We here at Example Corp are happy to have you on board! There's just one last step to complete before you can start sending email. Just click the following link to verify your email address. Once we confirm that you're really you, we'll give you some additional information to help you get started with ProductName.
", "SuccessRedirectionURL": "https://www.example.com/verifysuccess", "FailureRedirectionURL": "https://www.example.com/verifyfailure" } ``` **重要** 为提高可读性,上例中的 `TemplateContent` 属性包含了换行符。如果将以上示例粘贴到文本文件中,请先删除换行符再继续。 将 `TemplateName`、`FromEmailAddress`、`TemplateSubject`、`TemplateContent`、`SuccessRedirectionURL` 和 `FailureRedirectionURL` 的值替换为您自己的值。 **注意** 您为 `FromEmailAddress` 参数指定的电子邮件地址必须经过验证,或者必须是已验证域中的地址。有关更多信息,请参阅 [Amazon SES 中已验证的身份](verify-addresses-and-domains.md)。 完成后,将文件另存为 `customverificationemail.json`。 1. 在命令行键入以下命令,创建自定义验证电子邮件模板: ``` aws sesv2 create-custom-verification-email-template --cli-input-json file://customverificationemail.json ``` 1. (可选)可以键入以下命令确认模板已创建: ``` aws sesv2 list-custom-verification-email-templates ``` ### 编辑自定义验证电子邮件模板 您可以使用 `UpdateCustomVerificationEmailTemplate` 操作编辑自定义验证电子邮件模板。此操作接受与 `CreateCustomVerificationEmailTemplate` 操作相同的输入(即 `TemplateName`、`FromEmailAddress`、`TemplateSubject`、`TemplateContent`、`SuccessRedirectionURL` 和 `FailureRedirectionURL` 属性)。但是,对于 `UpdateCustomVerificationEmailTemplate` 操作,这些属性都不是必需的。当为 `TemplateName` 传递与现有自定义验证电子邮件模板名称相同的值时,您指定的属性将覆盖模板中原有的属性。 ### 使用自定义模板发送验证电子邮件 创建至少一个自定义验证电子邮件模板后,您可以通过调用 [SendCustomVerificationEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendCustomVerificationEmail.html)API 操作将其发送给您的客户。您可以使用 AWS SDKs 或中的任何一个来调用该`SendCustomVerificationEmail`操作 AWS CLI。`SendCustomVerificationEmail` 操作使用以下输入: **** | 属性 | 说明 | | --- | --- | | EmailAddress | 要验证的电子邮件地址。 | | TemplateName | 发送到待验证电子邮件地址的自定义验证电子邮件模板的名称。 | | ConfigurationSetName | (可选)发送验证电子邮件时要使用的配置集的名称。 | 例如,假设您的客户在您的应用程序中使用表单注册您的服务。当客户填写并提交表单之后,应用程序将调用 `SendCustomVerificationEmail` 操作,传递客户的电子邮件地址和您要使用的模板的名称。 客户将收到一封使用您创建的自定义电子邮件模板的电子邮件。Amazon SES 会为收件人自动添加一个唯一链接,以及简短的免责声明。下图显示了使用在[创建自定义验证电子邮件模板](#send-email-verify-address-custom-creating)中创建的模板的示例验证电子邮件。 ![\[Email verification message with instructions and a link to confirm the recipient's address.\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/cve_sample_message.png) ### 自定义验证电子邮件常见问题 本部分包含有关自定义验证电子邮件模板特征的常见问题解答。 #### 问题 1:我可以创建多少个自定义验证电子邮件模板? 您可以为每个 Amazon SES 账户创建最多 50 个自定义验证电子邮件模板。 #### 问题 2:如何向收件人显示自定义验证电子邮件? 自定义验证电子邮件模板包含您在创建模板时指定的内容,后跟收件人必须单击以验证其电子邮件地址的链接。 #### 问题 3:我是否可以预览自定义验证电子邮件? 要预览自定义验证电子邮件,请使用 `SendCustomVerificationEmail` 操作向您自己的地址发送一封验证电子邮件。如果您不单击验证链接,那么 Amazon SES 不会创建新的身份。如果您单击验证链接,您可以选择使用 `DeleteIdentity` 操作删除新创建的身份。 #### 问题 4:我是否可以在自定义验证电子邮件模板中包含图像? 您可以使用 base64 编码在模板 HTML 中嵌入图像。当您以这种方式嵌入图像时,Amazon SES 会自动将图像转换为附件。您可以在命令行中发出以下命令之一对图像进行编码: ------ #### [ Linux, macOS, or Unix ] ``` base64 -i imagefile.png | tr -d '\n' > output.txt ``` ------ #### [ Windows ] ``` certutil -encodehex -f imagefile.png output.txt 0x40000001 ``` ------ 将 `imagefile.png` 替换为您要编码的文件的名称。在上面的两个命令中,base64 编码的图像都保存到 `output.txt`。 您可以在模板的 HTML 中加入以下内容以嵌入 base64 编码的图像:`
`
在上一个示例中,将 `png` 替换为编码的图像的文件类型 (例如 jpg 或 gif),并将 `base64EncodedImage` 替换为 base64 编码的图像 (即前述命令之一中的 `output.txt` 的内容)。
#### 问题 5:对自定义验证电子邮件模板中包含的内容是否有任何限制?
自定义验证电子邮件模板的大小不得超过 10 MB。此外,包含 HTML 的自定义验证电子邮件模板只能使用下表中列出的标签和属性。
| HTML 标签 | 允许的属性 |
| --- | --- |
| abbr | class, id, style, title |
| acronym | class, id, style, title |
| address | class, id, style, title |
| area | class, id, style, title |
| b | class, id, style, title |
| bdo | class, id, style, title |
| big | class, id, style, title |
| blockquote | cite, class, id, style, title |
| body | class, id, style, title |
| br | class, id, style, title |
| button | class, id, style, title |
| caption | class, id, style, title |
| center | class, id, style, title |
| cite | class, id, style, title |
| code | class, id, style, title |
| col | class, id, span, style, title, width |
| colgroup | class, id, span, style, title, width |
| dd | class, id, style, title |
| del | class, id, style, title |
| dfn | class, id, style, title |
| dir | class, id, style, title |
| div | class, id, style, title |
| dl | class, id, style, title |
| dt | class, id, style, title |
| em | class, id, style, title |
| fieldset | class, id, style, title |
| font | class, id, style, title |
| form | class, id, style, title |
| h1 | class, id, style, title |
| h2 | class, id, style, title |
| h3 | class, id, style, title |
| h4 | class, id, style, title |
| h5 | class, id, style, title |
| h6 | class, id, style, title |
| head | class, id, style, title |
| hr | class, id, style, title |
| html | class, id, style, title |
| i | class, id, style, title |
| img | align, alt, class, height, id, src, style, title, width |
| input | class, id, style, title |
| ins | class, id, style, title |
| kbd | class, id, style, title |
| label | class, id, style, title |
| legend | class, id, style, title |
| li | class, id, style, title |
| map | class, id, style, title |
| menu | class, id, style, title |
| ol | class, id, start, style, title, type |
| optgroup | class, id, style, title |
| option | class, id, style, title |
| p | class, id, style, title |
| pre | class, id, style, title |
| q | cite, class, id, style, title |
| s | class, id, style, title |
| samp | class, id, style, title |
| select | class, id, style, title |
| small | class, id, style, title |
| span | class, id, style, title |
| strike | class, id, style, title |
| strong | class, id, style, title |
| sub | class, id, style, title |
| sup | class, id, style, title |
| table | class, id, style, summary, title, width |
| tbody | class, id, style, title |
| td | abbr, axis, class, colspan, id, rowspan, style, title, width |
| textarea | class, id, style, title |
| tfoot | class, id, style, title |
| th | abbr, axis, class, colspan, id, rowspan, scope, style, title, width |
| thead | class, id, style, title |
| tr | class, id, style, title |
| tt | class, id, style, title |
| u | class, id, style, title |
| ul | class, id, style, title, type |
| var | class, id, style, title |
**注意**
自定义验证电子邮件模板不能包含评论标签。
#### 问题 6:我的账户中可以有多少个经过验证的电子邮件地址?
您的 Amazon SES 账户在每个 AWS 地区最多可以有 10,000 个经过验证的身份。在 Amazon SES 中,*身份*包括经过验证的域和电子邮件地址。
#### 问题 7:我是否可以使用 Amazon SES 控制台来创建自定义验证电子邮件模板?
目前,只能使用 Amazon SES API 来创建、编辑和删除自定义验证电子邮件。
#### 问题 8:我是否可以跟踪在客户收到自定义验证电子邮件时发生的打开和单击事件?
自定义验证电子邮件不提供打开或单击跟踪能力。
#### 问题 9:自定义验证电子邮件是否可以包含自定义标头?
自定义验证电子邮件不能包含自定义标头。
#### 问题 10:我能否删除自定义验证电子邮件底部显示的文本?
以下文本将自动添加到每封自定义验证电子邮件的末尾,且不可删除:
*如果您未请求验证此电子邮件地址,请忽略此消息。*
#### 问题 11:自定义验证电子邮件是否有 DKIM 签名?
要让验证电子邮件获得 DKIM 签名,必须配置在您创建验证电子邮件模板时在 `FromEmailAddress` 属性中指定的电子邮件地址以生成 DKIM 签名。有关为域和电子邮件地址设置 DKIM 的更多信息,请参阅[在 Amazon SES 中使用 DKIM 对电子邮件进行身份验证](send-email-authentication-dkim.md)。
#### 问题 12:为什么自定义验证电子邮件模板 API 操作不显示在软件开发工具包或 CLI 中?
如果您无法在 SDK 或中使用自定义验证电子邮件模板操作 AWS CLI,则可能使用的是旧版本的 SDK 或 CLI。自定义验证电子邮件模板操作可在以下 SDKs 和 CLIs:
+ 版本 1.14.6 或更高版本 AWS Command Line Interface
+ 版本 3.3.205.0 或更高版本 适用于 .NET 的 AWS SDK
+ 适用于 C\$1\$1 的 SDK 的 1.3.20170531.19 或更高版本 AWS
+ 版本 1.12.43 或更高版本的 适用于 Go 的 AWS SDK
+ 版本 1.11.245 或更高版本的 适用于 Java 的 AWS SDK
+ 版本 2.166.0 或更高版本 适用于 JavaScript 的 AWS SDK
+ 版本 3.45.2 或更高版本 适用于 PHP 的 AWS SDK
+ 版本 1.5.1 或更高版本 AWS SDK for Python (Boto)
+ 适用于 Ruby 的 AWS SDK中的 `aws-sdk-ses` Gem 的 1.5.0 版本或更高版本
#### 问题 13:我发送自定义验证电子邮件时,为什么会收到 `ProductionAccessNotGranted` 错误?
`ProductionAccessNotGranted` 错误表示您的账户仍在 Amazon SES 沙盒中。只有在您的账户已从沙盒中移出后,您才能发送自定义验证电子邮件。有关更多信息,请参阅 [请求生产访问权限(从 Amazon SES 沙盒中移出)](request-production-access.md)。
# 在 Amazon SES 中管理身份
在 Amazon SES 控制台中,您可以查看为每个 AWS 区域创建的身份、打开某个身份以查看和编辑其详细信息设置、关联默认的配置集或删除一个或多个身份。
**注意**
本节中引用的步骤仅适用于特定 AWS 区域中的身份。要管理在多个区域中创建的身份,请为每个 AWS 区域 重复这些过程。
**Topics**
+ [使用 SES 控制台查看身份](view-verified-domains.md)
+ [使用 SES 控制台删除身份](remove-verified-domain.md)
+ [使用 SES 控制台编辑身份](edit-verified-domain.md)
+ [使用 SES API 编辑身份以使用默认配置集](managing-configuration-sets-default-adding.md)
+ [使用 SES API 检索身份所用的默认配置集](managing-configuration-sets-default-returning.md)
+ [使用 SES API 覆盖身份所用的当前默认配置集](managing-configuration-sets-default-overriding.md)
# 使用 SES 控制台查看身份
您可以使用 Amazon SES 控制台来查看已验证或待验证的域和电子邮件地址身份。您还可以查看验证失败的身份。
**查看您的域和电子邮件地址身份**
1. 登录AWS 管理控制台并打开 Amazon SES 控制台,网址为 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在控制台中,使用区域选择器选择要查看其身份列表的 AWS 区域。
**注意**
此过程仅显示选定 AWS 区域 的身份列表。
1. 在导航窗格中的**配置**下,选择**已验证身份**。**Loaded identities**(已加载的身份)表同时显示域和电子邮件地址身份。**状态**列显示身份是已验证、正在等待验证还是未通过验证过程 - 所有可能状态的定义如下所示:
+ **已验证** – 您的身份已成功验证,可在 SES 中发送。
+ **失败** – SES 无法验证您的身份。如果是域,则意味着 SES 无法在 72 小时内检测到 DNS 记录。如果是电子邮件地址,则表示发送到该电子邮件地址的验证电子邮件未在 24 小时内得到确认。
+ **挂起** — SES 仍在尝试验证身份。
+ **临时故障** — 对于之前验证的域,SES 将定期检查验证所需的 DNS 记录。如果在某个时候 SES 无法检测到记录,状态将更改为*临时故障*。SES 将在 72 小时内重新检查 DNS 记录,如果无法检测到该记录,则域状态将更改为*失败*。如果能够检测到该记录,则域状态将更改为*已验证*。
+ **未开始** — 您尚未开始验证过程。
1. 要按验证状态对身份进行排序,请选择**状态**列。
1. 要查看身份的详细信息页面,请选择要查看的身份。
# 使用 SES 控制台删除身份
您可以使用 Amazon SES 控制台从您的选定账户中删除域名或电子邮件地址身份 AWS 区域。
**删除域或电子邮件地址身份**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在控制台中,使用区域选择器选择要 AWS 区域 从中删除一个或多个身份。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
**Loaded identities**(已加载的身份)表显示域和电子邮件地址身份的列表。
1. 在**身份**列中,选择要删除的身份。选中要删除的每个身份旁边的复选框,可以删除多个身份。
1. 选择**删除**。
# 使用 SES 控制台编辑身份
您可以使用 Amazon SES 控制台,从所选 AWS 区域的账户中编辑域或电子邮件地址身份。
**编辑域或电子邮件地址身份**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在控制台中,使用区域选择器选择要从中编辑一个或多个身份的 AWS 区域。
1. 在导航窗格中的**配置**,选择**已验证身份**。
**Loaded identities**(已加载的身份)表显示域和电子邮件地址身份的列表。
1. 在 **Identity**(身份)列中,选择要编辑的身份(通过直接单击身份名称而不是选中其复选框)。
1. 在身份详情页面上,选择包含要编辑的类别的选项卡。
1. 在所选标签的任何类别容器中,选择要编辑的属性的**编辑**按钮,进行更改,然后选择**保存更改**。
1. 如果您希望在**身份验证**选项卡下编辑属性,并且您的域标识托管在 Amazon Route 53 中,而且您还没有发布其 DNS 记录,则在**域名密钥标识的邮件(DKIM)**或**自定义 MAIL FROM 域**容器中的任一或两个中都将有**将 DNS 记录发布到 Route53** 按钮(**编辑**按钮旁边)。
**注意**
**身份验证**选项卡仅在您的账户中具有使用验证域的验证域的验证域或电子邮件地址时才显示。
1. 您可以直接从**将 DNS 记录发布到 Route53** 按钮-只需点击它,就会显示确认横幅,然后**将 DNS 记录发布到 Route53** 按钮对于相应容器将不再可见。
1. 对要编辑的身份的每个属性重复步骤 5 和 6。
# 使用 SES API 编辑身份以使用默认配置集
您可以使用该[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html)操作在现有电子邮件身份中添加或删除默认配置集。
**注意**
在完成此部分中的过程之前,必须安装和配置 AWS CLI。有关更多信息,请参阅 [AWS Command Line Interface 《用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**要添加默认配置集,请使用 AWS CLI**
+ 在命令行中,输入以下命令以使用该[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html)操作。
```
aws sesv2 put-email-identity-configuration-set-attributes --email-identity ADDRESS-OR-DOMAIN --configuration-set-name CONFIG-SET
```
在前面的命令中,*ADDRESS-OR-DOMAIN*替换为要验证的电子邮件身份。*CONFIG-SET*替换为要设置为身份默认配置集的配置集的名称。
如果该命令成功执行,它将退出并且不提供任何输出。
**要移除默认配置集,请使用 AWS CLI**
+ 在命令行中,输入以下命令以使用该[PutEmailIdentityConfigurationSetAttributes](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_PutEmailIdentityConfigurationSetAttributes.html)操作。
```
aws sesv2 put-email-identity-configuration-set-attributes --email-identity ADDRESS-OR-DOMAIN
```
在前面的命令中,*ADDRESS-OR-DOMAIN*替换为要验证的电子邮件身份。
如果该命令成功执行,它将退出并且不提供任何输出。
# 使用 SES API 检索身份所用的默认配置集
如果适用,您可以使用该[GetEmailIdentity](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html)操作返回为电子邮件身份设置的默认配置。
**注意**
在完成此部分中的过程之前,必须安装和配置 AWS CLI。有关更多信息,请参阅 [AWS Command Line Interface 《用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**要返回默认配置集,请使用 AWS CLI**
+ 在命令行输入以下命令以使用该[GetEmailIdentity](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html)操作。
```
aws sesv2 get-email-identity --email-identity ADDRESS-OR-DOMAIN
```
在前面的命令中,将*ADDRESS-OR-DOMAIN*替换为您想知道其默认配置集(如果有)的电子邮件身份。
如果命令成功执行,它会提供包含电子邮件身份详细信息的 JSON 对象。
# 使用 SES API 覆盖身份所用的当前默认配置集
您可以使用该[SendEmail](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_SendEmail.html)操作来发送具有不同配置集的电子邮件。如果您执行此操作,那么您指定的配置集会覆盖身份的默认配置集。
**注意**
在完成此部分中的过程之前,必须安装和配置 AWS CLI。有关更多信息,请参阅 [AWS Command Line Interface 《用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
**要覆盖默认配置集,请使用 AWS CLI**
+ 在命令行中,输入以下命令以使用该[SendEmail](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_SendEmail.html)操作。
```
aws sesv2 send-email --destination file://DESTINATION-JSON --content file://CONTENT-JSON --from-email-address ADDRESS-OR-DOMAIN --configuration-set-name CONFIG-SET
```
在前面的命令中,*DESTINATION-JSON*替换为目标 JSON 文件、*ADDRESS-OR-DOMAIN*内容 JSON 文件、发件人电子邮件地址以及*CONFIG-SET*您要使用的配置集的名称,而不是为身份设置的默认配置。*CONTENT-JSON*
如果命令成功执行,它会输出一个 `MessageId`。
# 在 Amazon SES 中配置身份
Amazon Simple Email Service(Amazon SES)使用简单邮件传输协议(SMTP)发送电子邮件。由于 SMTP 本身不提供任何身份验证,因此垃圾邮件发送者可以发送声称来自其他任何人的电子邮件,同时隐藏其真实来源。垃圾邮件发送者通过伪造电子邮件标头并欺骗源 IP 地址,可误导收件人相信其收到的电子邮件是真实的。
大多数转发电子邮件流量的 ISP 会采取措施来评估电子邮件是否合法。ISP 采取的一项措施是确定电子邮件是否已经过*身份验证*。身份验证要求发件人证明他们是用来发送电子邮件的账户所有者。在某些情况下,ISP 会拒绝转发未经身份验证的电子邮件。为了确保实现最佳送达率,建议您对电子邮件进行身份验证。
以下部分介绍 ISP 使用的两种身份验证机制:发件人策略框架(SPF)和域名密钥识别邮件(DKIM),并提供有关如何将这些标准与 Amazon SES 结合使用的说明。
+ 要了解 SPF (它提供了一种回溯到发送电子邮件的系统的方式),请参阅[在 Amazon SES 中使用 SPF 对电子邮件进行身份验证](send-email-authentication-spf.md)。
+ 要了解 DKIM (一种标准,让您可以为电子邮件签名以向 ISP 显示您的邮件合法且在传输过程中未被修改),请参阅 [在 Amazon SES 中使用 DKIM 对电子邮件进行身份验证](send-email-authentication-dkim.md)。
+ 要了解如何遵循基于域的消息身份验证、报告和合规性 (DMARC) (依赖于 SPF 和 DKIM),请参阅 [遵守 Amazon SES 中的 DMARC 身份验证协议](send-email-authentication-dmarc.md)。
# 电子邮件身份验证方法
Amazon Simple Email Service(Amazon SES)使用简单邮件传输协议(SMTP)发送电子邮件。由于 SMTP 本身不提供任何身份验证,因此垃圾邮件发送者可以发送声称来自其他任何人的电子邮件,同时隐藏其真实来源。垃圾邮件发送者通过伪造电子邮件标头并欺骗源 IP 地址,可误导收件人相信其收到的电子邮件是真实的。
大多数转发电子邮件流量的 ISP 会采取措施来评估电子邮件是否合法。ISP 采取的一项措施是确定电子邮件是否已经过身份验证。身份验证要求发件人证明他们是用来发送电子邮件的账号的所有者。在某些情况下,ISP 会拒绝转发未经身份验证的电子邮件。为了确保实现最佳送达率,建议您对电子邮件进行身份验证。
**Topics**
+ [在 Amazon SES 中使用 DKIM 对电子邮件进行身份验证](send-email-authentication-dkim.md)
+ [在 Amazon SES 中使用 SPF 对电子邮件进行身份验证](send-email-authentication-spf.md)
+ [使用自定义 MAIL FROM 域](mail-from.md)
+ [遵守 Amazon SES 中的 DMARC 身份验证协议](send-email-authentication-dmarc.md)
+ [在 Amazon SES 中使用 BIMI](send-email-authentication-bimi.md)
# 在 Amazon SES 中使用 DKIM 对电子邮件进行身份验证
DomainKeys *Identified *Mail* (DKIM*) 是一种电子邮件安全标准,旨在确保声称来自特定域名的电子邮件确实得到了该域名所有者的授权。其使用公有密钥加密技术通过私有密钥对电子邮件进行签名。然后,收件人服务器就可以使用发布到域 DNS 的公有密钥来验证电子邮件的各个部分在传输过程中未被修改。
DKIM 签名为可选项。您可决定使用 DKIM 签名为您的电子邮件签名,以通过符合 DKIM 的电子邮件提供商提高送达率。Amazon SES 提供三种使用 DKIM 签名为您的邮件签名的选项:
+ **Easy DKIM**:SES 生成公有/私有密钥对,并自动将 DKIM 签名添加到您通过该身份发送的每封邮件,请参阅[Amazon SES 中的 Easy DKIM](send-email-authentication-dkim-easy.md)。
+ D@@ **eterministic Easy DKIM (DEED)**: AWS 区域 通过创建副本身份,自动继承 DKIM 签名属性的副本身份作为使用 Easy DKIM 的父身份,使您能够在多个之间保持一致的 DKIM 签名,请参阅。[在 Amazon SES 中使用 Deterministic Easy DKIM(DEED)](send-email-authentication-dkim-deed.md)
+ **BYODKIM(自带 DKIM)**:您提供自己的公有/私有密钥对,而 SES 将 DKIM 签名添加到您通过该身份发送的每封邮件,请参阅[提供 Amazon SES 中您自己的 DKIM 身份验证令牌 (BYODKIM)](send-email-authentication-dkim-bring-your-own.md)。
+ **手动添加 DKIM 签名**:您将自己的 DKIM 签名添加到使用 `SendRawEmail` API 发送的电子邮件,请参阅[Amazon SES 中的手动 DKIM 签名](send-email-authentication-dkim-manual.md)。
## DKIM 签名密钥长度
由于许多 DNS 提供商现在完全支持 DKIM 2048 位 RSA 加密,Amazon SES 还支持 DKIM 2048 以允许对电子邮件进行更安全的身份验证,因此当您从 API 或控制台配置 Easy DKIM 时,请将其用作原定设置的密钥长度。2048 位密钥也可以在自带 DKIM (BYODKIM) 中设置和使用,其中您的签名密钥长度必须至少为 1024 位,但不超过 2048 位。
为了安全和电子邮件的送达率,当使用 Easy DKIM 配置时,您可以选择使用 1024 和 2048 位密钥长度,并且在任何 DNS 提供商仍不支持 2048 位导致问题时,可以灵活地返回到 1024 位。*创建新身份时,除非指定 1024 位,否则默认情况下将使用 DKIM 2048 创建身份。*
为了保持传输中电子邮件的送达率,您可以更改 DKIM 密钥长度的频率将受到限制。这些限制包括:
+ 无法切换到与已配置的密钥长度相同的密钥长度。
+ 无法在 24 小时内多次切换到不同的密钥长度(除非这是该时间段内第一次降级到 1024 位)。
当您的电子邮件在传输过程中时,DNS 会使用您的公有密钥验证您的电子邮件;因此,如果您更改密钥过快或频繁,DNS 可能无法对您的电子邮件进行 DKIM 身份验证,因为前一个密钥可能已失效,因此,这些限制可防止出现这种情况。
## DKIM 注意事项
当您使用 DKIM 对电子邮件进行身份验证时,以下规则适用:
+ 您只需为在“发件人”地址中使用的域设置 DKIM。您无需为在“退回路径”或“回复对象”地址中使用的域设置 DKIM。
+ Amazon SES 已在多个 AWS 地区推出。如果您使用多个 AWS 区域发送电子邮件,则必须在每个区域中都完成 DKIM 设置过程才能确保您的所有电子邮件都进行 DKIM 签名。
+ 由于从父域继承 DKIM 属性,当您通过 DKIM 身份验证验证域时:
+ DKIM 身份验证会应用到该域的全部子域。
+ 如果您不希望子域使用 DKIM 身份验证,子域的 DKIM 设置可以通过禁用集成以及在未来重新启用的功能覆盖父域的设置。
+ DKIM 身份验证还将应用于由在其地址中引用 DKIM 已验证域的电子邮件身份发出的全部电子邮件。
+ 如果您想要发送电子邮件而不使用 DKIM 身份验证,电子邮件地址的 DKIM 设置可以通过禁用集成以及在未来重新启用的功能覆盖子域的设置(若适用)。
## 了解继承的 DKIM 签名属性
重要的是,首先要理解,如果域配置了 DKIM,无论使用的是 Easy DKIM 还是 BYODKIM,电子邮件地址标识都会从其父域继承其 DKIM 签名属性。因此,在电子邮件地址标识上禁用或启用 DKIM 签名实际上是基于以下关键事实覆盖域的 DKIM 签名属性:
+ 如果您已为电子邮件地址所属于的域设置了 DKIM,则无需再为电子邮件地址设置 DKIM。
+ 在为域设置 DKIM 时,Amazon SES 通过从父域继承的 DKIM 属性,自动认证来自该域上每个地址的每一封邮件。
+ 特定电子邮件地址标识的 DKIM 设置*自动覆盖地址所属的父域或子域(如适用)*的设置。
由于电子邮件地址身份的 DKIM 签名属性是从父域继承的,因此如果您计划覆盖这些属性,则必须记住覆盖的层次规则,如下表所述。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-dkim.html)
通常不建议禁用您的 DKIM 签名,因为这有可能损害您的发件人声誉,并且会增加您发送的邮件转到垃圾邮件或垃圾邮件文件夹或域名被欺骗的风险。
但是,对于任何特定的使用情形或外围业务决策,可以覆盖电子邮件地址标识上的域继承的 DKIM 签名属性,您可能必须永久或临时禁用 DKIM 签名,或者在以后重新将其启用。请参阅[覆盖在电子邮件地址身份上继承的 DKIM 签名](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)。
# Amazon SES 中的 Easy DKIM
为域身份设置 Easy DKIM 后,Amazon SES 会自动向您从该身份发送的每封电子邮件添加一个 2048 位的 DKIM 密钥。您可使用 Amazon SES 控制台或者使用 API 来配置 Easy DKIM。
**注意**
要设置 Easy DKIM,您必须修改域的 DNS 设置。如果您使用 Route 53 作为 DNS 提供商,Amazon SES 可以自动为您创建适当的记录。如果您使用其他 DNS 提供商,请参阅您的提供商的文档来了解有关为您的域更改 DNS 设置的更多信息。
**警告**
如果您当前启用了 BYODKIM 并且正在迁移到 Easy DKIM,请注意,在设置 Easy DKIM 且您的 DKIM 状态处于待定状态时,Amazon SES 不会使用 BYODKIM 对您的电子邮件进行签名。从您进行调用以启用 Easy DKIM(通过 API 或控制台)的那一刻到 SES 可以确认 DNS 配置的那一刻之间,SES 可能会在没有 DKIM 签名的情况下发送您的电子邮件。因此,建议使用中间步骤从一种 DKIM 签名方法迁移到另一种(例如,使用启用了 BYODKIM 的域的子域,然后在 Easy DKIM 验证通过后将其删除),或者在应用程序停机期间(如果有)执行此活动。
## 为已验证的域身份设置 Easy DKIM
此部分的过程经过简化,旨在展示在您已创建的域身份上配置 Easy DKIM 所需的步骤。如果您尚未创建域身份,或要查看用于自定义域身份的全部可用选项,如使用原定设置配置集、自定义 MAIL FROM 域和标签等,请参阅[创建域身份](creating-identities.md#verify-domain-procedure)。
创建 Easy DKIM 域身份中有一段是配置其基于 DKM 的验证,您可以选择接受 2048 位的 Amazon SES 原定设置值,或选择 1024 位覆盖默认值。有关 DKIM 签名密钥长度以及如何更改密钥长度的详情,请参阅 [DKIM 签名密钥长度](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
**为域设置 Easy DKIM**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**身份**。
1. 在身份列表中,选择**身份类型**为*域*的身份。
**注意**
如果需要创建或验证域,请参阅 [创建域身份](creating-identities.md#verify-domain-procedure)。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在**高级 DKIM 设置**容器中,选择**身份类型**字段中的 **Easy DKIM** 按钮。
1. 在 **DKIM 签名密钥长度**字段中,选择 [**RSA\$12048\$1BIT** 或 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
1. 在 **DKIM 签名**字段中,选中**已启用**复选框。
1. 选择 **Save changes**(保存更改)。
1. 在使用 Easy DKIM 配置您的域身份以后,必须与您的 DNS 提供商完成验证过程 - 继续转到[与您的 DNS 提供商一起验证 DKIM 域身份](creating-identities.md#just-verify-domain-proc)并执行适用于 Easy DKIM 的 DNS 身份验证过程。
## 更改身份的 Easy DKIM 签名密钥长度
本部分中的流程展示了如何轻松更改签名算法所需的 Easy DKIM 位数。虽然始终首选 2048 位签名长度,以提供增强安全性,但在某些情况下,也可能需要使用 1024 位长度,例如必须使用仅支持 DKIM 1024 的 DNS 提供商。
为了保持传输中电子邮件的送达率,您可以更改或改回 DKIM 密钥长度的频率将受到限制。
当您的电子邮件在传输过程中时,DNS 会使用您的公有密钥验证您的电子邮件;因此,如果您更改密钥过快或频繁,DNS 可能无法对您的电子邮件进行 DKIM 身份验证,因为前一个密钥可能已失效,因此,以下限制可防止出现这种情况:
+ 无法切换到与已配置的密钥长度相同的密钥长度。
+ 无法在 24 小时内多次切换到不同的密钥长度(除非这是该时间段内第一次降级到 1024 位)。
在使用以下过程更改密钥长度时,如果您违反了其中一项限制,控制台将返回一个错误条,指出*您提供的输入无效*,并说明其无效的原因。
**更改 DKIM 签名密钥长度位数的步骤**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的 **Configuration**(配置)下,选择 **Verified identities**(已验证身份)。
1. 在身份列表中,选择要更改其 DKIM 签名密钥长度的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在**高级 DKIM 设置**容器中,选择 **DKIM 签名密钥长度**字段中的 [**RSA\$12048\$1BIT** 或 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
1. 选择 **Save changes**(保存更改)。
# 在 Amazon SES 中使用 Deterministic Easy DKIM(DEED)
Deterministic Easy DKIM (DEED) 为管理多个 DKIM 配置提供了一种解决方案。 AWS 区域通过简化 DNS 管理并确保一致的 DKIM 签名,DEED 帮助您简化多区域电子邮件发送操作,同时保持强大的电子邮件身份验证实践。
## 什么是 Deterministic Easy DKIM(DEED)?
[Deterministic Easy DKIM (DEED) 是一项功能,它 AWS 区域 基于配置了 Easy DKIM 的父域在所有域中生成一致的 DKIM 令牌。](send-email-authentication-dkim-easy.md)这使您可以复制不同身份 AWS 区域 ,这些身份会自动继承和维护与当前使用 Easy DKIM 配置的父身份相同的 DKIM 签名配置。使用 DEED,您只需要为父身份发布一次 DNS 记录,副本身份将使用相同的 DNS 记录来验证域所有权和管理 DKIM 签名。
通过简化 DNS 管理并确保一致的 DKIM 签名,DEED 帮助您简化多区域电子邮件发送操作,同时保持最佳的电子邮件身份验证实践。
讨论 DEED 时使用的术语:
+ **父身份**:一个配置了 Easy DKIM 的已验证身份,用作副本身份 DKIM 配置的源。
+ **副本身份**:父身份的副本,共享相同的 DNS 设置和 DKIM 签名配置。
+ **父区域**:设置父身份的 AWS 区域 。
+ **副本区域**:设置副本身份的 AWS 区域 。
+ **DEED 身份**:任何用作父身份或副本身份的身份。(当创建新身份时,它最初被视为常规(非 DEED)身份。但是,一旦创建了副本,该身份就被视为 DEED 身份。)
使用 DEED 的主要好处包括:
+ **简化的 DNS 管理**:仅为父身份发布一次 DNS 记录。
+ **更轻松的多区域操作**:简化将电子邮件发送操作扩展到新区域的过程。
+ **减少管理开销**:从父身份集中管理 DKIM 配置。
## Deterministic Easy DKIM(DEED)的工作原理
当您创建副本身份时,Amazon SES 会自动将 DKIM 签名密钥从父身份复制到副本身份。对父身份进行的任何后续 DKIM 密钥轮换或密钥长度更改都会自动传播到所有副本身份。
该过程涉及以下工作流程:
1. AWS 区域 使用 Easy DKIM 在中创建家长身份。
1. 设置父身份所需的 DNS 记录。
1. 在其他中创建副本身份 AWS 区域,指定父身份的域名和 DKIM 签名区域。
1. Amazon SES 自动将父级的 DKIM 配置复制到副本身份。
重要注意事项:
+ 您不能创建已经是副本的身份的副本。
+ 父身份必须启用 [Easy DKIM](send-email-authentication-dkim-easy.md):您不能创建 BYODKIM 或手动签名身份的副本。
+ 在删除所有副本身份之前,无法删除父身份。
## 使用 DEED 设置副本身份
本节将提供示例,向您展示如何使用 DEED 创建和验证副本身份以及所需的必要权限。
**Topics**
+ [创建副本身份](#creating-replica-identity)
+ [验证副本身份配置](#verifying-replica-identity)
+ [使用 DEED 所需的权限](#required-permissions)
### 创建副本身份
要创建副本身份:
1. 在要创建副本身份的 AWS 区域 位置中,打开 SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
(在 SES 控制台中,副本身份被称为*全局身份*。)
1. 在导航窗格中,选择**身份**。
1. 选择**创建身份**。
1. 在**身份类型**下选择**域**,并输入您要复制并作为父身份的配置了 Easy DKIM 的现有身份的域名。
1. 展开**高级 DKIM 设置**并选择 **Deterministic Easy DKIM**。
1. 从**父区域**下拉菜单中,选择一个父区域,其中存在与您为全局(副本)身份输入的名称相同的、经过 Easy DKIM 签名的身份。(您的副本区域默认为您登录 SES 控制台时所在的区域。)
1. 确保已启用 **DKIM 签名**。
1. (可选)向您的域身份添加一个或多个**标签**。
1. 查看配置并选择**创建身份**。
使用 AWS CLI:
要基于配置了 Easy DKIM 的父身份创建副本身份,您需要指定父级的域名、您要创建副本身份的区域以及父级的 DKIM 签名区域,如本例所示:
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
在上述示例中:
1. *example.com*替换为正在复制的父域身份。
1. *us-west-2*替换为要创建副本域身份的区域。
1. *AWS\$1SES\$1US\$1EAST\$11*替换为父级的 DKIM 签名区域,该区域代表其 Easy DKIM 签名配置,该配置将被复制到副本身份。
**注意**
前`AWS_SES_`缀表示 DKIM 是使用 Easy DKIM 为父身份配置`US_EAST_1`的,也是它的 AWS 区域 创建位置。
### 验证副本身份配置
创建副本身份后,您可以验证它是否已使用父身份的 DKIM 签名配置正确配置。
**要验证副本身份,请执行以下操作:**
1. 在创建副本身份 AWS 区域 的位置,打开 SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中,选择**身份**,然后从**身份**表中选择要验证的身份。
1. 在**身份验证**选项卡下,**DKIM 配置**字段将指示状态,而**父区域**字段将指示该身份使用 DEED 进行 DKIM 签名配置的区域。
使用 AWS CLI:
使用 `get-email-identity` 命令,指定副本的域名和区域:
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
响应将在 `SigningAttributesOrigin` 参数中包含父区域的值,表示副本身份已成功配置了父身份的 DKIM 签名配置:
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### 使用 DEED 所需的权限
要使用 DEED,您需要:
1. 在副本区域创建电子邮件身份的标准权限。
1. 从父区域复制 DKIM 签名密钥的权限。
#### DKIM 复制的示例 IAM 策略
以下策略允许从父身份到指定副本区域的 DKIM 签名密钥复制:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## 最佳实践
推荐以下最佳实践:
+ **规划您的父区域和副本区域**:仔细考虑您选择的父区域,因为它将是副本区域中使用的 DKIM 配置的真实来源。
+ **使用一致的 IAM 策略**:确保您的 IAM 策略允许在所有目标区域进行 DKIM 复制。
+ **保持父身份活跃**:请记住,您的副本身份继承了父身份的 DKIM 签名配置,由于这种依赖性,在删除所有副本身份之前,您无法删除父身份。
## 问题排查
如果您遇到 DEED 问题,请考虑以下事项:
+ **验证错误**:确保您具有 DKIM 复制所需的必要权限。
+ **复制延迟**:允许一些时间让复制完成,尤其是在创建新副本身份时。
+ **DNS 问题**:验证父身份的 DNS 记录是否正确设置和传播。
# 提供 Amazon SES 中您自己的 DKIM 身份验证令牌 (BYODKIM)
作为使用 [Easy DKIM](send-email-authentication-dkim-easy.md) 的替代方法,您可以改为使用自己的公有-私有密钥对配置 DKIM 身份验证。此过程称为*自带 DKIM*(*BYODKIM*)。
使用 BYODKIM,可以使用单个 DNS 记录为您的域配置 DKIM 身份验证,而不是使用 Easy DKIM,后者要求您发布三个单独的 DNS 记录。此外,使用 BYODKIM,您可以根据需要经常为您的域轮换 DKIM 密钥。
**Topics**
+ [步骤 1:创建密钥对](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [步骤 2:将选择器和公有密钥添加到 DNS 提供商的域配置中](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [步骤 3:配置并验证域以使用 BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**警告**
如果您当前启用了 Easy DKIM 并且正在迁移到 BYODKIM,请注意,在设置 BYODKIM 且您的 DKIM 状态处于待定状态时,Amazon SES 将不会使用 Easy DKIM 对您的电子邮件签名。从您进行调用以启用 BYODKIM(通过 API 或控制台)的那一刻到 SES 可以确认 DNS 配置的那一刻之间,SES 可能会在没有 DKIM 签名的情况下发送您的电子邮件。因此,建议使用中间步骤从一种 DKIM 签名方法迁移到另一种(例如,使用启用了 Easy DKIM 的域的子域,然后在 BYODKIM 验证通过后将其删除),或者在应用程序停机期间(如果有)执行此活动。
## 步骤 1:创建密钥对
要使用自带 DKIM 功能,您需要先创建 RSA 密钥对。
生成的私有密钥必须为 PKCS \$11 或 PKCS \$18 两种格式之一,使用至少 1024 位 RSA 加密(至多 2048 位),并使用 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)编码进行编码。有关 DKIM 签名密钥长度以及如何更改密钥长度的详情,请参阅 [DKIM 签名密钥长度](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)。
**注意**
您可以使用第三方应用程序和工具生成 RSA 密钥对,只要私有密钥是使用至少 1024 位 RSA 加密(至多 2048 位)生成并使用 base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 编码进行编码的。
在以下过程中,使用大多数 Linux、macOS 或 Unix 操作系统中内置的 `openssl genrsa` 命令创建密钥对的示例代码将自动使用 base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 编码。
**使用 Linux、macOS 或 Unix 命令行来创建密钥对**
1. 在命令行中,输入以下命令生成私钥,*nnnn*替换为至少为 1024 且最多 2048 的位长度:
```
openssl genrsa -f4 -out private.key nnnn
```
1. 在命令行中,输入以下命令可生成公有密钥:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## 步骤 2:将选择器和公有密钥添加到 DNS 提供商的域配置中
现在您已创建密钥对,您必须将公有密钥作为 TXT 记录添加到您的域的 DNS 配置中。
**将公有密钥添加到您的域的 DNS 配置中**
1. 登录您的 DNS 提供商或托管提供商的管理控制台。
1. 将新的文本记录添加到您的域的 DNS 配置中。记录应该使用以下格式:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
在前面的示例中,进行以下更改:
+ *selector*替换为标识密钥的唯一名称。
**注意**
少数 DNS 提供商不允许记录名称中包含下划线 (\$1)。但是,DKIM 记录名称中的下划线是必需的。如果您的 DNS 提供商不允许您在记录名称中输入下划线,请联系提供商的客户支持团队以获取帮助。
+ *example.com*用您的域名替换。
+ *yourPublicKey*替换为您之前创建的公钥,并添加`p=`前缀,如上面的 “*值*” 列所示。
**注意**
当您将公有密钥发布(添加)到 DNS 提供商时,必须按如下所示进行格式化:
您必须删除生成的公有密钥的第一行和最后一行(分别为 `-----BEGIN PUBLIC KEY-----` 和 `-----END PUBLIC KEY-----`)。此外,您还必须删除生成的公有密钥中的换行符。产生的值是一个字符串,不包含空格或换行符。
您必须包含 `p=` 前缀,如上表中的 *Value*(值)列所示。
不同的提供商具有不同的 DNS 记录更新过程。下表包含的链接指向几个广泛使用的 DNS 提供商的文档。此列表并不详尽无遗,也不表示认可;同样,如果您的 DNS 提供商未列出,这并不意味着您不能将该域与 Amazon SES 一起使用。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## 步骤 3:配置并验证域以使用 BYODKIM
您可以使用控制台或 AWS CLI为新域(即当前不用于通过 Amazon SES 发送电子邮件的域)以及现有域(即您已设置为与 Amazon SES 一起使用的域)设置 BYODKIM。在使用本节中的 AWS CLI 步骤之前,必须首先安装和配置 AWS CLI。有关更多信息,请参阅《[AWS Command Line Interface 用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。
### 选项 1:创建使用 BYODKIM 的新域身份
此部分包含用于创建使用 BYODKIM 的新域身份的过程。新域身份是您之前尚未设置为使用 Amazon SES 发送电子邮件的域。
如果要配置现有域以使用 BYODKIM,请改为完成 [选项 2:配置现有域身份](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) 中的过程。
**从控制台使用 BYODKIM 创建身份**
+ 按照[创建域身份](creating-identities.md#verify-domain-procedure)中的过程操作,当您到达步骤 8 时,请按照 BYODKIM 特定的说明进行操作。
**要使用 BYODKIM 创建身份,请访问 AWS CLI**
要配置新域,请使用 Amazon SES API 中的 `CreateEmailIdentity` 操作。
1. 在文本编辑器中,粘贴以下代码:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
在前面的示例中,进行以下更改:
+ *example.com*替换为您要创建的域。
+ *privateKey*用您的私钥替换。
**注意**
您必须删除生成的私有密钥的第一行和最后一行(分别为 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,还必须删除生成的私有密钥中的换行符。产生的值是一个字符串,不包含空格或换行符。
+ *selector*替换为您在域名的 DNS 配置中创建 TXT 记录时指定的唯一选择器。
完成后,将文件另存为 `create-identity.json`。
1. 在命令行输入以下命令:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
在前面的命令中,*path/to/create-identity.json*替换为您在上一步中创建的文件的完整路径。
### 选项 2:配置现有域身份
此部分包含用于更新现有域身份以使用 BYODKIM 的过程。现有域身份是您已设置以使用 Amazon SES 发送电子邮件的域。
**从控制台使用 BYODKIM 更新域身份**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的 **Configuration**(配置)下,选择 **Verified identities**(已验证身份)。
1. 在身份列表中,选择**身份类型**为*域*的身份。
**注意**
如果需要创建或验证域,请参阅 [创建域身份](creating-identities.md#verify-domain-procedure)。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys 已识别邮件 (DKIM)**” 窗格中,选择 “**编辑”**。
1. 在 **Advanced DKIM settings**(高级 DKIM 设置)窗格中,选择 **Identity type**(身份类型)字段中的 **Provide DKIM authentication token (BYODKIM)** [提供 DKIM 身份验证令牌 (BYODKIM)] 按钮。
1. 对于 **Private key**(私有密钥),粘贴先前生成的私有密钥。
**注意**
您必须删除生成的私有密钥的第一行和最后一行(分别为 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,还必须删除生成的私有密钥中的换行符。产生的值是一个字符串,不包含空格或换行符。
1. 对于**选择器名称**,输入您在域的 DNS 设置中指定的选择器的名称。
1. 在 **DKIM 签名**字段中,选中**已启用**复选框。
1. 选择**保存更改**。
**要使用 BYODKIM 更新域身份,请访问 AWS CLI**
要配置现有域,请使用 Amazon SES API 中的 `PutEmailIdentityDkimSigningAttributes` 操作。
1. 在文本编辑器中,粘贴以下代码:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
在前面的示例中,进行以下更改:
+ *privateKey*用您的私钥替换。
**注意**
您必须删除生成的私有密钥的第一行和最后一行(分别为 `-----BEGIN PRIVATE KEY-----` 和 `-----END PRIVATE KEY-----`)。此外,还必须删除生成的私有密钥中的换行符。产生的值是一个字符串,不包含空格或换行符。
+ *selector*替换为您在域名的 DNS 配置中创建 TXT 记录时指定的唯一选择器。
完成后,将文件另存为 `update-identity.json`。
1. 在命令行输入以下命令:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
在前面的命令中,进行以下更改:
+ *path/to/update-identity.json*替换为您在上一步中创建的文件的完整路径。
+ *example.com*替换为您要更新的域名。
### 验证使用 BYODKIM 的域的 DKIM 状态
**从控制台验证域的 DKIM 状态**
配置域以使用 BYODKIM 后,您可以使用 SES 控制台验证已正确地配置 DKIM。
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要验证其 DKIM 状态的身份。
1. 对 DNS 设置的更改最长可能需要 72 小时才能生效。一旦 Amazon SES 在域的 DNS 设置中检测到全部必需的 DKIM 记录,则验证过程完成。如果所有配置都正确,则您的域名的 **DKIM 配置**字段将在已**DomainKeys识别邮件 (DKIM)** 窗格中显示**成功**,而**身份状态**字段在 “**摘要**” 窗格中显示**已验证**。
**要验证域名的 DKIM 状态,请使用 AWS CLI**
将域配置为使用 BYODKIM 后,您可以使用该 GetEmailIdentity操作来验证 DKIM 的配置是否正确。
+ 在命令行输入以下命令:
```
aws sesv2 get-email-identity --email-identity example.com
```
在前面的命令中,*example.com*用您的域名替换。
此命令返回一个 JSON 对象,该对象包含类似于以下示例的部分。
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
如果以下所有条件均成立,则表示已为域正确配置 BYODKIM:
+ `SigningAttributesOrigin` 属性的值为 `EXTERNAL`。
+ `SigningEnabled` 的值为 `true`。
+ `Status` 的值为 `SUCCESS`。
# 管理 Easy DKIM 和 BYODKIM
使用基于 Web 的 Amazon SES 控制台或 Amazon SES API,您可以为已通过 Easy DKIM 或 BYODKIM 验证的身份管理 DKIM 设置。您可以使用其中任一方法来获取身份的 DKIM 记录,或者为身份启用或禁用 Easy DKIM 签名。
## 获取身份的 DKIM 记录
您可以随时使用 Amazon SES 控制台获取您的域或电子邮件地址的 DKIM 记录。
**使用控制台获取身份的 DKIM 记录**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要获取其 DKIM 记录的身份。
1. 在身份详细信息页面的**身份验证**选项卡上,展开**查看 DNS 记录**。
1. 复制在此部分显示的三条别名记录(如果您使用 Easy DKIM)或 TXT 记录(如果您使用 BYODKIM)。或者,您可以选择**下载 .csv 记录集**以将记录副本保存到您的电脑中。
下图显示了展开后的 **View DNS records**(查看 DNS 记录)部分显示的与 Easy DKIM 关联的别名记录的示例。
![\[\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/dkim_existing_dns.png)
您还可以使用 Amazon SES API 来获取身份的 DKIM 记录。与 API 交互的常用方法是使用 AWS CLI。
**要获取身份的 DKIM 记录,请使用 AWS CLI**
1. 在命令行处,键入以下命令:
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
在前面的示例中,*example.com*替换为您想要获取 DKIM 记录的身份。您可以指定电子邮件地址或域。
1. 此命令的输出包含一个 `DkimTokens` 部分,如以下示例所示:
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
您可以使用令牌创建添加到域的 DNS 设置中的 CNAME 记录。要创建 CNAME 记录,请使用以下模板:
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
将的*token1*每个实例替换为您运行`get-identity-dkim-attributes`命令时收到的列表中的第一个标记,将的所有实例替换为列表中的第二个标记,并将的所有实例替换为列表中的第三个标记。*token2* *token3*
例如,对上述示例中所示的令牌应用此模板会生成以下记录:
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**注意**
并非所有人都 AWS 区域 使用默认的 SES DKIM 域名,`dkim.amazonses.com`要查看您的地区是否使用特定区域的 DKIM 域,请查看中的 [DKIM 域名表](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)。*AWS 一般参考*
## 为身份禁用 Easy DKIM
您可以使用 Amazon SES 控制台快速为身份禁用 DKIM 身份验证。
**为身份禁用 DKIM**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要为其禁用 DKIM 的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在 **Advanced DKIM settings**(高级 DKIM 设置)中,选中 **DKIM signatures**(DKIM 签名)字段中的 **Enabled**(已启用)复选框。
您还可以使用 Amazon SES API 为身份禁用 DKIM。与 API 交互的常用方法是使用 AWS CLI。
**要禁用身份的 DKIM,请使用 AWS CLI**
+ 在命令行处,键入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
在前面的示例中,*example.com*替换为要禁用 DKIM 的身份。您可以指定电子邮件地址或域。
## 为身份启用 Easy DKIM
如果您之前为身份禁用了 DKIM,则可以使用 Amazon SES 控制台再次启用它。
**为身份启用 DKIM**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择要为其启用 DKIM 的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
1. 在**高级 DKIM 设置**中,选中 **DKIM 签名**字段中的**已启用**复选框。
您还可以使用 Amazon SES API 为身份启用 DKIM。与 API 交互的常用方法是使用 AWS CLI。
**要为身份启用 DKIM,请使用 AWS CLI**
+ 在命令行处,键入以下命令:
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
在前面的示例中,*example.com*替换为要为其启用 DKIM 的身份。您可以指定电子邮件地址或域。
## 覆盖在电子邮件地址身份上继承的 DKIM 签名
在此部分中,您将学习如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。您只能对属于您已拥有的域的电子邮件地址身份执行此操作,因为 DNS 设置是在域级别配置的。
**重要**
你不能 disable/enable DKIM 签名获取电子邮件地址身份...
在您不拥有的域上。例如,您无法为注册 *gmail.com* 或 *hotmail.com* 地址切换 DKIM。
在您拥有但尚未在 Amazon SES 中验证的域名上,
在您拥有但尚未在域上启用 DKIM 签名的域名上。
本节包含以下主题:
+ [了解继承的 DKIM 签名属性](#dkim-easy-setup-email-key-points-mng)
+ [覆盖对电子邮件地址身份的 DKIM 签名(控制台)](#override-dkim-email-console-mng)
+ [覆盖对电子邮件地址身份的 DKIM 签名 (AWS CLI)](#override-dkim-email-cli-mng)
### 了解继承的 DKIM 签名属性
重要的是,首先要理解,如果域配置了 DKIM,无论使用的是 Easy DKIM 还是 BYODKIM,电子邮件地址标识都会从其父域继承其 DKIM 签名属性。因此,在电子邮件地址标识上禁用或启用 DKIM 签名实际上是基于以下关键事实覆盖域的 DKIM 签名属性:
+ 如果您已为电子邮件地址所属于的域设置了 DKIM,则无需再为电子邮件地址设置 DKIM。
+ 在为域设置 DKIM 时,Amazon SES 通过从父域继承的 DKIM 属性,自动认证来自该域上每个地址的每一封邮件。
+ 特定电子邮件地址标识的 DKIM 设置*自动覆盖地址所属的父域或子域(如适用)*的设置。
由于电子邮件地址身份的 DKIM 签名属性是从父域继承的,因此如果您计划覆盖这些属性,则必须记住覆盖的层次规则,如下表所述。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
通常不建议禁用您的 DKIM 签名,因为这有可能损害您的发件人声誉,并且会增加您发送的邮件转到垃圾邮件或垃圾邮件文件夹或域名被欺骗的风险。
但是,对于任何特定的使用情形或外围业务决策,可以覆盖电子邮件地址标识上的域继承的 DKIM 签名属性,您可能必须永久或临时禁用 DKIM 签名,或者在以后重新将其启用。
### 覆盖对电子邮件地址身份的 DKIM 签名(控制台)
以下 SES 控制台过程向您介绍如何覆盖(禁用或启用)来自您已使用 Amazon SES 验证的特定电子邮件地址身份上的父域继承的 DKIM 签名属性。
**使用控制 disable/enable 台进行 DKIM 签名以获取电子邮件地址身份**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在身份列表中,选择 **Identity type**(身份类型)为 *Email address*(电子邮件地址)并且属于已验证域之一的身份。
1. 在 “**身份验证**” 选项卡下的 “**DomainKeys 已识别邮件 (DKIM)**” 容器中,选择 “**编辑”**。
**注意**
仅当选定的电子邮件地址身份属于已经过 SES 验证的域时,才会显示 **Authentication**(身份验证)选项卡。如果您尚未验证域,请参阅 [创建域身份](creating-identities.md#verify-domain-procedure)。
1. 在 **DKIM signatures**(DKIM)签名字段中的**高级 DKIM 设置**下,清除**已启用**复选框以禁用 DKIM 签名,或者选中它以重新启用 DKIM 签名(如果先前已覆盖)。
1. 选择**保存更改**。
### 覆盖对电子邮件地址身份的 DKIM 签名 (AWS CLI)
以下示例使用 AWS CLI 带有 SES API 命令和参数,这些命令和参数将覆盖(禁用或启用)从父域继承的 DKIM 签名属性,该属性已通过您已通过 SES 验证的特定电子邮件地址身份。
**要使用 disable/enable DKIM 签署电子邮件地址身份 AWS CLI**
+ 假设你拥有 *example.com* 域名,并且要禁用域的其中一个电子邮件地址的 DKIM 签名,请在命令行键入以下命令:
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*替换为要禁用 DKIM 签名的电子邮件地址身份。
1. `--no-signing-enabled` 将禁用 DKIM 签名。要重新启用 DKIM 签名,请使用 `--signing-enabled`。
# Amazon SES 中的手动 DKIM 签名
作为使用 Easy DKIM 的替代方案,您可以手动将 DKIM 签名添加到您的邮件,然后使用 Amazon SES 发送这些邮件。如果您选择手动对邮件进行签名,则必须首先创建 DKIM 签名。在创建邮件和 DKIM 签名后,可以使用 [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API 来发送它。
如果您决定手动对电子邮件进行签名,请考虑以下因素:
+ 您使用 Amazon SES 发送的每封邮件均包含引用 *amazonses.com* 的签名域的 DKIM 标头(即,它包含以下字符串:`d=amazonses.com`)。因此,如果您手动对邮件进行签名,邮件将包括*两个* DKIM 标头:一个用于您的域,一个由 Amazon SES 自动创建用于 *amazonses.com*。
+ Amazon SES 不验证您手动添加到邮件中的 DKIM 签名。如果邮件中的 DKIM 签名出现错误,则它可能会被电子邮件提供商拒绝。
+ 在对邮件进行签名时,应使用至少为 1024 位的位长度。
+ 不要对以下字段进行签名:Message-ID (邮件 ID)、Date (日期)、Return-Path (退回路径)、Bounces-To (退回到)。
**注意**
如果您使用电子邮件客户端通过 Amazon SES SMTP 接口发送电子邮件,则您的客户端可能会自动对邮件进行 DKIM 签名。某些客户端可能会对其中一些字段进行签名。有关预设情况下对哪些字段进行签名的信息,请参阅您的电子邮件客户端文档。
# 在 Amazon SES 中使用 SPF 对电子邮件进行身份验证
*发件人策略框架*(SPF)是一种电子邮件验证标准,旨在防止电子邮件欺骗。域所有者使用 SPF 来告知电子邮件提供商,允许哪些服务器从其域发送电子邮件。SPF 是在 [RFC 7208](https://tools.ietf.org/html/rfc7208) 中定义的。
您通过 Amazon SES 发送的邮件将自动使用 `amazonses.com` 的子域作为原定设置的 MAIL FROM 域。SPF 身份验证成功验证这些邮件,因为原定设置的 MAIL FROM 域与发送电子邮件的应用程序(在这种情况下为 SES)相匹配。因此,在 SES 中,SPF 是为您隐式设置的。
但是,如果您不想使用 SES 默认的 MAIL FROM 域,而是希望使用您拥有的域的子域,则在 SES 中称为使用*自定义* MAIL FROM 域。为此,它要求您为您的自定义 MAIL FROM 域发布您自己的 SPF 记录。此外,SES 还要求您设置 MX 记录,以便您的自定义 MAIL FROM 域可以接收电子邮件提供商向您发送的退回邮件和投诉通知。
**了解如何设置 SPF 身份验证**
提供了使用 SPF 配置域以及如何在 [使用自定义 MAIL FROM 域](mail-from.md) 中发布 MX 和 SPF(类型为 TXT)记录的说明。
# 使用自定义 MAIL FROM 域
当您发送电子邮件时,它具有两个指示其来源的地址:一个显示给邮件收件人的 From 地址,以及一个指示邮件来源的 MAIL FROM 地址。MAIL FROM 地址有时称作 *envelope sender*、*envelope from*、*bounce address* 或 *Return Path* 地址。邮件服务器使用 MAIL FROM 地址返回退回邮件和其他错误通知。通常,收件人只有在查看邮件的源代码时才能查看 MAIL FROM 地址。
Amazon SES 将您发送的邮件的 MAIL FROM 域设置为原定设置值,除非您指定自己的(自定义)域。本部分讨论设置自定义 MAIL FROM 域的好处,并包括设置过程。
## 为什么使用自定义 MAIL FROM 域?
您通过 Amazon SES 发送的邮件将自动使用 `amazonses.com` 的子域作为原定设置的 MAIL FROM 域。发件人策略框架(SPF)身份验证成功验证这些邮件,因为原定设置的 MAIL FROM 域与发送电子邮件的应用程序(在这种情况下为 SES)相匹配。
如果您不想使用 SES 原定设置 MAIL FROM 域,而是希望使用您拥有的域的子域,则在 SES 中称为使用*自定义* MAIL FROM 域。为此,它要求您为您的自定义 MAIL FROM 域发布您自己的 SPF 记录。此外,SES 还要求您设置 MX 记录,以便您的域可以接收电子邮件提供商向您发送的退回邮件和投诉通知。
通过使用自定义 MAIL FROM 域,您可以灵活地使用 SPF 和/或 DKIM 来实现[基于域的消息身份验证、报告和一致性(DMARC)](send-email-authentication-dmarc.md)验证。DMARC 使发件人的域能够指示从该域发送的电子邮件受一个或多个身份验证系统的保护。可通过以下两种方法实现 DMARC 验证:[通过 SPF 遵守 DMARC](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf)和[通过 DKIM 遵守 DMARC](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim)。
## 选择自定义 MAIL FROM 域
在下文中,术语 *MAIL FROM 域*始终是指您拥有的域的子域。您为自定义 MAIL FROM 域使用的此子域不得用于其他用途且必须满足以下要求:
+ MAIL FROM 域必须是经验证身份(电子邮件地址或域)的父域的子域。
+ MAIL FROM 域不应是您也用来从中发送电子邮件的子域。
+ MAIL FROM 域不应是您用于接收电子邮件的子域。
## 将 SPF 与自定义 MAIL FROM 域结合使用
*发件人策略框架*(SPF)是一种电子邮件验证标准,旨在防止电子邮件欺骗。您可以使用 SPF 配置您的自定义 MAIL FROM 域,以告诉电子邮件提供商允许哪些服务器从您的自定义 MAIL FROM 域发送电子邮件。SPF 是在 [RFC 7208](https://tools.ietf.org/html/rfc7208) 中定义的。
要设置 SPF,您要将 TXT 记录发布到您的自定义 MAIL FROM 域的 DNS 配置。此记录包含您授权使用您的自定义 MAIL FROM 域发送电子邮件的服务器的列表。当电子邮件提供商从您的自定义 MAIL FROM 域接收到邮件时,它将检查该域的 DNS 记录,以确保电子邮件是从授权服务器发送的。
如果您想使用此 SPF 记录来遵守 DMARC,则发件人地址中的域必须与 MAIL FROM 域匹配。请参阅[通过 SPF 遵守 DMARC](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf)。
下一节[配置自定义 MAIL FROM 域](#mail-from-set)将介绍如何为您的自定义 MAIL FROM 域设置 SPF。
## 配置自定义 MAIL FROM 域
设置自定义 MAIL FROM 域的过程要求您将记录添加到该域的 DNS 配置中。SES 要求您发布 MX 记录,以便您的域可以接收电子邮件提供商向您发送的退回邮件和投诉通知。您还必须发布 SPF 记录(类型为 TXT),以证明 Amazon SES 经授权可从您的域发送电子邮件。
您可以为整个域或子域,也可以为单个电子邮件地址设置自定义 MAIL FROM 域。以下过程演示如何使用 Amazon SES 控制台来配置自定义 MAIL FROM 域。您也可以使用 [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html)API 操作配置自定义 MAIL FROM 域。
### 为已验证的域设置自定义 MAIL FROM 域
这些过程向您演示了如何为整个域或子域配置自定义 MAIL FROM 域,以便从该域地址发送的所有消息都将使用此自定义 MAIL FROM 域。
**将经验证的域配置为使用指定的自定义 MAIL FROM 域**
1. 打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在左侧导航面板中的**配置**下,选择**身份**。
1. 在身份列表中,选择要配置的身份,其中 **Identity type**(身份类型)是 **Domain**(域),以及 **Status**(状态)为 *Verified*(已验证)。
1. 如果 **Status**(状态)是 *Unverified*(未核实),请在 [与您的 DNS 提供商一起验证 DKIM 域身份](creating-identities.md#just-verify-domain-proc) 完成过程以验证电子邮件地址的域。
1. 在**自定义 MAIL FROM 域**窗格中的屏幕底部,选择**编辑**。
1. 在 **General details**(一般细节)窗格中,执行以下操作:
1. 选择 **Use a custom MAIL FROM domain**(使用自定义 MAIL FROM 域)复选框。
1. 对于 **MAIL FROM Domain (MAIL FROM 域)**,输入要用作 MAIL FROM 子域的域。
1. 对于 **Behavior on MX failure**(MX 失败时的行为),选择下列选项之一:
+ **使用原定设置的 MAIL FROM 域名** – 如果未正确设置自定义 MAIL FROM 域的 MX 记录,那么 Amazon SES 将使用 `amazonses.com` 的子域。子域名因您使用的 AWS 区域 Amazon SES 而异。
+ **拒绝邮件** – 如果未正确设置自定义 MAIL FROM 域的 MX 记录,那么 Amazon SES 将返回 `MailFromDomainNotVerified` 错误。您尝试从此域发送的电子邮件将被自动拒绝。
1. 选择 **Save changes**(保存更改)- 您将会回到上一个屏幕。
1. 将 MX 和 SPF(类型为 TXT)记录发布到自定义 MAIL FROM 域的 DNS 服务器:
在 **Custom MAIL FROM domain**(自定义 MAIL FROM 域)窗格中,**Publish DNS records**(发布 DNS 记录)表现在会显示您必须发布(添加)到域的 DNS 配置中的 MX 和 SPF(类型为 TXT)记录。这些记录使用下表中显示的格式。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/mail-from.html)
在以上记录中,
+ *subdomain*。 *domain*。 *com*将填充你的 MAIL FROM 子域名
+ *region*将填充您要验证 MAIL FROM 域的名称(例如`us-west-2``us-east-1``eu-west-1`、或,等) AWS 区域
+ 与 MX 值一起列出的数字 *10* 是邮件服务器的优先顺序,需要按照 DNS 提供商的 GUI 指定的单独值字段输入
+ SPF 的 TXT 记录值通常必须包含引号,但一些 DNS 提供商不需要它们。
从 **Publish DNS records**(发布 DNS 记录)表中,通过选择每个值旁边的复制图标复制 MX 和 SPF(类型为 TXT)记录,然后将它们粘贴到 DNS 提供商 GUI 中的相应字段中。或者,您可以选择**下载 .csv 记录集**以将记录副本保存到您的电脑中。
**重要**
发布 MX 和 SPF(类型 TXT)记录的具体过程取决于您的 DNS 或主机托管提供商。请参阅您的提供商的文档或联系他们,以获取有关将这些记录添加到您域 DNS 配置的信息。
要使用 Amazon SES 成功设置自定义 MAIL FROM 域,您必须仅将一条 MX 记录发布到您的 MAIL FROM 域的 DNS 服务器。如果 MAIL FROM 域有多条 MX 记录,则使用 Amazon SES 设置自定义 MAIL FROM 将失败。
如果 Route 53 为您的 MAIL FROM 域提供 DNS 服务,并且您使用与 Route 53 相同的账户登录,则选择使用 R **oute 53 发布记录**。 AWS 管理控制台 DNS 记录将自动应用于您的域的 DNS 配置。
如果使用其他 DNS 提供商,则必须手动将 DNS 记录发布到 MAIL FROM 域的 DNS 服务器。将 DNS 记录添加到域的 DNS 服务器的过程因您的网络托管服务或 DNS 提供商而异。
为您的域发布 DNS 记录的过程取决于您使用的 DNS 提供商。下表包含的链接指向几个广泛使用的 DNS 提供商的文档。此列表并不详尽无遗,并不表示认可;同样,如果您的 DNS 提供商没有列出,这并不意味着他们不支持 MAIL FROM 域配置。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/mail-from.html)
当 Amazon SES 检测到记录已生效时,您会收到一封电子邮件,通知您自定义 MAIL FROM 域已成功设置。视您的 DNS 提供商而定,Amazon SES 检测 MX 记录之前可能会延迟最多 72 个小时。
### 为已验证的电子邮件地址设置自定义 MAIL FROM 域
您还可以为特定电子邮件地址设置自定义 MAIL FROM 域。要为电子邮件地址设置自定义 MAIL FROM 域,您必须修改与该电子邮件地址相关联的域的 DNS 记录。
**注意**
您无法为不归您所有的域上的地址设置自定义 MAIL FROM 域(例如,您无法为 `gmail.com` 域上的地址创建自定义 MAIL FROM 域),因为您无法将必要的 DNS 记录添加到该域中)。
**将经验证的电子邮件地址配置为使用指定的 MAIL FROM 域**
1. 打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在左侧导航面板中的**配置**下,选择**身份**。
1. 在身份列表中,选择要配置的身份,其中 **Identity type**(身份类型)是 **Email address**(电子邮件地址),以及 **Status**(状态)为 *Verified*(已验证)。
1. 如果 **Status**(状态)是 *Unverified*(未核实),请在 [验证电子邮件地址身份](creating-identities.md#just-verify-email-proc) 完成过程以验证电子邮件地址的域。
1. 在 **MAIL FROM Domain**(MAIL FROM 域)选项卡下方,选择 **Custom MAIL FROM domain**(自定义 MAIL FROM 域)窗格中的 **Edit**(编辑)。
1. 在 **General details**(一般细节)窗格中,执行以下操作:
1. 选择 **Use a custom MAIL FROM domain**(使用自定义 MAIL FROM 域)复选框。
1. 对于 **MAIL FROM Domain (MAIL FROM 域)**,输入要用作 MAIL FROM 子域的域。
1. 对于 **Behavior on MX failure**(MX 失败时的行为),选择下列选项之一:
+ **使用原定设置的 MAIL FROM 域名** – 如果未正确设置自定义 MAIL FROM 域的 MX 记录,那么 Amazon SES 将使用 `amazonses.com` 的子域。子域名因您使用的 AWS 区域 Amazon SES 而异。
+ **拒绝邮件** – 如果未正确设置自定义 MAIL FROM 域的 MX 记录,那么 Amazon SES 将返回 `MailFromDomainNotVerified` 错误。您尝试从此电子邮件地址发送的电子邮件将被自动拒绝。
1. 选择 **Save changes**(保存更改)- 您将会回到上一个屏幕。
1. 将 MX 和 SPF(类型为 TXT)记录发布到自定义 MAIL FROM 域的 DNS 服务器:
在 **Custom MAIL FROM domain**(自定义 MAIL FROM 域)窗格中,**Publish DNS records**(发布 DNS 记录)表现在会显示您必须发布(添加)到域的 DNS 配置中的 MX 和 SPF(类型为 TXT)记录。这些记录使用下表中显示的格式。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/mail-from.html)
在以上记录中,
+ *subdomain*。 *domain*。 *com*将填充你的 MAIL FROM 子域名
+ *region*将填充您要验证 MAIL FROM 域的名称(例如`us-west-2``us-east-1``eu-west-1`、或,等) AWS 区域
+ 与 MX 值一起列出的数字 *10* 是邮件服务器的优先顺序,需要按照 DNS 提供商的 GUI 指定的单独值字段输入
+ SPF 的 TXT 记录值必须包含引号
从 **Publish DNS records**(发布 DNS 记录)表中,通过选择每个值旁边的复制图标复制 MX 和 SPF(类型为 TXT)记录,然后将它们粘贴到 DNS 提供商 GUI 中的相应字段中。或者,您可以选择**下载 .csv 记录集**以将记录副本保存到您的电脑中。
**重要**
要使用 Amazon SES 成功设置自定义 MAIL FROM 域,您必须仅将一条 MX 记录发布到您的 MAIL FROM 域的 DNS 服务器。如果 MAIL FROM 域有多条 MX 记录,则使用 Amazon SES 设置自定义 MAIL FROM 将失败。
如果 Route 53 为您的 MAIL FROM 域提供 DNS 服务,并且您使用与 Route 53 相同的账户登录,则选择使用 R **oute 53 发布记录**。 AWS 管理控制台 DNS 记录将自动应用于您的域的 DNS 配置。
如果使用其他 DNS 提供商,则必须手动将 DNS 记录发布到 MAIL FROM 域的 DNS 服务器。将 DNS 记录添加到域的 DNS 服务器的过程因您的网络托管服务或 DNS 提供商而异。
为您的域发布 DNS 记录的过程取决于您使用的 DNS 提供商。下表包含的链接指向几个广泛使用的 DNS 提供商的文档。此列表并不详尽无遗,并不表示认可;同样,如果您的 DNS 提供商没有列出,这并不意味着他们不支持 MAIL FROM 域配置。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/mail-from.html)
当 Amazon SES 检测到记录已生效时,您会收到一封电子邮件,通知您自定义 MAIL FROM 域已成功设置。视您的 DNS 提供商而定,Amazon SES 检测 MX 记录之前可能会延迟最多 72 个小时。
## 使用 Amazon SES 的自定义 MAIL FROM 域设置状态
在您将身份配置为使用自定义 MAIL FROM 域后,设置的状态为 pending (待处理),并且 Amazon SES 会尝试在您的 DNS 设置中检测所需的 MX 记录。之后,状态因 Amazon SES 是否检测到 MX 记录而异。下表介绍了电子邮件发送行为以及与每个状态关联的 Amazon SES 操作。每当状态发生变化时,Amazon SES 都会向与您关联的电子邮件地址发送通知 AWS 账户。
****
| 州 | 电子邮件发送行为 | Amazon SES 操作 |
| --- | --- | --- |
| 待定 | 使用自定义 MAIL FROM 回退设置 | Amazon SES 尝试在 72 小时内检测所需的 MX 记录。如果失败,则状态将更改为“失败”。 |
| 成功 | 使用自定义 MAIL FROM 域 | Amazon SES 持续检查所需的 MX 记录是否到位。 |
| TemporaryFailure | 使用自定义 MAIL FROM 回退设置 | Amazon SES 尝试在 72 小时内检测所需的 MX 记录。如果失败,则状态将更改为“已失败”;如果成功,则状态将更改为“成功”。 |
| 失败 | 使用自定义 MAIL FROM 回退设置 | Amazon SES 不再尝试检测所需的 MX 记录。要使用自定义 MAIL FROM 域,您必须重新开始 [配置自定义 MAIL FROM 域](#mail-from-set) 中的设置过程。 |
# 遵守 Amazon SES 中的 DMARC 身份验证协议
基于域名的邮件认证、报告和一致性 (DMARC) 是一种电子邮件认证协议,它使用发件人策略框架 (SPF) 和 DomainKeys 识别邮件 (DKIM) 来检测电子邮件欺骗和网络钓鱼。为了符合 DMARC 的要求,消息必须通过 SPF 或 DKIM 进行身份验证,但理想情况下,当两者都与 DMARC 结合使用时,您将确保您的电子邮件发送获得尽可能高级别的保护。
让我们简要回顾一下每种方法的作用,以及 DMARC 是如何将它们联系在一起的:
+ **SPF** – 标识哪些邮件服务器可以代表您的自定义 MAIL FROM 域,通过 DNS 使用的 DNS TXT 记录发送邮件。收件人邮件系统参考 SPF TXT 记录,以确定来自您自定义域的消息是否来自授权的消息发送服务器。基本上,SPF 的设计初衷是帮助防止欺骗,但实际上存在 SPF 容易遭受的欺骗技术,这就是为什么您还需要结合 DMARC 使用 DKIM 的原因。
+ **DKIM** – 在电子邮件标头中为您的出站消息添加数字签名。接收电子邮件系统可以使用此数字签名来协助验证传入的电子邮件是否由该域拥有的密钥签名。但是,当接收电子邮件系统转发消息时,消息的信封会被更改,从而使 SPF 身份验证失效。由于数字签名是电子邮件标头的一部分,会随电子邮件消息一同保留,因此即使在邮件服务器之间转发消息(只要邮件内容未被修改),DKIM 也能发挥作用。
+ **DMARC** – 确保域与至少一个 SPF 和 DKIM 保持一致。仅使用 SPF 和 DKIM 并不能确保发件人地址经过身份验证(这是您的收件人在其电子邮件客户端中看到的电子邮件地址)。SPF 仅检查 MAIL FROM 地址中指定的域(您的收件人看不到此域)。DKIM 仅检查 DKIM 签名中指定的域(您的收件人也看不到此域)。DMARC 通过要求 SPF 或 DKIM 上的域一致性正确来解决这两个问题:
+ 为了使 SPF 通过 DMARC 一致性检查,发件人地址中的域必须与 MAIL FROM 地址(也称为 Return-Path 和 Envelope-from 地址)中的域匹配。在转发邮件时,这几乎不可能实现,因为转发邮件会删除原始的发件人地址信息;在使用第三方批量电子邮件提供商发送邮件时也不可能实现,因为 Return-Path(MAIL FROM)用于处理退信和投诉,而提供商(SES)会使用他们自己的地址来跟踪这些退信和投诉。
+ 为了使 DKIM 通过 DMARC 一致性检查,DKIM 签名中指定的域必须与发件人地址中的域相匹配。如果您使用代表您发送邮件的第三方发件人或服务,则可以通过确保第三方发件人已正确配置为使用 DKIM 签名,并且已在域中添加了相应的 DNS 记录来实现。然后,接收邮件服务器将能够验证由您的第三方发送的电子邮件,就好像该电子邮件是由授权使用域内地址的人发送的邮件一样。
**与 DMARC 协同运行**
我们在上面讨论的 DMARC 一致性检查展示了 SPF、DKIM 和 DMARC 是如何协同工作的,以增加对您的域的信任以及确保将您的电子邮件传送到收件箱。DMARC 通过确保收件人看到的发件人地址已通过 SPF 或 DKIM 进行身份验证,来实现这一目标:
+ 如果所述的 SPF 或 DKIM 检查中的一个或两个都成功,则消息通过 DMARC 验证。
+ 如果所述的 SPF 或 DKIM 检查均失败,则邮件将无法通过 DMARC 验证。
因此,为了让 DMARC 能够最大限度地对您发送的电子邮件进行身份验证,SPF 和 DKIM 都是必不可少的,通过同时使用这三者,有助于确保您的发送域得到全面保护。
DMARC 还允许您通过设置的策略,指示电子邮件服务器在 DMARC 身份验证失败时如何处理电子邮件。下一节([对域设置 DMARC 策略](#send-email-authentication-dmarc-dns))将对此进行解释,其中包含有关如何配置您的 SES 域,从而使您发送的电子邮件同时通过 SPF 和 DKIM 符合 DMARC 身份验证协议的信息。
## 对域设置 DMARC 策略
要设置 DMARC,您必须修改域的 DNS 设置。域的 DNS 设置应包括指定域的 DMARC 设置的 TXT 记录。向 DNS 配置中添加 TXT 记录的过程取决于您使用的 DNS 或托管提供商。如果您使用 Route 53,请参阅《Amazon Route 53 开发人员指南》**中的[使用记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)。如果使用的是其他提供商的产品,请参阅提供商的 DNS 配置文档。
您创建的 TXT 记录的名称应为 `_dmarc.example.com`,其中 `example.com` 是域。TXT 记录的值包含应用于域的 DMARC 策略。以下是包含 DMARC 策略的 TXT 记录的示例:
| Name | Type | 值 |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
在前面的 DMARC 策略示例中,该策略要求电子邮件提供商执行以下操作:
+ 对于任何未通过身份验证的消息,请按策略参数 `p=quarantine` 的指定将其发送到垃圾邮件文件夹。其他选项包括使用 `p=none` 不执行任何操作,或者使用 `p=reject` 直接拒绝消息。
+ 下一节将讨论如何以及何时使用这三种策略设置 - *在错误的时间使用错误的策略设置,可能会导致您的电子邮件无法传送,*请参阅[实施 DMARC 的最佳实践](#send-email-authentication-dmarc-implement)。
+ 根据报告参数 `rua=mailto:my_dmarc_report@example.com`(*rua* 代表聚合报告的报告 URI)的规定,以摘要形式(即汇总某一时间段内的数据并生成一份报告,而不是为每个事件单独发送报告)发送所有身份验证失败的电子邮件的报告。电子邮件提供商通常每天发送一次此类汇总报告,但具体政策因提供商而异。
要了解更多有关如何为域配置 DMARC 的信息,请参阅 DMARC 网站上的[概述](https://dmarc.org/overview/)。
有关 DMARC 系统的完整规范,请参阅[国际互联网工程任务组(IETF)DMARC 草案](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)。
## 实施 DMARC 的最佳实践
最好是分阶段逐步实施您的 DMARC 策略执行,以免影响其他邮件流。制定并实施一个遵循以下步骤的推广计划。在进行下一步之前,先对每个子域执行这些步骤,最后再对组织中的顶级域执行。
1. 监控实施 DMARC 的影响(p=none)。
+ 首先,为一个子域或域创建一个简单的监控模式记录,该记录要求邮件接收组织向您发送他们使用该域观察到的消息的统计信息。监控模式记录是一个 DMARC TXT 记录,其策略设置为无 `p=none`。
+ 通过 DMARC 生成的报告将提供通过和未通过这些检查的消息的数量和来源。您可以轻松地了解您的合法流量受这些检查覆盖的情况。您会看到转发的迹象,因为如果内容被修改,转发的消息将无法通过 SPF 和 DKIM 检查。您还将开始看到发送了多少欺诈性消息,以及这些消息是从哪里发送的。
+ 此步骤的目标是了解在实施接下来的两个步骤中的任何一个时,哪些电子邮件会受到影响,并确保任何第三方或授权发件人调整其 SPF 或 DKIM 策略以保持一致。
+ 最适合现有域的使用。
1. 请求外部邮件系统隔离未通过 DMARC 的邮件(p=quarantine)。
+ 当您认为您所有或大部分的合法流量均已通过 SPF 或 DKIM 实现了域对齐,并且您了解了实施 DMARC 的影响后,您可以实施隔离策略。隔离策略是一种 DMARC TXT 记录,其策略设置为隔离 `p=quarantine`。通过这样做,您要求 DMARC 接收方将您域下未能通过 DMARC 的邮件放入本地等同于垃圾邮件文件夹的位置,而不是您客户的收件箱。
+ 最适合用于在第 1 步期间已经分析了 DMARC 报告的域转换。
1. 请求外部邮件系统不接受未通过 DMARC 的邮件(p=reject)。
+ 实施拒绝策略通常是最后一步。拒绝策略是指其策略设置为拒绝 `p=reject` 的 DMARC TXT 记录。当您这样做时,您要求 DMARC 接收方不接受未能通过 DMARC 检查的消息,这意味着这些消息甚至不会被隔离到垃圾邮件文件夹中,而是会被直接拒绝。
+ 当使用拒绝策略时,由于拒绝会导致 SMTP 退信,您将能够确切地知道哪些消息未能通过 DMARC 策略。而使用隔离策略时,汇总数据会提供有关通过或未通过 SPF、DKIM 和 DMARC 检查的电子邮件百分比的信息。
+ 最适合已完成前两个步骤的新域或现有域。
## 通过 SPF 遵守 DMARC
要使电子邮件基于 SPF 遵守 DMARC,必须满足以下两个条件:
+ 该消息必须基于您已发布到自定义 MAIL FROM 域的 DNS 配置中的有效 SPF(类型 TXT)记录,通过 SPF 检查。
+ 电子邮件标头中收件人地址的域必须与 MAIL FROM 地址中指定的域或其子域一致(匹配)。为了实现与 SES 的 SPF 对齐,域的 DMARC 策略不得指定严格的 SPF 策略(aspf=s)。
要满足上述要求,请完成以下步骤:
+ 通过完成 [使用自定义 MAIL FROM 域](mail-from.md) 中的过程设置自定义 MAIL FROM 域。
+ 确保您的发送域使用宽松的 SPF 策略。如果您尚未更改域的策略遵守方式,它将默认使用宽松的策略,就像 SES 一样。
**注意**
您可以在命令行中输入以下命令,将 `example.com` 替换为您的域名,从而确定您的域的 DMARC 与 SPF 的符合情况:
```
dig TXT _dmarc.example.com
```
在此命令的输出中,在 **Non-authoritative answer** 下查找以 `v=DMARC1` 开头的记录。如果此记录包含字符串 `aspf=r`,或者 `aspf` 字符串根本不存在,则您的域为 SPF 使用宽松遵守。如果记录包含字符串 `aspf=s`,则您的域为 SPF 使用严格遵守。您的系统管理员需要从域的 DNS 配置的 DMARC TXT 记录中删除此标签。
或者,你可以使用基于网络的DMARC查询工具,例如 [dmarcian网站上的DMARC In](https://dmarcian.com/dmarc-inspector/) spector或网站上的 [DMARC检查工具](https://mxtoolbox.com/dmarc.aspx)来确定你的域名与SPF的政策一致性。 MxToolBox
## 通过 DKIM 遵守 DMARC
要使电子邮件基于 DKIM 遵守 DMARC,必须满足以下两个条件:
+ 消息必须具有有效的 DKIM 签名并通过 DKIM 检查。
+ DKIM 签名中指定的域必须与发件人地址中的域一致(匹配)。如果域的 DMARC 策略指定了 DKIM 的严格遵守方式,则这些域必须完全匹配(SES 默认使用严格的 DKIM 策略)。
要满足上述要求,请完成以下步骤:
+ 通过完成 [Amazon SES 中的 Easy DKIM](send-email-authentication-dkim-easy.md) 中的过程设置 Easy DKIM。使用 Easy DKIM 时,Amazon SES 会自动对您的电子邮件签名。
**注意**
除了使用 Easy DKIM 以外,您也可以[为邮件手动签名](send-email-authentication-dkim-manual.md)。但是,如果您选择这样做,请务必小心,因为 Amazon SES 不验证您构建的 DKIM 签名。因此,我们强烈建议您使用 Easy DKIM。
+ 确保 DKIM 签名中指定的域与发件人地址中的域一致。或者,如果从发件人地址中域的子域发送,请确保您的 DMARC 策略设置为宽松的一致性。
**注意**
您可以在命令行中输入以下命令,将 `example.com` 替换为您的域名,从而确定您的域的 DMARC 与 DKIM 的符合情况:
```
dig TXT _dmarc.example.com
```
在此命令的输出中,在 **Non-authoritative answer** 下查找以 `v=DMARC1` 开头的记录。如果此记录包含字符串 `adkim=r`,或者 `adkim` 字符串根本不存在,则您的域为 DKIM 使用宽松遵守。如果记录包含字符串 `adkim=s`,则您的域为 DKIM 使用严格遵守。您的系统管理员需要从域的 DNS 配置的 DMARC TXT 记录中删除此标签。
或者,你可以使用基于网络的DMARC查询工具,例如d [marcian网站上的DMARC In](https://dmarcian.com/dmarc-inspector/) spector或网站上的 [DMARC检查工具](https://mxtoolbox.com/dmarc.aspx)来确定你的域名与DKIM的政策一致性。 MxToolBox
# 在 Amazon SES 中使用 BIMI
用于邮件识别的品牌指标(BIMI)是一种电子邮件规范,它使电子邮件收件箱能够在支持的电子邮件客户端中将品牌徽标显示在该品牌经过身份验证的电子邮件旁边。
BIMI 是一种直接连接到身份验证的电子邮件规范,但它不是一个独立的电子邮件身份验证协议,因为它要求所有电子邮件都符合 [DMARC](send-email-authentication-dmarc.md) 身份验证。
尽管 BIMI 需要 DMARC,而 DMARC 要求您的域具有 SPF 或 DKIM 记录以保持一致,但最好同时包含 SPF 和 DKIM 记录以提高安全性,并且因为一些电子邮件服务提供商(ESP)在使用 BIMI 时需要这两者。以下章节介绍在 Amazon SES 中实现 BIMI 的步骤。
## 在 SES 中设置 BIMI
您可以为您拥有的电子邮件域配置 BIMI,在 SES 中,此类域称为*自定义* MAIL FROM 域。配置完成后,您从该域发送的所有邮件将在[支持 BIMI 的电子邮件客户端](https://bimigroup.org/bimi-infographic/)中显示您的 BIMI 徽标。
要使您的电子邮件显示 BIMI 徽标,就必须在 SES 中满足一些先决条件:在以下过程中,这些先决条件是概括性的,并将引用详细介绍这些主题的专门章节。这里将详细介绍特定于 BIMI 的步骤以及在 SES 中对其进行配置所需的内容。
**在自定义 MAIL FROM 域中设置 BIMI**
1. 必须在 SES 中配置自定义 MAIL FROM 域,并同时为该域发布 SPF(类型 TXT)和 MX 记录。如果您没有自定义 MAIL FROM 域,或者想为您的 BIMI 徽标创建一个新的域,请参阅 [使用自定义 MAIL FROM 域](mail-from.md)。
1. 使用 Easy DKIM 配置您的域。请参阅[Amazon SES 中的 Easy DKIM](send-email-authentication-dkim-easy.md)。
1. 通过向 DNS 提供商发布 TXT 记录(其中包含 BIMI 所需的以下执行策略细节),使用 DMARC 配置您的域,类似于以下两个示例之一:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-bimi.html)
在前面的 BIMI 所需的 DMARC 策略示例中:
+ `example.com` 应替换为您的域或子域。
+ `p=` 值可以是:
+ *quarantine*,*pct* 值设置为 *100*,如上所示,或者
+ *reject*,如上所示。
+ 如果您从子域发送,BIMI 要求父域也必须具有此执行策略。子域将属于父域的策略范围。但是,如果您除了为父域发布的内容外,还为您的子域添加了 DMARC 记录,则您的子域也必须具有相同的执行策略才能有资格获得 BIMI。
+ 如果您从未为您的域设置 DMARC 策略,请参阅[遵守 Amazon SES 中的 DMARC 身份验证协议](send-email-authentication-dmarc.md),确保您只使用特定于 BIMI 的 DMARC 策略值,如上所示。
1. 将您的 BIMI 徽标制作成可扩缩矢量图形(SVG)`.svg` 文件,BIMI 所需的特定 SVG 配置文件定义为 SVG Portable/Secure(SVG P/S)。为了使您的徽标显示在电子邮件客户端中,它必须完全符合这些规范。请参阅 [BIMI Group](https://bimigroup.org/) 有关[创建 SVG 徽标文件](https://bimigroup.org/creating-bimi-svg-logo-files/)的指南和建议使用的 [SVG 转换工具](https://bimigroup.org/svg-conversion-tools-released/)。
1. (可选)获取认证标志证书(VMC)。一些 ESP(例如 Gmail 和 Apple)要求 VMC 提供证据,证明您拥有 BIMI 徽标的商标和内容。尽管这不是在您的域上实施 BIMI 的必要条件,但如果您向其发送邮件的 ESP 强制要求遵守 VMC,则您的 BIMI 徽标将不会显示在电子邮件客户端中。请参阅 BIMI Group 的有关[参与证书颁发机构](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/)的参考资料,为您的徽标获取 VMC。
1. 将您的 BIMI 徽标的 SVG 文件托管在您可以访问的服务器上,使其可通过 HTTPS 公开访问。例如,您可以将其上传到 [Amazon S3 桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)。
1. 创建并发布包含您的徽标 URL 的 BIMI DNS 记录。当[支持 BIMI 的 ESP](https://bimigroup.org/bimi-infographic/) 检查您的 DMARC 记录时,它还会查找一个 BIMI 记录,其中包含您徽标的 `.svg` 文件的 URL,如果已配置,则还包括 VMC 的 `.pem` 文件的 URL。如果记录匹配,它们将显示您的 BIMI 徽标。
使用 BIMI 配置您的域,方法是向您的 DNS 提供商发布具有如下所示的值的 TXT 记录:从域发送(如第一个示例所示);从子域发送(如第二示例所示):
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/send-email-authentication-bimi.html)
在前面的 BIMI 记录示例中:
+ 名称值应按字面意思将 `default._bimi.` 指定为 `example.com` 的子域或 `marketing.example.com`,或者应将其替换为您的域或子域。
+ `v=` 值是 BIMI 记录的*版本*。
+ `l=` 值是一个*徽标*,表示指向图像的 `.svg` 文件的 URL。
+ `a=` 值是一个*颁发机构*,表示指向您的证书的 `.pem` 文件的 URL。
您可以使用 BIMI Group 的 [BIMI Inspector](https://bimigroup.org/bimi-generator/) 等工具验证您的 BIMI 记录。
此过程的最后一步是定期向支持放置 BIMI 徽标的 ESP 发送图案。您的域应该有一个定期的交付节奏,并且对于您要向其发送邮件的 ESP 应该有良好的声誉。对于您没有既定声誉或发送节奏的 ESP,BIMI 徽标放置可能需要一段时间才能填充到其中。
您可以通过 [BIMI Group](https://bimigroup.org/) 组织找到更多与 BIMI 有关的信息和资源。
# 为 Amazon SES 设置事件通知
要使用 Amazon SES 来发送电子邮件,必须有一个系统可用于管理退回邮件和投诉。Amazon SES 可通过以下三种方式通知退回邮件或投诉事件:发送通知电子邮件、通知 Amazon SNS 主题或发布发送事件。本节包含有关将 Amazon SES 设置为通过电子邮件或通过通知 Amazon SNS 主题来发送特定类型通知的信息。有关发布发送事件的更多信息,请参阅[使用 Amazon SES 事件发布监控电子邮件发送](monitor-using-event-publishing.md)。
可以使用 Amazon SES 控制台或 Amazon SES API 来设置通知。
**Topics**
+ [重要注意事项](#monitor-sending-activity-using-notifications-considerations)
+ [通过电子邮件接收 Amazon SES 通知](monitor-sending-activity-using-notifications-email.md)
+ [使用 Amazon SNS 接收 Amazon SES 通知](monitor-sending-activity-using-notifications-sns.md)
## 重要注意事项
设置 Amazon SES 发送通知时,有几点务必要注意:
+ 电子邮件和 Amazon SNS 通知适用于独立身份(用于发送电子邮件的已验证电子邮件地址或域)。当您为某一身份启用通知时,Amazon SES 仅针对从该身份发送的电子邮件发送通知,并且仅在您配置通知的 AWS 区域发送通知。
+ 必须启用一种接收退回邮件或投诉通知的方式。可以将通知发送到生成退回邮件或投诉的域或电子邮件地址,或者发送到 Amazon SNS 主题。还可以使用[事件发布](monitor-using-event-publishing.md)将有关各种不同类型事件(包括退回邮件、投诉、送达等)的通知发送到 Amazon SNS 主题或 Firehose 流。
如果未设置任何一种接收退回邮件或投诉通知的方法,Amazon SES 会自动将退回邮件和投诉通知转发到出现退回邮件或投诉事件的电子邮件中的退回路径地址(或来源地址,如果未指定退回路径地址),即使禁用了电子邮件反馈转发也是如此。
如果禁用电子邮件反馈转发并启用事件发布,则必须对发送的所有电子邮件应用包含事件发布规则的配置集。在此情况下,如果不使用配置集,Amazon SES 会将退回邮件和投诉通知转发到出现退回邮件或投诉事件的电子邮件中的退回路径或来源地址。
+ 如果将 Amazon SES 设置为使用多种方法(例如通过发送电子邮件通知和使用发送事件)发送退回邮件和投诉事件,那么可能收到有关同一事件的多个通知。
# 通过电子邮件接收 Amazon SES 通知
当您收到退回邮件和投诉时,Amazon SES 可以使用称为*电子邮件反馈转发*的流程为您发送电子邮件。
要使用 Amazon SES 来发送电子邮件,必须将它配置为使用以下方法之一发送退回邮件和投诉通知:
+ 启用电子邮件反馈转发。此节中包含此类通知的设置过程。
+ 将通知发送到 Amazon SNS 主题。有关更多信息,请参阅 [使用 Amazon SNS 接收 Amazon SES 通知](monitor-sending-activity-using-notifications-sns.md)。
+ 发布事件通知。有关更多信息,请参阅 [使用 Amazon SES 事件发布监控电子邮件发送](monitor-using-event-publishing.md)。
**重要**
有关通知的若干要点,请参阅[为 Amazon SES 设置事件通知](monitor-sending-activity-using-notifications.md)。
**Topics**
+ [启用电子邮件反馈转发](#monitor-sending-activity-using-notifications-email-enabling)
+ [禁用电子邮件反馈转发](#monitor-sending-activity-using-notifications-email-disabling)
+ [电子邮件反馈转发目标](#monitor-sending-activity-using-notifications-email-destination)
## 启用电子邮件反馈转发
默认情况下会启用电子邮件反馈转发。如果您之前禁用了该功能,您可以使用本节中的以下步骤来启用它。
**使用 Amazon SES 控制台通过电子邮件启用退回邮件和投诉转发**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在经验证的电子邮件地址或域的列表中,选择要为其配置退回邮件和投诉通知的电子邮件地址或域。
1. 在详细信息窗格中,展开**通知**部分。
1. 选择 **Edit Configuration**。
1. 在 **Email Feedback Forwarding** 下,选择 **Enabled**。
**注意**
在此页面上进行的更改可能需要几分钟才能生效。
您还可以使用 [ SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API 操作通过电子邮件启用退回通知和投诉通知。
## 禁用电子邮件反馈转发
如果设置了其他提供退回邮件和投诉通知的方法,则可禁用电子邮件反馈转发,以便在退回邮件或投诉事件发生时,不会收到多个通知。
**使用 Amazon SES 控制台通过电子邮件禁用退回邮件和投诉转发**
1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**已验证身份**。
1. 在经验证的电子邮件地址或域的列表中,选择要为其配置退回邮件和投诉通知的电子邮件地址或域。
1. 在详细信息窗格中,展开**通知**部分。
1. 选择 **Edit Configuration**。
1. 在 **Email Feedback Forwarding** 下,选择 **Disabled**。
**注意**
必须配置一种接收退回邮件和投诉通知的方法,才能通过 Amazon SES 发送电子邮件。如果禁用电子邮件反馈转发,则必须启用通过 Amazon SNS 发送通知,或者使用[事件发布](monitor-using-event-publishing.md)将退回邮件和投诉事件发送到 Amazon SNS 主题或 Firehose 流。如果使用事件发布,还必须对发送的每封电子邮件应用包含事件发布规则的配置集。如果未设置接收退回邮件和投诉通知的方法,Amazon SES 将自动通过电子邮件将反馈通知转发到 Return-Path (退回路径) 字段(或 Source (来源) 字段,如果未指定退回路径地址)中发生退回邮件或投诉事件的邮件的地址。在此情况下,即使禁用了电子邮件反馈通知,Amazon SES 也会转发退回邮件和投诉通知。
1. 保存您的通知配置,请选择 **Save Config**。
**注意**
在此页面上进行的更改可能需要几分钟才能生效。
您还可以使用 [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)API 操作禁用通过电子邮件发送的退信和投诉通知。
## 电子邮件反馈转发目标
当您通过电子邮件接收通知时,Amazon SES 会重写 `From` 标头,并向您发送通知。Amazon SES 将通知转发到的地址取决于您发送原始邮件的方式。
如果您使用了 SMTP 接口发送邮件,则通知会根据以下规则传送:
+ 如果您在 `SMTP DATA` 部分指定了 `Return-Path` 标头,通知将发送至该地址。
+ 否则,通知将发送到您在发出 MAIL FROM 命令时指定的地址。
如果您是使用 `SendEmail` API 操作发送邮件的,则通知会根据以下规则传送:
+ 如果您向 `SendEmail` API 调用中指定了可选 `ReturnPath` 参数,则通知会发送至该地址。
+ 否则,通知将发送至 `Source` 的必需 `SendEmail` 参数中指定的地址。
如果您是使用 `SendRawEmail` API 操作发送邮件的,则通知会根据以下规则传送:
+ 如果您在原始邮件中指定了 `Return-Path` 标头,通知将发送至该地址。
+ 否则,如果您在对 `SendRawEmail` API 的调用中指定了 `Source` 参数,则通知会发送至该地址。
+ 不然,通知会发送至原始邮件 `From` 标头中的地址。
**注意**
当您指定电子邮件中的 `Return-Path` 地址时,该地址会收到通知。但是,收件人收到的消息版本中包含 `Return-Path` 标头,其中包含一个匿名电子邮件地址(如 *a0b1c2d3e4f5a6b7-c8d9e0f1-a2b3-c4d5-e6f7-a8b9c0d1e2f3-000000@amazonses.com*)。无论您以何种方式发送电子邮件,该电子邮件地址均为匿名。
# 使用 Amazon SNS 接收 Amazon SES 通知
可以将 Amazon SES 配置为在您收到退回邮件或投诉时或者传递电子邮件时通知 Amazon SNS 主题。Amazon SNS 通知采用[JavaScript 对象表示法 (JSON)](http://www.json.org) 格式,这使您能够以编程方式处理通知。
要使用 Amazon SES 来发送电子邮件,必须将它配置为使用以下方法之一发送退回邮件和投诉通知:
+ 将通知发送到 Amazon SNS 主题。此节中包含此类通知的设置过程。
+ 启用电子邮件反馈转发。有关更多信息,请参阅 [通过电子邮件接收 Amazon SES 通知](monitor-sending-activity-using-notifications-email.md)。
+ 发布事件通知。有关更多信息,请参阅 [使用 Amazon SES 事件发布监控电子邮件发送](monitor-using-event-publishing.md)。
**重要**
有关通知的重要信息,请参阅[为 Amazon SES 设置事件通知](monitor-sending-activity-using-notifications.md)。
**Topics**
+ [为 Amazon SES 配置 Amazon SNS 通知](configure-sns-notifications.md)
+ [为 Amazon SES 配置 Amazon SNS 通知](notification-contents.md)
+ [Amazon SES 的 Amazon SNS 通知示例](notification-examples.md)
# 为 Amazon SES 配置 Amazon SNS 通知
Amazon SES 可以通过 [Amazon Simple Notification Service(Amazon SNS)](https://aws.amazon.com/sns)向您通知有关退回邮件、投诉和送达的情况。
您可以在 Amazon SES 控制台中或者使用 Amazon SES API 来配置通知。
**Topics**
+ [先决条件](#configure-feedback-notifications-prerequisites)
+ [使用 Amazon SES 控制台来配置通知](#configure-feedback-notifications-console)
+ [使用 Amazon SES API 来配置通知](#configure-feedback-notifications-api)
+ [反馈通知故障排除](#configure-feedback-notifications-troubleshooting)
## 先决条件
在 Amazon SES 中设置 Amazon SNS 通知之前,请完成以下步骤:
1. 在 Amazon SNS 中创建主题。有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》**中的[创建主题](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html)。
**重要**
当您使用 Amazon SNS 创建主题时,对于 **Type (类型)**,仅选择 **Standard (标准)**。(SES 不支持 FIFO 类型主题。)
无论是创建新的 SNS 主题还是选择现有主题,都需要授予 SES 访问权限,才能向该主题发布通知。
要授予 Amazon SES 发布主题通知的权限,请在 SNS 控制台的**编辑主题**屏幕上,展开**访问策略**,并在 **JSON 编辑器**中,添加以下权限策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "notification-policy",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333",
"AWS:SourceArn": "arn:aws:ses:topic_region:111122223333:identity/identity_name"
}
}
}
]
}
```
------
对前面的策略示例进行以下更改:
+ *topic\$1region*替换为您创建 SNS 主题的 AWS 区域。
+ 将 *111122223333* 替换为您的 AWS 账户 ID。
+ *topic\$1name*替换为您的 SNS 主题的名称。
+ *identity\$1name*替换为您订阅 SNS 主题的经过验证的身份(电子邮件地址或域名)。
1. 使用至少一个端点订阅主题。例如,如果您希望通过短信接收通知,则使用 SMS 端点(即,移动电话号码)订阅主题。要通过电子邮件接收通知,使用电子邮件端点(电子邮件地址)订阅主题。
有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》**中的[入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. (可选)如果您的 Amazon SNS 主题使用 AWS Key Management Service (AWS KMS) 进行服务器端加密,则必须向密钥策略添加权限。 AWS KMS 您可以通过将以下策略附加到 AWS KMS 密钥策略来添加权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## 使用 Amazon SES 控制台来配置通知
**使用 Amazon SES 控制台来配置通知**
1. 打开 Amazon SES 控制台,网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。
1. 在导航窗格中的**配置**下,选择**身份**。
1. 在 **Identities**(身份)容器中,选择您希望在从此身份发送的消息导致退回、投诉或送达时接收反馈通知的已验证身份。
**重要**
经验证的域通知设置将应用于从该域中的电子邮件址(经验证的电子邮件地址*除外*)发送的所有邮件。
1. 在您选择的已验证身份的详细信息屏幕中,选择 **Notifications**(通知)选项卡,然后选择 **Feedback notifications**(反馈通知)容器中的 **Edit**(编辑)。
1. 展开要接收通知的每种反馈类型的 SNS 主题列表框,然后选择您拥有的 SNS 主题之一、**No SNS topic**(无 SNS 主题),或者 **SNS topic you don’t own**(你不拥有的 SNS 主题)。
1. 如果您选择了 **SNS topic you don’t own**(您不拥有的 SNS 主题),**SNS topic ARN**(SNS 主题 ARN)将显示字段,您必须在其中输入委托发件人与您共享的 SNS 主题 ARN。(只有您的委托发件人才会收到这些通知,因为他们拥有 SNS 主题。要了解有关委托发送的更多信息,请参阅[发送授权概览](sending-authorization-overview.md)。)
**重要**
您用于退货、投诉和送达通知的 Amazon SNS 主题必须与您使用 Amazon SES 时 AWS 区域 使用的主题相同。
此外,您必须订阅主题的一个或多个端点才能接收通知。例如,如果您要将通知发送到电子邮件地址,则必须使用电子邮件端点订阅主题。有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》**中的[入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. (可选)如果您希望主题通知包括原始电子邮件中的标头,请选中 **Include original email headers**(包括原始电子邮件标头)框直接位于每种反馈类型的 SNS 主题名称下方。此选项仅在您已将 Amazon SNS 主题分配到关联的通知类型时可用。有关原始电子邮件标头的内容的信息,请参阅 [通知内容](notification-contents.md)中的 `mail` 对象。
1. 选择 **Save changes**(保存更改)。您对通知设置所做的更改可能需要几分钟才能生效。
1. (可选)如果您为退回邮件和投诉都选择 Amazon SNS 主题通知,则可以完全禁用电子邮件通知,以免通过电子邮件和 SNS 通知接收双重通知。要禁用退回邮件和投诉的电子邮件通知,请在 **Email Feedback Forwarding**(电子邮件反馈转发)容器中已验证身份的详细信息屏幕中的 **Notifications**(通知)选项卡下方选择 **Edit**(编辑)、取消勾选 **Enabled**(已启用)方框,然后选择 **Save changes**(保存更改)。
在配置您的设置之后,您将开始接收 Amazon SNS 主题的退回邮件、投诉和送达通知。这些通知采用 JavaScript对象表示法 (JSON) 格式,并遵循中描述的结构[通知内容](notification-contents.md)。
您将需要按标准 Amazon SNS 费率为退回邮件、投诉和送达通知付费。有关更多信息,请参阅 [Amazon SNS 定价页面](https://aws.amazon.com/sns/pricing)。
**注意**
如果由于主题已被删除或您 AWS 账户 不再有权向该主题发布内容而尝试向该主题发布内容失败,Amazon SES 会删除该主题的配置,前提是该主题已配置为退回或投诉(不是传送——对于送达通知,SES 不会删除 SNS 主题配置设置)。此外,Amazon SES 还会为身份重新启用退回邮件和投诉电子邮件通知,并且您将通过电子邮件收到更改通知。如果将多个身份配置为使用该主题,则在每个身份无法发布到该主题时,更改每个身份的主题配置。
## 使用 Amazon SES API 来配置通知
您也可以使用 Amazon SES API 来配置退回邮件、投诉和送达通知。使用以下操作来配置通知:
+ [SetIdentityNotificationTopic](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityNotificationTopic.html)
+ [SetIdentityFeedbackForwardingEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityFeedbackForwardingEnabled.html)
+ [GetIdentityNotificationAttributes](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityNotificationAttributes.html)
+ [SetIdentityHeadersInNotificationsEnabled](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityHeadersInNotificationsEnabled.html)
您可以使用这些 API 操作编写用于通知的自定义前端应用程序。有关与通知相关的 API 操作的完整描述,请参阅 [Amazon Simple Email Service API 参考](https://docs.aws.amazon.com/ses/latest/APIReference/)。
## 反馈通知故障排除
**未收到通知**
如果您没有收到通知,请确保您已使用端点订阅发送通知的主题。当您使用电子邮件端点节点订阅主题时,您会收到一封电子邮件,要求您确认订阅。在开始接收电子邮件通知之前,您必须确认订阅。有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》**中的[入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
**`InvalidParameterValue`选择主题时的 错误**
如果您收到表明发生 `InvalidParameterValue` 错误的错误消息,请检查 Amazon SNS 主题以查看它是否使用 AWS KMS进行了加密。如果是,则必须修改 AWS KMS 密钥的策略。请参阅 [先决条件](#configure-feedback-notifications-prerequisites) 以获取示例策略。
# 为 Amazon SES 配置 Amazon SNS 通知
退货、投诉和送达通知以 JavaScript 对象表示法 (JSON) 格式发布到[亚马逊简单通知服务 (Amazon SNS) Simple Notification S](https://aws.amazon.com/sns) ervice 主题。顶级 JSON 对象包含一个 `notificationType` 字符串,一个 `mail` 对象,以及一个 `bounce` 对象、`complaint` 对象或 `delivery` 对象。
有关不同类型对象的描述,请参阅以下部分:
+ [顶级 JSON 对象](#top-level-json-object)
+ [`mail` 对象](#mail-object)
+ [`bounce` 对象](#bounce-object)
+ [`complaint` 对象](#complaint-object)
+ [`delivery` 对象](#delivery-object)
以下是有关 Amazon SES 的 Amazon SNS 通知内容的一些重要说明:
+ 对于给定的通知类型,您可能会收到针对多个收件人的 Amazon SNS 通知,或者可能会收到针对每个收件人的 Amazon SNS 通知。您的代码应能够解析 Amazon SNS 通知并处理这两种情况;SES 不保证对通过 Amazon SNS 发送的通知进行排序或批处理。但是,不同的 Amazon SNS 通知类型(例如,退回邮件和投诉)不会合并为一个通知。
+ 您可能会针对一个收件人收到多个类型的 Amazon SNS 通知。例如,接收邮件服务器可能接受电子邮件(触发送达通知),但在处理电子邮件后,接收邮件服务器可能会确定该电子邮件实际导致了退回邮件(触发退回邮件通知)。不过,这些通知始终单独发送,因为它们属于不同的类型。
+ SES 保留在通知中添加其他字段的权利。同样地,解析这些通知的应用程序必须足够灵活以处理未知字段。
+ SES 在发送电子邮件时会覆盖邮件标头。您可以通过 `mail` 对象的 `headers` 和 `commonHeaders` 字段检索原始邮件的标头。
## 顶级 JSON 对象
SES 通知中的顶级 JSON 对象包含以下字段。
| 字段名称 | 说明 |
| --- | --- |
| notificationType | 一个字符串,包含由 JSON 对象表示的通知类型。可能的值为 `Bounce`、`Complaint` 或 `Delivery`。 如果你[设置事件发布](monitor-sending-using-event-publishing-setup.md),此字段命名为 `eventType`。 |
| mail | 一个 JSON 对象,包含有关通知所属的原始邮件的信息。有关更多信息,请参阅 [邮件对象](#mail-object)。 |
| bounce | 此字段仅在 `notificationType` 为 `Bounce`,且包含的 JSON 对象保存有关退回邮件的信息时显示。有关更多信息,请参阅 [退回邮件对象](#bounce-object)。 |
| complaint | 此字段仅在 `notificationType` 为 `Complaint`,且包含的 JSON 对象保存有关投诉的信息时显示。有关更多信息,请参阅 [投诉对象](#complaint-object)。 |
| delivery | 此字段仅在 `notificationType` 为 `Delivery`,且包含的 JSON 对象保存有关送达的信息时显示。有关更多信息,请参阅 [送达对象](#delivery-object)。 |
## 邮件对象
每个退回邮件、投诉或送达通知均在 `mail` 对象中包含有关原始电子邮件的信息。包含有关 `mail` 对象的信息的 JSON 对象具有以下字段。
| 字段名称 | 说明 |
| --- | --- |
| timestamp | 原始消息的发送时间( ISO8601格式)。 |
| messageId | SES 分配给电子邮件的唯一 ID。SES 在您发送邮件时已向您返回此值。 此邮件 ID 已由 SES 分配。您可以在 `mail` 对象的 `headers` 字段中找到原始电子邮件的邮件 ID。 |
| source | 发送原始电子邮件的电子邮件地址(信封 MAIL FROM 地址)。 |
| sourceArn | 已用于发送电子邮件的身份的 Amazon Resource Name(ARN)。在发送授权的情况下,`sourceArn` 是身份拥有者授权委托发件人用于发送电子邮件的身份的 ARN。有关发送授权的更多信息,请参阅[电子邮件身份验证方法使用发送授权](sending-authorization.md)。 |
| sourceIp | 已执行到 SES 的电子邮件发送请求的客户端的原始公有 IP 地址。 |
| sendingAccountId | 用于发送电子邮件的账户的 AWS 账户 ID。在发送授权的情况下,`sendingAccountId` 是委托发件人的账户 ID。 |
| callerIdentity | 发送电子邮件的 SES 用户的 IAM 身份。 |
| destination | 作为原始邮件的收件人的电子邮件地址的列表。 |
| headersTruncated | 仅当您将通知设置配置为包括原始电子邮件中的标头时,此对象才存在。 指示通知中的标头是否截断。当原始邮件中的标头大小为 10 KB 或更大时,SES 会在截断通知中的标头。可能的值为 `true` 和 `false`。 |
| headers | 仅当您将通知设置配置为包括原始电子邮件中的标头时,此对象才存在。 电子邮件的原始标头的列表。列表中的每个标头均有一个 `name` 字段和一个 `value` 字段。 `headers` 对象内的任何邮件 ID 均来自您传递至 SES 的原始邮件。SES 随后分配给电子邮件的邮件 ID 位于 `messageId` 对象的 `mail` 字段中。 |
| commonHeaders | 仅当您将通知设置配置为包括原始电子邮件中的标头时,此对象才存在。 包括有关原始电子邮件中的常用电子邮件标头的信息,包括“发件人”、“收件人”和“主题”字段。在此对象中,每个标头是一个键。“发件人”和“收件人”字段由可包含多个值的数组表示。 对于事件,`commonHeaders` 字段中的任何邮件 ID 是 Amazon SES 随后在邮件对象的 `messageId` 字段中分配给邮件的邮件 ID。通知将包含原始电子邮件的邮件 ID。 |
下面是包含原始电子邮件标头的 `mail` 对象的示例。当此通知类型未配置为包含原始电子邮件标头时,`mail` 对象不会包含 `headersTruncated`、`headers` 和 `commonHeaders` 字段。
```
{
"timestamp":"2018-10-08T14:05:45 +0000",
"messageId":"000001378603177f-7a5433e7-8edb-42ae-af10-f0181f34d6ee-000000",
"source":"sender@example.com",
"sourceArn": "arn:aws:ses:us-east-1:888888888888:identity/example.com",
"sourceIp": "127.0.3.0",
"sendingAccountId":"123456789012",
"destination":[
"recipient@example.com"
],
"headersTruncated":false,
"headers":[
{
"name":"From",
"value":"\"Sender Name\" Here is a formatted link: Amazon Simple Email Service Developer Guide.
10. 11. ``` 1. 通过展开 **Scenario**(场景)列表框选择要测试的模拟电子邮件场景的类型。 1. 如果您选择 **Custom**(自定义)并且仍在 Amazon SES 沙盒中,请确保 **Custom recipient**(自定义收件人)字段中的地址是经过验证的电子邮件地址。有关更多信息,请参阅 [创建电子邮件地址身份](creating-identities.md#verify-email-addresses-procedure)。 1. 根据需要填写其余字段。 1. 选择 **Send Test Email**(发送测试电子邮件)。 1. 登录您将电子邮件发送到的地址的电子邮件客户端。您将找到已发送的电子邮件。 ## 手动使用邮箱模拟器 Amazon SES 包含一个邮箱模拟器,您可以用它来测试您的应用程序如何处理各种电子邮件发送场景。邮箱模拟器非常有用,例如,在您希望测试电子邮件发送应用程序而无需创建虚构电子邮件地址时,或者当您希望确定系统的最大吞吐量而不会影响每日发送配额时。 ### 重要注意事项 在使用 Amazon SES 邮箱模拟器时,请注意以下功能和限制: + 即使您的账户位于 Amazon SES 沙盒中,您也可以使用邮箱模拟器。 + 发送到邮箱模拟器的电子邮件限制为您的账户的最大发送速率,但不会影响您的每日发送配额。例如,如果授权您的账户每 24 小时周期发送 10000 封邮件,而您向邮箱模拟器发送了 100 封邮件,您最多仍可以向普通收件人发送 10000 封邮件而不会超过您的发送配额。 + 发送到邮箱模拟器的电子邮件不会影响您的电子邮件送达率或声誉指标。例如,如果您发送大量邮件到电子邮件模拟器的退信地址,它不会在[声誉指标控制台页面](reputation-dashboard-dg.md)上显示消息来警告您邮件退回率太高。 + 在计费方面,发送到 Amazon SES 邮箱模拟器的电子邮件与使用 Amazon SES 发送的任何其他电子邮件相同。换而言之,对于您发送给邮箱模拟器的邮件以及发送到普通收件人的邮件,我们将向您收取相同的费用。 + 邮箱模拟器支持加标签,利用此功能,您可以通过多种方式将电子邮件发送到同一邮箱模拟器地址,也可以查看应用程序如何处理可变信封退回路径(VERP)。例如,您可以将电子邮件发送到 *bounce\$1label1@simulator.amazonses.com* 和 *bounce\$1label2@simulator.amazonses.com* 以测试您的应用程序是否可以使用导致退回的电子邮件地址匹配退信。 + 如果您使用邮箱模拟器模拟来自同一个发送请求的多个退信,Amazon SES 会将退信回复合并成单个回复。 ### 使用邮箱模拟器 要使用电子邮件模拟器,请在下表中找到场景,然后将电子邮件发送到对应的电子邮件地址。 **注意** 向邮箱模拟器地址发送电子邮件时,必须使用软件开发工具包、Amazon SES 控制台、Amazon SES AWS SMTP 接口或亚马逊 SES API 通过 Amazon SES 发送。 AWS CLI邮箱模拟器不会回复接收自外部来源的电子邮件。 | 模拟的场景 | 电子邮件地址 | | --- | --- | | 成功送达:收件人的电子邮件提供商接受了电子邮件。如果您按照[为 Amazon SES 设置事件通知](monitor-sending-activity-using-notifications.md)中所述方式设置送达通知,那么 Amazon SES 会通过 Amazon Simple Notification Service(Amazon SNS)将送达通知发送给您。 | success@simulator.amazonses.com | | 退信:收件人的电子邮件提供商拒绝您的电子邮件并返回 SMTP 550 5.1.1(“未知用户”)响应代码。Amazon SES 会生成一条退信通知,根据您的账户设置,通过电子邮件将其发送给您或者发送通知到 Amazon SNS 主题。邮箱模拟器电子邮件地址不会像一般的电子邮件地址一样在出现硬退信时被加入 Amazon SES 黑名单。您从邮箱模拟器收到的退信响应符合 [RFC 3464](https://tools.ietf.org/html/rfc3464)。有关如何接收退信反馈的信息,请参阅[为 Amazon SES 设置事件通知](monitor-sending-activity-using-notifications.md)。 | bounce@simulator.amazonses.com | | 自动回复:收件人的电子邮件提供商接受您的电子邮件并将其传送到收件人的收件箱。电子邮件提供商发送自动回复(例如“out of the office(外出,OOTO)”消息)到电子邮件 Return-Path 标头中的地址,如果没有 Return-Path 标头,则发送到信封发件人(MAIL FROM)地址。您从邮箱模拟器收到的自动回复符合 [RFC 3834](https://tools.ietf.org/html/rfc3834) 标准。 | ooto@simulator.amazonses.com | | 投诉:收件人的电子邮件提供商接受您的电子邮件并将其传送到收件人的收件箱。收件人在自己的邮件客户端中确定您的邮件是未经请求的,并单击 Mark as Spam (标记为垃圾邮件)。Amazon SES 随后通过电子邮件或通知 Amazon SNS 主题(具体取决于您的账户设置)将投诉通知转发给您。您从邮箱模拟器收到的投诉响应符合 [RFC 5965](https://tools.ietf.org/html/rfc5965)。有关如何接收投诉反馈的信息,请参阅 [为 Amazon SES 设置事件通知](monitor-sending-activity-using-notifications.md)。 | complaint@simulator.amazonses.com | | 收件人地址在黑名单上:Amazon SES 生成硬退信,就像是收件人的地址在全局黑名单上一样。 | suppressionlist@simulator.amazonses.com | ### 测试拒绝事件 您经由 Amazon SES 发送的每个邮件都会经过病毒扫描。如果您发送一个包含病毒的邮件,Amazon SES 会接受该邮件,检测病毒,然后拒绝整个邮件。当 Amazon SES 拒绝邮件时,它会停止处理邮件,并且不会尝试将邮件发送到收件人的邮件服务器。然后,它将生成一个拒绝事件。 Amazon SES 邮箱模拟器不包含用于测试拒绝事件的地址。但是,您可以使用欧洲计算机防病毒研究所 (EICAR) 测试文件来测试拒绝事件。此文件是一个以安全的方式测试反病毒软件的行业标准方法。要创建 EICAR 测试文件,请将以下文本粘贴到一个文件中: ``` X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ``` 将该文件另存为 `sample.txt`,将其附加到电子邮件,然后将电子邮件发送到经验证的地址。如果该电子邮件没有任何其他问题,Amazon SES 会接受该邮件,但接着会拒绝它,如同它包含真实病毒一样。 **注意** 拒绝的电子邮件(包括通过使用上述过程发送的电子邮件)将被计入您的每日发送配额中。我们将向您发送的每封邮件收费,包括被拒绝的邮件。 要了解有关 EICAR 测试文件的更多信息,请参阅 [Wikipedia 上的 EICAR 测试文件页面](https://en.wikipedia.org/wiki/EICAR_test_file)。