View a markdown version of this page

輸入端點 - Amazon Simple Email Service
設定輸入端點TLS 政策mTLS 身分驗證建立輸入端點 (主控台)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

輸入端點

輸入端點是 Mail Manager 中接收、路由和管理電子郵件的關鍵基礎設施元件,利用您設定的政策和規則來判斷應拒絕哪些電子郵件、應允許哪些電子郵件,以及應採取哪些動作。

每個輸入端點都有自己的流量政策來判斷要封鎖或允許哪些電子郵件,以及自己的規則集,以對您允許的電子郵件執行動作;因此,透過建立多個輸入端點,您可以委派每個端點來管理和路由特定類型的電子郵件。此精細程度可協助您建置專為您的業務需求量身打造的電子郵件管理系統。

建立輸入端點的先決條件工作流程

在建立輸入端點時,您必須為其指派已建立的流量政策和規則集。因此,建立輸入端點的工作流程應依照下列順序:

  1. 首先建立流量政策,以決定您要封鎖或允許的電子郵件。如需詳細資訊,請參閱在 SES 主控台中建立流量政策和政策陳述式

  2. 接著,建立規則集,對您允許的電子郵件執行動作。如需詳細資訊,請參閱在 SES 主控台中建立規則集和規則

  3. 最後,建立您的輸入端點,並將您剛建立的流量政策和規則集或您先前建立的任何其他規則集指派給該端點。

建立輸入端點後,您必須使用用來接收電子郵件的環境進行設定,無論是現場部署 SMTP 用戶端或 Web 型 DNS 網域主機的組態。這會在以下 中討論透過公有端點接收電子郵件

設定您的環境以使用輸入端點

SES 支援公有端點和 Amazon Virtual Private Cloud (VPC) 端點,讓傳入端點接受傳入的電子郵件。下列各節說明如何將輸入端點設定為使用其中一個選項。

透過公有端點接收電子郵件

使用「A」記錄

在您建立輸入端點時,將產生端點的「A」記錄,並在 SES 主控台的輸入端點摘要畫面上顯示其值。您使用此記錄值的方式取決於您建立的端點類型和您的使用案例:

  • 開啟端點 – 傳送到您網域的郵件會直接解析至您的傳入端點,不需要身分驗證。

    • 將「A」記錄的值直接複製到內部部署 SMTP 用戶端的 SMTP 組態,或複製到 DNS 組態中網域的 MX 記錄。

    • 支援的連接埠:25

    • 支援 STARTTLS:是

  • 已驗證的端點 – 傳送至網域的郵件必須來自您已與其共用 SMTP 憑證的授權寄件者,例如您的內部部署電子郵件伺服器。

    • 將「A」記錄的值直接複製並貼到現場部署 SMTP 用戶端的 SMTP 組態,以及您的使用者名稱和密碼。

    • 支援的連接埠:25、587 (RFC 2476)

    • 支援 STARTTLS:是

  • mTLS 端點 – 傳送到您網域的郵件必須來自用戶端,該用戶端提供由傳入端點信任存放區中其中一個憑證授權單位 (CAs) 簽署的 TLS 用戶端憑證。請參閱 傳入端點的相互 TLS (mTLS) 身分驗證

    • 將「A」記錄的值直接複製並貼到內部部署 SMTP 用戶端的 SMTP 組態中。

    • 支援的連接埠:25

    • 支援 STARTTLS:是

如果您在組態中使用 MX 記錄,請記住,雖然每個 DNS 供應商都有不同的程序和界面來設定記錄,但您需要放入 DNS 設定的關鍵資訊會列在下列範例中:

所有傳送到 recipient@marketing.example.com 的電子郵件都會前往您的輸入端點,因為您在網域的 DNS 設定中輸入輸入端點的「A」記錄做為 MX 記錄的值:

  • 網域marketing.example.com

  • MX 記錄值890123abcdef.ghijk.mail-manager-smtp.amazonaws.com(這是從您的輸入端點複製的「A」記錄值。)

  • 優先順序10

連線至已驗證的端點

對於您已與之共用 SMTP 憑證以連接至已驗證端點的授權寄件者,必須遵循下列通訊協定以取得使用者名稱和密碼以便成功建立與伺服器的連線:

  • 使用者名稱 – 這是輸入端點 ID,必須以 Base64 編碼。(請參閱 主控台程序中的步驟 11。了解如何尋找輸入端點 ID。)

  • 密碼 – 這是在輸入端點建立期間所使用的密碼,且必須在 Base64 中編碼。

下列範例顯示建立連線的典型 SMTP AUTH 伺服器和用戶端交換:

S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful

此範例包含下列屬性:

  • S 表示「伺服器」—接受訊息的 SMTP 伺服器。

  • C 表示「用戶端」—建立與伺服器的連線並將訊息傳送到伺服器的 SMTP 用戶端。

  • 250 AUTH LOGIN PLAIN 是來自伺服器且支援 AUTH 方法的回應,AUTH LOGINAUTH PLAIN,寄件者可以選擇其中一個,並傳送符合 SMTP Service Extension for Authentication 規格 RFC 2554 的 SMTP AUTH LOGIN 命令。此處使用 。

  • 334 VXNlcm5hbWU6 – 在 Base64 中提示使用者名稱的伺服器。

  • SW5ncmVzc1BvaW50 – 用戶端回應 Base64 中的輸入端點 ID。

  • 334 UGFzc3dvcmQ6 – 在 Base64 中提示密碼的伺服器。

  • SW5ncmVzc1Bhc3N3b3Jk – 用戶端回應 Base64 中的輸入端點密碼。

透過 Amazon VPC 端點接收電子郵件

除了公有輸入端點之外,您還可以將 VPC 端點與 SES 輸入端點搭配使用,以在私有網路基礎設施中進行安全的私有電子郵件擷取。

相較於使用公有輸入端點的組態差異

  • 通常不會為公有端點提供「A」記錄。

  • 您必須使用 VPC 端點提供的 DNS 名稱連接到輸入端點。

  • 所有連線都會在您的 VPC 中使用私有聯網。

透過 VPC 端點支援的輸入端點類型

SES 透過 VPC 端點支援兩種類型的輸入點:

  • 開啟輸入端點 – 直接透過 VPC 端點傳送至網域路由的電子郵件,而不需要寄件者身分驗證。

    組態需求:

    • 建立私有開放輸入端點,方法是將其與您擁有的 VPC 端點 ID 建立關聯。

    • 支援的連接埠:25、587

    • 支援 STARTTLS:是

  • 已驗證的輸入端點 – 傳送至網域的郵件必須來自您已與之共用 SMTP 憑證的授權寄件者,例如您的內部部署電子郵件伺服器。

    組態需求:

    • 建立私有驗證的輸入端點,方法是將其與您擁有的 VPC 端點 ID 建立關聯。

    • 支援的連接埠:25、587

    • 支援 STARTTLS:是

    • 身分驗證使用與公有驗證端點相同的 base64 編碼使用者名稱和密碼機制。

  • mTLS 傳入端點 – 傳送至您網域的郵件必須來自用戶端,該用戶端提供由傳入端點信任存放區中其中一個 CAs 簽署的 TLS 用戶端憑證。請參閱 傳入端點的相互 TLS (mTLS) 身分驗證

    組態需求:

    • 建立私有 mTLS 傳入端點,方法是將其與您擁有的 VPC 端點 ID 建立關聯。

    • 支援的連接埠:25、587

    • 支援 STARTTLS:是

VPC 端點需求

若要搭配 SES 輸入端點使用 VPC 端點,必須符合下列要求:

  • VPC 端點必須為作用中且可用。

  • VPC 端點必須擁有與輸入端點相同的 AWS 帳戶 (不支援跨帳戶存取)。

  • 必須根據輸入端點的類型,為適當的服務名稱建立 VPC 端點:

    • 開啟輸入端點com.amazonaws.region.mail-manager-smtp.open

    • 已驗證的輸入端點com.amazonaws.region.mail-manager-smtp.auth

    • mTLS 輸入端點com.amazonaws.region.mail-manager-smtp.mtls

    • FIPS 開放輸入端點com.amazonaws.region.mail-manager-smtp.open.fips

    • FIPS 驗證的輸入端點com.amazonaws.region.mail-manager-smtp.auth.fips

    • FIPS mTLS 輸入端點com.amazonaws.region.mail-manager-smtp.mtls.fips

重要組態備註

  • One-to-one關係 – 每個 VPC 端點只能與單一輸入端點相關聯。您無法對多個輸入端點使用相同的 VPC 端點。

  • 沒有 VPC 端點政策 – 與其他 AWS 服務不同,與輸入端點搭配使用的 VPC 端點不支援 VPC 端點政策。SES 會自動驗證 VPC 端點擁有者和輸入端點擁有者是否為相同的 AWS 帳戶。

  • 僅限私有 DNS – VPC 端點提供的所有 DNS 名稱都是只能在 VPC 內存取的私有 DNS 名稱。

  • 建立時的驗證 – SES 會在資源建立期間執行驗證,以確保 VPC 端點符合所有要求。

  • TLS 政策必須符合 VPC 端點服務 – 建立私有輸入端點時,TLS 政策值必須符合 VPC 端點服務類型。具有 TLS FIPS 政策的傳入端點必須使用 FIPS VPC 端點服務,而具有 REQUIRED或 TLS OPTIONAL 政策的傳入端點必須使用非 FIPS VPC 端點服務。它們無法混合。

透過 VPC 端點連線至您的輸入端點

設定 VPC 端點和輸入端點之後:

  1. 擷取為 VPC 端點產生的 DNS 名稱。

  2. 將您的 SMTP 用戶端或電子郵件伺服器設定為使用這些 DNS 名稱進行連線。

  3. 如果使用已驗證的端點,請使用已驗證的輸入端點所使用的適當 base64 編碼登入資料來設定 SMTP 用戶端。

輸入端點的 TLS 政策

輸入端點的 TLS 政策控制在傳送電子郵件至端點時,是否需要連線 SMTP 用戶端才能使用 TLS 加密。您可以在使用 CreateIngressPoint API 建立輸入端點時指定 TLS 政策,稍後再使用 UpdateIngressPoint API 進行變更。預設 TLS 政策取決於您的區域: FIPS 是美國和加拿大區域中的預設值,所有其他區域中REQUIRED的預設值。

所有輸入端點連線透過 STARTTLS 命令使用機會式 TLS。連線一開始為純文字,如果連線用戶端支援,則會升級至 TLS。不支援連線開始加密的隱含 TLS (TLS Wrapper)。

下列 TLS 政策值可供使用:

  • FIPS – 需要使用 FIPS 驗證的密碼編譯模組進行 TLS 加密。這是美國和加拿大區域的預設值,僅適用於這些區域。

  • 必要 – 連線 SMTP 用戶端必須使用 TLS 加密。不使用 TLS 的連線會遭到拒絕。這是美國和加拿大以外區域的預設值。

  • 選用 – 支援 TLS 加密,但非必要。連接 SMTP 用戶端可以使用或不使用 TLS 傳送電子郵件。

依輸入端點類型的可用性

並非所有 TLS 政策值對輸入端點類型和網路組態的每個組合都有效:

  • FIPS – 可與公有和私有網路上的所有輸入端點類型 (開放、已驗證和 mTLS) 搭配使用,但僅限於美國和加拿大區域。一旦設定,就FIPS無法透過更新變更為另一個值。如果您需要不同的 TLS 政策,則必須建立新的輸入端點。

  • 必要 – 可與所有區域中的所有輸入端點類型搭配使用。不過,對於公有網路上已驗證的 和 mTLS 輸入端點, REQUIRED 只能在建立時設定,無法透過更新進行變更。對於私有網路上的開放輸入端點 (公有或私有) 和已驗證或 mTLS 輸入端點,REQUIRED可以在建立時設定,並透過更新進行變更。請注意, REQUIRED 不適用於美國和加拿大區域中公有網路的已驗證或 mTLS 輸入端點,改用 FIPS

  • 選用 – 可與公有和私有網路上的開放輸入端點搭配使用,以及與私有網路上的已驗證輸入端點搭配使用。 OPTIONAL 不適用於 mTLS 輸入端點,也不適用於公有網路上已驗證的輸入端點。

變更 TLS 政策的規則

更新現有輸入端點上的 TLS 政策時,適用下列規則:

  • FIPS 無法在建立後變更。

  • 對於私有網路上的開放輸入端點和已驗證的輸入端點,您可以在 REQUIRED和 之間切換OPTIONAL

  • 對於公有網路上的 mTLS 輸入端點和已驗證的輸入端點,無法在建立之後變更 TLS 政策。

傳入端點的相互 TLS (mTLS) 身分驗證

相互 TLS (mTLS) 身分驗證需要連接 SMTP 用戶端,才能在輸入端點信任存放區中呈現由其中一個憑證授權單位 (CAs) 簽署的 TLS 用戶端憑證。只有具有信任憑證的用戶端才能傳送電子郵件到您的端點。

若要建立 mTLS 輸入端點,請選擇 MTLS作為輸入端點類型,並在 CreateIngressPoint API 的 IngressPointConfiguration 參數TrustStore中提供TlsAuthConfiguration包含 的 。

信任存放區組態

信任存放區會定義您的輸入端點接受哪些用戶端憑證。其包含下列欄位:

  • CAContent (必要) – PEM 格式的憑證授權單位 (CA) 憑證套件。此套件包含用於驗證用戶端憑證的 CA 憑證。您可以在單一套件中包含多個 CA 憑證,最高可達 500 KB。

  • CrlContent (選用) – PEM 格式的憑證撤銷清單 (CRL)。如果提供,即使用戶端憑證是由信任的 CA 簽署,出現在 CRL 上的用戶端憑證也會遭到拒絕。高達 500 KB。

  • KmsKeyArn (選用) – 用於加密信任存放區資料之 AWS KMS 客戶受管金鑰 (CMK) 的 ARN。如果未指定,則會使用 AWS 受管金鑰。使用 CMK 時,金鑰政策必須允許 SES 使用金鑰。請參閱 mTLS 信任存放區的 KMS 客戶受管金鑰 (CMK) 金鑰政策

過期的憑證會被視為無效,且在連線中不接受。SES 也會從您的信任存放區篩選掉過期的 CA 憑證和過期的憑證撤銷清單 (CRLs)。如果 CRL 過期,則與該 CRL 相關聯的 CA 憑證也會從信任存放區中移除,這表示該 CA 簽署的用戶端將無法再連線,直到您提供更新的 CRL。

在規則條件中使用用戶端憑證屬性

當用戶端連線到具有有效憑證的 mTLS 輸入端點時,憑證屬性 (例如通用名稱、序號和主體別名欄位) 可用於規則條件中做為字串表達式。這可讓您根據連線用戶端的身分,對電子郵件進行路由、篩選或動作。如需可用屬性的完整清單,請參閱規則條件參考。

在 SES 主控台中建立輸入端點

下列程序說明如何使用 SES 主控台中的輸入端點頁面來建立輸入端點,並管理您已建立的端點。

使用主控台建立管理輸入端點

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/ses/:// 開啟 Amazon SES 主控台。

  2. 在左側導覽面板中,選擇 Mail Manager 下的輸入端點

  3. 輸入端點頁面上,選取建立輸入端點

  4. 建立新的輸入端點頁面上,輸入輸入端點的唯一名稱。

  5. 選擇它是開放已驗證mTLS 端點。

    • 如果您選擇已驗證,請選取 SMTP 密碼並輸入密碼 (要與授權寄件者共用) 或 Secret,然後從 Secret ARN 選取其中一個秘密。如果您選取先前建立的秘密,它必須包含以下步驟中指示的政策,以建立新的秘密。

    • 如果您選擇 mTLS,則必須提供包含 CA 憑證套件的信任存放區組態。您也可以選擇性地提供憑證撤銷清單和 AWS KMS 金鑰。請參閱 傳入端點的相互 TLS (mTLS) 身分驗證

    • 您可以選擇建立新秘密 - AWS Secrets Manager 主控台會開啟,您可以在其中繼續建立新的金鑰:

    1. 秘密類型中選擇其他類型的秘密

    2. 金鑰/值對中,輸入 password 表示金鑰,輸入 表示值的實際密碼。

      注意

      對於金鑰,您只能輸入 password(任何其他項目都會導致身分驗證失敗)。

    3. 選取新增金鑰以在加密金鑰中建立 KMS 客戶受管金鑰 (CMK) — AWS KMS 主控台將會開啟。

    4. 在客戶受管金鑰頁面上選擇建立金鑰。

    5. 設定金鑰頁面上保留預設值,然後選取下一步

    6. 別名中輸入金鑰的名稱 (或者,您可以新增描述和標籤),後面接著下一步

    7. 選取您想要允許在金鑰管理員中管理金鑰的任何使用者 (而非您自己) 或角色,接著選取下一步

    8. 選取您想要允許 在金鑰使用者中使用該金鑰的任何使用者 (而非您自己) 或角色,然後按下一步

    9. 透過KMS CMK 政策金鑰政策 JSON 文字編輯器新增為以逗號分隔的額外陳述式,在 "statement" 層級複製並貼上 。使用您自己的 取代區域和帳戶號碼。

    10. 選擇完成

    11. 選取瀏覽器的索引標籤,在其中開啟 AWS Secrets Manager 存放新的秘密頁面,然後選取加密金鑰欄位旁的重新整理圖示 (圓形箭頭),然後在欄位中按一下,然後選取新建立的金鑰。

    12. 在設定秘密頁面上的秘密名稱欄位中輸入名稱。

    13. 在資源許可中選取編輯許可。

    14. 將 複製並貼秘密資源政策資源許可 JSON 文字編輯器中,並將區域和帳號取代為您自己的 。(請務必刪除編輯器中的任何範例程式碼。)

    15. 選擇儲存後接下一步

    16. 選擇性地設定輪換,後面接著下一步

    17. 選擇 存放區,以檢閱和存放您的新秘密。

    18. 選取瀏覽器的索引標籤,在其中開啟 SES 建立新的輸入端點頁面,然後選擇重新整理清單,然後在秘密 ARN 中選取新建立的秘密

  6. 選取規則集,其中包含您要在您允許的電子郵件上執行的規則動作。

  7. 選取流量政策,以決定您要封鎖或允許的電子郵件。

  8. 選擇它是有或私有網路。

    • 針對公有網路,選擇僅限 IPv4雙堆疊 (IPv4 和 IPv6) 定址。

    • 針對私有網路,選取或輸入您已與相同帳戶中授權寄件者共用的 VPC 端點,例如 IAM 使用者或角色。或者,您可以選擇建立 VPC 端點來開啟 Amazon VPC 主控台,以建立新的 VPC 端點

  9. 為您的輸入端點選取 TLS 政策。預設值取決於您的區域 - 如需可用值和限制的詳細資訊TLS 政策,請參閱 。

  10. 選取建立輸入端點

  11. 一般詳細資訊中,建立輸入端點時會顯示「佈建」,重新整理頁面,直到顯示「作用中」且 ARecord 欄位包含值為止。複製「A」記錄值,並將其貼到您的 DNS 組態或 SMTP 用戶端,如 中所述公有端點組態

  12. 主控台上的一般詳細資訊容器上方有一個大型的未標記號碼,字首為「inp」(也複寫在頁面頂端的導覽線索中),例如 inp-1abc2de3fghi4jkl5mnop6qr。這稱為輸入端點 ID,其值會用作登入您輸入伺服器的使用者名稱。(您需要與您的授權寄件者共用,才能連線至您的端點。)

  13. 您可以檢視和管理從輸入端點頁面建立的輸入端點。如果您想要移除輸入端點,請選取其選項按鈕,接著選取刪除

  14. 若要編輯輸入端點,請選取其名稱以開啟其摘要頁面:

    • 您可以在一般詳細資訊中選擇編輯,然後選擇儲存變更,以變更端點的作用中狀態或 TLS 政策 (適用於支援的組態)。

    • 您可以在規則集或流量政策中選擇編輯,然後選擇儲存變更,以選取不同的規則集流量政策