Akun AWS untuk mengirim dari *sender@example.com* selama alamat “Dari” dan alamat umpan balik keduanya menggunakan domain *example.com*. Pernyataan kedua mengotorisasi pengguna IAM untuk mengirim email dari *sender@example.com* selama alamat email penerima berada di bawah domain *example.com*.
# Menyediakan informasi identitas kepada pengirim delegasi untuk otorisasi pengiriman Amazon SES
Setelah membuat kebijakan otorisasi pengiriman dan melampirkannya ke identitas Anda, Anda dapat menyediakan pengirim delegasi dengan Amazon Resource Name (ARN) identitas. Pengirim delegasi akan meneruskan ARN ke Amazon SES di operasi pengiriman email atau di header email. Untuk menemukan ARN identitas Anda, ikuti langkah-langkah berikut.
**Untuk menemukan ARN identitas**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Di panel navigasi, di bawah **Konfigurasi**, pilih **Identitas yang terverifikasi**.
1. Di daftar identitas, pilih identitas yang Anda lampirkan kebijakan otorisasi pengirimannya.
1. Di panel **Ringkasan**, kolom kedua, **Nama Sumber Daya Amazon (ARN**), akan berisi ARN identitas. Ini akan terlihat serupa dengan *arn:aws:ses:us-east-1:123456789012:identity/user@example.com*. Salin seluruh ARN dan berikan kepada pengirim delegasi Anda.
**penting**
Jika identitas yang Anda otorisasi diduplikasi di wilayah sekunder sebagai bagian dari fitur [titik akhir Global](global-endpoints.md), ganti parameter wilayah, seperti,`us-east-1`, dengan tanda bintang `*` seperti pada contoh berikut,. `arn:aws:ses:*:123456789012:identity/user@example.com`
# Tugas pengirim delegasi untuk otorisasi pengiriman Amazon SES
Sebagai pengirim delegasi, Anda mengirim email atas nama identitas yang tidak Anda miliki, tetapi diizinkan untuk digunakan. Meskipun Anda mengirim atas nama pemilik identitas, pantulan dan keluhan dihitung terhadap metrik bouncing dan keluhan untuk AWS akun Anda, dan jumlah pesan yang Anda kirim dihitung terhadap kuota pengiriman Anda. Anda juga bertanggung jawab untuk meminta peningkatan kuota pengiriman yang mungkin Anda butuhkan untuk mengirim email pemilik identitas.
Sebagai pengirim delegasi, Anda harus menyelesaikan tugas berikut:
+ [Memberikan informasi kepada pemilik identitas](sending-authorization-delegate-sender-tasks-information.md)
+ [Menggunakan notifikasi pengirim delegasi](sending-authorization-delegate-sender-tasks-notifications.md)
+ [Mengirim email untuk pemilik identitas](sending-authorization-delegate-sender-tasks-email.md)
# Memberikan informasi kepada pemilik identitas untuk otorisasi pengiriman Amazon SES
Sebagai pengirim delegasi, Anda harus memberikan ID AWS akun kepada pemilik identitas atau nama sumber daya Amazon (ARN) pengguna IAM Anda karena Anda akan mengirim email atas nama pemilik identitas. Pemilik identitas memerlukan informasi akun Anda sehingga mereka dapat membuat kebijakan yang memberi Anda izin untuk mengirim dari salah satu identitas terverifikasi mereka.
Jika Anda ingin menggunakan topik SNS Anda sendiri, Anda dapat meminta pemilik identitas Anda mengonfigurasi pemberitahuan umpan balik untuk pantulan, keluhan, atau pengiriman untuk dikirim ke satu atau beberapa topik SNS Anda. Untuk melakukan ini, Anda harus membagikan ARN topik SNS Anda dengan pemilik identitas Anda sehingga mereka dapat mengonfigurasi topik SNS Anda dalam identitas terverifikasi yang mereka otorisasi untuk Anda kirim.
Prosedur berikut menjelaskan cara menemukan informasi akun Anda dan topik SNS ARNs untuk dibagikan dengan pemilik identitas Anda.
**Untuk menemukan ID AWS akun Anda**
1. Masuk ke Konsol Manajemen AWS at [https://console.aws.amazon.com](https://console.aws.amazon.com/).
1. Di sudut kanan atas konsol, perluas name/account nomor Anda, dan pilih **Akun Saya** di dropdown.
1. Halaman Pengaturan akun akan membuka dan menampilkan semua informasi akun Anda termasuk ID AWS akun Anda.
**Untuk menemukan ARN pengguna IAM Anda**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna**.
1. Di daftar pengguna, pilih nama pengguna. Bagian **Ringkasan** menampilkan ARN pengguna IAM. ARN menyerupai contoh berikut: *arn:aws:iam::123456789012:user/John*.
**Untuk menemukan topik SNS ARN Anda**
1. [Buka konsol Amazon SNS di https://console.aws.amazon.com/sns/ v3/home.](https://console.aws.amazon.com/sns/v3/home)
1. Di panel navigasi, pilih **Pengguna**.
1. Dalam daftar topik, topik SNS ARNs ditampilkan di kolom **ARN**. ARN menyerupai contoh berikut: *arn:aws:sns:us-east- 1:444455556666:*. my-sns-topic
# Menggunakan notifikasi pengirim delegasi untuk otorisasi pengiriman Amazon SES
Sebagai pengirim delegasi, Anda mengirim email atas nama identitas yang tidak Anda miliki, tetapi diizinkan untuk digunakan; namun, pantulan dan keluhan masih diperhitungkan terhadap metrik bouncing dan keluhan *Anda*, bukan metrik pemilik identitas.
Jika tingkat pentalan atau keluhan untuk akun Anda terlalu tinggi, akun Anda berisiko ditinjau atau memiliki kemampuan untuk mengirim email dijeda. Untuk alasan ini, penting bagi Anda untuk menyiapkan notifikasi dan memiliki proses untuk memantaunya. Anda juga perlu memiliki proses untuk menghapus alamat yang terpental atau diadukan dari milis Anda.
Oleh karena itu, sebagai pengirim delegasi, Anda dapat mengonfigurasi Amazon SES untuk mengirim pemberitahuan ketika peristiwa pentalan dan keluhan terjadi untuk email yang Anda kirim atas nama identitas apa pun yang tidak Anda miliki, tetapi telah diizinkan untuk digunakan oleh pemilik identitas. Anda juga dapat mengatur [penerbitan acara](monitor-using-event-publishing.md) untuk mempublikasikan pemberitahuan pentalan dan keluhan ke Amazon SNS atau Firehose.
**catatan**
Jika Anda menyiapkan Amazon SES untuk mengirim notifikasi dengan menggunakan Amazon SNS, Anda akan dikenakan tarif Amazon SNS standar untuk notifikasi yang diterima. Untuk informasi lebih lanjut, lihat [halaman harga Amazon SNS](https://aws.amazon.com/sns/pricing).
## Membuat pemberitahuan pengirim delegasi baru
Anda dapat mengatur pemberitahuan pengiriman delegasi dengan set konfigurasi menggunakan [penerbitan acara](event-destinations-manage.md), atau dengan identitas terverifikasi yang [dikonfigurasi dengan topik SNS Anda sendiri](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own).
Prosedur diberikan di bawah ini untuk menyiapkan pemberitahuan pengiriman delegasi baru menggunakan salah satu metode:
+ Penerbitan acara melalui set konfigurasi
+ Pemberitahuan umpan balik ke topik SNS yang Anda miliki
**Untuk mengatur penerbitan acara melalui konfigurasi yang ditetapkan untuk pengiriman delegasi Anda**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon SES di [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Ikuti prosedur di [Buat tujuan acara](event-destinations-manage.md).
1. Setelah menyiapkan penerbitan acara dalam set konfigurasi, tentukan nama set konfigurasi saat Anda mengirim email sebagai pengirim delegasi menggunakan identitas terverifikasi yang diberi wewenang oleh pemilik identitas untuk Anda kirim. Lihat [Mengirim email untuk pemilik identitas](sending-authorization-delegate-sender-tasks-email.md).
**Untuk mengatur pemberitahuan umpan balik ke topik SNS yang Anda miliki untuk pengiriman delegasi Anda**
1. Setelah Anda memutuskan topik SNS mana yang ingin Anda gunakan untuk pemberitahuan umpan balik, ikuti prosedur [untuk menemukan ARN topik SNS Anda dan salin ARN](sending-authorization-delegate-sender-tasks-information.md#find-sns-topic-arn) lengkap dan bagikan dengan pemilik identitas Anda.
1. Minta pemilik identitas Anda untuk mengonfigurasi topik SNS Anda untuk pemberitahuan umpan balik tentang identitas bersama yang dia izinkan untuk Anda kirim. (Pemilik identitas Anda harus mengikuti prosedur yang diberikan untuk [mengonfigurasi topik SNS](sending-authorization-identity-owner-tasks-policy.md#configure-sns-topic-you-dont-own) dalam prosedur kebijakan otorisasi.)
# Mengirim email untuk pemilik identitas untuk otorisasi pengiriman Amazon SES
Sebagai pengirim delegasi, Anda mengirim email dengan cara yang sama seperti yang dilakukan pengirim Amazon SES lainnya, kecuali bahwa Anda memberikan Amazon Resource Name (ARN) identitas yang telah diotorisasi pemilik identitas untuk Anda gunakan. Ketika Anda memanggil Amazon SES untuk mengirim email, Amazon SES memeriksa untuk melihat jika identitas yang Anda tentukan memiliki kebijakan yang mengotorisasi Anda untuk mengirimkannya.
Ada berbagai cara yang dapat Anda tentukan untuk ARN identitas ketika Anda mengirim email. Metode yang Anda gunakan tergantung jika Anda mengirim email dengan menggunakan operasi API Amazon SES atau antarmuka SMTP Amazon SES.
**penting**
Agar berhasil mengirim email, Anda harus terhubung ke titik akhir Amazon SES di AWS Wilayah tempat pemilik identitas memverifikasi identitasnya.
**Selain itu, AWS akun pemilik identitas dan pengirim delegasi harus dihapus dari kotak pasir sebelum salah satu akun dapat mengirim email ke alamat yang tidak diverifikasi.** Untuk informasi selengkapnya, lihat [Minta akses produksi (Pindah dari kotak pasir Amazon SES)](request-production-access.md).
Jika identitas yang telah Anda otorisasi untuk digunakan digandakan di wilayah sekunder sebagai bagian dari fitur [titik akhir Global](global-endpoints.md):
Pemilik identitas seharusnya memberi Anda ARN identitas yang memiliki parameter wilayah, seperti,`us-east-1`, diganti dengan tanda bintang `*` seperti pada contoh berikut,. `arn:aws:ses:*:123456789012:identity/user@example.com`
Pemilik identitas seharusnya telah membuat kebijakan otorisasi pengiriman untuk Anda di wilayah primer dan sekunder.
## Menggunakan API Amazon SES
Seperti halnya pengirim email Amazon SES lainnya, jika Anda mengakses Amazon SES melalui Amazon SES API (baik secara langsung melalui HTTPS atau secara tidak langsung melalui AWS SDK), Anda dapat memilih di antara salah satu dari tiga tindakan pengiriman email:,, dan. `SendEmail` `SendTemplatedEmail` `SendRawEmail` [Referensi API Layanan Email Sederhana Amazon](https://docs.aws.amazon.com/ses/latest/APIReference/) menjelaskan detailnya APIs, tetapi kami memberikan gambaran umum tentang parameter otorisasi pengiriman di sini.
### SendRawEmail
Jika Anda ingin menggunakannya `SendRawEmail` sehingga Anda dapat mengontrol format email Anda, Anda dapat menentukan identitas resmi yang didelegasikan dengan salah satu dari dua cara:
+ **Teruskan parameter opsional ke API `SendRawEmail`**. Parameter yang diperlukan dijelaskan di tabel berikut:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
+ **Sertakan X-header di email**. X-header adalah header kustom yang dapat Anda gunakan selain header email standar (seperti header Dari, Balas Ke, atau Subjek). Amazon SES mengenali tiga X-header yang dapat Anda gunakan untuk menentukan parameter otorisasi pengiriman:
**penting**
Jangan sertakan X-header ini di tanda tangan DKIM, karena header tersebut dihapus oleh Amazon SES sebelum mengirim email.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/ses/latest/dg/sending-authorization-delegate-sender-tasks-email.html)
Amazon SES menghapus semua X-header dari email sebelum mengirimnya. Jika Anda menyertakan beberapa instans dari X-header, Amazon SES hanya menggunakan instans pertama.
Contoh berikut menunjukkan email yang menyertakan X-header otorisasi pengiriman:
```
1. X-SES-SOURCE-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
2. X-SES-FROM-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
3. X-SES-RETURN-PATH-ARN: arn:aws:ses:us-east-1:123456789012:identity/example.com
4.
5. From: sender@example.com
6. To: recipient@example.com
7. Return-Path: feedback@example.com
8. Subject: subject
9. Content-Type: multipart/alternative;
10. boundary="----=_boundary"
11.
12. ------=_boundary
13. Content-Type: text/plain; charset=UTF-8
14. Content-Transfer-Encoding: 7bit
15.
16. body
17. ------=_boundary
18. Content-Type: text/html; charset=UTF-8
19. Content-Transfer-Encoding: 7bit
20.
21. body
22. ------=_boundary--
```
### SendEmail dan SendTemplatedEmail
Jika Anda menggunakan `SendTemplatedEmail` operasi `SendEmail` atau, Anda dapat menentukan identitas resmi yang didelegasikan dengan meneruskan parameter opsional di bawah ini. Anda tidak dapat menggunakan metode X-header ketika Anda menggunakan `SendEmail` atau `SendTemplatedEmail` operasi.
****
| Parameter | Deskripsi |
| --- | --- |
| `SourceArn` | ARN identitas yang terkait dengan kebijakan otorisasi pengiriman yang memungkinkan Anda mengirim alamat email yang ditentukan dalam `Source` parameter salah satu atau. `SendEmail` `SendTemplatedEmail` |
| `ReturnPathArn` | ARN identitas yang terkait dengan kebijakan otorisasi pengiriman yang memungkinkan Anda untuk menggunakan alamat email yang ditentukan dalam `ReturnPath` parameter salah satu atau. `SendEmail` `SendTemplatedEmail` |
Contoh berikut menunjukkan cara mengirim email yang menyertakan `ReturnPathArn` atribut `SourceArn` dan menggunakan `SendTemplatedEmail` operasi `SendEmail` atau dan [SDK untuk Python](https://aws.amazon.com/sdk-for-python).
```
import boto3
from botocore.exceptions import ClientError
# Create a new SES resource and specify a region.
client = boto3.client('ses',region_name="us-east-1")
# Try to send the email.
try:
#Provide the contents of the email.
response = client.send_email(
Destination={
'ToAddresses': [
'recipient@example.com',
],
},
Message={
'Body': {
'Html': {
'Charset': 'UTF-8',
'Data': 'This email was sent with Amazon SES.',
},
},
'Subject': {
'Charset': 'UTF-8',
'Data': 'Amazon SES Test',
},
},
SourceArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
ReturnPathArn='arn:aws:ses:us-east-1:123456789012:identity/example.com',
Source='sender@example.com',
ReturnPath='feedback@example.com'
)
# Display an error if something goes wrong.
except ClientError as e:
print(e.response['Error']['Message'])
else:
print("Email sent! Message ID:"),
print(response['ResponseMetadata']['RequestId'])
```
## Menggunakan antarmuka SMTP Amazon SES
Saat Anda menggunakan antarmuka SMTP Amazon SES untuk pengiriman delegasi, Anda harus menyertakan, `X-SES-SOURCE-ARN``X-SES-FROM-ARN`, dan `X-SES-RETURN-PATH-ARN` header dalam pesan Anda. Teruskan header ini setelah Anda mengeluarkan perintah `DATA` di percakapan SMTP.