View a markdown version of this page

Endpoints de entrada - Amazon Simple Email Service
Configurar endpoints de entradaPolítica de TLSautenticação mTLSCriar um endpoint de entrada (console)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints de entrada

Um endpoint de entrada é o principal componente de infraestrutura do Mail Manager que recebe, encaminha e gerencia seus e-mails utilizando políticas e regras configuradas para determinar quais e-mails devem ser rejeitados, quais devem ser permitidos e em quais uma ação deve ser realizada.

Cada endpoint de entrada tem sua própria política de tráfego para determinar quais e-mails bloquear ou permitir e seu próprio conjunto de regras para realizar ações no e-mail que você permite. Portanto, ao criar vários endpoints de entrada, você pode delegar cada um deles para gerenciar e rotear tipos específicos de e-mail. Esse nível de granularidade ajudará você a criar um sistema de gerenciamento de e-mail adaptado às necessidades da sua empresa.

Fluxo de trabalho de pré-requisito para criar um endpoint de entrada

No momento da criação do endpoint de entrada, você deve atribuir a ele uma política de tráfego e um conjunto de regras que já tenham sido criados. Portanto, o fluxo de trabalho para criar um endpoint de entrada deve estar na seguinte ordem:

  1. Comece criando uma política de tráfego para determinar o e-mail que você deseja bloquear ou permitir. Para obter detalhes, consulte Criar políticas de tráfego e declarações de políticas no console do SES.

  2. Em seguida, crie um conjunto de regras para realizar ações no e-mail que você permite. Para obter detalhes, consulte Criar conjuntos de regras e regras no console do SES.

  3. Por fim, crie o endpoint de entrada e atribua a ele a política de tráfego e o conjunto de regras que você acabou de criar ou quaisquer outros que você tenha criado anteriormente.

Depois de criar o endpoint de entrada, você deve configurá-lo com o ambiente sendo usado para receber e-mails, seja a configuração de um cliente SMTP on-premises ou de um host de domínio DNS baseado na web. Isso é discutido abaixo em Receber e-mails por meio de endpoints públicos.

Como configurar seu ambiente para usar um endpoint de entrada

O SES oferece suporte a endpoints públicos e endpoints do Amazon Virtual Private Cloud (VPC) para endpoints de entrada a fim de aceitar e-mails recebidos. As seções a seguir explicam como configurar o endpoint de entrada para usar qualquer uma dessas opções.

Receber e-mails por meio de endpoints públicos

Como usar o registro “A”

No momento em que você cria um endpoint de entrada, um registro “A” para o endpoint será gerado e seu valor exibido na tela de resumo do endpoint de entrada no console do SES. A forma como você usa o valor desse registro depende do tipo de endpoint criado e do seu caso de uso:

  • Endpoint aberto: os e-mails enviados para o domínio serão enviados diretamente para o endpoint de entrada, sem necessidade de autenticação.

    • Copie e cole o valor do registro “A” diretamente na configuração SMTP de um cliente SMTP on-premises ou em um registro MX do seu domínio na configuração de DNS.

    • Porta compatível: 25

    • Compatível com STARTTLS: sim

  • Endpoint autenticado: os e-mails enviados para seu domínio devem vir de remetentes autorizados com os quais você compartilhou suas credenciais SMTP, como seus servidores de e-mail locais.

    • Copie e cole o valor do registro “A” diretamente na configuração SMTP de um cliente SMTP local, bem como seu nome de usuário e senha.

    • Portas compatíveis: 25, 587 (RFC 2476)

    • Compatível com STARTTLS: sim

  • Endpoint mTLS — Os e-mails enviados para seu domínio devem vir de clientes que apresentem um certificado de cliente TLS assinado por uma das autoridades de certificação (CAs) no armazenamento confiável do endpoint de entrada. Consulte Autenticação TLS mútua (mTLS) para endpoints de entrada.

    • Copie e cole o valor do registro “A” diretamente na configuração SMTP de um cliente SMTP local.

    • Porta compatível: 25

    • Compatível com STARTTLS: sim

Se você estiver usando um registro MX em sua configuração, lembre-se de que, embora cada provedor de DNS tenha procedimentos e interfaces diferentes para configurar registros, as principais informações que você precisa inserir nas configurações de DNS estão listadas no exemplo a seguir:

Todos os e-mails enviados para recipient@marketing.example.com serão encaminhados para seu endpoint de entrada porque você inseriu o registro “A” do endpoint de entrada como o valor de um registro MX nas configurações de DNS do seu domínio:

  • Domínio: marketing.example.com

  • Valor do registro MX: 890123abcdef.ghijk.mail-manager-smtp.amazonaws.com (esse é o valor do registro “A” copiado do endpoint de entrada.)

  • Prioridade: 10

Como se conectar ao endpoint autenticado

Para os remetentes autorizados com os quais você compartilhou suas credenciais SMTP para se conectar ao endpoint autenticado, os seguintes protocolos devem ser seguidos para o nome de usuário e a senha a fim de estabelecer uma conexão bem-sucedida com o servidor:

  • Nome de usuário: esse é o ID do endpoint de entrada e deve ser codificado em Base64. (Consulte a Etapa 11. nos procedimentos do console para aprender como encontrar o ID do endpoint de entrada.)

  • Senha: essa é a usada durante a criação do endpoint de entrada e deve ser codificada em Base64.

O exemplo a seguir mostra um servidor SMTP AUTH típico e uma troca de clientes estabelecendo uma conexão:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

Esse código contém as seguintes propriedades:

  • S se refere a “Servidor”: o servidor SMTP que aceita mensagens.

  • C se refere a “cliente”: o cliente SMTP que estabelece uma conexão com o servidor e envia mensagens ao servidor.

  • 250 AUTH LOGIN PLAIN é uma resposta do servidor com suporte para métodos AUTH, AUTH LOGIN ou AUTH PLAIN; o remetente pode escolher qualquer um deles e enviar comandos SMTP compatíveis com a especificação RFC 2554 da Extensão de serviço SMTP para autenticação. AUTH LOGIN é usado aqui.

  • 334 VXNlcm5hbWU6: servidor solicitando o nome de usuário em Base64.

  • SW5ncmVzc1BvaW50: cliente respondendo com o ID do endpoint de entrada em Base64.

  • 334 UGFzc3dvcmQ6: servidor solicitando a senha em Base64.

  • SW5ncmVzc1Bhc3N3b3Jk: cliente respondendo com a senha do endpoint de entrada em Base64.

Receber e-mails por meio de endpoints do Amazon VPC

Além dos endpoints de entrada públicos, você pode usar endpoints da VPC com endpoints de entrada do SES para uma ingestão segura e privada de e-mails dentro da sua infraestrutura de rede privada.

Diferenças de configuração em comparação com o uso de endpoints de entrada públicos

  • O registro “A” normalmente disponível para endpoints públicos não é fornecido.

  • Você deve se conectar ao endpoint de entrada usando os nomes DNS fornecidos pelo seu endpoint da VPC.

  • Todas as conexões usam redes privadas em sua VPC.

Tipos de endpoint de entrada compatíveis com endpoints da VPC

O SES oferece suporte a dois tipos de endpoints de entrada por meio de endpoints da VPC:

  • Endpoint de entrada aberto: o e-mail enviado para o seu domínio é roteado diretamente pelo endpoint da VPC sem exigir autenticação do remetente.

    Requisitos de configuração:

    • Crie um endpoint de entrada privado e aberto associando-o a um ID de endpoint da VPC que você possui.

    • Portas compatíveis: 25, 587

    • Compatível com STARTTLS: sim

  • Endpoint de entrada autenticado: os e-mails enviados para seu domínio devem vir de remetentes autorizados com os quais você compartilhou suas credenciais SMTP, como seus servidores de e-mail on-premises.

    Requisitos de configuração:

    • Crie um endpoint de entrada privado e autenticado associando-o a um ID de endpoint da VPC que você possui.

    • Portas compatíveis: 25, 587

    • Compatível com STARTTLS: sim

    • A autenticação usa o mesmo mecanismo de nome de usuário e senha com codificação base64 dos endpoints públicos autenticados.

Requisitos de endpoint da VPC

Para usar um endpoint da VPC com um endpoint do SES, os seguintes requisitos devem ser atendidos:

  • O endpoint da VPC deve estar ativo e disponível.

  • O VPC endpoint deve pertencer à mesma AWS conta do endpoint de entrada (o acesso entre contas não é suportado).

  • O endpoint da VPC deve ser criado para o nome de serviço apropriado com base no tipo de endpoint de entrada:

    • Endpoint de entrada aberto: com.amazonaws.region.mail-manager-smtp.open

    • Endpoint de entrada autenticado: com.amazonaws.region.mail-manager-smtp.auth

    • Endpoint de entrada aberto FIPS: com.amazonaws.region.mail-manager-smtp.open.fips

    • Endpoint de entrada autenticado FIPS: com.amazonaws.region.mail-manager-smtp.auth.fips

Observações importantes sobre a configuração

  • One-to-one relacionamento — cada VPC endpoint só pode ser associado a um único endpoint de entrada. Não é possível usar o mesmo endpoint da VPC para vários endpoints de entrada.

  • Sem políticas de endpoint de VPC — diferentemente de outros serviços AWS , os endpoints de VPC usados com endpoints de entrada não oferecem suporte a políticas de endpoint de VPC. O SES verifica automaticamente se o proprietário do VPC endpoint e o proprietário do endpoint de entrada são da mesma conta. AWS

  • Somente DNS privado: todos os nomes DNS fornecidos pelo endpoint da VPC serão nomes DNS privados acessíveis somente em sua VPC.

  • Validação no momento da criação: o SES realiza a validação durante a criação de recursos para garantir que o endpoint da VPC atenda a todos os requisitos.

  • A política de TLS deve corresponder ao serviço de endpoint de VPC — ao criar um endpoint de entrada privado, o valor da política de TLS deve corresponder ao tipo de serviço de endpoint de VPC. Um endpoint de entrada com uma política FIPS TLS deve usar um serviço de endpoint VPC FIPS, e um endpoint de entrada com uma política ou REQUIRED TLS OPTIONAL deve usar um serviço de endpoint VPC não FIPS. Eles não podem ser misturados.

Conectar-se ao endpoint de entrada por meio de um endpoint da VPC

Depois de configurar o endpoint da VPC e o endpoint de entrada:

  1. Recupere os nomes DNS gerados para o endpoint da VPC.

  2. Configure os clientes SMTP ou servidores de e-mail para usar esses nomes DNS para conexão.

  3. Se estiver usando um endpoint autenticado, configure os clientes SMTP com as credenciais codificadas em base64 apropriadas usadas com o endpoint de entrada autenticado.

Política de TLS para endpoints de entrada

A política TLS para um endpoint de entrada controla se a conexão de clientes SMTP precisa usar a criptografia TLS ao enviar e-mails para seu endpoint. Você pode especificar uma política de TLS ao criar um endpoint de entrada usando a CreateIngressPoint API e alterá-la posteriormente usando a API. UpdateIngressPoint A política de TLS padrão depende da sua região: FIPS é a padrão nas regiões dos EUA e Canadá e REQUIRED é a padrão em todas as outras regiões.

Todas as conexões de endpoint de entrada usam TLS oportunista por meio do comando STARTTLS. A conexão começa como texto simples e é atualizada para TLS se o cliente de conexão oferecer suporte a ela. O TLS implícito (TLS Wrapper), em que a conexão começa criptografada, não é suportado.

Os seguintes valores de política de TLS estão disponíveis:

  • FIPS — Requer criptografia TLS usando módulos criptográficos validados por FIPS. Esse é o padrão nas regiões dos EUA e Canadá e só está disponível nessas regiões.

  • OBRIGATÓRIO — A conexão de clientes SMTP deve usar criptografia TLS. As conexões que não usam TLS são rejeitadas. Esse é o padrão em regiões fora dos EUA e Canadá.

  • OPCIONAL — A criptografia TLS é suportada, mas não é necessária. Clientes SMTP conectados podem enviar e-mails com ou sem TLS.

Disponibilidade por tipo de endpoint de entrada

Nem todos os valores da política de TLS são válidos para todas as combinações de tipo de endpoint de entrada e configuração de rede:

  • FIPS — Pode ser usado com todos os tipos de endpoints de entrada (abertos, autenticados e mTLS) em redes públicas e com endpoints de entrada abertos e autenticados em redes privadas, mas somente nas regiões dos EUA e Canadá. Depois de definido, FIPS não pode ser alterado para outro valor por meio de uma atualização. Se você precisar de uma política de TLS diferente, deverá criar um novo endpoint de entrada.

  • OBRIGATÓRIO — Pode ser usado com todos os tipos de endpoints de entrada em todas as regiões. No entanto, para endpoints autenticados e de entrada mTLS em redes públicas, isso só REQUIRED pode ser configurado no momento da criação — não pode ser alterado por meio de uma atualização. Para endpoints de entrada abertos (públicos ou privados) e endpoints de entrada autenticados em redes privadas, REQUIRED pode ser definido no momento da criação e alterado por meio de uma atualização. Observe que não REQUIRED está disponível para endpoints autenticados ou de entrada mTLS em redes públicas nas regiões dos EUA e Canadá, onde é usado em vez disso. FIPS

  • OPCIONAL — Pode ser usado com endpoints de entrada abertos em redes públicas e privadas e com endpoints de entrada autenticados em redes privadas. OPTIONALnão está disponível para endpoints de entrada mTLS e não está disponível para endpoints de entrada autenticados em redes públicas.

Regras para alterar a política de TLS

As regras a seguir se aplicam ao atualizar a política de TLS em um endpoint de entrada existente:

  • FIPSnão pode ser alterado após a criação.

  • Para endpoints de entrada abertos e endpoints de entrada autenticados em redes privadas, você pode alternar entre e. REQUIRED OPTIONAL

  • Para endpoints de entrada mTLS e endpoints de entrada autenticados em redes públicas, a política de TLS não pode ser alterada após a criação.

Autenticação TLS mútua (mTLS) para endpoints de entrada

A autenticação TLS mútua (mTLS) requer a conexão de clientes SMTP para apresentar um certificado de cliente TLS assinado por uma das autoridades de certificação (CAs) no armazenamento confiável do endpoint de entrada. Somente clientes com certificados confiáveis podem enviar e-mails para seu endpoint.

Importante

A autenticação mTLS só está disponível para endpoints de entrada públicos. Os endpoints do Amazon VPC não oferecem suporte à autenticação mTLS.

Para criar um endpoint de entrada mTLS, escolha MTLS como tipo de endpoint de entrada e forneça um TlsAuthConfiguration contendo a TrustStore no parâmetro da IngressPointConfiguration API. CreateIngressPoint

Configuração do armazenamento confiável

O armazenamento confiável define quais certificados de cliente são aceitos pelo seu endpoint de entrada. Contém os seguintes campos:

  • CAContent(obrigatório) — Um pacote de certificados de autoridade de certificação (CA) no formato PEM. Esse pacote contém os certificados CA usados para validar os certificados do cliente. Você pode incluir vários certificados de CA em um único pacote, de até 500 KB.

  • CrlContent(opcional) — Uma lista de revogação de certificados (CRL) no formato PEM. Se fornecidos, os certificados de cliente que aparecem na CRL são rejeitados mesmo se forem assinados por uma CA confiável. Até 500 KB.

  • KmsKeyArn(opcional) — O ARN de uma chave gerenciada pelo AWS KMS cliente (CMK) usada para criptografar os dados do armazenamento confiável. Se não for especificada, uma chave AWS gerenciada será usada. Ao usar uma CMK, a política de chaves deve permitir que o SES use a chave. Consulte Política de chaves de chave gerenciada pelo cliente (CMK) do KMS para o armazenamento confiável do mTLS.

Os certificados expirados são considerados inválidos e não são aceitos nas conexões. O SES também filtra certificados CA expirados e listas de revogação de certificados expirados (CRLs) do seu repositório confiável. Se uma CRL expirar, o certificado CA associado a essa CRL também será removido do armazenamento confiável, o que significa que os clientes assinados por essa CA não poderão mais se conectar até que você forneça uma CRL atualizada.

Usando atributos de certificado de cliente em condições de regra

Quando um cliente se conecta a um endpoint de entrada mTLS com um certificado válido, os atributos do certificado (como os campos Nome comum, número de série e Nome alternativo do assunto) são disponibilizados para uso em condições de regra como expressões de string. Isso permite rotear, filtrar ou agir no e-mail com base na identidade do cliente conectado. Para ver a lista completa dos atributos disponíveis, consulte a referência de condições da regra.

Criar um endpoint de entrada no console do SES

O procedimento a seguir mostra como usar a página Endpoint de entrada no console do SES para criar endpoints de entrada e gerenciar aqueles que você já criou.

Para criar e gerenciar endpoints de entrada usando o console

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em https://console.aws.amazon.com/ses/.

  2. No painel de navegação esquerdo, escolha Endpoints de entrada em Mail Manager.

  3. Na página Endpoints de entrada, selecione Criar endpoint de entrada.

  4. Na página Criar novo endpoint de entrada, insira um nome exclusivo para seu endpoint de entrada.

  5. Escolha se será um endpoint aberto, autenticado ou mTLS.

    • Se você escolher Autenticado, selecione Senha SMTP e digite uma senha (para ser compartilhada com remetentes autorizados) ou Segredo e selecione um dos seus segredos no ARN Secreto. Se você selecionar um segredo criado anteriormente, ele deverá conter as políticas indicadas nas etapas a seguir para a criação de um novo segredo.

    • Se você escolher mTLS, deverá fornecer uma configuração de armazenamento confiável contendo seu pacote de certificados CA. Opcionalmente, você também pode fornecer uma lista de revogação de certificados e uma chave. AWS KMS Consulte Autenticação TLS mútua (mTLS) para endpoints de entrada.

    • Você tem a opção de criar um novo segredo escolhendo Criar novo — o AWS Secrets Manager console será aberto, onde você poderá continuar criando uma nova chave:

    1. Selecione Outro tipo de segredo em Tipo de segredo.

    2. Em Par chave/valor, insira password como chave e sua senha real como o valor.

      nota

      Em Chave, você só deve inserir password (qualquer outra coisa fará com que a autenticação falhe).

    3. Selecione Adicionar nova chave para criar uma chave gerenciada pelo cliente (CMK) do KMS em Chave de criptografia — o AWS KMS console será aberto.

    4. Escolha Criar chave na página Chaves gerenciadas pelo cliente.

    5. Mantenha os valores padrão na página Configurar chave e selecione Avançar.

    6. Insira um nome para sua chave em Alias (opcionalmente, você pode adicionar uma descrição e uma tag) e, em seguida, selecione Avançar.

    7. Selecione os usuários (além de você) ou perfis que deseja permitir que administrem a chave em Administradores de chaves e, em seguida, selecione Avançar.

    8. Selecione os usuários (além de você) ou perfis que deseja permitir que administrem a chave em Usuários de chave e, em seguida, selecione Avançar.

    9. Copie e cole o Política de CMK do KMS no editor de texto JSON da Política de chave no nível "statement", adicionando-o como uma declaração adicional separada por uma vírgula. Substitua a região e o número da conta pelos seus próprios.

    10. Escolha Terminar.

    11. Selecione a guia do seu navegador onde você tem a página AWS Secrets Manager Armazenar uma nova página secreta aberta e selecione o ícone de atualização (seta circular) ao lado do campo Chave de criptografia, depois clique dentro do campo e selecione sua chave recém-criada.

    12. Insira um nome no campo Nome do segredo na página Configurar segredo.

    13. Selecione Permissões do recurso em Editar permissões.

    14. Copie e cole o Política de recursos de segredos no editor de texto JSON de Permissões de recursos e substitua a região e o número da conta pelos seus próprios. (Não se esqueça de excluir qualquer código de exemplo no editor).

    15. Escolha Salvar seguido de Avançar.

    16. Opcionalmente, configure a rotação e selecione Avançar.

    17. Revise e armazene o novo segredo selecionando Armazenar.

    18. Selecione a guia do navegador onde está aberta a página Criar novo endpoint de entrada do SES, escolha Atualizar lista e selecione seu segredo recém-criado em ARN secreto.

  6. Selecione um conjunto de regras contendo as ações de regras que você deseja realizar nos e-mails permitidos.

  7. Selecione uma política de tráfego para determinar o e-mail que você deseja bloquear ou permitir.

  8. Escolha se será uma rede Pública ou Privada.

    • Para uma rede pública, escolha IPv4somente endereçamento ou Dualstack (IPv4 e IPv6).

    • Para uma rede privada, selecione ou insira um endpoint da VPC que você compartilhou com remetentes autorizados na mesma conta, como usuários ou perfis do IAM. Você também pode criar um endpoint da VPC escolhendo Criar endpoint da VPC para abrir o console do Amazon VPC.

  9. Selecione uma política TLS para seu endpoint de entrada. O padrão depende da sua região. Consulte Política de TLS para obter detalhes sobre os valores e restrições disponíveis.

  10. Selecione Criar endpoint de entrada.

  11. Em Detalhes gerais, “Provisionamento” será exibido enquanto seu endpoint de entrada estiver sendo criado. Atualize a página até que “Ativo” seja exibido e o campo contenha um valor. ARecord Copie o valor do registro “A” e cole-o em sua configuração de DNS ou em seu cliente SMTP, conforme discutido em Configuração de endpoints públicos.

  12. Logo acima do contêiner de Detalhes gerais no console, há um grande número sem rótulo prefixado por “inp” (também replicado na navegação estrutural na parte superior da página), por exemplo, inp-1abc2de3fghi4jkl5mnop6qr. Isso é chamado de ID do endpoint de entrada e seu valor é usado como nome de usuário para fazer login no servidor de entrada. (Você precisará compartilhar isso com os remetentes autorizados para se conectar ao endpoint.)

  13. Você pode visualizar e gerenciar os endpoints de entrada que você já criou na página Endpoints de entrada. Se houver um endpoint de entrada que você queira remover, selecione o respectivo botão de opção e, em seguida, Excluir.

  14. Para editar um endpoint de entrada, selecione seu nome para abrir a página de resumo:

    • Você pode alterar o status ativo ou a política de TLS do endpoint (para configurações suportadas) escolhendo Editar nos detalhes gerais e depois em Salvar alterações.

    • Você pode selecionar um conjunto de regras ou política de tráfego diferente escolhendo Editar em Conjunto de regras ou Política de tráfego seguido por Salvar alterações.