fairlane.systems

AMAZON SES · TECH-STACK

Amazon SES: USD 0,10 pro 1.000 Mails, EU-Regions inkl. Zürich

AWS Simple Email Service ist der Preis-Sieger bei Versand-APIs. USD 0,10 pro 1.000 Mails, EU-Regions Frankfurt/Irland/Zürich, kein Dashboard out-of-the-box, integriert mit AWS-Stack.

Recherche & Faktencheck: · Stand: 2026-05

Was ist Amazon SES?

Amazon SES (Simple Email Service) ist der Mail-Versand-Dienst von AWS, seit 2011 in Produktion. Anders als Postmark oder Brevo bietet SES bewusst keine Dashboards, kein Marketing-Tooling und keine eingebauten Templates -- die Plattform liefert eine HTTPS-API und SMTP-Endpunkte, alles andere ist Sache des Anwenders. Der Preisvorteil ergibt sich daraus konsequent: USD 0,10 pro 1.000 versendete Mails, plus USD 0,12 pro GB Attachment-Daten. Bei 100.000 Mails pro Monat sind das USD 10 -- 5- bis 15-mal günstiger als die Spezialisten.

Im Mai 2026 ist SES in 17 AWS-Regions verfügbar, davon für Schweizer Setups relevant: `eu-central-1` (Frankfurt), `eu-west-1` (Irland), `eu-west-3` (Paris) und seit 2025 `eu-central-2` (Zürich). Letztere ist die einzige AWS-Region in der Schweiz und macht SES für CH-Treuhand-Setups interessant -- Daten verlassen das Schweizer Territorium nicht. AWS bietet pro Region einen eigenen API-Endpunkt (`email.eu-central-2.amazonaws.com` für Zürich), und die Sender-Domain muss in jeder Region separat verifiziert werden.

Die Preisstruktur ist linear: USD 0,10 pro 1.000 ausgehende Mails (inklusive Bounce-Verarbeitung). Eingehende Mails kosten USD 0,10 pro 1.000 Empfangs-Operationen, plus USD 0,09 pro 1.000 erfolgreich verarbeitete Chunks. Dedizierte IP-Adresse: USD 24,95 pro Monat (eine), USD 100 für ein „Dedicated IP Pool"-Setup. Kein Free-Tier seit 2024, aber AWS Free-Tier umfasst 200 SES-Mails pro Tag für EC2-/Lambda-Anwender im ersten Jahr.

Die wahre Stärke von SES ist die Integration mit dem AWS-Stack: Versand aus Lambda-Funktionen, Bounce-Notifications via SNS-Topic, Logs in CloudWatch, IAM-Rollen statt API-Keys. Wer AWS sowieso nutzt, hat SES als „eine Zeile Boto3" bereits in der Hand. Wer kein AWS nutzt, hat 1-2 Tage Setup-Aufwand vor sich.

Warum es für CH-KMU zählt

SES hat drei spezifische Vorteile für Schweizer Setups, die seit 2025 stark gewachsen sind: die Zürich-Region, der Preis-pro-Mail bei hohen Volumen und die Schweizer Auftragsverarbeitungs-Klauseln.

Zürich-Region eu-central-2 wurde im November 2025 für SES freigeschaltet. Mandantendaten in Mail-Bodies bleiben auf Schweizer Boden, der Datenfluss-Pfad ist für revFADP und revDSG dokumentierbar ohne Drittland-Transfer. Damit erfüllt SES denselben Compliance-Korridor wie Infomaniak, aber mit AWS-Tooling drumherum (Lambda, CloudWatch, KMS-Verschlüsselung).

Preis bei Volumen: Eine Schweizer Mandanten-Plattform mit 500.000 Mails pro Monat (Audit-Reports an Mandanten, Login-Codes, Mahn-Wellen) zahlt bei SES USD 50/Monat. Bei Brevo Business: EUR 49 für 100k, dann linear hoch -- bei 500k Mails landet man bei rund EUR 250+/Monat. Bei Mailgun Scale: USD 600 für 1 Mio. Bei Postmark: ca. USD 625 für 500k. SES ist hier 5-12x günstiger.

Schweizer DPA via AWS Switzerland AG: AWS bietet seit 2024 lokale CH-Vertragspartner mit Zustellungsadresse Zürich. Der Auftragsverarbeitungs-Vertrag kann auf Schweizer Recht abgeschlossen werden, was für Anwaltskanzleien mit Mandantengeheimnis und Treuhänder mit Berufspflicht (StGB Art. 321) ein klarer Pluspunkt ist. AWS CloudHSM in eu-central-2 erlaubt Schlüsselmaterial in der Schweiz zu halten.

Der Trade-Off: SES kommt ohne UI. Wer kein DevOps-Team hat oder keinen Lambda-Programmierer, sollte das Tool nicht wählen. Das Bounce-Handling, das Reputation-Monitoring, die DKIM-Generierung und das Stats-Tracking sind alle vorhanden -- aber als SDK-Aufrufe, nicht als Klick-UI. Wer 1-2 Tage Setup investiert, hat danach ein extrem skalierbares Mail-System.

Wie es funktioniert

SES exponiert drei Sende-Pfade: HTTPS-API, SMTP-Endpunkt und AWS-SDKs (Python Boto3, Node.js AWS-SDK v3, Go, Java, .NET).

HTTPS-API: Endpunkt `https://email.eu-central-2.amazonaws.com` (Zürich-Region), AWS Signature Version 4 als Authentifizierung. Praktisch immer über SDK gerufen, nicht roh.

Node.js mit AWS-SDK v3:

``` import { SESv2Client, SendEmailCommand } from "@aws-sdk/client-sesv2";

const client = new SESv2Client({ region: "eu-central-2" });

await client.send(new SendEmailCommand({ FromEmailAddress: "rechnung@kanzlei-müller.ch", Destination: { ToAddresses: ["[email protected]"] }, Content: { Simple: { Subject: { Data: "Mahnung Nr. 2 - Rechnung 2026-104" }, Body: { Text: { Data: "Sehr geehrte Frau Berger, ..." } }, }, }, ConfigurationSetName: "kanzlei-prod", })); ```

SMTP-Endpunkt: Host `email-smtp.eu-central-2.amazonaws.com`, Port 587 STARTTLS. User/Pass werden via SES-Console aus IAM-Credentials generiert (SMTP-Username ist nicht der IAM-User direkt -- es gibt eine Umrechnungs-Funktion `STSCreatedSmtpCredentials`).

DNS-Setup: SES verlangt drei DNS-Records pro Sender-Domain: DKIM (drei CNAME-Records, von SES generiert mit zufälligen Selectoren), SPF (TXT `v=spf1 include:amazonses.com -all`), und einen MAIL FROM-Custom-Subdomain (z.B. `mail.kanzlei.ch` mit MX und SPF). DMARC bleibt Sache des Domain-Owners. Domain muss in jeder AWS-Region einzeln verifiziert werden.

Bounce- und Complaint-Handling via SNS: SES sendet Bounce- und Complaint-Notifications an ein SNS-Topic. Ein Lambda-Subscriber liest das, schreibt in eine DynamoDB-Tabelle (Suppression-List) und excludiert die Adresse beim nächsten Versand. Alternativ: SES bietet seit 2023 eine eingebaute „Account-level Suppression List", die das automatisch macht -- empfohlen statt eigenem Lambda.

Sandbox-Modus: Neue Accounts starten im Sandbox-Modus mit 200 Mails/Tag und Versand nur an verifizierte Empfänger-Adressen. Production-Mode beantragen mit Use-Case-Beschreibung (Mail-Inhalt, Volumen, Bounce-Plan) -- AWS Support antwortet in 12-24h. Ohne Production-Mode landen Mails an unbekannte Adressen einfach im Fehler.

Monitoring: Configuration Sets erlauben Event-Logging pro Send-Operation. Events (delivered, bounce, complaint, click, open, reject) gehen an SNS, Kinesis Firehose, CloudWatch oder Pinpoint. Praxis: Firehose nach S3, dann Athena-Queries für Statistiken -- billig und skalierbar.

Amazon-SES-Setup in 5 Schritten

  1. 01AWS-Account einrichten, SES in der Region eu-central-2 (Zürich) oder eu-central-1 (Frankfurt) öffnen, Sender-Domain hinzufügen.
  2. 02Drei DKIM-CNAME-Records von SES kopieren und in Cloudflare als DNS-only setzen, plus SPF-TXT und Custom-MAIL-FROM-Subdomain.
  3. 03Production-Mode beantragen via AWS Support Ticket -- Use-Case-Beschreibung, Volumen, Bounce-Plan, ca. 24h Wartezeit.
  4. 04IAM-User mit `AmazonSesSendingAccess`-Policy anlegen, Access-Keys generieren, in .env (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY) ablegen.
  5. 05Configuration Set mit Firehose-Logging nach S3 anlegen, Account-level Suppression aktivieren, dann SDK-Versand testen.

Wann SES passt

SES ist die richtige Wahl, wenn (a) die Anwendung bereits AWS nutzt (EC2, Lambda, S3 in der EU-Region), (b) das Volumen über 100.000 Mails pro Monat liegt und der Preis-pro-Mail zählt, oder (c) die Datenresidenz Schweiz verlangt wird und gleichzeitig AWS-Tooling sinnvoll ist (Zürich-Region eu-central-2).

Konkrete Fälle: Eine Plattform mit Lambda-basiertem Backend, das Order-Confirmations versendet -- der Mail-Versand ist eine Zeile Boto3. Eine Treuhand-Plattform mit 500.000 Mandanten-Mails pro Monat zahlt USD 50 statt EUR 250+. Ein Healthcare-Setup mit AWS HIPAA-Konformität braucht SES integriert mit IAM-Rollen und KMS, statt separater Mail-Anbieter-Kennwörter.

Für CH-Setups: Domain in `eu-central-2` verifizieren, Configuration Set mit Firehose-Logging anlegen, Account-level Suppression aktivieren. Vor Produktion: Production-Mode-Ticket anlegen, sonst bleibt es bei 200/Tag.

Wann NICHT

SES ist die falsche Wahl, wenn (a) das Team kein AWS-Knowhow hat -- der Einstieg ohne IAM-Verständnis ist schmerzhaft, (b) ein Dashboard für Nicht-Techniker nötig ist (Marketing, Support) -- SES hat keines, oder (c) das Volumen unter 30.000 Mails pro Monat liegt -- dort sind Brevo, Postmark oder Mailjet einfacher und kaum teurer.

Weitere Fallen: Im Sandbox-Modus bleiben und nicht verstehen, warum Mails an unbekannte Adressen scheitern -- Production-Mode-Ticket vergessen. DKIM-Records nicht in allen drei CNAMEs setzen -- SES verlangt alle drei. Domain in einer Region verifiziert, dann in einer anderen Region versenden wollen -- Domain muss pro Region verifiziert werden. Bounce-Rate über 5 Prozent oder Complaint-Rate über 0,1 Prozent -- AWS pausiert den Account stillschweigend. Suppression-List nicht beachten -- mehrfacher Versand an bekannte Bounces führt zum Suspend.

Vor- und Nachteile

STÄRKEN

  • Extrem günstig: USD 0,10 pro 1.000 Mails
  • Zürich-Region eu-central-2 für reines CH-Hosting
  • Native AWS-Integration (IAM, Lambda, KMS, CloudWatch)
  • Skalierbar bis Millionen Mails pro Monat

SCHWÄCHEN

  • Kein Dashboard out-of-the-box, viel Eigenaufwand
  • Sandbox-Mode bei Neuanmeldung, Production-Ticket nötig
  • Domain pro Region einzeln verifizieren
  • Ohne AWS-Knowhow steile Lernkurve

Häufige Fragen

Was kostet SES bei 100k Mails pro Monat?

USD 10 für den Versand (100 mal 0,10 USD pro 1.000), plus Attachment-Datenvolumen (0,12 USD/GB). Bei Lambda-basiertem Versand: ca. USD 0,20 zusätzlich für Lambda-Invocations. Total: ca. USD 11-15/Monat. Vergleich: Brevo Business EUR 49, Postmark ca. USD 100, Mailgun Growth USD 90.

Welche Region wählen -- Zürich oder Frankfurt?

Zürich (eu-central-2) für Schweizer Treuhand- oder Anwalt-Kunden mit Mandantengeheimnis: Daten verlassen die Schweiz nicht. Frankfurt (eu-central-1) für breitere Workload, da etwas günstiger und mehr AWS-Services in der Region verfügbar. Beide sind revFADP-konform. Tipp: Zürich-Region bei Compliance-kritischen Workloads, Frankfurt bei reinen technischen Workloads ohne Mandantenbezug.

Wie löse ich Sandbox-Mode auf?

AWS Support Center > Create case > Service Limit Increase > SES Sending Limits. Use-Case beschreiben (z.B. „Transactional notifications for fiduciary platform, ~10k mails/month, double opt-in, hard-bounce suppression via account-level list"). AWS antwortet meist innerhalb 24h, manchmal kommen Rückfragen. Wer schlampig schreibt (keine Bounce-Strategie genannt), bekommt eine Verlängerung.

SES versus Postmark für eine Treuhand-Plattform?

Postmark: höchste Zustellrate (99 Prozent), klare Dashboards, US-Hosting, EUR 15 für 10k. SES: gleiche Region wie Server (Zürich), günstiger bei Volumen, mehr Eigenaufwand, USD 1 für 10k. Wenn AWS-Stack bereits da ist und 10k+/Monat: SES. Wenn ohne DevOps und maximale Zustellrate nötig: Postmark plus TIA.

Verwandte Themen

BREVO · TECH-STACKBrevo SMTP: Transaktionale E-Mail aus EU-Hosting für KMU-AppsSMTP-VERGLEICH · TOOL-VERGLEICHTransaktions-Mail-Dienste im Vergleich: Brevo, Postmark, Mailgun, SES, SendGrid, Resend, Mailjet, Infomaniak, SMTP2GOPOSTMARK · TECH-STACKPostmark: höchste Zustellrate für transaktionale E-Mails aus den USAMAILGUN · TECH-STACKMailgun: API-starker Versand mit EU-Region Frankfurt für Entwickler-TeamsHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetn8n · SERVICEn8n Workflow-Automation: Routine raus, Köpfe frei

Quellen

  1. Amazon SES Pricing (USD 0.10/1000) · 2026-05
  2. AWS Region Zurich (eu-central-2) Services · 2026-04
  3. AWS SES Developer Guide -- Sandbox to Production · 2026-03
  4. AWS SES v2 SDK Node.js Reference · 2026-05

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen