まえがき
cloudpack 木村(富)です。
本記事はAmazon SES バウンス、苦情率、SESクレデンシャル漏洩について案内させていただきます。
<Amazon SES バウンス>
Amazon SESを利用してメールを送信したが、送信先に届かず、送信元にメールが返ってくる状態。
<Amazon SES 苦情率>
Amazon SESを利用して送信したメールに対して受信者が迷惑メールとして報告されたメール。
<Amazon SESクレデンシャル漏洩>
Amazon SESで利用している認証情報が漏洩している恐れがあり、そのためバウンスや苦情率が上昇している可能性がある。
Amazon SESを利用しているとAWSから以下のような件名のアラートメールが送付される場合があります。
早急な対応と対策を実施する必要があります。
・Amazon SES Bounce Review Period for AWS Account
・Amazon SES Complaint Review Period for AWS Account
・Amazon SES Vulnerable Site Review Period for AWS Account
Amazon SES バウンス、苦情率、SESクレデンシャル漏洩が発生すると、対象のAWSアカウントにおいてAmazon SESのメール送信機能を停止、もしくは永久停止される恐れがあります。
対応、対策に本記事がお役に立ちますと幸いです。
【Amazon SES バウンス、苦情率、SESクレデンシャル漏洩共通事項】
AWSからの上記通知が送付された際、該当審査期間中でもAmazon SESメールは送付可能です。
問題を解決されない場合はAmazon SESを利用したメール送付が停止されます。
そして何度もAmazon SES バウンス、苦情率、SESクレデンシャル漏洩を発生させるとAmazon SESを利用したメール送信が永久停止されます。
【Amazon SES バウンス】
・Amazon SES Bounce Review Period for AWS Account
◾️原因
バウンス率が5%を超えるとこの通知が送付されます。
Amazon SESサービス画面の「評価メトリクス」で現在の状況を確認できます。
対象はハードバウンスのみです。ソフトバウンスは含まれません。
[参考]
・バウンスに関するよくある質問
◾️内容
・分析対象のメール数と分析期間が記載されている。
なお、バウンス対象のメールの数はメッセージ数ではなく受信者数に基づいて算出されます。
(例:1通のメールをCCやBCC含め30人に送付した場合は対象のメールは30通になります)
・バウンス率が10%を超過して対応しないとAmazon SESを利用したメール送信が停止される恐れがあります。
・問題が深刻な場合、レビュー期間なしでAmazon SESメール送信が停止されることもあります。
【Amazon SES 苦情率】
・Amazon SES Complaint Review Period for AWS Account
◾️原因
苦情率が0.1%を超えるとこの通知が送付されます。
Amazon SESサービス画面の「評価メトリクス」で現在の状況を確認できます。
[参考]
・苦情に関するよくある質問
◾️内容
・分析対象のメール数と分析期間が記載されている。
なお、苦情率対象のメールの数はメッセージ数ではなく受信者数に基づいて算出されます。
(例:1通のメールをCCやBCC含め30人に送付した場合は対象のメールは30通になります)
・苦情率が0.5%を超過して対応しないとAmazon SESを利用したメール送信が停止される恐れがあります。
・問題が深刻な場合、レビュー期間なしでAmazon SESメール送信が停止されることもあります。
◾️対応方法
<1>
バウンス率を2%未満まで下げてください。(推奨は5%未満ではなく、2%未満です)
苦情率を0.1未満まで下げてください。
Amazon SESサービス画面の「サプレッションリスト」にてバウンスや苦情に該当するメールアドレスが確認できます。
該当メールアドレスに対してすぐにメール送信を停止してください。その後調査してメールを送信しないようにしてください。
必要なメールアドレスがないか確認してください。SMTPサーバーの設定ミスなどで誤ってサプレッションリストに登録される場合もあるようなので注意してください。
・Amazon SES アカウントレベルのサプレッションリストの使用
<2>
上記対応後にAWSより送付されたAmazon SESのメールに対して下記を記載して返信してください。
・Amazon SESバウンスが高くなった原因について(バウンスの場合)
・Amazon SES苦情率が高くなった原因について(苦情率の場合)
・メール送信システム、またはプロセスにどのような変更を加えたか。
・将来この問題が再発しないために何をしたか。
もし、Amazon SESでメール送信が停止された場合、これらを返信して問題が解決されたと判断された場合にAmazon SESメール送信機能が再開されます。
◾️対策
バウンスや苦情を監視するシステムの導入や、利用用途に適した設定を検討してください。
Virtual Deliverability Manager は Amazon SES の機能の 1 つで、送信データや配信データに関するインサイトや、 配信成功率と評価に悪影響を与えている問題の解決方法に関するアドバイスを提供することで、 受信トレイへの配信性能や E メールのコンバージョンを高めるなど、E メールの配信性能を強化するのに役立ちます。
ご自身でバウンスや苦情を管理する方法としてAWSより以下が推奨されています。
①イベントパブリッシング
・Amazon SES イベント発行を使用してメール送信を監視する(推奨)
②メール ID 通知
・Amazon SES のイベント通知の設定
※推奨の記述については本件のアラートメール内にて記載されています。
バウンスや苦情イベントが発生しないか確認される場合はAmazon SES メールボックスシミュレータでテストしてください。
Amazon SES メールボックスシミュレータにメールを送信してもバウンス率や苦情率の計算に含まれません。
・シミュレーターを使用した Amazon SES でのテストメール送信
【Amazon SESクレデンシャル漏洩】
・Amazon SES Vulnerable Site Review Period for AWS Account
◾️原因
本通知は漏洩原因の特定が困難となっています。そのため一般的な原因は以下のようなものが挙げられます。
・Amazon SES アクセスキーの漏洩
・Amazon SES SMTP認証情報の漏洩
・その他のセキュリティ脆弱性によるもの
残念ながらどのような経路でAmazon SESクレデンシャル情報が漏洩したかについてはAWSに問い合わせてもAWS側でもわからないため回答いただけません。予めご了承の程よろしくお願い致します。
◾️内容
Amazon SESで利用しているSMTP認証用のクレデンシャル情報が漏洩し、対象のAWSアカウントのSESでフィッシングメールやスパムメールを送信している可能性がある。
◾️対応方法
<1>
この問題に対応するために以下のような対応を実施してください。
・Amazon SES アクセスキーのローテーション
・内部セキュリティ設定の確認と更新
・サードパーティのサイトや保管場所にあるコード、機密情報の削除
・承認されたユーザーのみがログイン情報にアクセスできるようにする
[参考]
・既存の SES SMTP IAM ユーザーのアクセスキーをローテーションする方法を教えてください。
<2>
対象AWSアカウントの不正アクセス、他のAWSサービスが侵害されていないか確認してください。
漏洩の原因がわからなくても次の項目で再発しない措置を実施してください。
<3>
問題が再発しないように以下のような措置を実施してください。
下記参考例:
・自動スクリプトによる機能の悪用を防ぐために CAPTCHA を追加する。
・電子メールを送信できる速度を制限する。
・カスタムコンテンツを送信に使用する機能を削除する。
・電子メールを送信するには、ユーザーがログインするように設定する。
・内部のセキュリティ方法を確認して更新する
・侵害の可能性がある IAM ユーザーを削除し、他のすべての IAM ユーザーのパスワードを変更する。
<4>
上記対応後にAWSより送付されたAmazon SESクレデンシャル漏洩メールに対して下記を記載して返信してください。
①脆弱性の根本原因と判断された点
②メールシステムやプロセスにどのような変更をされたか(再発しないための措置内容)
③上記②の変更によって今後この問題をどのように防止できるかの説明
◾️対策
利用用途(認証情報の種類)により以下ドキュメントに記載されているような推奨事項を検討してください。
・Amazon Simple Email Service (Amazon SES) に対して自分のドメインの検証を行いました。気をつけておくべきベストプラクティスはどのようなものですか?
以上になります。
参考になりましたら幸いです。
あとがき
【Amazon SES バウンス】【Amazon SES 苦情率】【Amazon SESクレデンシャル漏洩】も下記のAWS規約違反に該当します。
実際にAmazon SES サービスの利用停止事例もございますので予めご注意ください。
15. Amazon シンプルメールサービス (SES)
運用にご不安がございましたら弊社運用・保守サービスをご検討いただけますと幸いです。
簡単30秒