AWS EC2+Postfix+SESでEC2インスタンスからメール送信をする
はじめに
AWS EC2にPostfixをインストールし、AWS SESを利用してEC2からメールを送るということをやったので記録しておく。
動機
EC2からのメール送信は、下記のようにポート25に制限がかかっている。
そのため、制限解除や他の解決策が必要になっている。
解決策としては、
- EC2からのメール送信の利用制限を解除する
- SESを利用する(メール送信サービスを利用)
の2点がある。
1点目の制限解除は、利用制限解除をするにあたってスパムメール対策の施策をAWSに連絡しなければならない。
その結果、利用が可能かどうかについてAWS側で判断し制限の解除が実施されることになる。
2点目は、外部のメール送信サービスを利用する。(今回はSESを想定する)
SESを利用することで、信頼度やSPFおよびDKIMを設定することになった際に SESの方が柔軟に対応できると考えたため、今回はSESを利用する方を選択した。
※外部のメール送信サービス、例えばSendGrid等でも良いが、AWS内で完結させることを考えSESを利用することにする。
費用について
無料利用枠は 3000件かつ期間は最初の1年のみとなっている。
以降は 1000件ごとに0.1USDかかる。
- 参考
https://aws.amazon.com/jp/ses/pricing/
https://aws.amazon.com/jp/free/?all-free-tier.sort-by=item.additionalFields.SortRank&all-free-tier.sort-order=asc&awsf.Free%20Tier%20Types=*all&awsf.Free%20Tier%20Categories=*all&all-free-tier.q=SES&all-free-tier.q_operator=AND
準備
※既に使用するEC2インスタンスがあればこの手順はスキップして良い。
EC2のインスタンスの作成
- サービスより「EC2」を選択する。
- ナビゲーション ペインから「インスタンス」→「インスタンス」を選択する。
- 「インスタンスを起動」を選択する。
- 適当に設定する、今回は下記のように設定。
名前 | アーキテクチャ | インスタンスタイプ | ストレージ | AMI |
---|---|---|---|---|
test | 64ビット(Arm) | t4g.nano | 8GB | AmazonLinux2023 |
手順
SESの設定1 (初期設定~ドメインの追加)
AWSのコンソールにログインをする
ステップ1のメールアドレスを追加をする。
※検証リンクのために使用するメールアドレスのため、自分が所有しているメールアドレスを入力する。ステップ2「送信ドメインを追加」をする。
※EC2→Postfix→SESでメールを送信するので、送信元メールアドレスのドメインを入力する。(ここでは、自サイトのk-bushi.comとする)ステップ3「SES を確認して、使用を開始する」にて、メールアドレスとドメインを確認し、「Get started」を選択する。
ステップ1で入力したメールアドレスに検証メールが送信されるので確認をする。
上記の表題のようなメールが受信できていたので、メールの内容をよく読み、メール内のリンクをクリックする。
ここまでで、AWSコンソールの「SES」のページにて、ナビゲーションペインより「検証済みID」を確認する。
すると、k-bushi.comは「検証保留中」、先程追加したメールアドレスは「検証済み」となっている。
次のステップでは、送信ドメインの検証を行う。
SESの設定2 (送信元ドメインの検証)
ナビゲーションペインより「検証済みID」を選択し、「検証済みID」の一覧に遷移する。
一覧から追加したドメイン(ここでは
k-bushi.com
)を選択する。表示された CNAMEレコードをDNSのレコードに追加する。
※k-bushi.comはCloudflareで管理しているが、ここではその手順の記述は割愛する。
CloudflareではDNSレコード設定でProxyを設定できるが、オフにしないと設定できないことに注意。
Cloudflareで設定が完了した。設定が正しいかどうかについて確認をする。
下記のサイトを利用し、ホスト名、オプション(CNAMEを選択) を入力し、dig実行を行う。
https://www.cman.jp/network/support/nslookup.html
ちゃんとできれば、ANSWER SECTION:に登録したCNAMEが結果として返ってくる。
問題なく設定されているのであれば、検証保留中のステータスが変わるまで少し待ってみる。
※大体10分くらい待ったら検証済になっていた。ナビゲーションペインより「検証済みID」を選択し、「検証済みID」の一覧に遷移し、対象のドメインが検証済になっていることを確認する。
これにて、このステップは完了した。
次のステップでは、テストメールの送信を行い動作を確認する。
※補足: DKIM setup SUCCESSのメールが受信されていた。(To: AWSの管理者メールアドレス)
SESの設定3 (テストメールの送信)
ナビゲーションペインより「検証済みID」を選択し、「検証済みID」の一覧に遷移する。
検証済みとなっている対象のドメインを選択する。
設定を行い、Eメールの送信を行う。
Eメール形式 From-address シナリオ カスタム受信者 件名 本文 設定セット フォーマット済み no-reply⭐️k-bushi.com カスタム [検証済みのメールアドレス] (省略) (省略) my-first-configuration-set
※SESがサンドボックス環境内のため、検証済みのメールアドレスのみにしか送れないことに注意。
現状では、SESの設定1 で追加したメールアドレスにしか送れない
- SESから送信したメールについてのSPFについて
https://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-spf.html
これにて、このステップは完了。 最後のステップでは、Postfixから送信するためのSMTP認証情報を取得する。
SESの設定4(SMTP認証情報の取得)
ナビゲーションペインより「SMTP設定」を選択する。
ユーザー作成後に、SMTP認証情報が表示されるので「.csvファイルをダウンロード」で認証情報を取得しておく。 ダウンロード完了後に、SESコンソールに戻るを選択する。
これでSESの設定はすべて完了した。 次のステップから、EC2の設定になる。
EC2の設定1 (Postfixをインストール)
- AmazonLinux2023にて
postfix
をインストールする。
|
|
下記がインストールされる。
|
|
- バージョンの確認
|
|
EC2の設定2 (PostfixからSESにリレーをする設定)
main.cf
のバックアップを取得する。
|
|
main.cf
内を下記のように修正する。
|
|
|
|
※relayhostのリージョンに注意すること。
- sasl_passwdの編集
|
|
先程取得したSMTPの認証情報を利用する。
SMTPUSERNAME:SMTPPASSWORD
には、 ユーザ名:パスワードの形式で入力する。
|
|
※SESのリージョンに注意すること。
- postmapで*.dbファイルの作成
|
|
- 所有権を変更する。
|
|
- CA-bundleの位置を編集する
|
|
- Postfixの再起動
|
|
EC2の設定3 (動作確認)
- sendmailコマンドにて検証済みドメインのメールアドレスに送信する。
|
|
- 受信できていることを確認する。
本番稼働アクセスのリクエスト
サンドボックス環境内での設定および動作確認は問題なかったのであれば、本番稼働アクセスのリクエストを行い、検証済みメールアドレス以外にも送信できるようにAWSにリクエストを行う必要がある。
「Amazon SES アカウントは以下のサンドボックスにあります」と記載がある箇所の、「設定を始めるページを表示」を選択する。
理由を説明して返信済み。
※現在待ちの状態。
31時間後くらいに返信が来て本番稼働のリクエストが承認された。土日だけどサポートが早かった!
以上にて、EC2->Postfix->SESでメール送信できるようになった。
参考
25番ポートの申請不要 SES に SMTP リレーをする Postfix サーバーを構築してみた
https://qiita.com/sugimount-a/items/4784439d1275abd4b9ccAmazon EC2 インスタンスまたは AWS Lambda 関数のポート 25 の制限を解除するにはどうすればよいですか?
https://repost.aws/ja/knowledge-center/ec2-port-25-throttleAWS SES 無料利用枠
https://aws.amazon.com/jp/ses/pricing/ https://aws.amazon.com/jp/free/?all-free-tier.sort-by=item.additionalFields.SortRank&all-free-tier.sort-order=asc&awsf.Free%20Tier%20Types=*all&awsf.Free%20Tier%20Categories=*all&all-free-tier.q=SES&all-free-tier.q_operator=ANDCMAN - Nnetworks
https://www.cman.jp/network/support/nslookup.htmlAmazon SES における SPF を使った E メールの認証
https://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-spf.htmlPostfix設定パラメータ
https://www.postfix.org/postconf.5.html https://www.postfix-jp.info/trans-2.2/jhtml/postconf.5.html
おわりに
AWS EC2からそのままメールを送信するということが簡単にはできないので、SESを利用する方法をとった。
SESでも本番稼働のリクエストはしっかり説明できないと今回のようにrejectされてしまうので注意が必要。
世界のスパムメール数は年々多くなっているので、これの影響なのかと思われる。
多くのスパムメールにAWS SESが使われてしまったら、ドメインごと拒否されるようになって信頼がなくなってしまうので慎重になっているのかなと想像している。