AWS SESのMAIL FROMドメインは検証済みIDのサブドメインしか指定できない理由

ドキュメントやブログで明言されていないが、「SESから送信されるメールを他から送付されるメールと区別しやすくするため」な気がする

前提

カスタムMAILFROMを設定しようとすると検証済みIDのサブドメインしか指定できないと表示される

（推測している）理由

・SPFのDNSルックアップの回数制限があるので、あんまりサブドメインなしのドメインにSPFレコードを追加できない

・仮にSESで大量の不達メールを送ってしまった場合、DMARCで指定したメールにレポートメールが届くが、SESだけ個別のサブドメインにしないと他で送ったメールとドメインが一緒になってしまい区別できない

・SESから送るメールだけDMARCの設定を緩くしたいなど柔軟に対応しやすい

・仮にSESで大量の不達メールを送ってしまった場合にもサブドメインから送ればドメイン丸ごと死ぬことが避けやすい（でもこれは未確認なので怪しい）

そもそも、機械的かつ大量にメールを送る場合はドメインをサブドメインに切り出すというベストプラクティスがあるっぽい

ただ、ベストプラクティスといったが、メールを送る場合はサブドメインを許さない（DMARCのStrictモードを使う）ことで、管理外からサブドメインでメールを送られるのを避けるという厳格な運用もあるっぽい

メールアドレスに利用できるドメインを、厳密に管理するのが目的です。
• 例えば、strict を指定すれば、勝手にサブドメインでメールアドレスを作れません。
• 現在 relaxed で運用されている組織も、これ以上に勝手にサブドメインの利用が始まると、管理が困難になります
ので、基本的には strict でのアライメント一致を目指すのがオススメです。

https://www.nic.ad.jp/ja/materials/iw/2022/proceedings/c63/c63-koga.pdf

※この資料は実務的な面からのフォローが多くて勉強になった

雑記

指定したサブドメインにはバウンスメール用のMXレコード1件だけ登録するとかかれているが、最近はSESで受信もできるので、バウンスメール用(feedback-smtp)をと受信用(inbound-smtp)の２件が登録できるっぽい

メモです

メモです

AWS SESのMAIL FROMドメインは検証済みIDのサブドメインしか指定できない理由