View a markdown version of this page

Puntos de conexión de entrada - Amazon Simple Email Service
Configuración de puntos de conexión de entradaPolítica de TLSAutenticación mTLSCreación de un punto de conexión de entrada (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puntos de conexión de entrada

Un punto de conexión de entrada es el componente clave de la infraestructura del Administrador de correo electrónico. Se encarga de recibir, enrutar y administrar el correo electrónico mediante políticas y reglas que se configuran para determinar qué correos electrónicos deben rechazarse o permitirse y con cuáles es preciso realizar acciones.

Cada punto de conexión de entrada tiene su propia política de tráfico a fin de determinar qué correos electrónicos hay que bloquear o permitir, así como su propio conjunto de reglas para realizar acciones con aquellos correos electrónicos que se permitan. Por lo tanto, crear varios puntos de conexión de entrada permite delegar en cada uno de ellos la administración y el enrutamiento de tipos concretos de correo electrónico. Este nivel de detalle facilita la creación de un sistema de administración de correo electrónico que se adapta a las necesidades de su empresa.

Flujo de trabajo requerido previamente para crear un punto de conexión de entrada

Al crear un punto de conexión de entrada, es preciso asignarle una política de tráfico y un conjunto de reglas que ya se hayan creado. Por lo tanto, el flujo de trabajo de creación de un punto de conexión de entrada debe respetar el orden siguiente:

  1. En primer lugar, cree una política de tráfico a fin de determinar el correo electrónico que desea bloquear o permitir. Para obtener más información, consulte Creación de políticas de tráfico e instrucciones de políticas en la consola de SES.

  2. A continuación, cree un conjunto de reglas a fin de realizar acciones con el correo electrónico que se permita. Para obtener más información, consulte Creación de conjuntos de reglas y reglas en la consola de SES.

  3. Por último, cree el punto de conexión de entrada y asígnele la política de tráfico y el conjunto de reglas recién creados u otros que haya creado previamente.

Una vez creado el punto de conexión de entrada, debe configurarlo con el entorno que utiliza para recibir correo electrónico, ya sea la configuración de un cliente de SMTP en las instalaciones o de un host de dominio de DNS basado en la web. Esto se explica más adelante en Recepción de correo electrónico a través de puntos de conexión públicos.

Configuración del entorno en el que se utilizará un punto de conexión de entrada

SES admite puntos de conexión públicos y puntos de conexión de nube privada virtual (VPC) de Amazon para que los puntos de conexión de entrada acepten correo electrónico entrante. En las siguientes secciones se explica cómo configurar un punto de conexión de entrada para utilizar una de estas opciones.

Recepción de correo electrónico a través de puntos de conexión públicos

Uso del registro A

Al crear un punto de conexión de entrada, se genera un registro A para el punto de conexión, cuyo valor se muestra en la pantalla de resumen del punto de conexión de entrada en la consola de SES. La forma de utilizar el valor de este registro depende del tipo de punto de conexión que se haya creado y del caso de uso:

  • Punto de conexión abierto: el correo enviado a su dominio se enviará directamente a su punto de conexión de entrada, sin necesidad de autenticación.

    • Copie y pegue el valor del registro A directamente en la configuración de SMTP de un cliente de SMTP en las instalaciones o en un registro MX del dominio de la configuración de DNS.

    • Puerto compatible: 25

    • Admite STARTTLS: sí

  • Punto de conexión autenticado: el correo enviado al dominio debe proceder de remitentes autorizados con los que haya compartido sus credenciales de SMTP, tales como sus servidores de correo electrónico en las instalaciones.

    • Copie y pegue el valor del registro A directamente en la configuración de SMTP de un cliente de SMTP en las instalaciones, así como su nombre de usuario y contraseña.

    • Puertos compatibles: 25, 587 (RFC 2476)

    • Admite STARTTLS: sí

  • Punto final mTLS: el correo enviado a su dominio debe provenir de clientes que presenten un certificado de cliente TLS firmado por una de las autoridades de certificación (CAs) en el almacén de confianza del punto final de entrada. Consulte Autenticación TLS mutua (mTLS) para los puntos finales de entrada.

    • Copia y pega el valor del registro «A» directamente en la configuración SMTP de un cliente SMTP local.

    • Puerto compatible: 25

    • Admite STARTTLS: sí

Si utiliza un registro MX en la configuración, tenga en cuenta que, aunque cada proveedor de DNS cuenta con procedimientos e interfaces diferentes para configurar los registros, los datos esenciales que debe incluir en la configuración de DNS se enumeran en el siguiente ejemplo:

Todo el correo electrónico enviado a recipient@marketing.example.com se dirigirá al punto de conexión de acceso, puesto que ha introducido el registro A del punto de conexión de acceso como valor de un registro MX en la configuración de DNS del dominio:

  • Dominio: marketing.example.com

  • Valor del registro MX: 890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (se trata del valor del registro A copiado del punto de conexión de entrada).

  • Prioridad: 10

Conexión al punto de conexión autenticado

Para poder establecer una conexión correcta con el servidor, los remitentes autorizados con quienes ha compartido sus credenciales de SMTP para conectarse a su punto de conexión autenticado deben aplicar los protocolos siguientes en cuanto al nombre de usuario y la contraseña:

  • Nombre de usuario: es el ID del punto de conexión de entrada y debe estar codificado en Base64 (Consulte el paso 11. en los procedimientos de la consola para aprender a encontrar el ID del punto final de entrada).

  • Contraseña: es la que se utiliza al crear el punto de conexión de entrada y debe estar codificada en Base64.

En el ejemplo siguiente se muestra un intercambio típico entre un servidor y un cliente de SMTP AUTH en el que se establece una conexión:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

Este ejemplo contiene las siguientes propiedades:

  • S significa Servidor: se refiere al servidor de SMTP que acepta los mensajes.

  • C significa Cliente: se refiere al cliente de SMTP que establece la conexión con el servidor y envía mensajes al servidor.

  • 250 AUTH LOGIN PLAIN es una respuesta del servidor en la que se admiten los métodos AUTH LOGIN o AUTH PLAIN de AUTH. El remitente puede elegir cualquiera de ellos y enviar comandos de SMTP que cumplan la especificación RFC 2554 de la extensión SMTP Service Extension for Authentication. En este caso, se utiliza AUTH LOGIN.

  • 334 VXNlcm5hbWU6: el servidor solicita el nombre de usuario en Base64.

  • SW5ncmVzc1BvaW50: el cliente responde con el identificador del punto de conexión de entrada en Base64.

  • 334 UGFzc3dvcmQ6: el servidor solicita la contraseña en Base64.

  • SW5ncmVzc1Bhc3N3b3Jk: el cliente responde con la contraseña del punto de conexión de entrada en Base64.

Recepción de correo electrónico a través de puntos de conexión de VPC de Amazon

Además de los puntos de conexión de entrada públicos, puede usar los puntos de conexión de VPC con los puntos de conexión de entrada de SES para una ingesta de correo electrónico privada y segura dentro de su infraestructura de red privada.

Diferencias de configuración en comparación con el uso de puntos de conexión de entrada públicos

  • No se proporciona el registro “A” que normalmente está disponible para los puntos de conexión públicos.

  • Debe conectarse al punto de conexión de entrada mediante los nombres de DNS proporcionados por el punto de conexión de VPC.

  • Todas las conexiones utilizan redes privadas en la VPC.

Tipos de puntos de conexión de entrada compatibles a través de puntos de conexión de VPC

SES admite dos tipos de puntos de entrada a través de puntos de conexión de VPC:

  • Punto de conexión de entrada abierto: el correo electrónico enviado a su dominio se dirige directamente a través del punto de conexión de VPC sin necesidad de autenticación del remitente.

    Requisitos de configuración

    • Cree un punto de conexión de entrada privado abierto asociándolo a un ID de punto de conexión de VPC de su propiedad.

    • Puertos admitidos: 25, 587

    • Admite STARTTLS: sí

  • Punto de conexión autenticado: el correo enviado al dominio debe proceder de remitentes autorizados con los que haya compartido sus credenciales de SMTP, como servidores de correo electrónico en las instalaciones.

    Requisitos de configuración

    • Cree un punto de conexión de entrada privado autenticado asociándolo a un ID de punto de conexión de VPC de su propiedad.

    • Puertos admitidos: 25, 587

    • Admite STARTTLS: sí

    • La autenticación utiliza el mismo mecanismo de nombre de usuario y contraseña codificados en base64 que los puntos de conexión públicos autenticados.

Requisitos de los puntos de conexión de VPC

Para utilizar un punto de conexión de VPC con un punto de conexión de entrada de SES, se deben cumplir los siguientes requisitos:

  • El punto de conexión de VPC debe estar activo y disponible.

  • El punto final de la VPC debe ser propiedad de la misma AWS cuenta que el punto final de entrada (no se admite el acceso entre cuentas).

  • El punto de conexión de VPC debe crearse para el nombre de servicio adecuado en función del tipo de punto de conexión de entrada:

    • Punto de conexión de entrada abierto: com.amazonaws.region.mail-manager-smtp.open

    • Punto de conexión de entrada autenticado: com.amazonaws.region.mail-manager-smtp.auth

    • Punto de conexión de entrada abierto de FIPS: com.amazonaws.region.mail-manager-smtp.open.fips

    • Punto de conexión de entrada autenticado de FIPS: com.amazonaws.region.mail-manager-smtp.auth.fips

Notas importantes sobre configuración

  • One-to-one relación: cada punto final de la VPC solo se puede asociar a un único punto final de entrada. No puede usar el mismo punto de conexión de VPC para varios puntos de conexión de entrada.

  • Sin políticas de puntos de enlace de VPC: a diferencia de otros AWS servicios, los puntos de enlace de VPC que se utilizan con los puntos de enlace de entrada no son compatibles con las políticas de puntos de enlace de VPC. SES verifica automáticamente que el propietario del punto final de la VPC y el propietario del punto final de entrada son la misma cuenta. AWS

  • Solo DNS privado: todos los nombres de DNS proporcionados por el punto de conexión de VPC serán nombres de DNS privados a los que solo se podrá acceder desde la VPC.

  • Validación en el momento de la creación: SES realiza la validación durante la creación de recursos para garantizar que el punto de conexión de VPC cumpla todos los requisitos.

  • La política TLS debe coincidir con el servicio de punto final de la VPC: al crear un punto final de entrada privado, el valor de la política TLS debe coincidir con el tipo de servicio del punto final de la VPC. Un punto de enlace de entrada con una política de FIPS TLS debe usar un servicio de punto final de VPC de FIPS, y un punto de enlace de entrada con REQUIRED una política de TLS debe usar un servicio de punto final de VPC que no OPTIONAL sea de FIPS. No se pueden mezclar.

Conexión con el punto de conexión de entrada a través de un punto de conexión de VPC

Después de configurar el punto de conexión de VPC y el punto de conexión de entrada:

  1. Recupere los nombres de DNS generados para el punto de conexión de VPC.

  2. Configure los clientes de SMTP o los servidores de correo electrónico para que usen estos nombres DNS para la conexión.

  3. Si utiliza un punto de conexión autenticado, configure sus clientes de SMTP con las credenciales codificadas en base 64 correspondientes que se utilizan con su punto de conexión de entrada autenticado.

Política de TLS para los puntos finales de entrada

La política de TLS para un punto de enlace de entrada controla si los clientes SMTP que se conectan deben utilizar el cifrado TLS al enviar correos electrónicos a su punto de enlace. Puede especificar una política de TLS al crear un punto final de entrada mediante la CreateIngressPoint API y cambiarla posteriormente mediante la API. UpdateIngressPoint La política TLS predeterminada depende de la región: FIPS es la predeterminada en las regiones de EE. UU. y Canadá y REQUIRED es la predeterminada en todas las demás regiones.

Todas las conexiones de punto final de entrada utilizan un TLS oportunista mediante el comando STARTTLS. La conexión comienza como texto sin formato y se actualiza a TLS si el cliente que se conecta lo admite. No se admite el TLS implícito (TLS Wrapper), donde la conexión comienza cifrada.

Están disponibles los siguientes valores de política de TLS:

  • FIPS: requiere el cifrado TLS mediante módulos criptográficos validados por FIPS. Es la opción predeterminada en las regiones de EE. UU. y Canadá y solo está disponible en esas regiones.

  • OBLIGATORIO: los clientes SMTP que se conecten deben usar el cifrado TLS. Se rechazan las conexiones que no utilizan TLS. Esta es la opción predeterminada en las regiones fuera de EE. UU. y Canadá.

  • OPCIONAL: se admite el cifrado TLS, pero no es obligatorio. Los clientes SMTP que se conecten pueden enviar correos electrónicos con o sin TLS.

Disponibilidad por tipo de punto final de entrada

No todos los valores de la política TLS son válidos para todas las combinaciones de tipo de punto final de entrada y configuración de red:

  • FIPS: se puede usar con todos los tipos de puntos finales de entrada (abiertos, autenticados y mTLS) en redes públicas, y con puntos finales de entrada abiertos y autenticados en redes privadas, pero solo en las regiones de EE. UU. y Canadá. Una vez establecido, FIPS no se puede cambiar a otro valor mediante una actualización. Si necesita una política de TLS diferente, debe crear un nuevo punto final de entrada.

  • OBLIGATORIO: se puede usar con todos los tipos de puntos de entrada en todas las regiones. Sin embargo, en el caso de los puntos finales de entrada autenticados y mTLs en redes públicas, solo se REQUIRED pueden configurar en el momento de la creación; no se pueden cambiar mediante una actualización. En el caso de los puntos finales de entrada abiertos (públicos o privados) y de los puntos finales de entrada autenticados en redes privadas, se REQUIRED pueden configurar en el momento de la creación y cambiarlos mediante una actualización. Tenga en cuenta que no REQUIRED está disponible para puntos finales de entrada autenticados o mTLS en redes públicas de las regiones de EE. UU. y Canadá, donde se utiliza en su lugar. FIPS

  • OPCIONAL: se puede utilizar con puntos finales de entrada abiertos en redes públicas y privadas, y con puntos finales de entrada autenticados en redes privadas. OPTIONALno está disponible para los puntos finales de entrada mTLS y no está disponible para los puntos finales de entrada autenticados en redes públicas.

Reglas para cambiar la política de TLS

Las siguientes reglas se aplican al actualizar la política de TLS en un punto final de entrada existente:

  • FIPSno se puede cambiar después de la creación.

  • Para los puntos finales de entrada abiertos y los puntos finales de entrada autenticados en redes privadas, puede cambiar entre y. REQUIRED OPTIONAL

  • En el caso de los puntos finales de entrada mTLS y los puntos finales de entrada autenticados en redes públicas, la política de TLS no se puede cambiar una vez creada.

Autenticación TLS mutua (mTLS) para los puntos finales de entrada

La autenticación TLS mutua (mTLS) requiere que los clientes SMTP conectados presenten un certificado de cliente TLS firmado por una de las autoridades de certificación (CAs) en el almacén de confianza del punto final de entrada. Solo los clientes con certificados de confianza pueden enviar correos electrónicos a su punto final.

importante

La autenticación mTLS solo está disponible para los puntos finales de entrada públicos. Los puntos de enlace de Amazon VPC no admiten la autenticación mTLS.

Para crear un punto final de entrada mTLS, elija MTLS el tipo de punto final de entrada e indique una TlsAuthConfiguration que contenga una TrustStore en el parámetro de la API. IngressPointConfiguration CreateIngressPoint

Configuración del almacén de confianza

El almacén de confianza define qué certificados de cliente acepta su punto de enlace de entrada. Contiene los siguientes campos:

  • CAContent(obligatorio): un paquete de certificados de una entidad emisora de certificados (CA) en formato PEM. Este paquete contiene los certificados de CA que se utilizan para validar los certificados de los clientes. Puede incluir varios certificados de CA en un solo paquete, hasta 500 KB.

  • CrlContent(opcional): una lista de revocación de certificados (CRL) en formato PEM. Si se proporcionan, los certificados de cliente que aparecen en la CRL se rechazan aunque estén firmados por una entidad emisora de certificados de confianza. Hasta 500 KB.

  • KmsKeyArn(opcional): el ARN de una clave administrada por el AWS KMS cliente (CMK) utilizada para cifrar los datos del almacén de confianza. Si no se especifica, se utiliza una clave AWS gestionada. Cuando se usa una CMK, la política de claves debe permitir a SES usar la clave. Consulte Política de claves administradas por el cliente (CMK) de KMS para el almacén de confianza de mTLS.

Los certificados vencidos se consideran inválidos y no se aceptan en las conexiones. SES también filtra los certificados de CA caducados y las listas de revocación de certificados caducados (CRLs) de su almacén de confianza. Si una CRL caduca, el certificado de CA asociado a esa CRL también se elimina del almacén de confianza, lo que significa que los clientes firmados por esa CA ya no podrán conectarse hasta que usted proporcione una CRL actualizada.

Uso de los atributos del certificado de cliente en las condiciones de la regla

Cuando un cliente se conecta a un punto final de entrada de mTLS con un certificado válido, los atributos del certificado (como los campos Nombre común, número de serie y nombre alternativo del sujeto) están disponibles para su uso en las condiciones de la regla como expresiones de cadena. Esto le permite enrutar, filtrar o actuar sobre el correo electrónico en función de la identidad del cliente que se conecta. Para ver la lista completa de los atributos disponibles, consulta la referencia de condiciones de la regla.

Creación de un punto de conexión de entrada en la consola de SES

En el siguiente procedimiento se muestra cómo utilizar la página Punto de conexión de entrada de la consola de SES para crear puntos de conexión de entrada y administrar los que ya se han creado.

Creación y administración de puntos de conexión de entrada mediante la consola

  1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en https://console.aws.amazon.com/ses/.

  2. En el panel de navegación izquierdo, seleccione Puntos de conexión de entrada en Administrador de correo electrónico.

  3. En la página Puntos de conexión de entrada, seleccione Crear punto de conexión de entrada.

  4. En la página Crear un nuevo punto de conexión de entrada, escriba un nombre único para el punto de conexión de entrada.

  5. Elija si será un punto final abierto, autenticado o mTLS.

    • Si elige Autenticado, seleccione Contraseña SMTP y escriba una contraseña (para compartirla con los remitentes autorizados) o Secreto y seleccione uno de los secretos en ARN del secreto. Si selecciona un secreto creado previamente, debe contener las políticas que se indican en los pasos siguientes para la creación de secretos nuevos.

    • Si elige mTLS, debe proporcionar una configuración de almacén de confianza que contenga su paquete de certificados de CA. Si lo desea, también puede proporcionar una lista de certificados revocados y una AWS KMS clave. Consulte Autenticación TLS mutua (mTLS) para los puntos finales de entrada.

    • Tienes la opción de crear un secreto nuevo. Para ello, selecciona Crear nuevo. Se abrirá la AWS Secrets Manager consola en la que podrás seguir creando una clave nueva:

    1. En Tipo de secreto, elija Otro tipo de secreto.

    2. En Par clave-valor, escriba password para la clave y su contraseña real para el valor.

      nota

      En Clave, solo debe introducir password (cualquier otra cosa provocará un error de autenticación).

    3. Seleccione Añadir nueva clave para crear una clave gestionada por el cliente (CMK) de KMS en la clave de cifrado; se abrirá la AWS KMS consola.

    4. Seleccione Crear clave en la página Claves administradas por el cliente.

    5. Conserve los valores predeterminados de la página Configurar clave y seleccione Siguiente.

    6. Escriba el nombre de la clave en Alias (si lo desea, puede agregar una descripción y una etiqueta). Seleccione Siguiente.

    7. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que administren la clave en Administradores de claves. A continuación, seleccione Siguiente.

    8. Elija los usuarios (que no sean usted) o los roles a los que desee permitir que usen la clave en Usuarios de claves. A continuación, seleccione Siguiente.

    9. Copie y pegue la Política de CMK de KMS en el editor de texto de JSON de Política de claves en el nivel "statement"; para ello, agréguela como instrucción adicional separada por una coma. Sustituya la región y el número de cuenta por sus propios valores.

    10. Seleccione Finalizar.

    11. Seleccione la pestaña del navegador en la que esté abierta la página AWS Secrets Manager Guardar una nueva página secreta y seleccione el icono de actualización (flecha circular) situado junto al campo de la clave de cifrado. A continuación, haga clic dentro del campo y seleccione la clave recién creada.

    12. Escriba un nombre en el campo Nombre del secreto de la página Configurar secreto.

    13. En Permisos de recursos, seleccione Editar permisos.

    14. Copie y pegue la Política de recursos de secretos en el editor de texto de JSON de Permisos de recursos y sustituya la región y el número de cuenta por los suyos (asegúrese de eliminar cualquier ejemplo de código del editor).

    15. Seleccione Guardar y, a continuación, elija Siguiente.

    16. Si lo desea, configure la rotación y seleccione Siguiente.

    17. Revise el nuevo secreto y elija Almacenar para guardarlo.

    18. Seleccione la pestaña del navegador en la que esté abierta la página Crear un nuevo punto de conexión de entrada de SES. A continuación, elija Actualizar la lista y seleccione el secreto recién creado en ARN del secreto.

  6. Seleccione un conjunto de reglas que contenga las acciones de reglas que desee realizar con el correo electrónico que se permita.

  7. Seleccione una política de tráfico a fin de determinar el correo electrónico que desea bloquear o permitir.

  8. Elija si será una red Pública o Privada.

    • En el caso de una red pública, elige el direccionamiento IPv4único o el direccionamiento Dualstack (IPv4 and IPv6).

    • En el caso de una red privada, seleccione o introduzca un punto de conexión de VPC que haya compartido con remitentes autorizados de la misma cuenta, como usuarios o roles de IAM. Si lo desea, puede crear un nuevo punto de conexión de VPC seleccionando Crear punto de conexión de VPC para abrir la consola de Amazon VPC.

  9. Seleccione una política de TLS para su punto de acceso. El valor predeterminado depende de su región; consulte Política de TLS para obtener más información sobre los valores y las restricciones disponibles.

  10. Seleccione Crear punto de conexión de entrada.

  11. En términos generales, aparecerá «Aprovisionamiento» mientras se crea el punto de acceso. Actualice la página hasta que aparezca «Activo» y el campo contenga un valor. ARecord Copie el valor del registro A y péguelo en la configuración de DNS o en el cliente de SMTP, tal y como se explica en la sección Configuración de puntos de conexión públicos.

  12. Justo encima del contenedor Detalles generales de la consola, hay un cadena grande y sin etiqueta con el prefijo inp (que también figura en la ruta de navegación de la parte superior de la página); por ejemplo, inp-1abc2de3fghi4jkl5mnop6qr. Esto se denomina ID de punto de conexión de entrada y su valor se utiliza como nombre de usuario para iniciar sesión en el servidor de entrada. Deberá compartirlo con los remitentes autorizados para que puedan conectarse al punto de conexión.

  13. Puede consultar y administrar los puntos de conexión de entrada que ya ha creado en la página Puntos de conexión de entrada. Si desea eliminar un punto de conexión de entrada, elija su botón de opción y, a continuación, seleccione Eliminar.

  14. Para editar un punto de conexión de entrada, seleccione su nombre a fin de abrir su página de resumen:

    • Para cambiar el estado activo del terminal o la política de TLS (para las configuraciones compatibles), seleccione Editar en detalles generales y, a continuación, Guardar cambios.

    • Para seleccionar otro conjunto de reglas o política de tráfico, elija Editar en Conjunto de reglas o en Política de tráfico y, a continuación, seleccione Guardar cambios.