AWSクラウドでメールを送信する(AmazonSES)

AWSクラウドでのシステム構築で、メール送信する要件があった場合に、オンプレミスでの開発経験からして、EC2上にメールサーバを立てるのを普通に考えると思いますが、これがなかなか悩みどころなのです。

まず、AWSクラウドでは内部のEC2インスタンスからのSMTP通信はリスクがあると考えられています。

メール送信のための通信である、SMTPポート25番はブラックリストに登録されています。
基本的に、EC2インスタンスからのメール送信は、悪意あるユーザーによるしわざとみなされています。
つまり、これが、セキュリティを考えた場合の基本的なスタンスなのです。

そのようなAWSの方針なのですが、それでもEC2インスタンス上のメールサーバ機能によって、メール送信を行うと決めた場合には、これをAWSに解除してもらう必要があります。そのためには、AWSに対する送信制限解除申請が必要になります。
 ☞ 「AWS EC2インスタンスからメール送信する場合の送信制限解除申請」

(契約したばかりのAWSアカウントでの解除申請で、お断りのメールをAWSから受け取ったことがありました。
 サポートとやり取りした結果で聞いた理由では、この申請はある程度運用したアカウントで、料金を支払った実績がないと
 許可されないことがあるとのことでした)

そして、EC2インスタンス上で Postfix などのメール送信サーバを構築する段階でも、実装の難しさがあります。
AWSからは、セキュリティ的に問題のない実装を義務ずけられていますので、送信者ドメイン認証(SPF、DKIM、DMARC)の実装が必要です。

ところがこれが難しいのです。SPF、DKIM、DMARCといった機能を有効化して、設定を行い、さらにDNSであるRoute53にもレコードを登録する必要があります。
私は、色々設定を試しましたが、DKIM、DMARCといった機能を標準的メールソフトへ実装する情報が少なくてつまずきました。

また、設定がうまくいったとしても、AWSはリスクのない安全なメール運用を求めています。
それにはメール運用監視が必要であったりとか、クレームがあった場合の迷惑メール対策が必要です。

エラーやメール不達で戻ってくるバウンスメールに対しても、適切な対応が必要になってきます。
このエラーの通知について、監視して認識できるようにして、適切な対策を取っていない場合に、スパムメールの送信元と評価されたり、エラーによるメール配信の遅延で機械損失となったり、社会的信用を失ったりすることが発生してしまうのです。

AmazonSESには、このようなメール運用の負荷を支援する監視の仕組みや必要な対策が取れる機能が備わっているのがミソです。
問題のないメール運用を行うには、「AmazonSESを運用するのがベスト!!」というのが私の意見です。

ということで、今回はEC2インスタンスでのメール送信サーバ運用を行わないで、AWSサービスのSESを使う場合の手順です。
(ちなみに、次回は、AmazonSESの送信設定、次々回はメール受信のほうのサービス「AmazonWorkMail」を投稿します)

Amazon SES(Amazon Simple Email Service) セットアップ

SESは発信専用のメール送信サービスです。 2020.07 に SESが東京リージョンに対応しました!
AWS マネジメントコンソールのメニュー表示では、ずいぶんと端にあります。

マネージメントコンソールから、SESへの遷移

SESのコンソールが表示された。東京リージョンにして、「Domains」をクリック。

ドメインの指定

新規にドメインを登録するために、上部「Verify a New Domain」ボタンをクリック

「Domain:」欄に新規登録するドメイン名を入力

「Generate DKIM Setting」にもチェックを入れる

「Verify This Domain」ボタンをクリック

DNSのためのレコードが生成されます

※ Route 53を使用している場合には、「Use Route53」→「Create Record Sets」で自動設定されます。

Route53へのDNS登録

登録したドメインが認証待ち状態になります。

DNSサーバ(Route3)に登録され、しばらく経過すると、「verified」になり、ドメインおよびDKIMの検証が完了します。

Route53の登録状況

Route53を確認すると、自動でDNS登録がされている。

ドメイン認証確認

画面を更新すると

しばらく経過すると、「verified」になり、ドメインおよびDKIMの検証が完了します。

メールアドレスの登録

「Email Addresses」をクリック

「Verify a New Email Address」をクリック

「Email Address:」欄に登録するメールアドレスを入力し、「Verify This Email Address」ボタンをクリック

「Verification Email Sent」ダイアログが表示されるので、「Close」ボタンをクリック

入力したメールアドレス名が表示されます。まだこの時点では、Statusが「pending verification」

メールアドレスの検証

しばらく経つと、登録したメールアドレスにメールが送信されます。その中のリンクをクリックします。

登録したメールアドレスに指示メールが送られてくる

「Amazon SES の特徴」が表示されるが、

再表示すると

検証は完了(verified)

メールの送信テスト

「Send a Test Email」をクリック

送信したメールが受信できたことを確認

※ この時点では登録したメールアドレスのみに送信できる

SES Metric に
送信結果が記録されている

Amazon SES の制限解除

SESですが、初期状態だと以下の制限が掛かっています。

  • 事前に登録したメルアド以外には送信できない
  • 1日当たり200通までしか送信できない
  • 1秒当たり1通までしか送信できない

制限を解除するためには、以下の申請が必要になります。

「Request a Sending Limit Increase」をクリック

※ 2021.05.01 左の②のクリックで以前のように画面遷移しなかった。以下の操作を追加した。

AWSコンソールのヘッダー部分にあるサポート
→ サポートセンターを選択
AWS Support Center画面でCreate Caseを押下

解除申請するページに遷移した。

解除申請

解除申請のケースを開いた

Limit type:SES送信制限 → 固定値です
メールの種類 -opyopnal:システム通知 → 送信するメールの種類を記入します
ウェブサイトのURL -opyopnal:今回設定なし → 任意入力項目です
あなたのメールを明確にリクエストした受信者のみに送信する方法を説明してください -opyopnal
 : AWSサーバの監視とエラー通知。サービス利用者からの問い合わせ対応の用途のみ使用します。
    → 実際の使用用途を説明します。迷惑メールの送信でないことを明確に記述することが重要。
バウンスや苦情の通知を受け取った場合に従うプロセスを説明して下さい -opyopnal
 : SNS通知を設定し、バウンスが発生した場合は即座に解消に努めます。
    → バウンスメールの対応方法が分かっていて、適切に対応できることが書かれていれば合格だと思います。

Requests / Request 1 の設定

  • リージョン:東京リージョン → SES作成時のリージョン
  • Limit:希望する1日あたりの送信クエリ → 1日あたりに送信するメールの最大数を記載します。
  • New limit value:10000 → あまり大きな数値を申請すると通らないこともあるそう。5000~10000が妥当な線らしい。

Case description/Use case description

  • 詳しくシステムのことを記載します。任意項目。

Contact option

  • 「Preferred contact language」で日本語を選択し、「Submit」をクリックします。
制限解除のケースが作られた

解除申請を実施すると、アマゾンサポートから、申請を受けた旨、メールで通知がある。

申請を受けた旨、通知メールがある

送信制限の引き上げ申請が承認された旨、メールが送られてくる。

注意点が書かれており、アマゾンの対応ページの案内がされている

SES HOME から「Sending Statistics 」を選択して、送信制限が引き上げられているのを確認する。

1 日あたり 50,000 メッセージとなった

1秒間最大5通が、14通になった

送信者認証の確認

SPF

Amazon SES の場合には、DNS に SPF 設定は不要

Amazon の DNS に SPF レコードが設定されているので、自前で DNS 設定を行う必要はありません。デフォルトのままで SPF 認証が通ります。

SPFレコードをdigコマンドで確認

DKIM

Route53を使っている場合には、SES設定のドメイン情報の登録時に(今回は mikolabo.net )Route53のDNSレコードに
自動的にDKIMのためのCNAMEレコードが登録される。以下でステータスを確認する。

Domains → View Detail

DKIM が enable になっており、

CNAMEレコードも確認できる。

DMARCへの準拠

DMARCは、SPF およびDKIM を使用してメールスプーフィングを検出するメール認証プロトコルです。
DMARC に準拠するため、メッセージは SPF または DKIM のいずれか、または両方で認証される必要があります。

SPF によるDMARC への準拠  次の両方の条件を満たすことが求められている。

  1. Eメールが SPF チェックに合格する必要があります。
  2. メールヘッダーに含まれる From アドレスのドメインは、送信側メールサーバーが受信側メールサーバーに指定する MAIL FROM ドメインと合致する必要があります。
    ドメインの DMARC ポリシーが SPF で strict アラインメントを指定している場合、From ドメインと MAIL FROM ドメインが完全に一致する必要があります。
    ドメインの DMARC ポリシーが SPF で relaxed アラインメントを指定している場合、From ヘッダーに指定されたドメインのサブドメインを MAIL FROM ドメインにすることができます。

上記、2番目のDMARCポリシーを満たすために、カスタムのMAIL FROM ドメインの設定が必要!
※ Amazon SES から送信するメッセージには、MAIL FROM ドメインとして amazonses.com のサブドメインが使用されます。
  デフォルトの MAIL FROM ドメインが E メールを送信したアプリケーション (この場合は Amazon SES) と一致するため、
  Sender Policy Framework (SPF) 認証はこれらのメッセージを正常に検証します。

今回はメール送信のAWSサービスである、AmazonSESの内容だったのですが、 次回はAmazonSESの送信設定、次々回はメール受信のほうのサービス「AmazonWorkMail」をセットアップします。