We here at Example Corp are happy to have you on board! There's just one last step to complete before you can start sending email. Just click the following link to verify your email address. Once we confirm that you're really you, we'll give you some additional information to help you get started with ProductName.
", "SuccessRedirectionURL": "https://www.example.com/verifysuccess", "FailureRedirectionURL": "https://www.example.com/verifyfailure" } ``` **重要** 上記の例を読みやすくするために、`TemplateContent` 属性に改行が含まれています。前述の例をテキストファイルに貼り付ける場合は、続行する前に改行を削除してください。 `TemplateName`、`FromEmailAddress`、`TemplateSubject`、`TemplateContent`、`SuccessRedirectionURL`、および `FailureRedirectionURL` の値を独自の値に置き換えます。 **注記** `FromEmailAddress` パラメータで指定する E メールアドレス は、検証される必要があるか、検証済みドメインのアドレスである必要があります。詳細については、「[Amazon SES の検証済みID](verify-addresses-and-domains.md)」を参照してください。 終了したら、`customverificationemail.json` としてファイルを保存します。 1. コマンドラインで次のコマンドを入力して、カスタム検証 E メールテンプレートを作成します。 ``` aws sesv2 create-custom-verification-email-template --cli-input-json file://customverificationemail.json ``` 1. (オプション)次のコマンドを入力して、テンプレートが作成されたことを確認できます。 ``` aws sesv2 list-custom-verification-email-templates ``` ### カスタム検証 E メールテンプレートの編集 `UpdateCustomVerificationEmailTemplate`オペレーションを使用してカスタム確認 E メールテンプレートを編集できます。このオペレーションでは、`CreateCustomVerificationEmailTemplate` オペレーション (つまり `TemplateName`、`FromEmailAddress`、`TemplateSubject`、`TemplateContent`、`SuccessRedirectionURL`、および `FailureRedirectionURL` 属性) と同じ入力を受け入れます。ただし、`UpdateCustomVerificationEmailTemplate` オペレーションでは、これらの属性は必要ではありません。既存のカスタム確認 E メールテンプレートの名前と同じ `TemplateName` 値を渡すと、指定した属性がテンプレートに元々含まれていた属性を上書きします。 ### カスタムテンプレートを使用した検証 E メールの送信 少なくとも 1 つのカスタム確認 E メールテンプレートを作成したら、[SendCustomVerificationEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendCustomVerificationEmail.html) API オペレーションを呼び出して顧客に送信することができます。`SendCustomVerificationEmail` オペレーションは、任意の AWS SDKsまたは を使用して呼び出すことができます AWS CLI。`SendCustomVerificationEmail` オペレーションでは、次の入力を使用します。 **** | 属性 | 説明 | | --- | --- | | EmailAddress | 確認されている E メールアドレス。 | | TemplateName | 確認されている E メールアドレスに送信されるカスタム確認 E メールテンプレートの名前。 | | ConfigurationSetName | (オプション) 確認 E メールを送信するときに使用する設定セットの名前。 | たとえば、顧客がアプリケーションのフォームを使用してサービスに登録するとします。顧客がフォームを完成させて送信すると、アプリケーションは `SendCustomVerificationEmail` オペレーションを呼び出し、顧客の E メールアドレスと使用するテンプレートの名前を渡します。 顧客は、作成したカスタマイズされた E メールテンプレートを使用する E メールを受信します。Amazon SESは、受信者へのユニークなリンクと簡単な免責事項を自動的に追加します。次の図は、[カスタム検証 E メールテンプレートの作成](#send-email-verify-address-custom-creating)で作成されたテンプレートを使用する確認 E メールのサンプルを示しています。 ![\[Email verification message with instructions and a link to confirm the recipient's address.\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/images/cve_sample_message.png) ### カスタム検証 E メールに関するよくある質問 このセクションでは、カスタム確認 E メールテンプレート機能に関するよくある質問に対する回答を示します。 #### Q1. 作成できるカスタム確認 E メールテンプレートの数はいくつですか? Amazon SES アカウントごとに最大 50 のカスタム確認 E メールテンプレートを作成できます。 #### Q2. カスタム確認 E メールはどのように受信者に表示されますか? カスタム確認 E メールには、テンプレートを作成したときに指定したコンテンツと、メールアドレスを確認するために受信者がクリックする必要があるリンクが含まれます。 #### Q3. カスタム確認 E メールをプレビューすることはできますか? カスタム確認 E メールをプレビューするには、`SendCustomVerificationEmail` オペレーションを使用して確認 E メールを所有しているアドレスに送信します。確認リンクをクリックしない場合は、Amazon SESは新しい ID を作成しません。確認リンクをクリックすると、`DeleteIdentity` オペレーションを使用して、オプションとして新しく作成された ID を削除することもできます。 #### Q4. カスタム確認 E メールテンプレートに画像を含めることはできますか? Base64 エンコーディングを使用して、テンプレートのHTMLに画像を埋め込むことができます。この方法で画像を埋め込むと、Amazon SES は画像を添付ファイルに自動的に変換します。次のコマンドのいずれかを発行して、画像をコマンドラインでエンコードすることができます。 ------ #### [ Linux, macOS, or Unix ] ``` base64 -i imagefile.png | tr -d '\n' > output.txt ``` ------ #### [ Windows ] ``` certutil -encodehex -f imagefile.png output.txt 0x40000001 ``` ------ `imagefile.png` を、エンコードするファイルの名前に置き換えます。上記の両方のコマンドで、Base64 でエンコードされた画像は`output.txt`に保存されます。 テンプレートの HTML に以下を含めることで、Base64 でエンコードされた画像を埋め込むことができます。`
`
前述の例では、`png` をエンコードされた画像のファイルタイプ (jpg や gif など) に置き換え、`base64EncodedImage`をBase64 でエンコードされた画像 (つまり、前述のコマンドの `output.txt` 内容) に置き換えます。
#### Q5. カスタム検証 E メールテンプレートに含めることのできるコンテンツに制限はありますか?
カスタム確認 E メールテンプレートのサイズは 10 MB を超えることはできません。また、HTML を含むカスタム検証 E メールテンプレートでは、以下の表に示しているタグと属性しか使用できません。
| HTML タグ | 許可された属性 |
| --- | --- |
| abbr | class, id, style, title |
| acronym | class, id, style, title |
| address | class, id, style, title |
| area | class, id, style, title |
| b | class, id, style, title |
| bdo | class, id, style, title |
| big | class, id, style, title |
| blockquote | cite, class, id, style, title |
| body | class, id, style, title |
| br | class, id, style, title |
| button | class, id, style, title |
| caption | class, id, style, title |
| center | class, id, style, title |
| cite | class, id, style, title |
| code | class, id, style, title |
| col | class, id, span, style, title, width |
| colgroup | class, id, span, style, title, width |
| dd | class, id, style, title |
| del | class, id, style, title |
| dfn | class, id, style, title |
| dir | class, id, style, title |
| div | class, id, style, title |
| dl | class, id, style, title |
| dt | class, id, style, title |
| em | class, id, style, title |
| fieldset | class, id, style, title |
| font | class, id, style, title |
| form | class, id, style, title |
| h1 | class, id, style, title |
| h2 | class, id, style, title |
| h3 | class, id, style, title |
| h4 | class, id, style, title |
| h5 | class, id, style, title |
| h6 | class, id, style, title |
| head | class, id, style, title |
| hr | class, id, style, title |
| html | class, id, style, title |
| i | class, id, style, title |
| img | align, alt, class, height, id, src, style, title, width |
| input | class, id, style, title |
| ins | class, id, style, title |
| kbd | class, id, style, title |
| label | class, id, style, title |
| legend | class, id, style, title |
| li | class, id, style, title |
| map | class, id, style, title |
| menu | class, id, style, title |
| ol | class, id, start, style, title, type |
| optgroup | class, id, style, title |
| option | class, id, style, title |
| p | class, id, style, title |
| pre | class, id, style, title |
| q | cite, class, id, style, title |
| s | class, id, style, title |
| samp | class, id, style, title |
| select | class, id, style, title |
| small | class, id, style, title |
| span | class, id, style, title |
| strike | class, id, style, title |
| strong | class, id, style, title |
| sub | class, id, style, title |
| sup | class, id, style, title |
| table | class, id, style, summary, title, width |
| tbody | class, id, style, title |
| td | abbr, axis, class, colspan, id, rowspan, style, title, width |
| textarea | class, id, style, title |
| tfoot | class, id, style, title |
| th | abbr, axis, class, colspan, id, rowspan, scope, style, title, width |
| thead | class, id, style, title |
| tr | class, id, style, title |
| tt | class, id, style, title |
| u | class, id, style, title |
| ul | class, id, style, title, type |
| var | class, id, style, title |
**注記**
カスタム検証 E メールテンプレートには、コメントタグを含めることはできません。
#### Q6. 確認済み E メールアドレスをアカウントにいくつ持つことができますか?
Amazon SES アカウントは、各 AWS リージョンで最大 10,000 個の検証済み ID を持つことができます。Amazon SES で、*ID* には検証済みドメインと E メールアドレスの両方が含まれます。
#### Q7. Amazon SES コンソールを使用してカスタム確認 E メールテンプレートを作成できますか?
現在、Amazon SES API を使用してのみカスタム確認 E メールを作成、編集、削除できます。
#### Q8. 顧客がカスタム確認 E メールを受け取ったときに発生するオープンイベントとクリックイベントを追跡できますか?
カスタム検証E メールには、オープンまたはクリックの追跡を含めることはできません。
#### Q9. カスタム検証E メールにカスタムヘッダーを含めることはできますか?
カスタム検証E メールにカスタムヘッダーを含めることはできません。
#### Q10. カスタム検証E メールの下部に表示されるテキストを削除できますか?
次のテキストは、すべてのカスタム検証E メールの末尾に自動的に追加され、削除することはできません。
*この E メールアドレスの確認をリクエストしていない場合は、このメッセージを無視してください。*
#### Q11. カスタム確認 E メールは DKIM 署名されていますか?
確認 E メールを DKIM 署名するには、確認メールテンプレートを作成するときに `FromEmailAddress` 属性で指定した E メールアドレスが DKIM 署名を生成するように設定する必要があります。E メールアドレスの DKIM の設定の詳細については、[Amazon SES における DKIM を使った E メールの認証](send-email-authentication-dkim.md) を参照してください。
#### Q12. カスタム検証 E メールテンプレートの API オペレーションが SDK または CLI にないのはなぜですか?
SDK または でカスタム検証 E メールテンプレートオペレーションを使用できない場合は AWS CLI、古いバージョンの SDK または CLI を使用している可能性があります。カスタム検証 E メールテンプレートのオペレーションは以下の SDK および CLI で使用できます。
+ のバージョン 1.14.6 以降 AWS Command Line Interface
+ のバージョン 3.3.205.0 以降 AWS SDK for .NET
+ AWS SDK for C\$1\$1 のバージョン 1.3.20170531.19 以降
+ のバージョン 1.12.43 以降 AWS SDK for Go
+ のバージョン 1.11.245 以降 AWS SDK for Java
+ のバージョン 2.166.0 以降 AWS SDK for JavaScript
+ のバージョン 3.45.2 以降 AWS SDK for PHP
+ のバージョン 1.5.1 以降 AWS SDK for Python (Boto)
+ `aws-sdk-ses` の AWS SDK for Ruby Gem のバージョン 1.5.0 以降
#### Q13. カスタム確認 E メールを送信するときに `ProductionAccessNotGranted` エラーが発生するのはなぜですか?
`ProductionAccessNotGranted` エラーは、アカウントが Amazon SES サンドボックスにまだ存在することを示しています。カスタム確認 E メールは、アカウントがサンドボックスから削除されている場合にのみ送信できます。詳細については、「[本稼働アクセスのリクエスト (Amazon SES サンドボックスからの移行)](request-production-access.md)」を参照してください。
# Amazon SES の ID の管理
Amazon SES コンソールでは、各 AWS リージョン に作成した ID を表示したり、ID を開いて詳細設定を表示して編集したり、デフォルトの設定セットを関連付けたり、単数または複数の ID を削除したりできます。
**注記**
このセクションで説明する手順は、選択した AWS リージョン の ID にのみ適用されます。複数の地域で作成したIDを管理するには、各AWS リージョンの手順を参照してください。
**Topics**
+ [SES コンソールを使用して ID を表示する](view-verified-domains.md)
+ [SES コンソールを使用して ID を削除する](remove-verified-domain.md)
+ [SES コンソールを使用して ID を編集する](edit-verified-domain.md)
+ [SES API を使用して、デフォルトの設定セットを使用するように ID を編集する](managing-configuration-sets-default-adding.md)
+ [ID が使用するデフォルトの設定セットを SES API を使用して取得する](managing-configuration-sets-default-returning.md)
+ [SES API を使用して ID で現在使用されているデフォルトの設定セットをオーバーライドする](managing-configuration-sets-default-overriding.md)
# SES コンソールを使用して ID を表示する
Amazon SES コンソールを使用して、検証済みまたは検証待ちのドメイン ID や E メールアドレス ID を表示できます。また、検証が失敗したIDを表示することもできます。
**ドメインとメールアドレスの ID を表示するには**
1. AWS マネジメントコンソール にサインインして Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. コンソールで、地域セレクターを使用して、ID のリストを表示するAWS リージョンを選択します。
**注記**
この手順では、選択したAWS リージョンのIDリストのみを表示します。
1. ナビゲーションペインの**設定**で、**検証済みの ID** を選択します。**検証済みの ID** テーブルには、ドメイン ID と E メールアドレス ID の両方が表示されます。**ステータス**列には、ID が検証済みか、検証保留中か、検証プロセスに失敗したかが表示されます - すべての可能性のあるステータス値の定義は以下の通りです :
+ **検証済み** — SES での送信について、アイデンティティが正常に検証されました。
+ **失敗** — SES はお客様のアイデンティティを検証できませんでした。ドメインの場合は、SES が 72 時間以内に DNS レコードを検出できなかったことを意味します。E メールアドレスの場合は、E メールアドレスに送信された検証メールが 24 時間以内に確認されなかったことを意味します。
+ **保留** — SES はまだアイデンティティを確認中です。
+ **一時的な失敗** — 以前に検証されたドメインの場合、SES は検証に必要な DNS レコードを定期的にチェックします。ある時点で SES がレコードを検出できない場合、ステータスは*一時的な失敗*に変更されます。SES は 72 時間 DNS レコードを再チェックし、レコードを検出できない場合、ドメインのステータスは*失敗*に変更されます。レコードを検出できる場合、ドメインのステータスは*検証済み*に変更されます。
+ **未開始** — 検証プロセスをまだ開始していません。
1. ID を検証ステータス別に並べ替えるには、**ステータス**列を選択します。
1. ID の詳細ページを表示するには、表示する ID を選択します。
# SES コンソールを使用して ID を削除する
Amazon SES コンソールを使用して、選択した のアカウントからドメインまたは E メールアドレス ID を削除できます AWS リージョン。
**ドメインまたはEメールアドレス ID を削除するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. コンソールで、リージョンセレクタを使用して、1 つ以上の ID AWS リージョン を削除する を選択します。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
**検証済みの ID** テーブルには、ドメイン ID と E メールアドレス ID の両方が表示されます。
1. **ID**列で、削除する ID を選択します。複数のIDを削除するには、削除する各IDの横にあるチェックボックスをオンにします。
1. **[Delete]** (削除) をクリックします。
# SES コンソールを使用して ID を編集する
Amazon SES コンソールを使用して、選択した AWS リージョン のアカウントにあるドメインまたはメールアドレス ID を編集できます。
**ドメインまたはメールアドレス ID を編集するには**
1. AWS マネジメントコンソール にサインインして Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. コンソールで、地域セレクターを使用して、 1つまたは複数のIDを編集するには、AWS リージョン を選択します。
1. ナビゲーションペインの**設定**で、**検証済みの ID** を選択します。
**検証済みの ID** テーブルには、ドメイン ID と E メールアドレス ID の両方が表示されます。
1. **ID** 列で、編集する ID を選択します (チェックボックスを選択するのではなく、ID の名前を直接クリックします)。
1. ID の詳細ページで、編集するカテゴリが含まれているタブを選択します。
1. 選択したタブにある、カテゴリごとに分けられたコンテナのいずれかで、編集したい属性の**[Edit]** (編集) ボタンを選択して変更を行い、**[Save changes]** (変更の保存) を選択します。
1. ドメイン ID が Amazon Route 53 でホストされていて、まだ DNS レコードを発行していない場合に **[認証]** タブで属性を編集するときは、**[DomainKeys Identified Mail (DKIM)]** コンテナ、または **[カスタム MAIL FROM ドメイン]** コンテナのいずれか、または両方に、**[DNS レコードを Route53 に発行する]** ボタンが (**[編集]** ボタンの横に) 表示されます。
**注記**
**[Authentication]** (認証) タブは、アカウントに検証済みドメインがある場合か、アカウント内の E メールアドレスが検証済みドメインを使用している場合にのみ表示されます。
1. **[Publish DNS records to Route53]** (DNS レコードを Route53 に発行する) ボタンで DNS レコードを直接発行できます。ボタンをクリックすると確認バナーが表示され、**[Publish DNS records to Route53]** (DNS レコードを Route53 に発行する) ボタンはそれぞれのコンテナに表示されなくなります。
1. 編集する ID のそれぞれの属性について、手順 5 と 6 を繰り返します。
# SES API を使用して、デフォルトの設定セットを使用するように ID を編集する
[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html) オペレーションを使用して、既存の電子メール ID からデフォルト設定セットを追加または削除できます。
**注記**
このセクションの手順を完了する前に、まず AWS CLIをインストールして設定する必要があります。詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。
**を使用してデフォルト設定セットを追加するには AWS CLI**
+ コマンドラインで以下のコマンドを入力して[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html) オペレーションを使用します。
```
aws sesv2 put-email-identity-configuration-set-attributes --email-identity ADDRESS-OR-DOMAIN --configuration-set-name CONFIG-SET
```
上記のコマンドで、*ADDRESS-OR-DOMAIN* を、検証する E メール ID に置き換えます。*CONFIG-SET* を、ID のデフォルト設定セットとして設定する設定セット名に置き換えます。
コマンドが正常に実行された場合、何の出力もなく終了します。
**を使用してデフォルト設定セットを削除するには AWS CLI**
+ コマンドラインで以下のコマンドを入力して[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html) オペレーションを使用します。
```
aws sesv2 put-email-identity-configuration-set-attributes --email-identity ADDRESS-OR-DOMAIN
```
上記のコマンドで、*ADDRESS-OR-DOMAIN* を、検証する E メール ID に置き換えます。
コマンドが正常に実行された場合、何の出力もなく終了します。
# ID が使用するデフォルトの設定セットを SES API を使用して取得する
[GetEmailIdentity](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html) オペレーションを使用して、電子メール ID のデフォルト設定セットを返します (該当する場合)。
**注記**
このセクションの手順を完了する前に、まず AWS CLIをインストールして設定する必要があります。詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。
**を使用してデフォルト設定セットを返すには AWS CLI**
+ コマンドラインで以下のコマンドを入力して [GetEmailIdentity](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html) オペレーションを使用します。
```
aws sesv2 get-email-identity --email-identity ADDRESS-OR-DOMAIN
```
上記のコマンドで、*ADDRESS-OR-DOMAIN* を、デフォルト設定セットが知りたい電子メールIDに置き換えます(存在する場合)。
コマンドが正常に実行された場合、E メール ID の詳細を含む JSON オブジェクトが提供されます。
# SES API を使用して ID で現在使用されているデフォルトの設定セットをオーバーライドする
[SendEmail](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_SendEmail.html) オペレーションを使用して、異なる設定セットで電子メールを送信できます。そうした場合、指定した設定セットが、ID のデフォルト設定セットをオーバーライドします。
**注記**
このセクションの手順を完了する前に、まず AWS CLIをインストールして設定する必要があります。詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。
**を使用してデフォルト設定セットを上書きするには AWS CLI**
+ コマンドラインで以下のコマンドを入力して、[SendEmail](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_SendEmail.html) オペレーションを使用します。
```
aws sesv2 send-email --destination file://DESTINATION-JSON --content file://CONTENT-JSON --from-email-address ADDRESS-OR-DOMAIN --configuration-set-name CONFIG-SET
```
上記のコマンドで、*DESTINATION-JSON* を宛先の JSON ファイルに置き換え、*CONTENT-JSON* をコンテンツ JSON ファイルに置き換え、*ADDRESS-OR-DOMAIN* を FROM メールアドレスに置き換え、*CONFIG-SET* を、ID のデフォルト設定セットではなく、使用する設定セットの名前に置き換えます。
コマンドが正常に実行された場合、`MessageId` を出力します。
# Amazon SES での ID の設定
Amazon Simple Email Service (Amazon SES) は、Simple Mail Transfer Protocol (SMTP) を使用してEメールを送信します。SMTP 自体は認証を提供しません。実際の送信元を隠蔽したスパムの発信者から、他人を装って E メールメッセージが送信される可能性があります。スパムの発信者は、Eメールヘッダーを改ざんし、送信元 IP アドレスを偽装することにより、そのメールメッセージが本物であると受取人に思い込ませることができます。
メールトラフィックを転送するほとんどのISP は、E メールの正当性を評価するための対策を講じています。E メールが*認証*されているかどうかの確認は、ISP が講じているそうした対策の 1 つです。認証において送信者は、自分がその送信元アカウントの所有者であることを証明する必要があります。場合によっては、ISP は認証されない E メールの送信を拒否します。配信性能を最大限確保するために、E メールを認証することをお勧めします。
以降のセクションでは、ISP で使用される 2 つの認証メカニズム、Sender Policy Framework (SPF) とドメインキーアイデンティファイドメール (DKIM)、について説明するとともに、Amazon SES でそれらの標準を使用する方法について説明します。
+ Eメールメッセージをその送信元のシステムにまでさかのぼって追跡するSPF については、「[Amazon SES における SPF を使った E メールの認証](send-email-authentication-spf.md)」を参照してください。
+ メールメッセージに署名し、自分のメッセージが本物であることと送信中に改ざんされていないことを ISP に証明するための標準規格であるDKIM は、「[Amazon SES における DKIM を使った E メールの認証](send-email-authentication-dkim.md)」を参照してください。
+ SPF および DKIM に基づく DMARC (Domain-based Message Authentication, Reporting and Conformance) に準拠する方法については、「[Amazon SES の DMARC 認証プロトコルへの準拠](send-email-authentication-dmarc.md)」を参照してください。
# E メールの認証方法
Amazon Simple Email Service (Amazon SES) は、Simple Mail Transfer Protocol (SMTP) を使用して E メールを送信します。SMTP 自体は認証を提供しません。実際の送信元を隠蔽したスパムの発信者から、他人を装って E メールメッセージが送信される可能性があります。スパムの発信者は、E メールヘッダーを改ざんし、送信元 IP アドレスを偽装することにより、そのメールメッセージが本物であると受取人に思い込ませることができます。
メールトラフィックを転送するほとんどのISP は、E メールの正当性を評価するための対策を講じています。E メールが認証されているかどうかの確認は、ISP が講じているそうした対策の 1 つです。認証において送信者は、自分がその送信元アカウントの所有者であることを証明する必要があります。場合によっては、ISP は認証されない E メールの送信を拒否します。配信性能を最大限確保するために、E メールを認証することをお勧めします。
**Topics**
+ [Amazon SES における DKIM を使った E メールの認証](send-email-authentication-dkim.md)
+ [Amazon SES における SPF を使った E メールの認証](send-email-authentication-spf.md)
+ [カスタムの MAIL FROM ドメインを使用する](mail-from.md)
+ [Amazon SES の DMARC 認証プロトコルへの準拠](send-email-authentication-dmarc.md)
+ [Amazon SES での BIMI の使用](send-email-authentication-bimi.md)
# Amazon SES における DKIM を使った E メールの認証
*DomainKeys アイデンティファイドメール*(*DKIM*) は、特定のドメインから来たと主張するEメールが、そのドメインの所有者によって実際に許可されていることを確認するために設計されたEメールセキュリティ標準です。パブリックキー暗号を使用して、プライベートキーで Eメールに署名します。受信者サーバーは、ドメインの DNS に発行されたパブリックキーを使用して、送信中にEメールの一部が変更されていないことを確認できます。
DKIM 署名はオプションです。DKIM署名を使ってEメールに署名することで、DKIMに対応する E メールプロバイダーによる配信性能を強化することができます。Amazon SES には、DKIM 署名を使用してメッセージに署名するための 3 つのオプションがあります。
+ **Easy DKIM**: SES によってパブリックキーとプライベートキーのペアが生成され、その ID から送信するすべてのメッセージに DKIM 署名が自動的に追加されます。「[Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)」を参照してください。
+ **Deterministic Easy DKIM (DEED)**: Easy DKIM を使用している親 ID として DKIM 署名属性を自動的に継承するレプリカ ID を作成 AWS リージョン することで、複数の にわたって一貫した DKIM 署名を維持できます。「」を参照してください[Amazon SES で Deterministic Easy DKIM (DEED) を使用する](send-email-authentication-dkim-deed.md)。
+ **BYODKIM (Bring Your Own DKIM)**: 独自のパブリックキーとプライベートキーのペアを提供すると、SES によって、その ID から送信するすべてのメッセージに DKIM 署名が追加されます。「[Amazon SES で独自の DKIM 認証トークン (BYODKIM) を提供する](send-email-authentication-dkim-bring-your-own.md)」を参照してください。
+ **手動で DKIM 署名を追加する**: `SendRawEmail` API を使用して送信する E メールに独自の DKIM 署名を追加します。「[Amazon SES 内で手動での DKIM 署名](send-email-authentication-dkim-manual.md)」を参照してください。
## DKIM 署名キーの長さ
現在、多くの DNS プロバイダーは DKIM 2048 ビット RSA 暗号化を完全にサポートしているため、Amazon SES は DKIM 2048 をサポートして E メールのより安全な認証を可能にし、API またはコンソールから Easy DKIM を設定するときにデフォルトのキー長として使用します。2048ビットキーは、Bring Your Own DKIM(BYODKIM)でもセットアップして使用できます。この場合、署名キーの長さは1024ビット以上2048ビット以下である必要があります。
Easy DKIMで構成されている場合、セキュリティと電子メールの配信可能性のために、まだ2048をサポートしていないDNSプロバイダーによって問題が発生した場合に備えて、1024ビットと2048ビットのいずれかのキー長と1024に戻す柔軟性を使用することを選択できます。*新しい ID を作成すると、1024 を指定しない限り、デフォルトで DKIM 2048 で作成されます。*
転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更できる頻度には制限があります。制限事項は次のとおりです。
+ 既に設定されているキーの長さと同じ長さに切り替えることはできません。
+ 24時間の間に複数回異なるキーの長さに切り替えることはできません(その期間で1024への最初のダウングレードでない限り)。
Eメールが送信されると、DNS はパブリックキーを使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールを DKIM で認証できない可能性があります。したがって、これらの制限は保護されます。
## DKIM に関する考慮事項
E メールの認証に DKIM を使用する場合、次のルールが適用されます。
+ 「送信元」アドレスで使用するドメインでのみ DKIM を設定する必要があります。「Return-Path」あるいは「Reply-to」アドレスで使用するドメインに DKIM をセットアップする必要はありません。
+ Amazon SES は複数の AWS リージョンで利用できます。複数の AWS リージョンを使用して E メールを送信する場合、リージョンごとに DKIM のセットアップを完了して、すべての E メールに DKIM 署名があることを確認する必要があります。
+ DKIM プロパティは親ドメインから継承されるため、DKIM 認証を使用してドメインを検証する場合は次のようになります。
+ DKIM 認証は、そのドメインのすべてのサブドメインにも適用されます。
+ サブドメインの DKIM 設定は、サブドメインで DKIM 認証を使用しない場合は継承を無効にし、後で再度有効にすることで、親ドメインの設定を上書きできます。
+ DKIM 認証は、そのアドレスで DKIM 検証済みドメインを参照する E メール ID から送信されるすべての E メールにも適用されます。
+ E メールアドレスの DKIM 設定を、サブドメインの設定 (適用される場合) と親ドメインの設定に上書きできます。DKIM 認証なしでメールを送信する場合は、継承を無効にし、後で再度有効にすることもできます。
## 継承された DKIM 署名プロパティについて理解する
まず、Easy DKIM または BYODKIM が使用されているかどうかにかかわらず、そのドメインが DKIM で設定されている場合、E メールアドレス ID が親ドメインから DKIM 署名プロパティを継承することを理解することが重要です。したがって、E メールアドレス ID で DKIM 署名を無効または有効にすると、次の重要な点に基づいてドメインの DKIM 署名プロパティが上書きされます。
+ E メールアドレスが属するドメインで既に DKIM をセットアップしている場合には、E メールアドレス ID にも同じく DKIM 署名を有効にする必要はありません。
+ ドメインで DKIM をセットアップする場合、Amazon SES が親ドメインから継承された DKIM プロパティを介して、このドメインのすべてのアドレスからのすべての E メールを自動的に認証します。
+ 特定の E メールアドレス ID の DKIM 設定により、そのアドレスが属する*親ドメインまたはサブドメイン (該当する場合) の設定が自動的に上書きされます*。
E メールアドレス ID の DKIM 署名プロパティが親ドメインから継承されるため、これらのプロパティを上書きする場合は、次の表で説明された上書きの階層ルールに注意する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim.html)
通常、DKIM 署名の無効化はお勧めしません。送信者の評価を損うリスクがあるだけでなく、送信したメールが迷惑メールやスパムフォルダに移動されたり、ドメインが偽装されたりするリスクが高まるためです。
ただし、特定のユースケースや、DKIM 署名を永続的または一時的に無効にしたり、後で再有効化したりする必要があるような通常とは異なるビジネス上の意思決定がなされた場合に備えて、ドメインから継承された DKIM 署名プロパティを E メールアドレス ID に上書きするための機能があります。「[E メールアドレス ID に継承された DKIM 署名を上書きする](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)」を参照してください。
# Amazon SES のEasy DKIM
ドメイン ID で Easy DKIM をセットアップすると、Amazon SES はその ID から送信するすべての E メールに 2048 ビットの DKIM キーを自動的に追加します。Easy DKIM を設定するには、Amazon SES コンソールあるいは API を使用できます。
**注記**
Easy DKIM をセットアップするには、ドメインの DNS 設定を変更する必要があります。Route 53 を DNS プロバイダーとして使用している場合、Amazon SES は適切なレコードを自動的に作成します。別の DNS プロバイダーを使用する場合は、使用するプロバイダーのドキュメントを参照して、ドメインの DNS 設定を変更する詳細を確認します。
**警告**
現在 BYODKIM が有効になっていて、Easy DKIM に移行している場合、Easy DKIM のセットアップ中で、DKIM ステータスが保留中になっている間、Amazon SES は BYODKIM を使用してメールに署名しないことに注意してください。Easy DKIM を有効にする電話を (API またはコンソールを介して) かけたときと SES が DNS 設定を確認できるときまでの間に、SES によって DKIM 署名なしで E メールが送信されることがあります。したがって、中間ステップを使用して、一方の DKIM 署名方法からもう一方の DKIM 署名方法に移行する (例えば、BYODKIM を有効にしてドメインのサブドメインを使用し、Easy DKIM 検証に合格したら削除する) か、アプリケーションのダウンタイム中にこのアクティビティを実行することをお勧めします (存在する場合)。
## 検証済みドメイン ID に対する Easy DKIM のセットアップ
このセクションの手順は、すでに作成したドメイン ID に Easy DKIM を設定するために必要なステップだけに簡素化されています。ドメイン ID を作成していない場合や、デフォルトの設定セット、カスタムの MAIL FROM ドメイン、タグの使用など、ドメイン ID をカスタマイズするための利用可能なすべてのオプションを表示する場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
Easy DKIM ドメイン ID の作成には、DKIM ベースの検証の設定があります。この検証では、Amazon SES のデフォルトである 2048 ビットを受け入れるか、1024 ビットを選択してデフォルトを上書きするかを選択できます。「[DKIM 署名キーの長さ](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)」を参照して、DKIM 署名キーの長さとその変更方法のご参照ください。
**ドメインに Easy DKIM をセットアップするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの **[設定]** で、**[ID]** を選択します。
1. ID のリストで、**ID のタイプ**が*ドメイン*であるIDを選択します。
**注記**
ドメインを作成または検証する必要がある場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **DKIM の詳細設定**コンテナで、**ID のタイプ**フィールドの**Easy DKIM**ボタンを選択します。
1. **DKIM 署名キーの長さ**フィールドで、[**RSA\$12048\$1BIT**または**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)を選択します。
1. **DKIM 署名**フィールドで、[**Enabled**]ボックスをチェックします。
1. [**Save changes**] をクリックします。
1. Easy DKIM でドメイン ID を設定したので、DNS プロバイダーで検証プロセスを完了する必要があります。「[DNS プロバイダーでの DKIM ドメイン ID の検証](creating-identities.md#just-verify-domain-proc)」に進み、Easy DKIM の DNS 認証手順に従います。
## ID の Easy DKIM 署名キーの長さを変更する
このセクションの手順では、署名アルゴリズムに必要な Easy DKIM ビットを簡単に変更する方法について説明します。セキュリティを強化するには、常に 2048 ビットの署名長が優先されますが、DKIM 1024 のみをサポートする DNS プロバイダーを使用する必要があるなど、1024 ビットの長さを使用する必要がある場合があります。
転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更または反転できる頻度には制限があります。
メールが送信されると、DNS はパブリックキーを使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールをDKIMで認証できない可能性があります。したがって、次の制限によって保護されます。
+ 既に設定されているキーの長さと同じキーの長さに切り替えることはできません。
+ 24 時間の間に複数回異なるキーの長さに切り替えることはできません(ただし、その間の1024への最初のダウングレードでない限り)。
次の手順を使用してキーの長さを変更する際、これらの制限のいずれかを無視すると、コンソールでは、無効だった理由とともに「*the input you provided is invalid (指定した入力は無効です)*」と示すエラーバナーが返されます。
**DKIM 署名キーの長さビットを変更するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定** で、**ID の検証**を選択します。
1. ID のリストで、DKIM署名キーを変更したいID を選択します。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **[DKIM の詳細設定]** コンテナで、**[DKIM 署名キーの長さ]** フィールドの [**[RSA\$12048\$1BIT]** または **[RSA\$11024\$1BIT]**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) を選択します。
1. [**Save changes(変更を保存)**] をクリックします。
# Amazon SES で Deterministic Easy DKIM (DEED) を使用する
Deterministic Easy DKIM (DEED) は、複数の DKIM 設定を管理するためのソリューションを提供します AWS リージョン。DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は堅牢な E メール認証手法を維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。
## Deterministic Easy DKIM (DEED) とは
Deterministic Easy DKIM (DEED) は、Easy DKIM で設定された親ドメイン AWS リージョン に基づいて、すべての で一貫した DKIM トークンを生成する機能です。 [Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)これにより、Easy DKIM で現在設定 AWS リージョン されている親 ID と同じ DKIM 署名設定を自動的に継承および維持する異なる に ID をレプリケートできます。DEED では、親 ID に対して DNS レコードを 1 回発行するだけで、レプリカ ID は同じ DNS レコードを使用してドメインの所有権を検証し、DKIM 署名を管理します。
DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は、E メール認証のベストプラクティスを維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。
DEED に関して使用される用語:
+ **親 ID** – レプリカ ID の DKIM 設定のソースとして機能する、Easy DKIM で設定された検証済み ID。
+ **レプリカ ID** – 同じ DNS 設定と DKIM 署名設定を共有する親 ID のコピー。
+ **親リージョン** – 親 ID が設定されている AWS リージョン 。
+ **レプリカリージョン** – レプリカ ID が設定されている AWS リージョン 。
+ **DEED ID** – 親 ID またはレプリカ ID として使用されるあらゆる ID (新しい ID が作成されると、最初は通常の (非 DEED) ID として扱われます。ただし、レプリカが作成されると、その ID は DEED ID と見なされます)。
DEED を使用する主な利点は次のとおりです。
+ **DNS 管理の簡素化** – 親 ID に対して DNS レコードを 1 回だけ発行します。
+ **より簡単なマルチリージョンオペレーション** – E メール送信オペレーションを新しいリージョンに拡張するプロセスを簡素化します。
+ **管理オーバーヘッドの削減** – DKIM 設定を親 ID から一元管理します。
## Deterministic Easy DKIM (DEED) の仕組み
レプリカ ID を作成すると、Amazon SES は親 ID からレプリカ ID に DKIM 署名キーを自動的にレプリケートします。親 ID に加えられた、それ以降の DKIM キーローテーションまたはキーの長さの変更は、すべてのレプリカ ID に自動的に伝播されます。
このプロセスには、以下のワークフローが含まれます。
1. Easy DKIM AWS リージョン を使用して に親 ID を作成します。
1. 親 ID に必要な DNS レコードを設定します。
1. 他の にレプリカ ID を作成し AWS リージョン、親 ID のドメイン名と DKIM 署名リージョンを指定します。
1. Amazon SES は、親の DKIM 設定をレプリカ ID に自動的にレプリケートします。
重要な考慮事項:
+ 既にレプリカである ID のレプリカを作成することはできません。
+ 親 ID では [Easy DKIM](send-email-authentication-dkim-easy.md) が有効になっている必要があります。BYODKIM のレプリカまたは手動で署名された ID のレプリカを作成することはできません。
+ 親 ID は、すべてのレプリカ ID が削除されるまで削除できません。
## DEED を使用したレプリカ ID の設定
このセクションでは、DEED を使用してレプリカ ID を作成および検証する方法と、必要なアクセス許可の例を示します。
**Topics**
+ [レプリカ ID の作成](#creating-replica-identity)
+ [レプリカ ID 設定の検証](#verifying-replica-identity)
+ [DEED を使用するために必要なアクセス許可](#required-permissions)
### レプリカ ID の作成
レプリカ ID を作成するには:
1. レプリカアイデンティティを作成する AWS リージョン で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。
(SES コンソールでは、レプリカ ID は*グローバル ID *と呼ばれます)。
1. ナビゲーションペインで、**[ID]** を選択します。
1. [**ID の作成**] を選択します。
1. **[ID タイプ]** で **[ドメイン]** を選択し、Easy DKIM で設定された、レプリケートして親として機能する既存の ID のドメイン名を入力します。
1. **[DKIM の詳細設定]** を展開し、**[Deterministic Easy DKIM]** を選択します。
1. **[親リージョン]** ドロップダウンメニューから、グローバル (レプリカ) ID に入力したのと同じ名前の Easy DKIM で署名された ID が存在する親リージョンを選択します (デフォルトでは、レプリカリージョンは SES コンソールにサインインしたリージョンになります)。
1. **DKIM 署名**が有効になっていることを確認します。
1. (オプション) ドメイン ID に 1 つ以上の**タグ**を追加します。
1. 設定を確認して、**[ID の作成]** を選択します。
の使用 AWS CLI:
Easy DKIM で設定された親 ID に基づいてレプリカ ID を作成するには、次の例に示すように、親のドメイン名、レプリカ ID を作成するリージョン、および親の DKIM 署名リージョンを指定する必要があります。
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
前の例では、以下のようになっています。
1. *example.com* を、レプリケートされる親ドメイン ID に置き換えます。
1. *us-west-2* を、レプリカドメイン ID が作成されるリージョンに置き換えます。
1. *AWS\$1SES\$1US\$1EAST\$11* を、レプリカ ID にレプリケートされる Easy DKIM 署名設定を表す親の DKIM 署名リージョンに置き換えます。
**注記**
`AWS_SES_` プレフィックスは、DKIM が Easy DKIM を使用して親 ID 用に設定されたことを示し、 `US_EAST_1`は作成された AWS リージョン です。
### レプリカ ID 設定の検証
レプリカ ID を作成したら、親 ID の DKIM 署名設定で正しく設定されていることを検証できます。
**レプリカ ID を検証するには:**
1. レプリカアイデンティティを AWS リージョン 作成した で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。
1. ナビゲーションペインで **[ID]** を選択し、**[ID]** 表から、検証する ID を選択します。
1. **[認証]** タブで、**[DKIM の設定]** フィールドにはステータスが表示され、**[親リージョン]** フィールドには DEED を利用した ID の DKIM 署名設定に使用されているリージョンが表示されます。
の使用 AWS CLI:
`get-email-identity` コマンドを使用して、レプリカのドメイン名とリージョンを指定します。
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
レスポンスには、親 ID の DKIM 署名設定でレプリカ ID が正常に設定されたことを示す `SigningAttributesOrigin` パラメータの親リージョンの値が含まれます。
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### DEED を使用するために必要なアクセス許可
DEED を使用するには、以下が必要です。
1. レプリカリージョンで E メール ID を作成するための標準アクセス許可。
1. 親リージョンから DKIM 署名キーをレプリケートするアクセス許可。
#### DKIM レプリケーションの IAM ポリシーの例
次のポリシーでは、親 ID から指定されたレプリカリージョンへの DKIM 署名キーのレプリケーションを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## ベストプラクティス
次のベストプラクティスが推奨されます。
+ **親リージョンとレプリカリージョンを計画する** – 選択する親リージョンはレプリカリージョンで使用される DKIM 設定の信頼できるソースとなるため、検討が必要です。
+ **一貫した IAM ポリシーを使用する** – IAM ポリシーで、意図したすべてのリージョンで DKIM レプリケーションが許可されていることを確認します。
+ **親 ID をアクティブにしておく** – レプリカ ID は親 ID の DKIM 署名設定を継承することに注意してください。この依存関係により、すべてのレプリカ ID が削除されるまで親 ID を削除することはできません。
## トラブルシューティング
DEED で問題が発生した場合は、次の点を考慮してください。
+ **検証エラー** – DKIM レプリケーションに必要なアクセス許可があることを確認します。
+ **レプリケーションの遅延** – レプリケーションが完了するまでにしばらく時間がかかります (特に新しいレプリカ ID を作成する場合)。
+ **DNS の問題** – 親 ID の DNS レコードが正しく設定され、伝播されていることを確認します。
# Amazon SES で独自の DKIM 認証トークン (BYODKIM) を提供する
[Easy DKIM](send-email-authentication-dkim-easy.md) を使用する代わりに、独自のパブリックキーとプライベートキーのペアを使用して DKIM 認証を設定することもできます。このプロセスは、「*Bring Your Own DKIM*(*BYODKIM*)」として知られています。
BYODKIM では、単一の DNS レコードを使用してドメインの DKIM 認証を設定できます。一方 Easy DKIM では、3 つの個別の DNS レコードを発行する必要があります。さらに、BYODKIM を使用すると、ドメインの DKIM キーを必要な回数だけローテーションできます。
**Topics**
+ [ステップ 1: キーペアを作成する](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [ステップ 2: DNS プロバイダーのドメイン設定にセレクタおよびパブリックキーを追加する](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [ステップ 3: BYODKIM を使用するようにドメインを設定し、検証する](#send-email-authentication-dkim-bring-your-own-configure-identity)
**警告**
現在 Easy DKIM が有効になっていて、BYODKIM に移行している場合、BYODKIM のセットアップ中で、DKIM ステータスが保留中になっている間、Amazon SES は Easy DKIM を使用してメールに署名しないことに注意してください。BYODKIM を有効にする電話を (API またはコンソールを介して) かけたときと SES が DNS 設定を確認できるときまでの間に、SES によって DKIM 署名なしで E メールが送信されることがあります。したがって、中間ステップを使用して、一方の DKIM 署名方法からもう一方の DKIM 署名方法に移行する (例えば、Easy DKIM を有効にしてドメインのサブドメインを使用し、BYODKIM 検証に合格したら削除する) か、アプリケーションのダウンタイム中にこのアクティビティを実行することをお勧めします (存在する場合)。
## ステップ 1: キーペアを作成する
独自の DKIM 機能を使用するには、まず RSA キーペアを作成する必要があります。
生成するプライベートキーは、PKCS \$11 または PKCS \$18 形式で、少なくとも 1024 ビットの RSA 暗号化と最大 2048 ビットを使用し、base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコードを使用してエンコードする必要があります。DKIM 署名キーの長さとその変更方法の詳細は、[DKIM 署名キーの長さ](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)を参照してください。
**注記**
プライベートキーが最低 1024 ビットの RSA 暗号化、最大 2048 ビットで、base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコーディングを使用して生成されている限り、サードパーティーのアプリケーションおよびツールを使用して RSA キーペアを生成できます。
次の手順では、ほとんどの Linux、macOS、または Unix オペレーティングシステムに組み込まれている `openssl genrsa` コマンドを使用してキーペアを作成するコード例では、自動的に base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコードが使用されます。
**Linux、macOS、またはUnix コマンドラインからキーペアを作成するには**
1. コマンドラインで、以下のコマンドを入力して、*nnnn*を少なくとも1024のビット長で、2048までのビット長のプライベートキーに置き換えます。
```
openssl genrsa -f4 -out private.key nnnn
```
1. コマンドラインで、以下のコマンドを入力してパブリックキーを生成します。
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## ステップ 2: DNS プロバイダーのドメイン設定にセレクタおよびパブリックキーを追加する
キーペアを作成したので、パブリックキーを TXT レコードとしてドメインの DNS 設定に追加する必要があります。
**ドメインの DNS 設定にパブリックキーを追加するには**
1. DNS またはホスティングプロバイダーの管理コンソールにサインインします。
1. ドメインの DNS 設定に新しいテキストレコードを追加します。レコードは、次の形式を使用する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
上の例に、以下の変更を加えます。
+ *selector*は、キーを識別する一意の名前に置き換えます。
**注記**
いくつかの DNS プロバイダーでは、レコード名に下線 (\$1) を含めることが許可されていません。ただし、DKIM レコード名には下線が必要となります。DNS プロバイダーがレコード名に下線を含めることを許可しない場合、プロバイダーのカスタマーサポートにお問い合わせください。
+ *example.com*をドメインに置き換えます。
+ 上記の [*Value*] (値) 列に示すように、*yourPublicKey* を、以前に作成したパブリックキーに置き換え、プレフィックス `p=` を含めます。
**注記**
パブリックキーを DNS プロバイダーに公開 (追加) するときは、次のようにフォーマットする必要があります。
生成されたパブリックキーの最初と最後の行 (それぞれ `-----BEGIN PUBLIC KEY-----` と `-----END PUBLIC KEY-----`) を削除する必要があります。さらに、生成されたパブリックキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
上記の表の [*Value*] (値) 列に示すように、プレフィックス `p=` を含める必要があります。
プロバイダーによって、DNS レコードを更新する手順は異なります。次の表には、いくつかの広く使用されている DNS プロバイダーに関するドキュメントへのリンクが含まれています。このリストは網羅的なものではなく、推奨を意味するものでもありません。同様に、DNS プロバイダーがリストされていない場合、Amazon SES でドメインを使用できないことを意味するものでもありません。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## ステップ 3: BYODKIM を使用するようにドメインを設定し、検証する
BYODKIM は、新しいドメイン (現在 Amazon SES を経由した E メールの送信に使用していないドメイン) と既存のドメイン (コンソールまたは AWS CLIを使って、Amazon SES を介して設定済みのドメイン) の両方に対して設定できます。このセクション AWS CLI の手順を使用する前に、まず をインストールして設定する必要があります AWS CLI。詳細については、[AWS Command Line Interface 「 ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。
### オプション 1: BYODKIM を使用する新しいドメイン ID を作成する
このセクションでは、BYODKIM を使用する新しいドメイン ID を作成する手順について説明します。新しいドメイン ID とは、Amazon SES を使用して E メールを送信するように設定していないドメインです。
BYODKIM を使用するように既存のドメインを設定する場合は、代わりに「[オプション 2: 既存のドメイン ID を設定する](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain)」の手順を実行します。
**コンソールから BYODKIM を使用して ID を作成するには**
+ 「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」の手順に従い、ステップ 8 に到達したら、BYODKIM 固有の指示に従います。
**から BYODKIM を使用して ID を作成するには AWS CLI**
新しいドメインを設定するには、Amazon SES API で`CreateEmailIdentity` オペレーションを実行します。
1. テキストエディタで、次のコードを貼り付けます。
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
上の例に、以下の変更を加えます。
+ *example.com*を、作成するドメインに置き換えます。
+ *privateKey*をプライベートキーに置き換えます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
+ *selector*は、ドメインの DNS 設定で TXT レコードを作成したときに指定した一意のセレクタに置き換えます。
終了したら、`create-identity.json`としてファイルを保存します。
1. コマンドラインで以下のコマンドを入力します。
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
上記のコマンドで、*path/to/create-identity.json*を、前のステップで作成したファイルの完全なパスに置き換えます。
### オプション 2: 既存のドメイン ID を設定する
このセクションでは、BYODKIM を使用するために既存のドメイン ID を更新する手順について説明します。既存のドメイン ID は、Amazon SES を使用して E メールを送信するようにすでに設定されているドメインです。
**コンソールから BYODKIM を使用してドメイン ID を更新するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**ID の検証**を選択します。
1. ID のリストで、**ID のタイプ**が*ドメイン*であるIDを選択します。
**注記**
ドメインを作成または検証する必要がある場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. [**認証**] タブの [**DomainKeys Identified Mail (DKIM)**] ペインで、[**編集**] を選択します。
1. [**DKIM の詳細設定**] ペインで、[**ID のタイプ**] フィールドの [**DKIM 認証トークン (BYODKIM) の提供**] ボタンを選択します。
1. [**プライベートキー**] に、以前に生成したプライベートキーを貼り付けます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
1. **セレクタ名**については、ドメインの DNS 設定で指定したセレクタの名前を入力します。
1. **DKIM 署名**フィールドで、**[Enabled]**ボックスにチェックを入れます。
1. [**Save changes**] をクリックします。
**から BYODKIM を使用してドメイン ID を更新するには AWS CLI**
既存のドメインを設定するには、Amazon SES API での`PutEmailIdentityDkimSigningAttributes`オペレーションを使用します。
1. テキストエディタで、次のコードを貼り付けます。
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
上の例に、以下の変更を加えます。
+ *privateKey*をプライベートキーに置き換えます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
+ *selector*は、ドメインの DNS 設定で TXT レコードを作成したときに指定した一意のセレクタに置き換えます。
終了したら、`update-identity.json`としてファイルを保存します。
1. コマンドラインで以下のコマンドを入力します。
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
上のコマンドに、以下の変更を加えます。
+ *path/to/update-identity.json*を、前のステップで作成したファイルへの完全なパスに置き換えます。
+ *example.com*を、更新するドメインに置き換えます。
### BYODKIM を使用するドメインの DKIM ステータスを検証する
**コンソールからドメインの DKIM ステータスを検証するには**
BYODKIM を使用するようにドメインを設定したら、SES コンソールを使用して、DKIM が正しく設定されていることを検証できます。
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、検証する DKIM ステータスの ID を選択します。
1. DNS 設定への変更が反映されるまでに最大 72 時間かかる場合があります。Amazon SES がドメインの DNS 設定の中から必要な DKIM レコードをすべて検出するとすぐに、検証プロセスは完了します。すべてが正しく設定されていれば、**[DomainKeys Identified Mail (DKIM)]** ペインで、ドメインの **[DKIM の設定]** フィールドには **[成功]** と表示され、**[概要]** ペインで、**[ID ステータス]** フィールドには **[検証済み]** と表示されます。
**を使用してドメインの DKIM ステータスを確認するには AWS CLI**
BYODKIM を使用するようにドメインを設定したら、GetEmailIdentity オペレーションを実行して、DKIM が正しく設定されていることを検証できます。
+ コマンドラインで以下のコマンドを入力します。
```
aws sesv2 get-email-identity --email-identity example.com
```
上記のコマンドで、*example.com*をドメインに置き換えます。
このコマンドは、次の例のようなセクションを含む JSON オブジェクトを返します。
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
BYODKIMは、以下のすべてに該当する場合、ドメインに対して適切に設定されています。
+ `SigningAttributesOrigin`プロパティの値は`EXTERNAL`です。
+ `SigningEnabled`の値は`true`です。
+ `Status`の値は`SUCCESS`です。
# Easy DKIM と BYODKIM の管理
Easy DKIM または BYODKIM で認証された ID の DKIM 設定は、ウェブベースの Amazon SES コンソールを使用するか、Amazon SES API を使用して管理できます。これらのいずれかの方法を使用して ID の DKIM レコードを取得するか、または、ID に対して DKIM 署名を有効または無効にすることができます。
## ID の DKIM レコードを取得する
Amazon SES コンソールを使用して、ドメインあるいは E メールアドレスの DKIM レコードをいつでも取得できます。
**コンソールを使用して、ID の DKIM レコードを取得するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM レコードを取得する ID を選択します。
1. ID詳細ページの**認証**タブで、**DNS レコードを表示する**を拡大します。
1. Easy DKIM を使用した場合は 3 つの CNAME レコードをコピーし、このセクションに表示されている BYODKIM を使用した場合は TXT レコードをコピーします。または、[**レコードセットを CSV としてダウンロード**] を選択してコンピューターにこのレコードのコピーを保存することもできます。
次の図で、**[View DNS records]** (DNS レコードの表示) セクションを拡大して、Easy DKIM に関連付けられた CNAME レコードの例を示します。
![\[\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/images/dkim_existing_dns.png)
Amazon SES API を使用して、ID の DKIM レコードを取得することもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM レコードを取得するには AWS CLI**
1. コマンドラインから、以下のコマンドを入力します。
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
前述の例で、*example.com* を DKIM レコードを取得する ID で置き換えます。E メールアドレスまたはドメインを指定できます。
1. このコマンドの出力には、次の例に示すように、`DkimTokens`セクションが含まれています。
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
トークンを使用してドメインの DNS 設定に追加する CNAME レコードを作成します。CNAME レコードを作成するには、次のテンプレートを使用します。
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
*token1* の各インスタンスを、`get-identity-dkim-attributes` コマンドを実行したときに受け取ったリストの最初のトークンに置き換え、*token2* のインスタンスすべてを、リストの 2 番目のトークンに置き換え、*token3* のインスタンスすべてを、リストの 3 番目のトークンに置き換えます。
例えば、前述の例に示されるトークンにこのテンプレートを適用すると、次のレコードが生成されます。
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**注記**
すべての がデフォルトの SES DKIM ドメイン AWS リージョン を使用するわけではありません`dkim.amazonses.com`。リージョンがリージョン固有の DKIM ドメインを使用しているかどうかを確認するには、 の [DKIM ドメインテーブル](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)を確認してください*AWS 全般のリファレンス*。
## ID の Easy DKIM を無効にする
Amazon SES コンソールを使用して、ID の DKIM 認証を素早く無効にできます。
**ID で DKIM を無効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM を無効にする ID を選択します。
1. **DomainKeys アイデンティファイドメール (DKIM)**コンテナの[**認証**]タブで、**編集**を選択します。
1. **[Advanced DKIM settings]** (DKIM の詳細設定) で、**DKIM 署名**フィールドの **[Enabled]** (有効) ボックスをオフにします。
また、Amazon SES API を使用して、ID の DKIM を無効にすることもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM を無効にするには AWS CLI**
+ コマンドラインから、以下のコマンドを入力します。
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
前述の例で、*example.com* を DKIM を無効にする ID で置き換えます。E メールアドレスまたはドメインを指定できます。
## ID の Easy DKIM を有効にする
前に ID で DKIM を無効化した場合、Amazon SES コンソールを使用して再度有効化できます。
**ID で DKIM を有効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM を有効にする ID を選択します。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **DKIM の詳細設定**で、**DKIM 署名**フィールドの[**Enabled**]ボックスにチェックを入れます。
また、Amazon SES API を使用して、ID の DKIM を有効にすることもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM を有効にするには AWS CLI**
+ コマンドラインから、以下のコマンドを入力します。
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
前述の例で、*example.com* を DKIM を有効にする ID で置き換えます。E メールアドレスまたはドメインを指定できます。
## E メールアドレス ID に継承された DKIM 署名を上書きする
このセクションでは、Amazon SES で検証済みの特定の E メールアドレス ID に、親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する方法を説明します。DNS 設定はドメインレベルで構成されているため、既に所有するドメインに属する E メールアドレス ID に対してのみこれを行うことができます。
**重要**
E メールアドレス ID の DKIM 署名を無効化/有効化することはできません。
所有していないドメインの場合。例えば、*gmail.com* や *hotmail.com* アドレスの DKIM 署名を切り替えることはできません。
所有するドメインだが、Amazon SES でまだ検証されていない場合。
所有するドメインだが、そのドメインで DKIM 署名が有効になっていない場合。
このセクションは、以下のトピックで構成されます。
+ [継承された DKIM 署名プロパティについて理解する](#dkim-easy-setup-email-key-points-mng)
+ [E メールアドレス ID に DKIM 署名を上書きする (コンソール)](#override-dkim-email-console-mng)
+ [E メールアドレス ID に DKIM 署名を上書きする (AWS CLI)](#override-dkim-email-cli-mng)
### 継承された DKIM 署名プロパティについて理解する
まず、Easy DKIM または BYODKIM が使用されているかどうかにかかわらず、そのドメインが DKIM で設定されている場合、E メールアドレス ID が親ドメインから DKIM 署名プロパティを継承することを理解することが重要です。したがって、E メールアドレス ID で DKIM 署名を無効または有効にすると、次の重要な点に基づいてドメインの DKIM 署名プロパティが上書きされます。
+ E メールアドレスが属するドメインで既に DKIM をセットアップしている場合には、E メールアドレス ID にも同じく DKIM 署名を有効にする必要はありません。
+ ドメインで DKIM をセットアップする場合、Amazon SES が親ドメインから継承された DKIM プロパティを介して、このドメインのすべてのアドレスからのすべての E メールを自動的に認証します。
+ 特定の E メールアドレス ID の DKIM 設定により、そのアドレスが属する*親ドメインまたはサブドメイン (該当する場合) の設定が自動的に上書きされます*。
E メールアドレス ID の DKIM 署名プロパティが親ドメインから継承されるため、これらのプロパティを上書きする場合は、次の表で説明された上書きの階層ルールに注意する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
通常、DKIM 署名の無効化はお勧めしません。送信者の評価を損うリスクがあるだけでなく、送信したメールが迷惑メールやスパムフォルダに移動されたり、ドメインが偽装されたりするリスクが高まるためです。
ただし、特定のユースケースや、DKIM 署名を永続的または一時的に無効にしたり、後で再有効化したりする必要があるような通常とは異なるビジネス上の意思決定がなされた場合に備えて、ドメインから継承された DKIM 署名プロパティを E メールアドレス ID に上書きするための機能があります。
### E メールアドレス ID に DKIM 署名を上書きする (コンソール)
以下の SES コンソールの手順では、Amazon SES で既に検証済みの特定の E メールアドレス ID に、親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する方法を説明しています。
**コンソールを使用して E メールアドレス ID の DKIM 署名を無効/有効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、**[Identity type]** (ID のタイプ) が *[Email address]* (E メールアドレス) であり、認証済みドメインのいずれかに属する ID を選択します。
1. **DomainKeys アイデンティファイドメール (DKIM)**コンテナの[**認証**]タブで、**編集**を選択します。
**注記**
**[Authentication]** (認証) タブは、選択した電子メールアドレス ID が SES によって既に検証済みのドメインに属している場合にのみ表示されます。ドメインをまだ検証していない場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. **[Advanced DKIM settings]** (DKIM の詳細設定) の **[DKIM signatures]** (DKIM 署名) フィールドで、**[Enabled]** (有効) チェックボックスをオフにして DKIM 署名を無効にします。DKIM 署名を再度有効にするにはオンにします (以前に上書きされていた場合)。
1. **[Save changes]** (変更の保存) をクリックします。
### E メールアドレス ID に DKIM 署名を上書きする (AWS CLI)
次の例では、SES AWS CLI で検証済みの特定の E メールアドレス ID の親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する SES API コマンドとパラメータで を使用します。
**を使用して E メールアドレス ID の DKIM 署名を無効化/有効化するには AWS CLI**
+ 例えば、*example.com* ドメインを所有していて、そのドメインの E メールアドレスのいずれかに対して DKIM 署名を無効にする場合は、コマンドラインで次のコマンドを入力します。
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com* を DKIM 署名を無効にする E メールアドレス ID に置き換えます。
1. `--no-signing-enabled` を使用すると、DKIM 署名が無効化されます。DKIM 署名を再度有効にするには、`--signing-enabled` を使用します。
# Amazon SES 内で手動での DKIM 署名
Easy DKIM を使用する代わりに、手動で DKIM 署名をメッセージに追加し、Amazon SES を使用してこのメッセージを送信することもできます。手動でメッセージを署名することを選択する場合、まず DKIM 署名を作成する必要があります。メッセージと DKIM 署名を作成したら、[SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API を使用してメッセージを送信できます。
E メールを手動で署名する場合、次の要素を考慮してください。
+ Amazon SES を使用して送信するすべてのメッセージには、*amazonses.com*のドメインの署名を参照する DKIM ヘッダーが含まれています(つまり、`d=amazonses.com`という文字列が含まれています)。そのため、メッセージを手動で署名する場合、そのメッセージには、ドメインのヘッダーと *amazonses.com*のためにAmazon SESが自動で作成するヘッダーという、*2つ*のDKIM ヘッダーが含まれます。
+ Amazon SES は、メッセージに手動で追加した DKIM 署名を検証しません。メッセージの DKIM 署名にエラーがある場合、このメッセージはEメールプロバイダーによって拒否される可能性があります。
+ メッセージに署名する場合は、少なくとも 1024 ビットのビット長を使用する必要があります。
+ 次のフィールドには署名しないでください。メッセージ ID、日付、Return-Path、Bounces-To。
**注記**
Amazon SES SMTP インタフェースでの E メールの送信に E メールクライアントを使用する場合、クライアントはメッセージで自動的に DKIM 署名を実行することがあります。一部のクライアントは上述のフィールドのいずれかに署名することがあります。デフォルトで署名されたフィールドについての情報は、Eメールのクライアントのドキュメンテーションを参照してください。
# Amazon SES における SPF を使った E メールの認証
*Sender Policy Framework*(SPF) は、E メールのなりすましを防ぐために設計された E メールの検証標準です。ドメイン所有者は SPF を使用して、自分のドメインからメールを送信できるサーバーをメールプロバイダーに通知します。SPF は[RFC 7208](https://tools.ietf.org/html/rfc7208)で定義されています。
Amazon SES から送信するメッセージには、MAIL FROM ドメインとして `amazonses.com` のサブドメインが自動的に使用されます。デフォルトの MAIL FROM ドメインがメールを送信するアプリケーション (この場合 Amazon SES) と一致するため、これらのメッセージは SPF (Sender Policy Framework) 認証に合格します。したがって、SES では、SPF は暗黙的に自動設定されます。
SES のデフォルトの MAIL FROM ドメインを使用せず、所有しているドメインのサブドメインを使用する場合、SES では*カスタム* MAIL FROM ドメインを使用すると認識されます。そのためには、カスタム MAIL FROM ドメインに独自の SPF レコードを公開する必要があります。また、SES ではカスタム MAIL FROM ドメインがメールプロバイダーから送信されたバウンスと苦情の通知を受信できるように、MX レコードを設定する必要があります。
**SPF 認証をセットアップする方法の説明**
SPF を使用してドメインを設定する手順と、MX レコードと SPF (タイプ TXT) レコードを発行する方法は、「[カスタムの MAIL FROM ドメインを使用する](mail-from.md)」で説明されています。
# カスタムの MAIL FROM ドメインを使用する
E メールを送信する際、送信元を示す 2 つのアドレスを使用します。メッセージの受取人に表示される差出人アドレスと、メッセージの発信元を示す MAIL FROM アドレスです。MAIL FROM アドレスは、*envelope sender*、*envelope from*、*bounce address*、または *Return Path* アドレスと呼ばれることもあります。メールサーバーは MAIL FROM アドレスを使用して、バウンスメッセージやその他のエラー通知を返します。MAIL FROM アドレスは通常、受取人がメッセージのソースコードを表示する場合にのみ表示できます。
Amazon SES では、独自の (カスタム) ドメインを指定する場合を除き、送信するメッセージの MAIL FROM ドメインがデフォルト値に設定されます。このセクションでは、カスタム MAIL FROM ドメインを設定する利点について説明し、設定手順を示します。
## カスタムの MAIL FROM ドメインを使用する理由
Amazon SES から送信するメッセージには、MAIL FROM ドメインとして `amazonses.com` のサブドメインが自動的に使用されます。デフォルトの MAIL FROM ドメインが E メールを送信するアプリケーション (この場合 SES )と一致するため、これらのメッセージは SPF (Sender Policy Framework) 認証に合格します。
SES のデフォルトの MAIL FROM ドメインを使用せず、所有しているドメインのサブドメインを使用したい場合、SES では*カスタム* MAIL FROM ドメインを使用と呼んでいます。そのためには、カスタム MAIL FROM ドメインに独自の SPF レコードを公開する必要があります。また、SES ではカスタム MAIL FROM ドメインが E メールプロバイダーから送信されたバウンスと苦情の通知を受信できるように、MX レコードを設定する必要があります。
カスタム MAIL FROM ドメインを使用すると、SPF または DKIM、あるいはその両方を使用して、[ドメインベースのメッセージ、レポート、および適合性 (DMARC)](send-email-authentication-dmarc.md) に合格することができます。DMARC により、送信者のドメインは、ドメインから送信された E メールが 1 つ以上の認証システムによって保護されていることを示すことができます。DMARC 認証に合格するには、[SPF による DMARC への準拠](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) および [DKIM を介した DMARC への準拠](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim) の 2 つの方法があります。
## カスタム MAIL FROM ドメインの選択
以下、*MAIL FROM ドメイン*という用語は常に、ユーザーが所有しているドメインのサブドメインを指します。カスタム MAIL FROM ドメインに使用するこのサブドメインは、その他の目的では使用してはならず、以下の要件を満たしている必要があります。
+ MAIL FROM ドメインは、E メールの送信元とする検証済み ID (E メールアドレスまたはドメイン) の親ドメインのサブドメインである必要があります。
+ MAIL FROM ドメインには、E メールの送信に使用するサブドメインを設定することはできません。
+ MAIL FROM ドメインには、E メールの受信に使用するサブドメインを指定することはできません。
## カスタム MAIL FROM ドメインで SPF を使用する
*Sender Policy Framework*(SPF) は、E メールのなりすましを防ぐために設計された E メールの検証標準です。カスタム MAIL FROM ドメインに SPF を設定することにより、カスタム MAIL FROM ドメインから E メールを送信できるサーバーを E メールプロバイダーに通知できます。SPF は [RFC 7208](https://tools.ietf.org/html/rfc7208) で定義されています。
SPF を設定するには、TXT レコードをカスタム MAIL FROM ドメインの DNS 設定に公開します。このレコードには、カスタム MAIL FROM ドメインを使用して E メールを送信することを許可するサーバーの一覧が含まれます。E メールプロバイダーは、カスタム MAIL FROM ドメインからメッセージを受信すると、ドメインの DNS レコードをチェックして、承認されたサーバーから E メールが送信されたことを確認します。
DMARC に準拠する方法としてこの SPF レコードを使用する場合、差出人アドレスのドメインが MAIL FROM ドメインと一致する必要があります。「[SPF による DMARC への準拠](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf)」を参照してください。
次のセクション [カスタムの MAIL FROM ドメインの設定](#mail-from-set) では、カスタム MAIL FROM ドメインに SPF を設定する方法について説明します。
## カスタムの MAIL FROM ドメインの設定
カスタム MAIL FROM ドメインを設定するプロセスでは、ドメインの DNS 設定にレコードを追加する必要があります。SES では、ドメインがメールプロバイダーから送信されるバウンス通知と苦情通知を受信できるようにするには、MX レコードを公開する必要があります。また、ドメインから E メールを送信する許可が Amazon SES にあることを証明するためにも、SPF (TXT 型) レコードを発行する必要があります。
ドメイン全体または個別のメールアドレスに対して、カスタム MAIL FROM ドメインを設定できます。次の手順は、Amazon SES コンソールを使用してカスタム MAIL FROM ドメインを設定する方法を示しています。[SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API オペレーションを使用して、カスタム MAIL FROM ドメインを設定することもできます。
### 検証済みドメインのカスタム MAIL FROM ドメインを設定する
これらの手順では、ドメイン全体またはサブドメインに対してカスタム MAIL FROM ドメインを設定し、このドメイン上のアドレスから送信されるメッセージすべてがこのカスタム MAIL FROM ドメインを使用するように設定する方法を説明します。
**検証済みドメインが指定したカスタム MAIL FROM ドメインを使用するように設定するには**
1. Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. 左側のナビゲーションペインの **[設定]** の下にある **[ID]** を選択します。
1. ID のリストで、設定する ID を選択します。その際、**ID のタイプ**を **[Domain]** (ドメイン)、**ステータス**を*[Verified]* (検証済み) にします。
1. **ステータス**が *[Unverified]* (未検証) の場合、[DNS プロバイダーでの DKIM ドメイン ID の検証](creating-identities.md#just-verify-domain-proc) の手順を完了させてから E メールアドレスのドメインを検証します。
1. **[カスタム MAIL FROM ドメイン]** ペインの画面下部で、**[編集]** を選択します。
1. **[General details]** (一般的な詳細) ペインで、次の操作を行います。
1. **[Use a custom MAIL FROM domain]** (カスタムの MAIL FROM ドメインを使用) チェックボックスをオンにします。
1. [**MAIL FROM ドメイン**] に、MAIL FROMドメインとして使用するサブドメインを入力します。
1. **[Behavior on MX failure]** (MX 障害時の動作) で、次のオプションのいずれかを選択します。
+ **[Use default MAIL FROM domain]** (デフォルトの MAIL FROM ドメインを使用) – カスタムの MAIL FROM ドメインの MX レコードが正しくセットアップされていない場合、Amazon SES は `amazonses.com` のサブドメインを使用します。サブドメインは、Amazon SES AWS リージョン を使用する によって異なります。
+ **メッセージ拒否** – カスタム MAIL FROM ドメインの MX レコードが正しくセットアップされていない場合、Amazon SES はエラー `MailFromDomainNotVerified` を返します。このドメインから送信しようとした E メールは自動的に拒否されます。
1. [**変更を保存する**] を選択すると、前の画面に戻ります。
1. カスタム MAIL FROM ドメインの DNS サーバーに MX および SPF (TXT 型) レコードを発行します。
[**Custom MAIL FROM domain**] (カスタムの MAIL FROM ドメイン) ペインで、[**Publish DNS records**] (DNS レコードの発行) テーブルに、ドメインの DNS 設定に発行 (追加) する必要がある MX および SPF (TXT 型) レコードが表示されます。これらのレコードでは、次の表に示す形式を使用します。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/mail-from.html)
上記のレコードでは、以下のようになります。
+ *subdomain*.*domain*.*com* には、MAIL FROM サブドメインが入力されます
+ *リージョン*には、MAIL FROM ドメインを検証する AWS リージョン の名前 (`us-west-2`、`us-east-1`、 `eu-west-1`など) が入力されます。
+ MX 値と共に表示されている数値 *10* は、メールサーバーの優先順位であり、DNS プロバイダーの GUI で指定された別の値フィールドに入力する必要があります。
+ SPF の TXT レコード値には通常引用符を含める必要がありますが、一部の DNS プロバイダーでは不要です。
[**Publish DNS records**] (DNS レコードの発行) テーブルで、各値の横にあるコピーアイコンを選択して MX レコードと SPF レコード (TXT 型) をコピーし、DNS プロバイダーの GUI の対応するフィールドに貼り付けます。または、[**レコードセットを CSV としてダウンロード**] を選択してコンピューターにこのレコードのコピーを保存することもできます。
**重要**
MX および SPF (TXT タイプ) レコードを発行する具体的な手順は、DNS またはホスティングプロバイダーによって異なります。お客様のドメインの DNS 設定へのこれらのレコードの追加の詳細については、ご利用のプロバイダーのドキュメントを参照するか、ご利用のプロバイダーにお問い合わせください。
Amazon SES でカスタムの MAIL FROM ドメインを正しくセットアップするには、MAIL FROM ドメインの DNS サーバーに、MX レコードを 1 件のみ発行する必要があります。MAIL FROM ドメインに複数の MX レコードがあると、Amazon SES でのカスタム MAIL FROM のセットアップは失敗します。
Route 53 が MAIL FROM ドメインの DNS サービスを提供し、Route 53 に使用するのと同じアカウント AWS マネジメントコンソール で にサインインしている場合は、**Route 53 を使用してレコードを発行**を選択します。DNS レコードは、ドメインの DNS 設定に自動的に適用されます。
別の DNS プロバイダーを使用する場合は、DNS レコードを MAIL FROM ドメインの DNS サーバーに手動で公開する必要があります。DNS レコードをドメインの DNS サーバーに追加する手順は、ウェブホスティングサービスまたは DNS プロバイダーによって異なります。
ドメインの DNS レコードを公開する手順は、使用している DNS プロバイダーによって異なります。次の表には、いくつかの広く使用されている DNS プロバイダーに関するドキュメントへのリンクが含まれています。このリストは網羅的なものではなく、推奨を意味するものでもありません。同様に、DNS プロバイダーがリストされていない場合、MAIL FROM ドメイン設定をサポートしないことを意味するものでもありません。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/mail-from.html)
レコードが適切に配置されていることを Amazon SES が検出すると、カスタム MAIL FROM ドメインが正常に設定されたことを通知するメールが送信されます。DNS プロバイダーによっては、Amazon SES が MX レコードを検出するまでに最大 72 時間の遅延が発生する場合があります。
### 検証済みの E メールアドレスのカスタム MAIL FROM ドメインを設定する
また、特定のメールアドレスにカスタム MAIL FROM ドメインを設定することもできます。E メールアドレスにカスタム MAIL FROM ドメインを設定するには、E メールアドレスが関連付けられているドメインの DNS レコードを変更する必要があります。
**注記**
自分が所有していないドメインのアドレスにカスタム MAIL FROM ドメインを設定することはできません (たとえば、`gmail.com`ドメインのアドレスにカスタム MAIL FROM ドメインを作成することはできません。 必要な DNS レコードをドメインに追加できないためです)。
**指定された MAIL FROM ドメインが確認済み E メールアドレスで使用されるように設定するには**
1. Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. 左側のナビゲーションペインの **[設定]** の下にある **[ID]** を選択します。
1. ID のリストで、設定する ID を選択します。その際、**ID のタイプ**を **[Email address]** (E メールアドレス)、**ステータス**を*[Verified]* (検証済み) にします。
1. **ステータス**が *[Unverified]* (未検証) の場合、[E メールアドレス ID の検証](creating-identities.md#just-verify-email-proc) の手順を完了させてから E メールアドレスのドメインを検証します。
1. **[MAIL FROM Domain]** (MAIL FROM ドメイン) タブの、**[Custom MAIL FROM domain]** (カスタムの MAIL FROM ドメイン) ペインで **[Edit]** (編集) を選択します。
1. **[General details]** (一般的な詳細) ペインで、次の操作を行います。
1. **[Use a custom MAIL FROM domain]** (カスタムの MAIL FROM ドメインを使用) チェックボックスをオンにします。
1. [**MAIL FROM ドメイン**] に、MAIL FROMドメインとして使用するサブドメインを入力します。
1. **[Behavior on MX failure]** (MX 障害時の動作) で、次のオプションのいずれかを選択します。
+ **[Use default MAIL FROM domain]** (デフォルトの MAIL FROM ドメインを使用) – カスタムの MAIL FROM ドメインの MX レコードが正しくセットアップされていない場合、Amazon SES は `amazonses.com` のサブドメインを使用します。サブドメインは、Amazon SES AWS リージョン を使用する によって異なります。
+ **メッセージ拒否** – カスタム MAIL FROM ドメインの MX レコードが正しくセットアップされていない場合、Amazon SES は`MailFromDomainNotVerified`エラーを返します。この E メールアドレスから送信しようとした E メールは自動的に拒否されます。
1. [**変更を保存する**] を選択すると、前の画面に戻ります。
1. カスタム MAIL FROM ドメインの DNS サーバーに MX および SPF (TXT 型) レコードを発行します。
[**Custom MAIL FROM domain**] (カスタムの MAIL FROM ドメイン) ペインで、[**Publish DNS records**] (DNS レコードの発行) テーブルに、ドメインの DNS 設定に発行 (追加) する必要がある MX および SPF (TXT 型) レコードが表示されます。これらのレコードでは、次の表に示す形式を使用します。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/mail-from.html)
上記のレコードでは、以下のようになります。
+ *subdomain*.*domain*.*com* には、MAIL FROM サブドメインが入力されます
+ *リージョン*には、MAIL FROM ドメインを検証する AWS リージョン の名前 (`us-west-2`、`us-east-1`、 `eu-west-1`など) が入力されます。
+ MX 値と共に表示されている数値 *10* は、メールサーバーの優先順位であり、DNS プロバイダーの GUI で指定された別の値フィールドに入力する必要があります。
+ SPF の TXT レコードの値には引用符を含める必要があります。
[**Publish DNS records**] (DNS レコードの発行) テーブルで、各値の横にあるコピーアイコンを選択して MX レコードと SPF レコード (TXT 型) をコピーし、DNS プロバイダーの GUI の対応するフィールドに貼り付けます。または、[**レコードセットを CSV としてダウンロード**] を選択してコンピューターにこのレコードのコピーを保存することもできます。
**重要**
Amazon SES でカスタムの MAIL FROM ドメインを正しくセットアップするには、MAIL FROM ドメインの DNS サーバーに、MX レコードを 1 件のみ発行する必要があります。MAIL FROM ドメインに複数の MX レコードがあると、Amazon SES でのカスタム MAIL FROM のセットアップは失敗します。
Route 53 が MAIL FROM ドメインの DNS サービスを提供し、Route 53 に使用するのと同じアカウント AWS マネジメントコンソール で にサインインしている場合は、**Route 53 を使用してレコードを発行**を選択します。DNS レコードは、ドメインの DNS 設定に自動的に適用されます。
別の DNS プロバイダーを使用する場合は、DNS レコードを MAIL FROM ドメインの DNS サーバーに手動で公開する必要があります。DNS レコードをドメインの DNS サーバーに追加する手順は、ウェブホスティングサービスまたは DNS プロバイダーによって異なります。
ドメインの DNS レコードを公開する手順は、使用している DNS プロバイダーによって異なります。次の表には、いくつかの広く使用されている DNS プロバイダーに関するドキュメントへのリンクが含まれています。このリストは網羅的なものではなく、推奨を意味するものでもありません。同様に、DNS プロバイダーがリストされていない場合、MAIL FROM ドメイン設定をサポートしないことを意味するものでもありません。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/mail-from.html)
レコードが適切に配置されていることを Amazon SES が検出すると、カスタム MAIL FROM ドメインが正常に設定されたことを通知するメールが送信されます。DNS プロバイダーによっては、Amazon SES が MX レコードを検出するまでに最大 72 時間の遅延が発生する場合があります。
## Amazon SES でのカスタム MAIL FROM ドメインのセットアップ状態
カスタムの MAIL FROM ドメインを使用するようにアイデンティティを設定すると、DNS 設定内の必要な MX レコードを Amazon SES で検出するまでは、セットアップの状態が [pending] になります。Amazon SES で MX レコードを検出したかどうかで状態は変わります。次の表は、各状態に対応する E メール送信動作と Amazon SES のアクションの一覧です。状態が変化するたびに、Amazon SES は に関連付けられた E メールアドレスに通知を送信します AWS アカウント。
****
| State | E メール送信動作 | Amazon SES のアクション |
| --- | --- | --- |
| Pending | カスタムの MAIL FROM フォールバック設定を使用 | Amazon SES は、必要な MX レコードの検出を 72 時間試行します。検出できない場合、状態は "Failed" に変化します。 |
| 成功 | カスタムの MAIL FROM ドメインを使用 | Amazon SES では、必要な MX レコードがあることを継続的に確認します。 |
| TemporaryFailure | カスタムの MAIL FROM フォールバック設定を使用 | Amazon SES は、必要な MX レコードの検出を 72 時間試行します。検出できない場合、状態は "Failed" に変化します。検出できた場合、状態は "Success" に変化します。 |
| 失敗 | カスタムの MAIL FROM フォールバック設定を使用 | Amazon SES は、必要な MX レコードを検出するための試行を停止しました。カスタムの MAIL FROM ドメインを使用するには、[カスタムの MAIL FROM ドメインの設定](#mail-from-set)のセットアッププロセスをやり直す必要があります。 |
# Amazon SES の DMARC 認証プロトコルへの準拠
DMARC (Domain-based Message Authentication, Reporting and Conformance) は、SPF (Sender Policy Framework) および DKIM (DomainKeys Identified Mail) を使用して、E メールのなりすましやフィッシングを検出する、E メール認証プロトコルです。DMARC に準拠するには、メッセージを SPF または DKIM で認証する必要があります。理想的には、両方を DMARC で使用すると、E メール送信に関して可能な限り高いレベルの保護を確保できます。
SPF と DKIM の機能と、DMARC がこの 2 つを連携する方法を簡単に説明します。
+ **SPF** – DNS が使用する DNS TXT レコードを介して、カスタム MAIL FROM ドメインに代わってメールを送信できるメールサーバーを特定します。受信者のメールシステムは、SPF TXT レコードを参照して、カスタムドメインからのメッセージが承認済みのメッセージングサーバーから送信されたかを判断します。基本的に、SPF はなりすまし防止目的で設計されているとはいえ、実際には SPF が影響を受けやすいなりすまし手法もあるため、DMARC とともに DKIM も使用する必要があります。
+ **DKIM** – E メールヘッダーのアウトバウンドメッセージにデジタル署名を追加します。受信 E メールシステムは、このデジタル署名を使用して、受信する E メールがドメインが所有するキーによって署名されているかの検証に役立てます。ただし、受信 E メールシステムがメッセージを転送した場合、メッセージのエンベロープは SPF 認証を無効にするような方法で変更されます。デジタル署名は E メールヘッダーの一部であるため、E メールメッセージに保持されます。このため、メッセージがメールサーバー間で転送された場合でも、(メッセージコンテンツが変更されない限り) DKIM は機能します。
+ **DMARC** – SPF と DKIM の少なくともいずれかでドメインのアライメントがとれていることを確認します。SPF と DKIM を単独で使用しても、送信元アドレスが認証されるかは保証されません (これは受信者が E メールクライアントで目にするメールアドレスです)。SPF は、MAIL FROM アドレスで指定されたドメインのみをチェックします (受信者には表示されません)。DKIM は、DKIM 署名で指定されたドメインのみをチェックします (これも受信者には表示されません)。DMARC は、SPF または DKIM のいずれかでドメインのアライメントが適切であることを求めることで、このような 2 つの問題に対処します。
+ SPF が DMARC アライメントで適格になるには、送信元アドレスのドメインが MAIL FROM アドレス (Return-Path やエンベロープ送信元アドレスとも呼ばれます) のドメインと一致する必要があります。Return-Path (MAIL FROM) は、プロバイダー (SES) が所有するアドレスを使用して追跡するバウンスや苦情に使用されます。このため、転送されたメールの場合には削除され、ほぼ不可能です。またはサードパーティーの一括 E メールプロバイダー経由でメールを送信する場合にもほとんど不可能です。
+ DKIM が DMARC アライメントに適格になるには、DKIM 署名で指定されたドメインが、送信元アドレスのドメインと一致する必要があります。お客様の代理でメールを送信するサードパーティーの送信者やサービスを使用する場合、サードパーティーの送信者が DKIM 署名向けに適切に設定され、お客様のドメイン内に適切な DNS レコードが追加されていることを確認することで、これを実現できます。その後、受信側メールサーバーは、サードパーティーから送信されたメールをドメイン内でアドレスを使用する権限が付与されたユーザーから送信されたメールであるかのように検証を行うことができます。
**DMARC を使用した仕組みの構築**
上記の DMARC アライメントチェックは、SPF、DKIM、DMARC すべてが連携し、ドメインの信頼性と受信トレイへの E メールの配信を向上させる方法です。DMARC は、受信者に表示される送信元アドレスが SPF または DKIM のいずれかによって認証されることを必須とすることでこれを実現します。
+ 説明したとおり SPF または DKIM チェックのいずれかまたは両方で適格性が認められた場合、メッセージは DMARC で適格性が認められます。
+ 説明したとおり SPF または DKIM チェックの両方で適格性が認められないと、メッセージは DMARC で不適格と見なされます。
したがって、DMARC が送信メールを認証する可能性を最大限に向上するには、SPF と DKIM の両方が必要であり、これら 3 つをすべて活用することで、送信ドメインが完全に保護されることが保証されます。
DMARC を使用する場合、ユーザー設定のポリシーを使用して、DMARC 認証に失敗した E メールの処理方法を E メールサーバーに指示することもできます。これについては、次のセクション「[ドメインの DMARC ポリシーのセットアップ](#send-email-authentication-dmarc-dns)」で説明します。このセクションには、送信する E メールが SPF と DKIM の両方を介して DMARC 認証プロトコルに準拠するように SES ドメインを設定する方法に関する情報が提供されています。
## ドメインの DMARC ポリシーのセットアップ
DMARC をセットアップするには、ドメインの DNS 設定を変更する必要があります。ドメインの DNS 設定に、ドメインの DMARC 設定を指定する TXT レコードが含まれている必要があります。DNS 設定に TXT レコードを追加する手順は、DNS またはホスティングプロバイダーによって異なります。Route 53 を使用する場合、[Amazon Route 53 デベロッパーガイド](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)の「*レコードで作業*」を参照してください。別のプロバイダーを使用する場合、DNS 設定についてはプロバイダーのドキュメントを参照してください。
作成する TXT レコードの名前は、`_dmarc.example.com`の必要があります。ここで、`example.com`はお客様のドメインです。TXT レコードの値には、ドメインに適用される DMARC ポリシーが含まれています。以下に、DMARC ポリシーを含む TXT レコードの例を示します。
| 名前 | タイプ | 値 |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
上記の DMARC ポリシー例では、このポリシーは E メールプロバイダーに以下を実行するように指示します。
+ 認証に失敗したメッセージについてはすべて、ポリシーパラメータ `p=quarantine` で指定されているとおり、スパムフォルダに送信します。その他のオプションには、`p=none` を使用して何もしない、または `p=reject` を使用してメッセージを完全に拒否する、などがあります。
+ 次のセクションでは、これら 3 つのポリシー設定の使用方法と、使用すべきケースについて説明します。*適切でない設定を適切でないタイミングで使用すると、E メールが配信されなくなる可能性があります*。「[DMARC の実装のベストプラクティス](#send-email-authentication-dmarc-implement)」を参照してください。
+ レポートパラメータ `rua=mailto:my_dmarc_report@example.com` (*rua* は集約レポートのレポート URI の略) で指定されるとおり、認証に失敗したすべての E メールに関するレポートをダイジェスト (つまり、イベントごとに個別のレポートを送信するのではなく、特定の期間のデータを集約したレポート) で送信します。ポリシーはプロバイダーごとに異なりますが、通常、E メールプロバイダーは 1 日 1 回レポートを送信します。
ドメインの DMARC 設定の詳細については、DMARC ウェブサイトの「[概要](https://dmarc.org/overview/)」を参照してください。
DMARC システムの完全な仕様については、「[Internet Engineering Task Force (IETF) DMARC Draft](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)」を参照してください。
## DMARC の実装のベストプラクティス
メールフローのその他の部分が中断しないように、DMARC ポリシーの実施は段階的なアプローチで実装することをお勧めします。以下のステップに沿ったロールアウトプランを作成して実装します。まず各サブドメインでこれらの手順を実行し、最後に組織内のトップレベルのドメインで実行してから、次の手順に進みます。
1. DMARC (p=none) の実装の影響をモニタリングします。
+ まず、メール受信組織に、そのドメインを使用して受信したメッセージに関する統計を送信するように要求するサブドメインまたはドメインのシンプルなモニタリングモードレコードから始めます。モニタリングモードレコードとは、ポリシーがなし `p=none` に設定されている DMARC TXT レコードです。
+ DMARC を介して生成されたレポートには、これらのチェックに合格したメッセージ数とメッセージの送信元が記載されます。正当なトラフィックがどの程度カバーされているか、またはカバーされていないかを簡単に確認できます。コンテンツが変更されると、転送されたメッセージは SPF と DKIM に失敗するため、転送のマークが表示されます。送信された不正なメッセージの数と送信元も表示されます。
+ このステップの目的は、次の 2 つのステップのいずれかを実装するとどのような E メールが影響を受けるかを把握し、サードパーティーまたは承認済みの送信者の SPF ポリシーまたは DKIM ポリシーへのアライメントを確保することにあります。
+ 既存のドメインに最適です。
1. 外部メールシステムに、DMARC (p=quarantine) に失敗したメールを隔離するようリクエストします。
+ 正当なトラフィックのすべてまたはほとんどが SPF または DKIM のいずれかでドメインアライメントが確認されて送信されていることが確実であり、DMARC を実装することの影響を把握している場合に、隔離ポリシーを実装できます。隔離ポリシーとは、ポリシーが隔離 `p=quarantine` に設定されている DMARC TXT レコードです。これを実施することで、DMARC 受信者に、DMARC に失敗したドメインからのメッセージを、顧客の受信トレイではなく、スパムフォルダと同等のローカルの場所に配置するように要求することになります。
+ ステップ 1 で DMARC レポートを分析したドメインの移行に最適です。
1. 外部メールシステムに、DMARC (p=reject) に失敗したメールを受け取らないようリクエストします。
+ 通常、拒否ポリシーの実装が最後のステップとなります。拒否ポリシーとは、ポリシーが拒否 `p=reject` に設定されている DMARC TXT レコードです。これを実施すると、DMARC 受信者に DMARC チェックに失敗したメッセージを受け入れないように依頼することになります。つまり、これらのメッセージは、スパムフォルダや迷惑メールフォルダに隔離されることもなく、完全に拒否されます。
+ 拒否ポリシーを使用すると、拒否によって SMTP バウンスが発生するため、DMARC ポリシーに失敗したメッセージを正確に把握できます。隔離の場合、集約データは、SPF チェック、DKIM チェック、DMARC チェックで適格または不適格となった E メールの割合に関する情報を提供します。
+ 以前の 2 つのステップを実施した後の新しいドメインまたは既存のドメインに最適です。
## SPF による DMARC への準拠
E メールが SPF に基づいて DMARC に準拠するためには、次の両方の条件を満たすことが求められています。
+ メッセージは、カスタム MAIL FROM ドメインの DNS 設定に発行した有効な SPF (タイプは TXT) レコードに基づいて SPF チェックで適格性が認められる必要があります。
+ E メールヘッダーの送信元アドレスのドメインは、MAIL FROM アドレスで指定されているドメイン、またはサブドメインとのアライメントが認められる (一致する) 必要があります。SES との SPF アラインメントを確保するために、ドメインの DMARC ポリシーで strict の SPF ポリシー (aspf=s) を指定することは避けます。
これらの要件に準拠するためには、次のステップを実行します。
+ [カスタムの MAIL FROM ドメインを使用する](mail-from.md)の手順を実行して、カスタム MAIL FROM ドメインを設定します。
+ 送信元ドメインが SPF に relaxed ポリシーを使用していることを確認します。ドメインのポリシーアラインメントを変更していない場合は、デフォルトで SES と同様に relaxed のポリシーが使用されます。
**注記**
コマンドラインで以下のコマンドを入力して、`example.com`をドメインで置き換えることで、SPF での DMARC アラインメントを選択できます。
```
dig TXT _dmarc.example.com
```
このコマンドの出力の [**Non-authoritative answer**] から、`v=DMARC1`で始まるレコードを探します。このレコードに文字列`aspf=r`が含まれるか、または`aspf`文字列がまったく存在しない場合、ドメインは SPF に relaxed アラインメントを使用します。レコードに文字列`aspf=s`が含まれる場合、ドメインは SPF に strict アラインメントを使用します。システム管理者は、ドメインの DNS 設定の DMARC TXT レコードからこのタグを削除する必要があります。
別の方法として、dmarcian ウェブサイトの [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) や MxToolBox ウェブサイトの [DMARC Check ツール](https://mxtoolbox.com/dmarc.aspx)などのウェブベースの DMARC ルックアップツールを使用して、ドメインのポリシーの SPF へのアライメントを判断することもできます。
## DKIM を介した DMARC への準拠
E メールが DKIM に基づいて DMARC に準拠するためには、次の両方の条件を満たすことが求められています。
+ メッセージには有効な DKIM 署名が必要であり、DKIM チェックで適格性が認められる必要があります。
+ DKIM 署名で指定されたドメインが、送信元アドレスのドメインと一致する必要があります。ドメインの DMARC ポリシーで DKIM に strict アラインメントが指定されている場合は、これらのドメインは完全に一致する必要があります (SES はデフォルトで strict の DKIM ポリシーを使用します)。
これらの要件に準拠するためには、次のステップを実行します。
+ [Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)の手順を実行して Easy DKIM を設定します。Easy DKIM を使用すると、Amazon SES は自動的に E メールに署名します。
**注記**
Easy DKIM を使用せずに、[メッセージに手動で署名](send-email-authentication-dkim-manual.md)することもできます。ただし、Amazon SES は構築した DKIM 署名を検証しないため、この選択は慎重に行ってください。そのため、Easy DKIM を使用することを強くお勧めします。
+ DKIM 署名で指定されたドメインが、送信元アドレスのドメインと一致していることを確認してください。または、送信元アドレスのドメインのサブドメインから送信する場合は、DMARC ポリシーが relaxed アライメントに設定されていることを確認します。
**注記**
コマンドラインで以下のコマンドを入力して、`example.com`をドメインで置き換えることで、DKIM での DMARC アラインメントを選択できます。
```
dig TXT _dmarc.example.com
```
このコマンドの出力の [**Non-authoritative answer**] から、`v=DMARC1`で始まるレコードを探します。このレコードに文字列`adkim=r`が含まれるか、または`adkim`文字列がまったく存在しない場合、ドメインは DKIM に relaxed アラインメントを使用します。レコードに文字列`adkim=s`が含まれる場合、ドメインは DKIM に strict アラインメントを使用します。システム管理者は、ドメインの DNS 設定の DMARC TXT レコードからこのタグを削除する必要があります。
別の方法として、dmarcian ウェブサイトの [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) や MxToolBox ウェブサイトの [DMARC Check ツール](https://mxtoolbox.com/dmarc.aspx)などのウェブベースの DMARC ルックアップツールを使用して、ドメインのポリシーの DKIM へのアライメントを判断することもできます。
# Amazon SES での BIMI の使用
Brand Indicators for Message Identification (BIMI) は、対応しているメールクライアントの E メールの受信トレイにおいて、ブランドの認証済み E メールメッセージの横にブランドのロゴを表示できるようにするメール仕様です。
BIMI は認証に直接関係するメール仕様ですが、すべての E メールに対して [DMARC](send-email-authentication-dmarc.md) 認証への準拠を要求するため、スタンドアロンの E メール認証プロトコルではありません。
BIMI には DMARC が必要であり、DMARC にはドメインの SPF レコードまたは DKIM レコードのアラインメントが必要ですが、SPF レコードと DKIM レコードの両方を含めるのが最善です。セキュリティの強化になるとともに、E メールサービスプロバイダー (ESP) によっては BIMI を使用する際に両方を要求する場合があるためです。次のセクションでは、Amazon SES に BIMI を実装する手順を示します。
## SES での BIMI の設定
所有するメールドメイン (SES では*カスタム* MAIL FROM ドメインと呼ばれます) に BIMI を設定できます。設定すると、[BIMI をサポートする E メールクライアント](https://bimigroup.org/bimi-infographic/)において、そのドメインから送信されたすべてのメッセージに BIMI ロゴが表示されます。
E メールに BIMI ロゴを表示するには、SES 内でいくつかの前提条件を満たす必要があります。次の手順では、これらの前提条件を一般化するとともに、これらのトピックを詳細に説明する専用のセクションを参照として示します。ここでは、BIMI に固有の手順と、SES で BIMI を設定するために必要な事項について詳しく説明します。
**カスタム MAIL FROM ドメインに BIMI を設定するには**
1. SES でカスタム MAIL FROM ドメインを設定し、このドメインに SPF (タイプ TXT) レコードと MX レコードの両方を発行する必要があります。カスタム MAIL FROM ドメインを持っていないか、これを BIMI ロゴ用に新しく作成する場合は、「[カスタムの MAIL FROM ドメインを使用する](mail-from.md)」を参照してください。
1. Easy DKIM を使用してドメインを設定します。「[Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)」を参照してください。
1. 以下の 2 つの例のいずれかと同様に、BIMI に必要な以下の強制ポリシーの詳細を含む TXT レコードを DNS プロバイダーに発行して、ドメインに DMARC を設定します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-bimi.html)
上の BIMI に必要な DMARC ポリシーの例では、以下のとおりとします。
+ `example.com` は、ドメイン名またはサブドメイン名に置き換える必要があります。
+ `p=` の値は以下のいずれかです。
+ 表示されているとおりに *pct* 値を *100* に設定した *quarantine*
+ 表示されているとおりに *reject*。
+ サブドメインから送信する場合、BIMI は親ドメインにもこの強制ポリシーを持つことを要求します。サブドメインは親ドメインのポリシーに従います。ただし、親ドメインに発行した内容に加えてサブドメインにも DMARC レコードを追加する場合、BIMI の対象となるには、サブドメインにも同じ強制ポリシーが必要です。
+ ドメインに DMARC ポリシーを設定したことがない場合は、「[Amazon SES の DMARC 認証プロトコルへの準拠](send-email-authentication-dmarc.md)」を参照し、表示されているとおりに BIMI 固有の DMARC ポリシー値のみを使用してください。
1. BIMI ロゴをスケーラブルベクターグラフィックス (SVG) `.svg` ファイルとして作成します。BIMI に必要な特定の SVG プロファイルは、SVG Portable/Secure (SVG P/S) として定義します。ロゴを E メールクライアントに表示するには、これらの仕様に正確に準拠する必要があります。[BIMI Group](https://bimigroup.org/) の [SVG ロゴファイルの作成](https://bimigroup.org/creating-bimi-svg-logo-files/)に関するガイダンスと、推奨される [SVG 変換ツール](https://bimigroup.org/svg-conversion-tools-released/)を参照してください。
1. (オプション) Verified Mark Certificate (VMC) を取得します。Gmail や Apple などの一部の ESP では、BIMI ロゴの商標とコンテンツを所有していることの証拠として VMC を要求します。これはドメインに BIMI を実装するための要件ではありませんが、メール送信先の ESP が VMC 準拠を強制している場合、BIMI ロゴは E メールクライアントに表示されません。ロゴの VMC を取得するには、BIMI Group の[加盟認証機関](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/)に関するリファレンスを参照してください。
1. BIMI ロゴの SVG ファイルを、ユーザーがアクセスできるサーバーでホストし、HTTPS 経由で一般に公開します。例えば、[Amazon S3 バケット](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)にファイルをアップロードできます。
1. ロゴの URL を含む BIMI DNS レコードを作成して発行します。[BIMI をサポートする ESP](https://bimigroup.org/bimi-infographic/) は、DMARC レコードをチェックするときに、ロゴの `.svg` ファイルの URL が含まれている BIMI レコードと、VMC の `.pem` ファイルの URL (設定されている場合) も検索します。レコードが一致すると、BIMI ロゴが表示されます。
ドメインに BIMI を設定します。そのために、以下に示す値を使用して DNS プロバイダーに TXT レコードを発行します。最初の例はドメインからの送信、2番目の例はサブドメインからの送信を示しています。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-bimi.html)
上の BIMI レコードの例では、以下のとおりとします。
+ 名前の値は、`default._bimi.` を `example.com` または `marketing.example.com` のサブドメインとして文字どおり指定する必要があり、自分のドメイン名またはサブドメイン名に置き換えます。
+ `v=` 値は BIMI レコードの*バージョン*です。
+ `l=` 値は、ロゴの URL であり、画像の `.svg` ファイルを指します。
+ `a=` 値は、機関の URL であり、証明書の `.pem` ファイルを指します。
BIMI Group の [BIMI Inspector](https://bimigroup.org/bimi-generator/) などのツールを使用して BIMI レコードを検証できます。
このプロセスの最後のステップとして、BIMI ロゴの掲載をサポートする ESP への定期的な送信パターンを設定します。ドメインは、定期的な配信頻度を持ち、送信先の ESP から高い評価を得ている必要があります。評価や配信頻度の実績がない場合、BIMI ロゴが ESP に掲載されるまでに時間がかかることがあります。
BIMI に関する詳細情報やリソースについては、[BIMI Group](https://bimigroup.org/) 組織で参照できます。
# Amazon SES のイベント通知の設定
Amazon SES を使用して電子メールを送信するには、バウンスと苦情を管理するためのシステムが必要です。Amazon SES は、通知メールを送信する、Amazon SNS トピックを通知する、送信イベントを公開する、の 3 つのいずれかの方法でバウンスや苦情イベントを通知します。このセクションでは、E メールまたは Amazon SNS トピックに通知することによって、特定の種類の通知を送信するように Amazon SES を設定する方法について説明します。送信イベントを公開する方法の詳細については、「[Amazon SES イベント発行を使用して E メール送信をモニタリングする](monitor-using-event-publishing.md)」を参照してください。
Amazon SES コンソールまたは Amazon SES API を使用して通知をセットアップできます。
**Topics**
+ [重要な考慮事項](#monitor-sending-activity-using-notifications-considerations)
+ [E メールを介したAmazon SES に関する通知の受信](monitor-sending-activity-using-notifications-email.md)
+ [Amazon SNSを使用したAmazon SES通知の受信](monitor-sending-activity-using-notifications-sns.md)
## 重要な考慮事項
通知を送信するように Amazon SES を設定する際に考慮すべきいくつかの重要な点があります。
+ E メールと Amazon SNS 通知は、個々の ID (E メールの送信に使用する検証済みの電子メールアドレスまたはドメイン) に適用されます。ID の通知を有効にすると、Amazon SES はその ID から送信された E メールの通知のみを送信し、通知を設定した AWS リージョンでのみ通知を送信します。
+ バウンスや苦情の通知を受け取る方法を有効にする必要があります。バウンスや苦情を生成したドメインや電子メールアドレス、または Amazon SNS トピックに通知を送信できます。[イベント発行](monitor-using-event-publishing.md)を使用すると、いくつかの異なるタイプのイベントに関する通知 (バウンス、苦情、配信) を Amazon SNS トピックまたは Firehose ストリームに送信することもできます。
バウンスや苦情の通知を受け取るこれらの方法の 1 つを設定しない場合は、E メールのフィードバック転送を無効にしていても、Amazon SES はバウンスや苦情のイベントの原因となった E メールの Return-Path アドレス (または Return-Path アドレスを指定しなかった場合はソースアドレス) にバウンスや苦情の通知を自動的に転送します。
E メールのフィードバック転送を無効にし、イベント発行を有効にする場合は、送信するすべての E メールにイベント発行ルールを含む設定セットを適用する必要があります。この状況で、設定セットを使用しない場合は、Amazon SES はバウンスや苦情のイベントの原因となった E メールのリターンパス アドレスまたは出典アドレスにバウンスや苦情の通知を自動的に転送します。
+ 1 つ以上の方法 (E メール通知を送信する、イベントの送信を使用するなど) を使用してバウンスや苦情を送信するように Amazon SES を設定する場合は、同じイベントに対して 1 つ以上の通知を受け取る場合があります。
# E メールを介したAmazon SES に関する通知の受信
Amazon SES は、ユーザーがバウンスや苦情を受信すると、*E メールのフィードバック転送*というプロセスを使用して、ユーザーに E メールを送信します。
Amazon SES を使用して E メールを送信するには、次のいずれかの方法を使用して、バウンスや苦情の通知を送信するように設定する必要があります。
+ E メールのフィードバック転送を有効にする。このタイプの通知を設定する手順は、このセクションに含まれています。
+ Amazon SNS トピックに通知を送信する。詳細については、「[Amazon SNSを使用したAmazon SES通知の受信](monitor-sending-activity-using-notifications-sns.md)」を参照してください。
+ イベント通知を発行する。詳細については、「[Amazon SES イベント発行を使用して E メール送信をモニタリングする](monitor-using-event-publishing.md)」を参照してください。
**重要**
通知についてのいくつかの重要なポイントについては、「[Amazon SES のイベント通知の設定](monitor-sending-activity-using-notifications.md)」を参照してください。
**Topics**
+ [E メールのフィードバック転送を有効にする](#monitor-sending-activity-using-notifications-email-enabling)
+ [E メールのフィードバック転送を無効にする](#monitor-sending-activity-using-notifications-email-disabling)
+ [E メールのフィードバック転送先](#monitor-sending-activity-using-notifications-email-destination)
## E メールのフィードバック転送を有効にする
E メールのフィードバック転送はデフォルトで有効です。以前に無効にしている場合、このセクションの以下の手順に従って有効にできます。
**Amazon SES コンソールを使用して E メールによるバウンスや苦情の転送を有効にする**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. 確認済みの E メールアドレスまたはドメインで、バウンスと苦情の通知を設定する E メールアドレスまたはドメインを選択します。
1. 詳細ペインで、[**Notifications**] セクションを展開します。
1. [**Edit Configuration**] を選択します。
1. [**E メール Feedback Forwarding**] で、[**Enabled**] を選択します。
**注記**
このページで行った変更は、反映されるまでに数分かかる場合があります。
また、[SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html) API オペレーションを使用して、バウンスや苦情の通知を有効にできます。
## E メールのフィードバック転送を無効にする
バウンスや苦情の通知を提供する別の方法を設定する場合は、バウンスや苦情のイベントが発生したときに複数の通知を受け取らないように、E メールのフィードバック転送を無効にすることができます。
**Amazon SES コンソールを使用して E メールを介したバウンスや苦情の転送を無効にする**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. 確認済みの E メールアドレスまたはドメインで、バウンスと苦情の通知を設定する E メールアドレスまたはドメインを選択します。
1. 詳細ペインで、[**Notifications**] セクションを展開します。
1. [**Edit Configuration**] を選択します。
1. [**E メール Feedback Forwarding**] で、[**Disabled**] を選択します。
**注記**
Amazon SES を介して E メールを送信するには、バウンスや苦情の通知を受け取る 1 つの方法を設定する必要があります。E メールのフィードバック転送を無効にする場合は、Amazon SNS が送信する通知を有効にするか、[イベント発行](monitor-using-event-publishing.md)を使用して、バウンスイベントと苦情イベントを Amazon SNS トピックまたは Firehose ストリームに発行する必要があります。イベント発行を使用する場合は、送信する各 E メールにイベント発行ルールを含む設定セットも適用する必要があります。バウンスや苦情の通知を受け取る方法を設定しない場合は、Amazon SES はバウンスや苦情のイベントの原因となったメッセージのリターンパス フィールド (またはリターンパス アドレスを指定しなかった場合は出典フィールド) のアドレスに、E メールによるフィードバック通知を自動的に転送します。この場合、E メールのフィードバック通知を無効にしても、Amazon SES はバウンス通知や苦情の通知を転送します。
1. [**Save Config**] を選択して通知設定を保存します。
**注記**
このページで行った変更は、反映されるまでに数分かかる場合があります。
また、[SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API オペレーションを使用して、バウンスや苦情の通知を無効にできます。
## E メールのフィードバック転送先
E メールで通知を受け取る場合、Amazon SES は`From`ヘッダーを書き換えて通知を送信します。Amazon SES が通知を転送するアドレスは、元のメッセージの送信方法によって異なります。
SMTP インターフェイスを使用してメッセージを送信すると、通知は以下の規則に従って配信されます。
+ `SMTP DATA` セクションで `Return-Path` ヘッダーを指定すると、通知はそのアドレスに送信されます。
+ その他の場合は、MAIL FROM コマンドを発行したときに指定したアドレスに通知が送信されます。
`SendEmail`API オペレーションを使用してメッセージを送信すると、通知は以下の規則に従って配信されます。
+ `SendEmail`API を呼び出す際にオプションの`ReturnPath` パラメータを指定すると、通知はそのアドレスに送信されます。
+ 指定しない場合、`Source`の必須`SendEmail`パラメータであるで指定されたアドレスに通知が送信されます。
`SendRawEmail`API オペレーションを使用してメッセージを送信すると、通知は以下の規則に従って配信されます。
+ raw メッセージで `Return-Path` ヘッダーを指定すると、通知はそのアドレスに送信されます。
+ その他の場合は、`SendRawEmail` API を呼び出す際に `Source` パラメータを指定すると、通知はそのアドレスに送信されます。
+ その他の場合、raw メッセージの`From`ヘッダーにおいて指定されたアドレスに通知が送信されます。
**注記**
E メールで`Return-Path`アドレスを指定すると、通知はそのアドレスに送信されます。ただし、受信者が受信するメッセージのバージョンには、 匿名化されたEメールアドレス (*a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*) を含む`Return-Path`ヘッダー含まれています。この匿名化は、E メールの送信方法にかかわらず実行されます。
# Amazon SNSを使用したAmazon SES通知の受信
バウンスや苦情を受け取ったとき、または E メールが配信されたときに、Amazon SES トピックを通知するように Amazon SNS を設定できます。Amazon SNS 通知は [JavaScript Object Notation (JSON)](http://www.json.org)形式になっており、プログラムで処理できます。
Amazon SES を使用して E メールを送信するには、次のいずれかの方法を使用して、バウンスや苦情の通知を送信するように設定する必要があります。
+ Amazon SNS トピックに通知を送信する。このタイプの通知を設定する手順は、このセクションに含まれています。
+ E メールのフィードバック転送を有効にする。詳細については、「[E メールを介したAmazon SES に関する通知の受信](monitor-sending-activity-using-notifications-email.md)」を参照してください。
+ イベント通知を発行する。詳細については、「[Amazon SES イベント発行を使用して E メール送信をモニタリングする](monitor-using-event-publishing.md)」を参照してください。
**重要**
通知に関する重要な情報については、「[Amazon SES のイベント通知の設定](monitor-sending-activity-using-notifications.md)」を参照してください。
**Topics**
+ [Amazon SES の Amazon SNS 通知の設定](configure-sns-notifications.md)
+ [Amazon SES の Amazon SNS 通知コンテンツ](notification-contents.md)
+ [Amazon SES の Amazon SNS 通知の例](notification-examples.md)
# Amazon SES の Amazon SNS 通知の設定
[Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns)を通して、Amazon SES は、バウンス、苦情、配信を通知します。
通知は Amazon SES コンソールで設定するか、Amazon SES API を使用して設定できます。
**Topics**
+ [前提条件](#configure-feedback-notifications-prerequisites)
+ [Amazon SES コンソールを使用した通知の設定](#configure-feedback-notifications-console)
+ [Amazon SES API を使用した通知の設定](#configure-feedback-notifications-api)
+ [フィードバック通知のトラブルシューティング](#configure-feedback-notifications-troubleshooting)
## 前提条件
Amazon SES で Amazon SNS 通知を設定する前に、次のステップを完了します。
1. Amazon SNS トピックを作成します。詳細については、[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)の「*トピックの作成*」を参照してください。
**重要**
Amazon SNS を使用してトピックを作成する場合、**タイプ**は**スタンダード**を選択します。(SES は FIFO タイプのトピックをサポートしていません。)
新しい SNS トピックを作成する場合も、既存のトピックを選択する場合も、トピックに通知を発行するために SES へのアクセスを許可する必要があります。
トピック に通知を発行するためのアクセス許可をAmazon SES に付与するには、SNS コンソールの [**トピ追加ックの編集**] 画面で [**アクセスポリシー**] を展開し、[**JSON エディタ**] に次の許可ポリシーをします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
上のポリシー例に、以下の変更を加えます。
+ *topic\$1region* を、SNS トピックを作成した AWS リージョンに置き換えます。
+ *111122223333*を自分の AWS アカウント ID に置き換えます。
+ *topic\$1name*は、SNS トピックの名前に置き換えます。
+ *identity\$1name*は、SNS トピックにサブスクライブしている確認済みアイデンティティ (E メールアドレスまたはドメイン) に置き換えます。
1. 少なくとも 1 つのエンドポイントをトピックにサブスクライブします。たとえば、テキストメッセージで通知を受け取る場合は、トピックに SMS エンドポイント (携帯電話番号) をサブスクライブします。E メールで通知を受信するには、E メールエンドポイント (E メールアドレス) をトピックにサブスクライブします。
詳細については、[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)の「*作業スタート*」を参照してください。
1. (オプション) Amazon SNS トピックがサーバー側の暗号化に AWS Key Management Service (AWS KMS) を使用する場合は、 AWS KMS キーポリシーにアクセス許可を追加する必要があります。アクセス許可を追加するには、次のポリシーを AWS KMS キーポリシーにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Amazon SES コンソールを使用した通知の設定
**Amazon SES コンソールを使用して通知を設定するには**
1. Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの **[設定]** で、**[ID]** を選択します。
1. **[Identities]** (ID) コンテナで、この ID の結果から送信されたメッセージがバウンス、苦情、または配信になったときのフィードバック通知を受信する検証済み ID を選択します。
**重要**
確認済みドメイン通知設定は、同様に確認済みの E メールアドレスを*除き*、そのドメインの E メールアドレスから送信されるすべてのメールに適用されます。
1. 選択した検証済み ID の詳細画面で、**[Notifications]** (通知) タブを選択し、**[Feedback notifications**] (フィードバック通知) コンテナの **[Edit]** (編集) を選択します。
1. 通知を受信する各フィードバックタイプの SNS トピックリストボックスを展開し、[SNS topic you own] (所有する SNS トピック)、**[No SNS topic]** (SNS トピックなし)、または **[SNS topic you don't own]** (所有していない SNS トピック) のいずれかを選択します。
1. **[SNS topic you don't own]** (所有していない SNS トピック) を選択した場合、**SNS トピックの ARN** フィールドが表示され、そこで代理送信者が共有する SNS トピックの ARN を入力する必要があります。(代理送信者が SNS トピックを所有するため、これらの通知は代理送信者だけが受け取ります。代理送信の詳細については、「[送信承認の概要](sending-authorization-overview.md)」を参照してください)。
**重要**
バウンス、苦情、配信の通知に使用する Amazon SNS トピックは、Amazon SES を使用する AWS リージョン トピックと同じ にある必要があります。
さらに、通知を受け取るには、1 つ以上のエンドポイントをトピックにサブスクライブしている必要があります。たとえば、E メールアドレスに通知を送信する場合は、E メールエンドポイントをそのトピックにサブスクライブする必要があります。詳細については、『*Amazon Simple Notification Service デベロッパーガイド*』の「[作業スタート](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」を参照してください。
1. (オプション) 元の E メールのヘッダーをトピック通知に含める場合は、各フィードバックタイプの SNS トピック名のすぐ下にある **[Include original email headers]** (元の E メールヘッダーを含める) ボックスにチェックを入れます。このオプションは、その通知タイプに Amazon SNS トピックを割り当てている場合にのみ使用できます。元の E メールヘッダーの内容については、[通知の内容](notification-contents.md)の `mail` オブジェクトを参照してください。
1. **[Save changes]** (変更の保存) をクリックします。通知設定に対する変更は、反映されるまでに数分かかる場合があります。
1. (オプション) バウンスと苦情の両方で Amazon SNS トピック通知を選択した場合、すべての E メール通知を無効にして、E メール通知と SNS 通知を重複して受け取らないようにすることができます。バウンスや苦情に関する E メール通知を無効にするには、**[Email Feedback Forwarding]** (E メールのフィードバック転送) コンテナの検証済み ID の詳細画面にある **[Notifications]** (通知) タブで、**[Edit]** (編集) を選択し、**[Enabled]** (有効) ボックスのチェックを外して、**[Save changes]** (変更を保存) を選択します。
設定の完了後は、返送、苦情、配信の通知が Amazon SNS トピックに送られるようになります。これらの通知は JavaScript Object Notation (JSON) 形式になっており、「[通知の内容](notification-contents.md)」で説明されている構造に従っています。
バウンス、苦情、配信の通知には、Amazon SNS のスタンダードレートが課金されます。詳細については、「[Amazon SNS 料金ページ](https://aws.amazon.com/sns/pricing)」を参照してください。
**注記**
トピックが削除されたか、 に発行するアクセス許可 AWS アカウント がなくなったために Amazon SNS トピックへの発行が失敗した場合、バウンスや苦情 (配信ではなく - 配信通知の場合、SES は SNS トピック設定を削除しません) 用に設定されている場合、Amazon SES はそのトピックの設定を削除します。さらに、Amazon SES が ID のバウンスと苦情の E メール通知を再度有効にし、ユーザーは変更の通知を E メールで受け取ります。トピックを使用するように複数の ID が設定されている場合、各 ID でトピックへの発行に失敗すると、各 ID のトピック設定が変更されます。
## Amazon SES API を使用した通知の設定
バウンス、苦情、配信の通知は、Amazon SES API を使用して設定することもできます。次のオペレーションを使用して通知を設定します。
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
これらの API アクションを使用して、通知用にカスタマイズしたフロントエンドアプリケーションを作成することができます。通知に関連する API アクションの詳しい説明については、[Amazon Simple Email Service API リファレンス](https://docs.aws.amazon.com/ses/latest/APIReference/)を参照してください。
## フィードバック通知のトラブルシューティング
**通知が送られてこない**
通知を受け取っていない場合は、通知が送信されるトピックにエンドポイントをサブスクライブしていることを確認します。E メールエンドポイントをトピックにサブスクライブすると、サブスクリプションの確認を求める E メールが届きます。E メール通知の受信を開始するには、サブスクリプションを確認する必要があります。詳細については、『*Amazon Simple Notification Service デベロッパーガイド*』の「[作業スタート](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」を参照してください。
**`InvalidParameterValue` トピックを選択する際にエラーが発生する**
`InvalidParameterValue` エラーが発生したことを示すエラーを受け取った場合は、Amazon SNS トピックが AWS KMSを使用して暗号化されているかどうかをチェックします。その場合は、 AWS KMS キーのポリシーを変更する必要があります。サンプルポリシーについては、「[前提条件](#configure-feedback-notifications-prerequisites)」を参照してください。
# Amazon SES の Amazon SNS 通知コンテンツ
バウンス、苦情、および配信の通知は、JavaScript Object Notation (JSON) 形式で、[Amazon Simple Notification Service (Amazon SNS)](https://aws.amazon.com/sns) トピックに発行されます。トップレベル JSON オブジェクトには、`notificationType` 文字列と `mail` オブジェクトに加え、`bounce` オブジェクト、`complaint` オブジェクト、または `delivery` オブジェクトのいずれかが含まれます。
オブジェクトのタイプごとの詳細については以下のセクションを参照してください。
+ [トップレベル JSON オブジェクト](#top-level-json-object)
+ [`mail` オブジェクト](#mail-object)
+ [`bounce` オブジェクト](#bounce-object)
+ [`complaint` オブジェクト](#complaint-object)
+ [`delivery` オブジェクト](#delivery-object)
以下は、Amazon SES の Amazon SNS 通知の内容に関する重要な注意事項です。
+ 該当する通知タイプにより、複数の受信者に対応する 1 つの Amazon SNS 通知を受け取ることもあれば、各受信者に 1 つの Amazon SNS 通知を受け取ることもあります。コードでは Amazon SNS 通知を解析して、どちらの場合にも対応できる必要があります。Amazon SNS を使用して送信された通知に関しては、SES では順序付けや一括処理が保証されません。ただし、タイプの異なる Amazon SNS 通知 (バウンスと苦情など) が 1 つの通知にまとめられることはありません。
+ 1 人の受信者に対して複数のタイプの Amazon SNS 通知を受け取ることがあります。たとえば、受信メールサーバーは、E メールを受理した場合でも (配信の通知をトリガーします)、そのメールの処理後に、そのメールは実際にはバウンスであると判定する場合があります (バウンスの通知をトリガーします)。ただし、通知のタイプが異なるため、これらは常に個別に通知されます。
+ SES には、通知にその他のフィールドを追加する権限があります。そのため、これらの通知を解析するアプリケーションには、不明なフィールドを処理できるだけの十分な柔軟性が必要です。
+ SES は、E メールの送信時にメッセージのヘッダーを上書きします。`mail` オブジェクトの `headers` および `commonHeaders` フィールドから元のメッセージのヘッダーを取得できます。
## トップレベル JSON オブジェクト
SES 通知のトップレベル JSON オブジェクトには、以下のフィールドが含まれています。
| フィールド名 | 説明 |
| --- | --- |
| notificationType | 通知のタイプを格納する文字列は、JSON オブジェクトによって表されます。想定される値は、`Bounce`、`Complaint`、および `Delivery` です。 [イベント発行をセットアップ](monitor-sending-using-event-publishing-setup.md)する場合、このフィールドの名前は `eventType` です。 |
| mail | 通知に関連する元のメールについての情報を含む JSON オブジェクト。詳細については、「[Mail オブジェクト](#mail-object)」を参照してください。 |
| bounce | このフィールドは `notificationType` が `Bounce` である場合のみ存在し、バウンスに関する情報を持つ JSON オブジェクトが含まれます。詳細については、「[Bounce オブジェクト](#bounce-object)」を参照してください。 |
| complaint | このフィールドは `notificationType` が `Complaint` である場合のみ存在し、苦情に関する情報を持つ JSON オブジェクトが含まれます。詳細については、「[苦情のオブジェクト](#complaint-object)」を参照してください。 |
| delivery | このフィールドは `notificationType` が `Delivery` である場合のみ存在し、配信に関する情報を持つ JSON オブジェクトが含まれます。詳細については、「[配信オブジェクト](#delivery-object)」を参照してください。 |
## Mail オブジェクト
バウンス、苦情、または配信の通知にはそれぞれ、`mail` オブジェクト内の元の E メールについての情報が含まれます。`mail` オブジェクトについての情報を含む JSON オブジェクトには次のフィールドが含まれます。
| フィールド名 | 説明 |
| --- | --- |
| timestamp | 元のメッセージが送信された日時 (ISO 8601 形式)。 |
| messageId | SES がメッセージに割り当てた一意の ID。ユーザーがメッセージを送信すると、SES はこの値を返します。 このメッセージ ID は SES によって割り当てられたものです。元の E メールのメッセージ ID は、`mail` オブジェクトの `headers` フィールドにあります。 |
| source | 元のメッセージが送信された E メールアドレス (エンベロープ MAIL FROM アドレス)。 |
| sourceArn | E メールの送信に使用された ID の Amazon リソースネーム (ARN)。送信承認の場合、`sourceArn` は、代理送信者が E メールの送信に使用することをアイデンティティ所有者により承認されたアイデンティティの ARN です。送信承認の詳細については、「[E メールの認証方法送信承認の使用](sending-authorization.md)」を参照してください。 |
| sourceIp | SES に対して E メールの送信リクエストを実行したクライアントの送信側パブリック IP アドレス。 |
| sendingAccountId | E メールの送信に使用されたアカウントの AWS アカウント ID。送信承認の場合、`sendingAccountId` は代理送信者のアカウント ID です。 |
| callerIdentity | E メールを送信した SES ユーザーの IAM ID |
| destination | 元のメールの受取人の E メールアドレスのリスト。 |
| headersTruncated | 元の E メールからヘッダーを含めるように通知設定を構成した場合にのみ、このオブジェクトが表示されます。 ヘッダーが通知で切り詰められるかどうかを示します。SES では、元のメッセージのヘッダーのサイズが 10 KB 以上の場合、通知のヘッダーが切り詰められます。指定できる値は `true` および `false` です。 |
| headers | 元の E メールからヘッダーを含めるように通知設定を構成した場合にのみ、このオブジェクトが表示されます。 E メールの元のヘッダーの一覧。リスト内の各ヘッダーには、`name` フィールドと `value` フィールドがあります。 `headers` オブジェクト内のメッセージ ID は、SES に渡した元のメッセージのものです。その後 SES がメッセージに割り当てるメッセージ ID は、`mail` オブジェクトの `messageId` フィールドのものです。 |
| commonHeaders | 元の E メールからヘッダーを含めるように通知設定を構成した場合にのみ、このオブジェクトが表示されます。 元の E メールからの一般的な E メールヘッダーに関する情報 (送信元、宛先、件名フィールドなど) が含まれます。このオブジェクト内では、各ヘッダーはキーとなります。送信元フィールドと宛先フィールドは、複数の値を含むことができる配列で表されます。 イベントの場合、`commonHeaders` フィールド内のメッセージ ID は、Amazon SES が後でメールオブジェクトの `messageId` フィールドでメッセージに割り当てたメッセージ ID です。通知には、元の E メールのメッセージ ID が含まれます。 |
以下は、元の E メールヘッダーを含む `mail` オブジェクトの例です。この通知タイプが元の E メールヘッダーを含めるように設定されていない場合は、`mail` オブジェクトに `headersTruncated`、`headers` および `commonHeaders` フィールドが含まれません。
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" Here is a formatted link: Amazon Simple Email Service Developer Guide.
10. 11. ``` 1. テストするシミュレートされた E メールシナリオのタイプを、**[Scenario]** (シナリオ) リストボックスを展開して選択します。 1. **[Custom]** (カスタム) を選択し、Amazon SES サンドボックスで作業している場合は、**[Custom recipient]** (カスタム受信者) フィールドのアドレスが検証済みの E メールアドレスになっていることを確認します。詳細については、「[Eメールアドレス ID の作成](creating-identities.md#verify-email-addresses-procedure)」を参照してください。 1. 必要に応じて、残りのフィールドに入力します。 1. **[Send test email]** (テストメール送信) を選択します。 1. E メールの宛先の E メールクライアントにサインインします。送信した E メールメッセージを確認します。 ## 手動でメールボックスシミュレーターを使用する Amazon SES のメールボックスシミュレーターを使用すると、さまざまな E メール送信シナリオに対応するアプリケーションの機能をテストできます。メールボックスシミュレーターは、架空の E メールアドレスを作成せずに E メール送信アプリケーションをテストしたり、1 日あたりの送信クォータに影響を与えずにシステムの最大スループットを確認したりする場合に役立ちます。 ### 重要な考慮事項 Amazon SES メールボックスシミュレーターを使用する場合は、以下の特徴と制限に留意してください。 + メールボックスシミュレーターは、アカウントが Amazon SES サンドボックスにある場合でも使用できます。 + メールボックスシミュレーターに送信する E メールは、アカウントの最大送信レートのクォータを受けますが、毎日の送信クォータには影響しません。たとえば、アカウントが 24 時間あたり 10,000 件のメッセージ送信を許可されていて、100 件のメッセージをメールボックスシミュレーターに送信した場合、依然として最大 10,000 件のメッセージを通常の受取人に送信でき、送信クォータに達することはありません。 + メールボックスシミュレーターに送信する E メールは、E メールの配信性能や評価のメトリクスには影響しません。たとえば、大量のメッセージをメールボックスシミュレーターの返送アドレスに送信しても、返送率が高すぎることを警告するメッセージが[レピュテーションメトリクスコンソールページ](reputation-dashboard-dg.md)に表示されることはありません。 + 請求に関しては、Amazon SES メールボックスシミュレーターに送信する E メールは、Amazon SES を使用して送信する他の E メールと同じ扱いになります。つまり、メールボックスシミュレーターに送信したメッセージに対しても、通常の受取人に送信したメッセージと同額が請求されます。 + メールボックスシミュレーターでは、ラベリングがサポートされているため、メールボックスシミュレーターの同じアドレスに複数の方法で E メールを送信したり、アプリケーションで可変エンベロープリターンパス (VERP) を処理する方法を確認したりできます。たとえば、*bounce\$1label1@simulator.amazonses.com*と*bounce\$1label2@simulator.amazonses.com*にE メールを送信して、バウンスメッセージとバウンスを生じた E メールアドレスをアプリケーションが照合できるかどうかを確認できます。 + メールボックスシミュレーターを使用して同じ送信リクエストからの複数のバウンスをシミュレートする場合、Amazon SES は複数のバウンスのレスポンスを 1 つのレスポンスにまとめます。 ### メールボックスシミュレーターの使用 メールシミュレーターを使用するには、以下の表にあるシナリオを見つけ、対応する E メールアドレスに E メールを送信します。 **注記** メールボックスシミュレーターアドレスに E メールを送信するときは、、 AWS CLI AWS SDK、Amazon SES Amazon SES コンソール、Amazon SES SMTP インターフェイス、または Amazon SES API を使用して、Amazon SES 経由で E メールを送信する必要があります。メールボックスシミュレーターは、外部ソースから送信された E メールには応答しません。 | シミュレートシナリオ | Eメールアドレス | | --- | --- | | 正常な配信 – 受取人のEメールプロバイダーが、Eメールを受領します。「[Amazon SES のイベント通知の設定](monitor-sending-activity-using-notifications.md)」に記載されているように配信通知をセットアップしている場合、Amazon SES は Amazon Simple Notification Service (Amazon SNS) を通じて配信通知を送信します。 | success@simulator.amazonses.com | | バウンス – 受取人のEメールプロバイダーは、SMTP 550 5.1.1 レスポンスコード (「不明なユーザー」) レスポンスコードで E メールを拒否します。Amazon SES は、バウンス通知を生成し、アカウントのセットアップ内容に応じて、この通知を E メールで送信するか、Amazon SNS トピックに通知を送信します。通常、ハードバウンスが発生した場合は E メールアドレスが Amazon SES サプレッションリストに追加されますが、メールボックスシミュレーターの E メールアドレスは追加されません。メールボックスシミュレーターから受け取る返送応答は、[RFC 3464](https://tools.ietf.org/html/rfc3464)に対応しています。返送フィードバックの受け取り方法については、「[Amazon SES のイベント通知の設定](monitor-sending-activity-using-notifications.md)」を参照してください。 | bounce@simulator.amazonses.com | | 自動応答 – 受取人の E メールプロバイダーが E メールを受領し、受取人の受信トレイに配信します。E メールプロバイダーは、不在 (OOTO) メッセージなどの自動応答を E メールのリターンパスヘッダーのアドレスに送信します。リターンパスヘッダーが存在しない場合は、エンベロープ送信者 (「MAIL FROM」) アドレスに送信します。メールボックスシミュレーターから受け取る自動応答は、[RFC 3834](https://tools.ietf.org/html/rfc3834)に対応しています。 | ooto@simulator.amazonses.com | | 苦情 – 受取人のEメールプロバイダーがEメールを受領し、受取人の受信トレイに配信します。受取人は、これを未承諾のメッセージであると判断し、E メールクライアントで [Mark as Spam (スパムとしてマーク)] をクリックします。次に、アカウントのセットアップ内容に応じて、Amazon SES が E メールまたは Amazon SNS トピックへの通知により、送信者に苦情通知を転送します。メールボックスシミュレーターから受け取る苦情応答は、[RFC 5965](https://tools.ietf.org/html/rfc5965)に対応しています。苦情フィードバックの受け取り方法については、「[Amazon SES のイベント通知の設定](monitor-sending-activity-using-notifications.md)」を参照してください。 | complaint@simulator.amazonses.com | | サプレッションリストの受取人アドレス – 受取人のアドレスがグローバルサプレッションリストにある場合と同じように Amazon SES でハードバウンスが生成されます。 | suppressionlist@simulator.amazonses.com | ### 拒否イベントのテスト Amazon SES を介して送信するすべてのメッセージでウイルスがスキャンされます。ウイルスを含むメッセージを送信すると、Amazon SES はメッセージを受け入れ、ウイルスを検出して、そのメッセージ全体を拒否します。Amazon SES でメッセージが拒否されると、メッセージの処理が停止され、受取人のメールサーバーへのメッセージ配信は試行されません。次に、拒否イベントが生成されます。 Amazon SES メールボックスシミュレーターには、拒否イベントをテストするためのアドレスは含まれていません。ただし、拒否イベントは、欧州コンピューターウイルス対策研究所(EICAR)テストファイルを使用してテストできます。このファイルは、ウイルス対策ソフトウェアを安全な方法でテストする業界標準の手段です。EICAR テストファイルを作成するには、以下のテキストをファイルに貼り付けます。 ``` X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ``` そのファイルを`sample.txt`として保存し、Eメールに添付して、そのメールを確認済みアドレスに送信します。E メールに他の問題がない場合、Amazon SES はメッセージを受け入れますが、実際のウイルスが含まれている場合と同じように拒否します。 **注記** 拒否された E メール(上記の手順を使用して送信したものを含む) は、1 日あたりの送信クォータに対してカウントされます。送信するメッセージ (拒否されたメッセージを含む) ごとに料金が発生します。 EICARテストファイルについては、Wikipediaの「[EICAR テストファイル](https://en.wikipedia.org/wiki/EICAR_test_file)」を参照してください。