Endpoints de entrada - Amazon Simple Email Service
Configurar endpoints de entradaCriar um endpoint de entrada (console)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints de entrada

Um endpoint de entrada é o principal componente de infraestrutura do Mail Manager que recebe, encaminha e gerencia seus e-mails utilizando políticas e regras configuradas para determinar quais e-mails devem ser rejeitados, quais devem ser permitidos e em quais uma ação deve ser realizada.

Cada endpoint de entrada tem sua própria política de tráfego para determinar quais e-mails bloquear ou permitir e seu próprio conjunto de regras para realizar ações no e-mail que você permite. Portanto, ao criar vários endpoints de entrada, você pode delegar cada um deles para gerenciar e rotear tipos específicos de e-mail. Esse nível de granularidade ajudará você a criar um sistema de gerenciamento de e-mail adaptado às necessidades da sua empresa.

Fluxo de trabalho de pré-requisito para criar um endpoint de entrada

No momento da criação do endpoint de entrada, você deve atribuir a ele uma política de tráfego e um conjunto de regras que já tenham sido criados. Portanto, o fluxo de trabalho para criar um endpoint de entrada deve estar na seguinte ordem:

  1. Comece criando uma política de tráfego para determinar o e-mail que você deseja bloquear ou permitir. Para obter detalhes, consulte Criar políticas de tráfego e declarações de políticas no console do SES.

  2. Em seguida, crie um conjunto de regras para realizar ações no e-mail que você permite. Para obter detalhes, consulte Criar conjuntos de regras e regras no console do SES.

  3. Por fim, crie o endpoint de entrada e atribua a ele a política de tráfego e o conjunto de regras que você acabou de criar ou quaisquer outros que você tenha criado anteriormente.

Depois de criar o endpoint de entrada, você deve configurá-lo com o ambiente sendo usado para receber e-mails, seja a configuração de um cliente SMTP on-premises ou de um host de domínio DNS baseado na web. Isso é discutido abaixo em Receber e-mails por meio de endpoints públicos.

Como configurar seu ambiente para usar um endpoint de entrada

O SES oferece suporte a endpoints públicos e endpoints do Amazon Virtual Private Cloud (VPC) para endpoints de entrada a fim de aceitar e-mails recebidos. As seções a seguir explicam como configurar o endpoint de entrada para usar qualquer uma dessas opções.

Receber e-mails por meio de endpoints públicos

Como usar o registro “A”

No momento em que você cria um endpoint de entrada, um registro “A” para o endpoint será gerado e seu valor exibido na tela de resumo do endpoint de entrada no console do SES. A forma como você usa o valor desse registro depende do tipo de endpoint criado e do seu caso de uso:

  • Endpoint aberto: os e-mails enviados para o domínio serão enviados diretamente para o endpoint de entrada, sem necessidade de autenticação.

    • Copie e cole o valor do registro “A” diretamente na configuração SMTP de um cliente SMTP on-premises ou em um registro MX do seu domínio na configuração de DNS.

    • Porta compatível: 25

    • Compatível com STARTTLS: sim

  • Endpoint autenticado: os e-mails enviados para seu domínio devem vir de remetentes autorizados com os quais você compartilhou suas credenciais SMTP, como seus servidores de e-mail locais.

    • Copie e cole o valor do registro “A” diretamente na configuração SMTP de um cliente SMTP local, bem como seu nome de usuário e senha.

    • Portas compatíveis: 25, 587 (RFC 2476)

    • Compatível com STARTTLS: sim

Se você estiver usando um registro MX em sua configuração, lembre-se de que, embora cada provedor de DNS tenha procedimentos e interfaces diferentes para configurar registros, as principais informações que você precisa inserir nas configurações de DNS estão listadas no exemplo a seguir:

Todos os e-mails enviados para recipient@marketing.example.com serão encaminhados para seu endpoint de entrada porque você inseriu o registro “A” do endpoint de entrada como o valor de um registro MX nas configurações de DNS do seu domínio:

  • Domínio: marketing.example.com

  • Valor do registro MX: 890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (esse é o valor do registro “A” copiado do endpoint de entrada.)

  • Prioridade: 10

Como se conectar ao endpoint autenticado

Para os remetentes autorizados com os quais você compartilhou suas credenciais SMTP para se conectar ao endpoint autenticado, os seguintes protocolos devem ser seguidos para o nome de usuário e a senha a fim de estabelecer uma conexão bem-sucedida com o servidor:

  • Nome de usuário: esse é o ID do endpoint de entrada e deve ser codificado em Base64. (Consulte a Etapa 11. nos procedimentos do console para saber como encontrar o ID do endpoint de entrada).

  • Senha: essa é a usada durante a criação do endpoint de entrada e deve ser codificada em Base64.

O exemplo a seguir mostra um servidor SMTP AUTH típico e uma troca de clientes estabelecendo uma conexão:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

Esse código contém as seguintes propriedades:

  • S se refere a “Servidor”: o servidor SMTP que aceita mensagens.

  • C se refere a “cliente”: o cliente SMTP que estabelece uma conexão com o servidor e envia mensagens ao servidor.

  • 250 AUTH LOGIN PLAIN é uma resposta do servidor com suporte para métodos AUTH, AUTH LOGIN ou AUTH PLAIN; o remetente pode escolher qualquer um deles e enviar comandos SMTP compatíveis com a especificação RFC 2554 da Extensão de serviço SMTP para autenticação. AUTH LOGIN é usado aqui.

  • 334 VXNlcm5hbWU6: servidor solicitando o nome de usuário em Base64.

  • SW5ncmVzc1BvaW50: cliente respondendo com o ID do endpoint de entrada em Base64.

  • 334 UGFzc3dvcmQ6: servidor solicitando a senha em Base64.

  • SW5ncmVzc1Bhc3N3b3Jk: cliente respondendo com a senha do endpoint de entrada em Base64.

Receber e-mails por meio de endpoints do Amazon VPC

Além dos endpoints de entrada públicos, você pode usar endpoints da VPC com endpoints de entrada do SES para uma ingestão segura e privada de e-mails dentro da sua infraestrutura de rede privada.

Diferenças de configuração em comparação com o uso de endpoints de entrada públicos

  • O registro “A” normalmente disponível para endpoints públicos não é fornecido.

  • Você deve se conectar ao endpoint de entrada usando os nomes DNS fornecidos pelo seu endpoint da VPC.

  • Todas as conexões usam redes privadas em sua VPC.

Tipos de endpoint de entrada compatíveis com endpoints da VPC

O SES oferece suporte a dois tipos de endpoints de entrada por meio de endpoints da VPC:

  • Endpoint de entrada aberto: o e-mail enviado para o seu domínio é roteado diretamente pelo endpoint da VPC sem exigir autenticação do remetente.

    Requisitos de configuração:

    • Crie um endpoint de entrada privado e aberto associando-o a um ID de endpoint da VPC que você possui.

    • Portas compatíveis: 25, 587

    • Compatível com STARTTLS: sim

  • Endpoint de entrada autenticado: os e-mails enviados para seu domínio devem vir de remetentes autorizados com os quais você compartilhou suas credenciais SMTP, como seus servidores de e-mail on-premises.

    Requisitos de configuração:

    • Crie um endpoint de entrada privado e autenticado associando-o a um ID de endpoint da VPC que você possui.

    • Portas compatíveis: 25, 587

    • Compatível com STARTTLS: sim

    • A autenticação usa o mesmo mecanismo de nome de usuário e senha com codificação base64 dos endpoints públicos autenticados.

Requisitos de endpoint da VPC

Para usar um endpoint da VPC com um endpoint do SES, os seguintes requisitos devem ser atendidos:

  • O endpoint da VPC deve estar ativo e disponível.

  • O endpoint da VPC deve pertencer à mesma conta da AWS do endpoint de entrada (não há suporte ao acesso entre contas).

  • O endpoint da VPC deve ser criado para o nome de serviço apropriado com base no tipo de endpoint de entrada:

    • Endpoint de entrada aberto: com.amazonaws.region.mail-manager-smtp.open

    • Endpoint de entrada autenticado: com.amazonaws.region.mail-manager-smtp.auth

    • Endpoint de entrada aberto FIPS: com.amazonaws.region.mail-manager-smtp.open.fips

    • Endpoint de entrada autenticado FIPS: com.amazonaws.region.mail-manager-smtp.auth.fips

Observações importantes sobre a configuração

  • Regiões dos EUA e do Canadá: os endpoints FIPS são os únicos endpoints da VPC disponíveis nas regiões dos EUA e do Canadá, e são os corretos para uso nessas regiões.

  • Relacionamento de um para um: cada endpoint da VPC só pode ser associado a um único endpoint de entrada. Não é possível usar o mesmo endpoint da VPC para vários endpoints de entrada.

  • Sem políticas de endpoint da VPC: ao contrário de outros serviços da AWS, os endpoints da VPC usados com endpoints de entrada não oferecem suporte a políticas de endpoint da VPC. O SES verifica automaticamente se o proprietário do endpoint da VPC e o proprietário do endpoint de entrada são a mesma conta da AWS.

  • Somente DNS privado: todos os nomes DNS fornecidos pelo endpoint da VPC serão nomes DNS privados acessíveis somente em sua VPC.

  • Validação no momento da criação: o SES realiza a validação durante a criação de recursos para garantir que o endpoint da VPC atenda a todos os requisitos.

Conectar-se ao endpoint de entrada por meio de um endpoint da VPC

Depois de configurar o endpoint da VPC e o endpoint de entrada:

  1. Recupere os nomes DNS gerados para o endpoint da VPC.

  2. Configure os clientes SMTP ou servidores de e-mail para usar esses nomes DNS para conexão.

  3. Se estiver usando um endpoint autenticado, configure os clientes SMTP com as credenciais codificadas em base64 apropriadas usadas com o endpoint de entrada autenticado.

Criar um endpoint de entrada no console do SES

O procedimento a seguir mostra como usar a página Endpoint de entrada no console do SES para criar endpoints de entrada e gerenciar aqueles que você já criou.

Para criar e gerenciar endpoints de entrada usando o console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em https://console.aws.amazon.com/ses/.

  2. No painel de navegação esquerdo, escolha Endpoints de entrada em Mail Manager.

  3. Na página Endpoints de entrada, selecione Criar endpoint de entrada.

  4. Na página Criar novo endpoint de entrada, insira um nome exclusivo para seu endpoint de entrada.

  5. Escolha se será um endpoint Aberto ou Autenticado.

    • Se você escolher Autenticado, selecione Senha SMTP e digite uma senha (para ser compartilhada com remetentes autorizados) ou Segredo e selecione um dos seus segredos no ARN Secreto. Se você selecionar um segredo criado anteriormente, ele deverá conter as políticas indicadas nas etapas a seguir para a criação de um novo segredo.

    • Você tem a opção de criar um novo segredo escolhendo Criar novo: o console AWS Secrets Manager será aberto, onde você poderá continuar criando uma nova chave:

    1. Selecione Outro tipo de segredo em Tipo de segredo.

    2. Em Par chave/valor, insira password como chave e sua senha real como o valor.

      nota

      Em Chave, você só deve inserir password (qualquer outra coisa fará com que a autenticação falhe).

    3. Selecione Adicionar nova chave para criar uma chave gerenciada pelo cliente (CMK) do KMS em Chave de criptografia: o console AWS KMS será aberto.

    4. Escolha Criar chave na página Chaves gerenciadas pelo cliente.

    5. Mantenha os valores padrão na página Configurar chave e selecione Avançar.

    6. Insira um nome para sua chave em Alias (opcionalmente, você pode adicionar uma descrição e uma tag) e, em seguida, selecione Avançar.

    7. Selecione os usuários (além de você) ou perfis que deseja permitir que administrem a chave em Administradores de chaves e, em seguida, selecione Avançar.

    8. Selecione os usuários (além de você) ou perfis que deseja permitir que administrem a chave em Usuários de chave e, em seguida, selecione Avançar.

    9. Copie e cole o Política de CMK do KMS no editor de texto JSON da Política de chave no nível "statement", adicionando-o como uma declaração adicional separada por uma vírgula. Substitua a região e o número da conta pelos seus próprios.

    10. Escolha Terminar.

    11. Selecione a guia do navegador onde está aberta a página Armazenar um novo segredo do AWS Secrets Manager, selecione o ícone de atualização (seta circular) ao lado do campo Chave de criptografia, clique dentro do campo e selecione a chave recém-criada.

    12. Insira um nome no campo Nome do segredo na página Configurar segredo.

    13. Selecione Permissões do recurso em Editar permissões.

    14. Copie e cole o Política de recursos de segredos no editor de texto JSON de Permissões de recursos e substitua a região e o número da conta pelos seus próprios. (Não se esqueça de excluir qualquer código de exemplo no editor).

    15. Escolha Salvar seguido de Avançar.

    16. Opcionalmente, configure a rotação e selecione Avançar.

    17. Revise e armazene o novo segredo selecionando Armazenar.

    18. Selecione a guia do navegador onde está aberta a página Criar novo endpoint de entrada do SES, escolha Atualizar lista e selecione seu segredo recém-criado em ARN secreto.

  6. Selecione um conjunto de regras contendo as ações de regras que você deseja realizar nos e-mails permitidos.

  7. Selecione uma política de tráfego para determinar o e-mail que você deseja bloquear ou permitir.

  8. Escolha se será uma rede Pública ou Privada.

    • Para uma rede pública, escolha o endereçamento somente IPv4 ou Dualstack (IPv4 e IPv6).

    • Para uma rede privada, selecione ou insira um endpoint da VPC que você compartilhou com remetentes autorizados na mesma conta, como usuários ou perfis do IAM. Você também pode criar um endpoint da VPC escolhendo Criar endpoint da VPC para abrir o console do Amazon VPC.

  9. Selecione Criar endpoint de entrada.

  10. Em Detalhes gerais, “Provisionamento” será exibido enquanto o endpoint de entrada estiver sendo criado. Atualize a página até que “Ativo” seja exibido e o campo ARecord contenha um valor. Copie o valor do registro “A” e cole-o em sua configuração de DNS ou em seu cliente SMTP, conforme discutido em Configuração de endpoints públicos.

  11. Logo acima do contêiner de Detalhes gerais no console, há um grande número sem rótulo prefixado por “inp” (também replicado na navegação estrutural na parte superior da página), por exemplo, inp-1abc2de3fghi4jkl5mnop6qr. Isso é chamado de ID do endpoint de entrada e seu valor é usado como nome de usuário para fazer login no servidor de entrada. (Você precisará compartilhar isso com os remetentes autorizados para se conectar ao endpoint.)

  12. Você pode visualizar e gerenciar os endpoints de entrada que você já criou na página Endpoints de entrada. Se houver um endpoint de entrada que você queira remover, selecione o respectivo botão de opção e, em seguida, Excluir.

  13. Para editar um endpoint de entrada, selecione seu nome para abrir a página de resumo:

    • Você pode alterar o status ativo do endpoint escolhendo Editar nos Detalhes gerais e, em seguida, Salvar alterações.

    • Você pode selecionar um conjunto de regras ou política de tráfego diferente escolhendo Editar em Conjunto de regras ou Política de tráfego seguido por Salvar alterações.