Amazon SES: vollständiger Leitfaden zur DNS-Konfiguration und E-Mail-Authentifizierung
Von CaptainDNS
Veröffentlicht am 20. Januar 2026
- Amazon SES bietet E-Mail-Versand zu 0,10$/1000 E-Mails mit 7 EU-Regionen für DSGVO-Konformität.
- Easy DKIM generiert 3 CNAME, die sowohl zur Domain-Verifizierung als auch zur DKIM-Signierung dienen (automatische Rotation alle 90 Tage).
- Custom MAIL FROM ist unerlässlich für das SPF-DMARC-Alignment, ohne es authentifiziert SPF mit
amazonses.com. - Für
p=rejectkombinieren Sie Easy DKIM + Custom MAIL FROM + Relaxed Alignment (adkim=r,aspf=r).
Warum Amazon SES Ihre Aufmerksamkeit verdient?
Amazon SES verarbeitet seit seiner Einführung im Jahr 2011 mehr als eine Billion E-Mails pro Jahr. Mit einer Preisgestaltung von 0,10$ pro 1.000 E-Mails (ohne Volumenstaffelung) ist es die wirtschaftlichste Option für transaktionalen und Marketing-E-Mail-Versand.
Was den Unterschied macht:
- API v2 (September 2019): Nachrichten bis zu 40 MB, native Abmeldeverwaltung, benutzerdefinierte Header ohne Raw-E-Mail
- 7 EU-Regionen: Frankfurt, Irland, London, Paris, Stockholm, Mailand, Zürich - DPA DSGVO automatisch enthalten
- Virtual Deliverability Manager: Reputations-Dashboard und automatisierte Empfehlungen
Dieser Leitfaden konzentriert sich auf die DNS-Konfiguration und Authentifizierung. Das Ziel: optimale Zustellbarkeit kompatibel mit p=reject.
SES-Versandarchitektur und Authentifizierungsablauf
Wenn Sie über SES versenden:
- Ihre Anwendung ruft die API v2 auf oder verwendet SMTP
- SES signiert die Nachricht mit Ihrem DKIM-Schlüssel (Domain
d=captaindns.com) - Der Empfangsserver überprüft SPF (Sende-IP), DKIM (Signatur), dann DMARC (Alignment)
Vollständige DNS-Konfiguration
Easy DKIM: die empfohlene Methode
Easy DKIM generiert 3 CNAME-Einträge, die zwei Funktionen erfüllen:
- Verifizierung des Domain-Eigentums (kein TXT
_amazonseserforderlich) - DKIM-Signierung mit automatischer Rotation alle 90 Tage
{token1}._domainkey.captaindns.com CNAME {token1}.dkim.amazonses.com
{token2}._domainkey.captaindns.com CNAME {token2}.dkim.amazonses.com
{token3}._domainkey.captaindns.com CNAME {token3}.dkim.amazonses.com
Schlüsselgröße: RSA 2048-Bit standardmäßig (empfohlen). Die Rotation verwaltet automatisch die Rollen aktiv/passiv/ausstehend zwischen den 3 CNAMEs.
Custom MAIL FROM: das kritische Element für DMARC
Ohne Custom MAIL FROM verwendet der SMTP-Umschlag amazonses.com als MAIL FROM-Domain. Ergebnis: SPF authentifiziert mit amazonses.com, nicht mit Ihrer Domain, das SPF-DMARC-Alignment schlägt fehl.
Erforderliche Einträge (Beispiel für mail.captaindns.com):
| Typ | Name | Wert | Priorität |
|---|---|---|---|
| MX | mail.captaindns.com | feedback-smtp.eu-west-1.amazonses.com | 10 |
| TXT | mail.captaindns.com | "v=spf1 include:amazonses.com ~all" | - |
Einschränkungen:
- Custom MAIL FROM muss eine Subdomain der verifizierten Domain sein
- Nur ein MX-Eintrag (mehrere = Fehler)
- Diese Subdomain sollte keine anderen E-Mails empfangen
SPF auf der Root-Domain: optional aber empfohlen
Wenn Sie Easy DKIM + Custom MAIL FROM verwenden, ist SPF auf der Root-Domain nicht für DMARC erforderlich (DKIM reicht aus). AWS empfiehlt jedoch, es zu konfigurieren:
captaindns.com TXT "v=spf1 include:amazonses.com ~all"
DMARC-Alignment: Konfiguration für p=reject
Was funktioniert (und was nicht)
DKIM-Alignment (Hauptmethode):
| Konfiguration | Aligniert? | DMARC via DKIM? |
|---|---|---|
| Nur verifizierte E-Mail (keine DKIM-Domain) | Nein | Nein |
| Domain mit aktiviertem Easy DKIM | Ja | Ja |
| Domain mit BYODKIM | Ja | Ja |
SPF-Alignment:
| Konfiguration | Aligniert? | DMARC via SPF? |
|---|---|---|
Standard-MAIL FROM (amazonses.com) | Nein | Nein |
| Custom MAIL FROM + aspf=r (relaxed) | Ja | Ja |
| Custom MAIL FROM + aspf=s (strict) | Nein | Nein (Subdomain-Mismatch) |
Empfohlener DMARC-Eintrag
_dmarc.captaindns.com TXT "v=DMARC1;p=reject;adkim=r;aspf=r;rua=mailto:dmarc@captaindns.com"
Wichtige Punkte:
adkim=rundaspf=r: Relaxed Alignment (erlaubt Subdomains)- Fortschreiten von
p=none→p=quarantine→p=reject - Überwachen Sie die
rua-Berichte vor der Verschärfung
DNS-Übersichtstabelle
| Typ | Host/Name | Wert | Erforderlich |
|---|---|---|---|
| CNAME | {token1}._domainkey.captaindns.com | {token1}.dkim.amazonses.com | Ja (Easy DKIM) |
| CNAME | {token2}._domainkey.captaindns.com | {token2}.dkim.amazonses.com | Ja (Easy DKIM) |
| CNAME | {token3}._domainkey.captaindns.com | {token3}.dkim.amazonses.com | Ja (Easy DKIM) |
| MX | mail.captaindns.com | feedback-smtp.{region}.amazonses.com | Ja (Custom MAIL FROM) |
| TXT | mail.captaindns.com | "v=spf1 include:amazonses.com ~all" | Ja (Custom MAIL FROM) |
| TXT | _dmarc.captaindns.com | "v=DMARC1;p=reject;adkim=r;aspf=r;..." | Empfohlen |
| CNAME | track.captaindns.com | r.{region}.awstrack.me | Optional (Tracking) |
Versandmethoden: API v2 vs SMTP
API v2 (empfohlen)
Endpoint: https://email.{region}.amazonaws.com
aws sesv2 send-email \
--from-email-address "sender@captaindns.com" \
--destination '{"ToAddresses":["recipient@captaindns.com"]}' \
--content '{
"Simple": {
"Subject": {"Data": "Test"},
"Body": {"Html": {"Data": "<h1>Hello</h1>"}}
}
}' \
--configuration-set-name "my-config-set"
Vorteile v2:
- Nachrichten bis zu 40 MB (vs 10 MB in v1)
- Native benutzerdefinierte Header (List-Unsubscribe ohne Raw-E-Mail)
ListManagementOptionsfür die Listenverwaltung
SMTP-Schnittstelle
Endpoint: email-smtp.{region}.amazonaws.com
| Port | Protokoll | Empfehlung |
|---|---|---|
| 25 | STARTTLS | Oft von ISPs blockiert |
| 465 | Implizites TLS | Alternative |
| 587 | STARTTLS | Empfohlen |
| 2587 | STARTTLS | Alternative zu 587 |
Verfügbare X-SES-*-Header:
X-SES-CONFIGURATION-SET: Configuration Set zuordnenX-SES-MESSAGE-TAGS: Tags hinzufügen (key=value)
Wichtige Kontingente und Limits
| Kontingent | Sandbox | Produktion |
|---|---|---|
| E-Mails/24h | 200 | ~50.000-100.000 (initial) |
| Senderate | 1/Sek | ~14-50/Sek (initial) |
| Empfänger/Nachricht | 50 | 50 |
| Nachrichtengröße (API v2) | 40 MB | 40 MB |
Sandbox verlassen: über die SES-Konsole oder AWS CLI, Bearbeitungszeit ~24h bei vollständigem Antrag.
Reputationsschwellenwerte: die kritischen Zahlen
| Metrik | Warnung | Maximum | Aktion |
|---|---|---|---|
| Bounce Rate | 5% | 10% | Account-Überprüfung |
| Complaint Rate | 0,1% | 0,2% | Account-Überprüfung |
Best Practices:
- Aktivieren Sie die Account-Level Suppression List (automatische Unterdrückung von Hard Bounces)
- Konfigurieren Sie CloudWatch-Alarme für
Reputation.BounceRateundReputation.ComplaintRate - Soft Bounces: SES versucht automatisch erneut für 12h
Preisgestaltung 2025
| Komponente | Preis |
|---|---|
| Gesendete E-Mails | $0,10 / 1.000 |
| Ausgehende Daten (Anhänge) | $0,12 / GB (erstes GB kostenlos) |
| Standard dedizierte IP | $24,95 / Monat / IP |
| Managed Dedicated IPs | $15/Monat + $0,08-0,02/1000 je nach Volumen |
| Virtual Deliverability Manager | $0,07 / 1.000 E-Mails |
Free Tier (neue Konten): 3.000 E-Mails/Monat für 12 Monate.
Aktionsplan: Konfiguration in 6 Schritten
- Domain-Identität erstellen in der SES-Konsole (EU-Region Ihrer Wahl)
- Easy DKIM konfigurieren: die 3 von SES bereitgestellten CNAMEs veröffentlichen
- Auf Verifizierung warten: bis zu 72h für die DNS-Propagierung
- Custom MAIL FROM konfigurieren: Subdomain mit MX und TXT SPF erstellen
- DMARC-Eintrag veröffentlichen: mit
p=nonebeginnen, Berichte überwachen - Sandbox verlassen: Antrag auf Produktionszugang einreichen
FAQ
Muss Custom MAIL FROM zwingend konfiguriert werden?
Für das SPF-DMARC-Alignment, ja. Ohne Custom MAIL FROM authentifiziert SPF mit amazonses.com, was das Alignment bricht. Wenn Sie sich nur auf DKIM für DMARC verlassen (was funktioniert), bleibt Custom MAIL FROM für die Tiefenverteidigung empfohlen.
Welche EU-Region sollte für die DSGVO gewählt werden?
Alle 7 EU-Regionen (Frankfurt, Irland, London, Paris, Stockholm, Mailand, Zürich) sind DSGVO-konform mit automatisch enthaltenem DPA. Wählen Sie nach Latenz und SMTP-Verfügbarkeit (Mailand und Zürich haben keinen SMTP-Endpoint).
Sind alle 3 Easy DKIM CNAMEs gleichzeitig aktiv?
Nein. Nur ein CNAME ist zu einem bestimmten Zeitpunkt aktiv (löst mit einem öffentlichen Schlüssel p=... auf). Die anderen beiden befinden sich in Rotation (passiv/ausstehend). SES verwaltet die Rotation automatisch alle ~90 Tage.
Wie testet man die Konfiguration vor dem Produktionseinsatz?
In der Sandbox senden Sie an verifizierte Adressen. Verwenden Sie aws sesv2 send-email mit einem Configuration Set, das für die Veröffentlichung von Ereignissen an SNS oder CloudWatch konfiguriert ist. Überprüfen Sie die empfangenen DKIM- und SPF-Header.
Glossar
-
Easy DKIM: SES-Methode, die DKIM-Schlüssel über 3 CNAME-Einträge automatisch generiert und verwaltet, mit automatischer Rotation.
-
Custom MAIL FROM: Subdomain, die konfiguriert wird, um die Standard-MAIL FROM-Domain (
amazonses.com) zu ersetzen, erforderlich für das SPF-DMARC-Alignment. -
BYODKIM: Bring Your Own DKIM - Option zur Verwendung eigener DKIM-Schlüssel anstelle der von SES generierten (nur 1 TXT-Eintrag).
-
Configuration Set: Regelwerk in SES für Tracking, Ereignisbenachrichtigungen und TLS-Richtlinien.
-
Sandbox: Anfangsmodus von SES-Konten, der den Versand auf 200 E-Mails/Tag nur an verifizierte Adressen beschränkt.
-
Virtual Deliverability Manager (VDM): Kostenpflichtige SES-Funktion, die ein Metriken-Dashboard und automatisierte Zustellbarkeitsempfehlungen bietet.
