Puntos de conexión de entrada - Amazon Simple Email Service
Configuración de puntos de conexión de entradaCreación de un punto de conexión de entrada (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puntos de conexión de entrada

Un punto de conexión de entrada es el componente clave de la infraestructura del Administrador de correo electrónico. Se encarga de recibir, enrutar y administrar el correo electrónico mediante políticas y reglas que se configuran para determinar qué correos electrónicos deben rechazarse o permitirse y con cuáles es preciso realizar acciones.

Cada punto de conexión de entrada tiene su propia política de tráfico a fin de determinar qué correos electrónicos hay que bloquear o permitir, así como su propio conjunto de reglas para realizar acciones con aquellos correos electrónicos que se permitan. Por lo tanto, crear varios puntos de conexión de entrada permite delegar en cada uno de ellos la administración y el enrutamiento de tipos concretos de correo electrónico. Este nivel de detalle facilita la creación de un sistema de administración de correo electrónico que se adapta a las necesidades de su empresa.

Flujo de trabajo requerido previamente para crear un punto de conexión de entrada

Al crear un punto de conexión de entrada, es preciso asignarle una política de tráfico y un conjunto de reglas que ya se hayan creado. Por lo tanto, el flujo de trabajo de creación de un punto de conexión de entrada debe respetar el orden siguiente:

  1. En primer lugar, cree una política de tráfico a fin de determinar el correo electrónico que desea bloquear o permitir. Para obtener más información, consulte Creación de políticas de tráfico e instrucciones de políticas en la consola de SES.

  2. A continuación, cree un conjunto de reglas a fin de realizar acciones con el correo electrónico que se permita. Para obtener más información, consulte Creación de conjuntos de reglas y reglas en la consola de SES.

  3. Por último, cree el punto de conexión de entrada y asígnele la política de tráfico y el conjunto de reglas recién creados u otros que haya creado previamente.

Una vez creado el punto de conexión de entrada, debe configurarlo con el entorno que utiliza para recibir correo electrónico, ya sea la configuración de un cliente de SMTP en las instalaciones o de un host de dominio de DNS basado en la web. Esto se explica más adelante en Recepción de correo electrónico a través de puntos de conexión públicos.

Configuración del entorno en el que se utilizará un punto de conexión de entrada

SES admite puntos de conexión públicos y puntos de conexión de nube privada virtual (VPC) de Amazon para que los puntos de conexión de entrada acepten correo electrónico entrante. En las siguientes secciones se explica cómo configurar un punto de conexión de entrada para utilizar una de estas opciones.

Recepción de correo electrónico a través de puntos de conexión públicos

Uso del registro A

Al crear un punto de conexión de entrada, se genera un registro A para el punto de conexión, cuyo valor se muestra en la pantalla de resumen del punto de conexión de entrada en la consola de SES. La forma de utilizar el valor de este registro depende del tipo de punto de conexión que se haya creado y del caso de uso:

  • Punto de conexión abierto: el correo enviado a su dominio se enviará directamente a su punto de conexión de entrada, sin necesidad de autenticación.

    • Copie y pegue el valor del registro A directamente en la configuración de SMTP de un cliente de SMTP en las instalaciones o en un registro MX del dominio de la configuración de DNS.

    • Puerto compatible: 25

    • Admite STARTTLS: sí

  • Punto de conexión autenticado: el correo enviado al dominio debe proceder de remitentes autorizados con los que haya compartido sus credenciales de SMTP, tales como sus servidores de correo electrónico en las instalaciones.

    • Copie y pegue el valor del registro A directamente en la configuración de SMTP de un cliente de SMTP en las instalaciones, así como su nombre de usuario y contraseña.

    • Puertos compatibles: 25, 587 (RFC 2476)

    • Admite STARTTLS: sí

Si utiliza un registro MX en la configuración, tenga en cuenta que, aunque cada proveedor de DNS cuenta con procedimientos e interfaces diferentes para configurar los registros, los datos esenciales que debe incluir en la configuración de DNS se enumeran en el siguiente ejemplo:

Todo el correo electrónico enviado a recipient@marketing.example.com se dirigirá al punto de conexión de acceso, puesto que ha introducido el registro A del punto de conexión de acceso como valor de un registro MX en la configuración de DNS del dominio:

  • Dominio: marketing.example.com

  • Valor del registro MX: 890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (se trata del valor del registro A copiado del punto de conexión de entrada).

  • Prioridad: 10

Conexión al punto de conexión autenticado

Para poder establecer una conexión correcta con el servidor, los remitentes autorizados con quienes ha compartido sus credenciales de SMTP para conectarse a su punto de conexión autenticado deben aplicar los protocolos siguientes en cuanto al nombre de usuario y la contraseña:

  • Nombre de usuario: es el ID del punto de conexión de entrada y debe estar codificado en Base64 (consulte el paso 11 de los procedimientos de la consola para saber cómo encontrar el ID del punto de conexión de entrada).

  • Contraseña: es la que se utiliza al crear el punto de conexión de entrada y debe estar codificada en Base64.

En el ejemplo siguiente se muestra un intercambio típico entre un servidor y un cliente de SMTP AUTH en el que se establece una conexión:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

Este ejemplo contiene las siguientes propiedades:

  • S significa Servidor: se refiere al servidor de SMTP que acepta los mensajes.

  • C significa Cliente: se refiere al cliente de SMTP que establece la conexión con el servidor y envía mensajes al servidor.

  • 250 AUTH LOGIN PLAIN es una respuesta del servidor en la que se admiten los métodos AUTH LOGIN o AUTH PLAIN de AUTH. El remitente puede elegir cualquiera de ellos y enviar comandos de SMTP que cumplan la especificación RFC 2554 de la extensión SMTP Service Extension for Authentication. En este caso, se utiliza AUTH LOGIN.

  • 334 VXNlcm5hbWU6: el servidor solicita el nombre de usuario en Base64.

  • SW5ncmVzc1BvaW50: el cliente responde con el identificador del punto de conexión de entrada en Base64.

  • 334 UGFzc3dvcmQ6: el servidor solicita la contraseña en Base64.

  • SW5ncmVzc1Bhc3N3b3Jk: el cliente responde con la contraseña del punto de conexión de entrada en Base64.

Recepción de correo electrónico a través de puntos de conexión de VPC de Amazon

Además de los puntos de conexión de entrada públicos, puede usar los puntos de conexión de VPC con los puntos de conexión de entrada de SES para una ingesta de correo electrónico privada y segura dentro de su infraestructura de red privada.

Diferencias de configuración en comparación con el uso de puntos de conexión de entrada públicos

  • No se proporciona el registro “A” que normalmente está disponible para los puntos de conexión públicos.

  • Debe conectarse al punto de conexión de entrada mediante los nombres de DNS proporcionados por el punto de conexión de VPC.

  • Todas las conexiones utilizan redes privadas en la VPC.

Tipos de puntos de conexión de entrada compatibles a través de puntos de conexión de VPC

SES admite dos tipos de puntos de entrada a través de puntos de conexión de VPC:

  • Punto de conexión de entrada abierto: el correo electrónico enviado a su dominio se dirige directamente a través del punto de conexión de VPC sin necesidad de autenticación del remitente.

    Requisitos de configuración

    • Cree un punto de conexión de entrada privado abierto asociándolo a un ID de punto de conexión de VPC de su propiedad.

    • Puertos admitidos: 25, 587

    • Admite STARTTLS: sí

  • Punto de conexión autenticado: el correo enviado al dominio debe proceder de remitentes autorizados con los que haya compartido sus credenciales de SMTP, como servidores de correo electrónico en las instalaciones.

    Requisitos de configuración

    • Cree un punto de conexión de entrada privado autenticado asociándolo a un ID de punto de conexión de VPC de su propiedad.

    • Puertos admitidos: 25, 587

    • Admite STARTTLS: sí

    • La autenticación utiliza el mismo mecanismo de nombre de usuario y contraseña codificados en base64 que los puntos de conexión públicos autenticados.

Requisitos de los puntos de conexión de VPC

Para utilizar un punto de conexión de VPC con un punto de conexión de entrada de SES, se deben cumplir los siguientes requisitos:

  • El punto de conexión de VPC debe estar activo y disponible.

  • El punto de conexión de VPC debe ser propiedad de la misma cuenta de AWS, como punto de conexión de entrada (no se admite el acceso entre cuentas).

  • El punto de conexión de VPC debe crearse para el nombre de servicio adecuado en función del tipo de punto de conexión de entrada:

    • Punto de conexión de entrada abierto: com.amazonaws.region.mail-manager-smtp.open

    • Punto de conexión de entrada autenticado: com.amazonaws.region.mail-manager-smtp.auth

    • Punto de conexión de entrada abierto de FIPS: com.amazonaws.region.mail-manager-smtp.open.fips

    • Punto de conexión de entrada autenticado de FIPS: com.amazonaws.region.mail-manager-smtp.auth.fips

Notas importantes sobre configuración

  • Regiones de EE. UU. y Canadá: los puntos de conexión de FIPS son los únicos puntos de conexión de VPC disponibles en las regiones de EE. UU. y Canadá y son los correctos para usar en estas regiones.

  • Relación uno a uno: cada punto de conexión de VPC solo se puede asociar a un único punto de conexión de entrada. No puede usar el mismo punto de conexión de VPC para varios puntos de conexión de entrada.

  • No se admiten políticas de puntos de conexión de VPC: a diferencia de otros servicios de AWS, los puntos de conexión de VPC que se utilizan con puntos de conexión de entrada no admiten políticas de puntos de conexión de VPC. SES verifica automáticamente que el propietario del punto de conexión de VPC y el propietario del punto de conexión de entrada son la misma cuenta de AWS.

  • Solo DNS privado: todos los nombres de DNS proporcionados por el punto de conexión de VPC serán nombres de DNS privados a los que solo se podrá acceder desde la VPC.

  • Validación en el momento de la creación: SES realiza la validación durante la creación de recursos para garantizar que el punto de conexión de VPC cumpla todos los requisitos.

Conexión con el punto de conexión de entrada a través de un punto de conexión de VPC

Después de configurar el punto de conexión de VPC y el punto de conexión de entrada:

  1. Recupere los nombres de DNS generados para el punto de conexión de VPC.

  2. Configure los clientes de SMTP o los servidores de correo electrónico para que usen estos nombres DNS para la conexión.

  3. Si utiliza un punto de conexión autenticado, configure sus clientes de SMTP con las credenciales codificadas en base 64 correspondientes que se utilizan con su punto de conexión de entrada autenticado.

Creación de un punto de conexión de entrada en la consola de SES

En el siguiente procedimiento se muestra cómo utilizar la página Punto de conexión de entrada de la consola de SES para crear puntos de conexión de entrada y administrar los que ya se han creado.

Creación y administración de puntos de conexión de entrada mediante la consola

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SES en https://console.aws.amazon.com/ses/.

  2. En el panel de navegación izquierdo, seleccione Puntos de conexión de entrada en Administrador de correo electrónico.

  3. En la página Puntos de conexión de entrada, seleccione Crear punto de conexión de entrada.

  4. En la página Crear un nuevo punto de conexión de entrada, escriba un nombre único para el punto de conexión de entrada.

  5. Elija si va a ser un punto de conexión Abierto o Autenticado.

    • Si elige Autenticado, seleccione Contraseña SMTP y escriba una contraseña (para compartirla con los remitentes autorizados) o Secreto y seleccione uno de los secretos en ARN del secreto. Si selecciona un secreto creado previamente, debe contener las políticas que se indican en los pasos siguientes para la creación de secretos nuevos.

    • Si lo desea, puede crear un secreto nuevo. Para ello, elija Crear nuevo. Se abrirá la consola de AWS Secrets Manager, en la que podrá crear una clave nueva:

    1. En Tipo de secreto, elija Otro tipo de secreto.

    2. En Par clave-valor, escriba password para la clave y su contraseña real para el valor.

      nota

      En Clave, solo debe introducir password (cualquier otra cosa provocará un error de autenticación).

    3. En Clave de cifrado, seleccione Agregar clave nueva para crear una clave administrada por el cliente (CMK) de KMS; se abrirá la consola de AWS KMS.

    4. Seleccione Crear clave en la página Claves administradas por el cliente.

    5. Conserve los valores predeterminados de la página Configurar clave y seleccione Siguiente.

    6. Escriba el nombre de la clave en Alias (si lo desea, puede agregar una descripción y una etiqueta). Seleccione Siguiente.

    7. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que administren la clave en Administradores de claves. A continuación, seleccione Siguiente.

    8. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que usen la clave en Usuarios de claves. A continuación, seleccione Siguiente.

    9. Copie y pegue la Política de CMK de KMS en el editor de texto de JSON de Política de claves en el nivel "statement"; para ello, agréguela como instrucción adicional separada por una coma. Sustituya la región y el número de cuenta por sus propios valores.

    10. Seleccione Finalizar.

    11. Seleccione la pestaña del navegador en la que esté abierta la página Almacenar un nuevo secreto de AWS Secrets Manager y seleccione el icono de actualización (flecha circular) situado junto al campo Clave de cifrado. A continuación, haga clic en el campo y seleccione la clave recién creada.

    12. Escriba un nombre en el campo Nombre del secreto de la página Configurar secreto.

    13. En Permisos de recursos, seleccione Editar permisos.

    14. Copie y pegue la Política de recursos de secretos en el editor de texto de JSON de Permisos de recursos y sustituya la región y el número de cuenta por los suyos (asegúrese de eliminar cualquier ejemplo de código del editor).

    15. Seleccione Guardar y, a continuación, elija Siguiente.

    16. Si lo desea, configure la rotación y seleccione Siguiente.

    17. Revise el nuevo secreto y elija Almacenar para guardarlo.

    18. Seleccione la pestaña del navegador en la que esté abierta la página Crear un nuevo punto de conexión de entrada de SES. A continuación, elija Actualizar la lista y seleccione el secreto recién creado en ARN del secreto.

  6. Seleccione un conjunto de reglas que contenga las acciones de reglas que desee realizar con el correo electrónico que se permita.

  7. Seleccione una política de tráfico a fin de determinar el correo electrónico que desea bloquear o permitir.

  8. Elija si será una red Pública o Privada.

    • Para una red pública, elija el direccionamiento solo IPv4 o el direccionamiento Dualstack (IPv4 e IPv6).

    • En el caso de una red privada, seleccione o introduzca un punto de conexión de VPC que haya compartido con remitentes autorizados de la misma cuenta, como usuarios o roles de IAM. Si lo desea, puede crear un nuevo punto de conexión de VPC seleccionando Crear punto de conexión de VPC para abrir la consola de Amazon VPC.

  9. Seleccione Crear punto de conexión de entrada.

  10. En Detalles generales aparecerá “Aprovisionando” mientras se crea el punto de conexión de entrada. Actualice la página hasta que aparezca “Activo” y el campo ARecord contenga un valor. Copie el valor del registro A y péguelo en la configuración de DNS o en el cliente de SMTP, tal y como se explica en la sección Configuración de puntos de conexión públicos.

  11. Justo encima del contenedor Detalles generales de la consola, hay un cadena grande y sin etiqueta con el prefijo inp (que también figura en la ruta de navegación de la parte superior de la página); por ejemplo, inp-1abc2de3fghi4jkl5mnop6qr. Esto se denomina ID de punto de conexión de entrada y su valor se utiliza como nombre de usuario para iniciar sesión en el servidor de entrada. Deberá compartirlo con los remitentes autorizados para que puedan conectarse al punto de conexión.

  12. Puede consultar y administrar los puntos de conexión de entrada que ya ha creado en la página Puntos de conexión de entrada. Si desea eliminar un punto de conexión de entrada, elija su botón de opción y, a continuación, seleccione Eliminar.

  13. Para editar un punto de conexión de entrada, seleccione su nombre a fin de abrir su página de resumen:

    • Para cambiar el estado activo del punto de conexión, seleccione Editar en Detalles generales y, a continuación, elija Guardar cambios.

    • Para seleccionar otro conjunto de reglas o política de tráfico, elija Editar en Conjunto de reglas o en Política de tráfico y, a continuación, seleccione Guardar cambios.