本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 輸入端點
<a name="eb-ingress"></a>

輸入端點是 Mail Manager 中接收、路由和管理電子郵件的關鍵基礎設施元件，利用您設定的政策和規則來判斷應拒絕哪些電子郵件、應允許哪些電子郵件，以及應採取哪些動作。

每個輸入端點都有自己的流量政策來判斷要封鎖或允許哪些電子郵件，以及自己的規則集，以對您允許的電子郵件執行動作；因此，透過建立多個輸入端點，您可以委派每個端點來管理和路由特定類型的電子郵件。此精細程度可協助您建置專為您的業務需求量身打造的電子郵件管理系統。

**建立輸入端點的先決條件工作流程**  
在建立輸入端點時，您必須為其指派*已建立*的流量政策和規則集。因此，建立輸入端點的工作流程應依照下列順序：

1. 首先建立流量政策，以決定您要封鎖或允許的電子郵件。如需詳細資訊，請參閱[在 SES 主控台中建立流量政策和政策陳述式](eb-filters.md#eb-filters-create-console)。

1. 接著，建立規則集，對您允許的電子郵件執行動作。如需詳細資訊，請參閱[在 SES 主控台中建立規則集和規則](eb-rules.md#eb-rules-create-console)。

1. 最後，建立您的輸入端點，並將您剛建立的流量政策和規則集或您先前建立的任何其他規則集指派給該端點。

建立輸入端點後，您必須使用用來接收電子郵件的環境進行設定，無論是現場部署 SMTP 用戶端或 Web 型 DNS 網域主機的組態。這會在以下 中討論[透過公有端點接收電子郵件](#eb-ingress-a-record)。

## 設定您的環境以使用輸入端點
<a name="eb-ingress-config-endpoints"></a>

SES 支援公有端點和 Amazon Virtual Private Cloud (VPC) 端點，讓傳入端點接受傳入的電子郵件。下列各節說明如何將輸入端點設定為使用其中一個選項。

**Topics**
+ [公有端點組態](#eb-ingress-a-record)
+ [VPC 端點組態](#eb-ingress-vpc-endpoint)

### 透過公有端點接收電子郵件
<a name="eb-ingress-a-record"></a>

**使用「A」記錄**  
在您建立輸入端點時，將產生端點的「A」記錄，並在 SES 主控台的輸入端點摘要畫面上顯示其值。您使用此記錄值的方式取決於您建立的端點類型和使用案例：
+ **開啟端點** – 傳送到您網域的郵件會直接解析至您的傳入端點，不需要身分驗證。
  + 將「A」記錄的值直接複製到內部部署 SMTP 用戶端的 SMTP 組態，或複製到 DNS 組態中網域的 MX 記錄。
  + 支援的連接埠：25
  + 支援 STARTTLS：是
+ **已驗證的端點** – 傳送至網域的郵件必須來自您已與其共用 SMTP 憑證的授權寄件者，例如您的內部部署電子郵件伺服器。
  + 將「A」記錄的值直接複製並貼到現場部署 SMTP 用戶端的 SMTP 組態，以及您的使用者名稱和密碼。
  + 支援的連接埠：25、587 ([RFC 2476](https://www.ietf.org/rfc/rfc2476.txt))
  + 支援 STARTTLS：是
+ **mTLS 端點** – 傳送到您網域的郵件必須來自用戶端，該用戶端提供由傳入端點信任存放區中其中一個憑證授權單位 (CAs) 簽署的 TLS 用戶端憑證。請參閱 [傳入端點的相互 TLS (mTLS) 身分驗證](#eb-ingress-mtls)。
  + 將「A」記錄的值直接複製並貼到內部部署 SMTP 用戶端的 SMTP 組態中。
  + 支援的連接埠：25
  + 支援 STARTTLS：是

如果您在組態中使用 MX 記錄，請記住，雖然每個 DNS 供應商都有不同的程序和界面來設定記錄，但您需要放入 DNS 設定的關鍵資訊會列在下列範例中：

所有傳送到 *recipient@marketing.example.com* 的電子郵件都會前往您的傳入端點，因為您在網域的 DNS 設定中輸入了傳入端點的「A」記錄做為 MX 記錄的值：
+ **網域** – `marketing.example.com`
+ **MX 記錄值** – `890123abcdef.ghijk.mail-manager-smtp.amazonaws.com`（這是從您的輸入端點複製的「A」記錄值。) **
+ **優先順序** – `10`

**連線至已驗證的端點**  
對於您已與之共用 SMTP 登入資料以連接至已驗證端點的授權寄件者，必須遵循下列通訊協定以取得*使用者名稱和密碼*，**以成功建立與伺服器的連線：
+ **使用者名稱** – 這是輸入端點 ID，必須以 Base64 編碼。*（請參閱 主控台程序中[的步驟 11。](#find-ingress-id)了解如何尋找輸入端點 ID。)*
+ **密碼** – 這是在輸入端點建立期間所使用的密碼，且必須在 Base64 中編碼。

下列範例顯示建立連線的典型 SMTP AUTH 伺服器和用戶端交換：

```
S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful
```

此範例包含下列屬性：
+ `S` 表示「伺服器」—接受訊息的 SMTP 伺服器。
+ `C` 表示「用戶端」—建立與伺服器的連線並將訊息傳送到伺服器的 SMTP 用戶端。
+ `250 AUTH LOGIN PLAIN` 是來自伺服器且支援 AUTH 方法的回應，`AUTH LOGIN`或 `AUTH PLAIN`，寄件者可以選擇其中一個，並傳送符合 SMTP Service Extension for Authentication 規格 [RFC 2554 ](https://www.ietf.org/rfc/rfc2554.txt)的 SMTP `AUTH LOGIN` 命令。此處使用 。
+ `334 VXNlcm5hbWU6` – 在 Base64 中提示使用者名稱的伺服器。
+ `SW5ncmVzc1BvaW50` – 用戶端回應 Base64 中的輸入端點 ID。
+ `334 UGFzc3dvcmQ6` – 在 Base64 中提示密碼的伺服器。
+ `SW5ncmVzc1Bhc3N3b3Jk` – 用戶端回應 Base64 中的輸入端點密碼。

### 透過 Amazon VPC 端點接收電子郵件
<a name="eb-ingress-vpc-endpoint"></a>

除了公有輸入端點之外，您還可以將 VPC 端點與 SES 輸入端點搭配使用，以在私有網路基礎設施中進行安全的私有電子郵件擷取。

**相較於使用公有輸入端點的組態差異**  

+ 通常不會為公有端點提供「A」記錄。
+ 您必須使用 VPC 端點提供的 DNS 名稱連接到輸入端點。
+ 所有連線都會在您的 VPC 中使用私有聯網。

**透過 VPC 端點支援的輸入端點類型**  
SES 透過 VPC 端點支援兩種類型的輸入點：
+ **開啟輸入端點** – 直接透過 VPC 端點傳送至網域路由的電子郵件，而不需要寄件者身分驗證。

  組態需求：
  + 建立私有開放輸入端點，方法是將其與您擁有的 VPC 端點 ID 建立關聯。
  + 支援的連接埠：25、587
  + 支援 STARTTLS：是
+ **已驗證的輸入端點 – **傳送至網域的郵件必須來自您已與之共用 SMTP 憑證的授權寄件者，例如您的內部部署電子郵件伺服器。

  組態需求：
  + 建立私有驗證的輸入端點，方法是將其與您擁有的 VPC 端點 ID 建立關聯。
  + 支援的連接埠：25、587 
  + 支援 STARTTLS：是
  + 身分驗證使用與公有驗證端點相同的 base64 編碼使用者名稱和密碼機制。
+ **mTLS 傳入端點** – 傳送至您網域的郵件必須來自用戶端，該用戶端提供由傳入端點信任存放區中其中一個 CAs 簽署的 TLS 用戶端憑證。請參閱 [傳入端點的相互 TLS (mTLS) 身分驗證](#eb-ingress-mtls)。

  組態需求：
  + 建立私有 mTLS 輸入端點，方法是將其與您擁有的 VPC 端點 ID 建立關聯。
  + 支援的連接埠：25、587
  + 支援 STARTTLS：是

**VPC 端點需求**  
若要搭配 SES 輸入端點使用 VPC 端點，必須符合下列要求：
+ VPC 端點必須為作用中且可用。
+ VPC 端點必須擁有與輸入端點相同的 AWS 帳戶 （不支援跨帳戶存取）。
+ 必須根據輸入端點的類型，為適當的服務名稱建立 VPC 端點：
  + **開啟輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.open`
  + **已驗證的輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.auth`
  + **mTLS 輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.mtls`
  + **FIPS 開放輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.open.fips`
  + **FIPS 驗證的輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.auth.fips`
  + **FIPS mTLS 輸入端點** – `com.amazonaws.{{region}}.mail-manager-smtp.mtls.fips`

**重要組態備註**  

+ **One-to-one關係** – 每個 VPC 端點只能與單一輸入端點相關聯。您無法對多個輸入端點使用相同的 VPC 端點。
+ **沒有 VPC 端點政策** – 與其他 AWS 服務不同，與輸入端點搭配使用的 VPC 端點不支援 VPC 端點政策。SES 會自動驗證 VPC 端點擁有者和輸入端點擁有者是否為相同的 AWS 帳戶。
+ **僅限私有 DNS** – VPC 端點提供的所有 DNS 名稱都將是只能在 VPC 內存取的私有 DNS 名稱。
+ **建立時的驗證** – SES 會在資源建立期間執行驗證，以確保 VPC 端點符合所有要求。
+ **TLS 政策必須符合 VPC 端點服務** – 建立私有輸入端點時，TLS 政策值必須符合 VPC 端點服務類型。具有 TLS `FIPS` 政策的輸入端點必須使用 FIPS VPC 端點服務，而具有 `REQUIRED`或 TLS `OPTIONAL` 政策的輸入端點必須使用非 FIPS VPC 端點服務。它們無法混合。

**透過 VPC 端點連線至您的輸入端點**  
設定 VPC 端點和輸入端點之後：

1. 擷取為 VPC 端點產生的 DNS 名稱。

1. 將您的 SMTP 用戶端或電子郵件伺服器設定為使用這些 DNS 名稱進行連線。

1. 如果使用已驗證的端點，請使用已驗證的輸入端點所使用的適當 base64 編碼登入資料來設定 SMTP 用戶端。

## 已驗證輸入端點的 SMTP 登入資料輪換
<a name="eb-ingress-credentials-rotation"></a>

使用已驗證的輸入端點時，您可能需要定期輪換傳送用戶端使用的 SMTP 密碼。輪換行為取決於您存放登入資料的方式：使用 AWS Secrets Manager 或使用 SES 受管儲存。

**AWS Secrets Manager以 為基礎的密碼儲存**  
如果您已使用存放在 中的秘密設定已驗證的輸入端點 AWS Secrets Manager，則 Mail Manager 會使用秘密的 `AWSCURRENT`版本進行身分驗證，也接受該`AWSPREVIOUS`版本。這表示舊密碼和新密碼在輪換期間和之後都有效，讓您的傳送用戶端有時間更新其憑證。

`AWSPREVIOUS` 版本在 Mail Manager 端不會過期，只要存在，它就會保持有效 AWS Secrets Manager。您有責任管理秘密版本和過期時間 AWS Secrets Manager。

若要設定自動輪換：

1. 在秘密上設定[自動輪換](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) AWS Secrets Manager。

1. 輪換發生時， 會將`AWSCURRENT`標籤 AWS Secrets Manager 移至新的秘密版本`AWSPREVIOUS`，並連接至先前的目前版本。

1. Mail Manager 會立即接受這兩個版本，因此傳送用戶端可以在不停機的情況下更新其登入資料。

如需 AWS Secrets Manager 輪換策略的詳細資訊，請參閱*AWS Secrets Manager 《 使用者指南*》中的[輪換秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

**SES 受管密碼儲存**  
如果您在建立輸入端點 （或使用 `UpdateIngressPoint` API 更新） 時直接設定密碼，則 Mail Manager 會在更新後支援先前的密碼 14 天。14 天後，使用舊密碼傳送用戶端會收到`Authentication failed`錯誤。

**協調輪換與傳送用戶端**  
規劃登入資料輪換時，請事先通知您的傳送應用程式擁有者，並確保他們在寬限期內更新其 SMTP 組態。對於 AWS Secrets Manager以 為基礎的儲存，只要`AWSPREVIOUS`版本存在，寬限期就會持續。對於 SES 受管儲存，寬限期為 14 天。

**注意**  
若要在最小的用戶端中斷情況下無縫輪換登入資料，請使用已設定自動輪換的 AWS Secrets Manager型密碼儲存。

## 輸入端點的 TLS 政策
<a name="eb-ingress-tls-policy"></a>

輸入端點的 TLS 政策控制在傳送電子郵件至端點時，是否需要連線 SMTP 用戶端才能使用 TLS 加密。您可以在使用 `CreateIngressPoint` API 建立輸入端點時指定 TLS 政策，稍後再使用 `UpdateIngressPoint` API 進行變更。預設 TLS 政策取決於您的區域： `FIPS` 是美國和加拿大區域中的預設值，所有其他區域中`REQUIRED`的預設值。

所有輸入端點連線透過 STARTTLS 命令使用機會式 TLS。連線一開始為純文字，如果連線用戶端支援，則會升級至 TLS。不支援連線開始加密的隱含 TLS (TLS Wrapper)。

下列 TLS 政策值可供使用：
+ **FIPS** – 需要使用 FIPS 驗證的密碼編譯模組進行 TLS 加密。這是美國和加拿大區域的預設值，僅適用於這些區域。
+ **必要** – 連線 SMTP 用戶端必須使用 TLS 加密。不使用 TLS 的連線會遭到拒絕。這是美國和加拿大以外區域的預設值。
+ **選用** – 支援 TLS 加密，但非必要。連線 SMTP 用戶端可以使用或不使用 TLS 傳送電子郵件。

**依輸入端點類型的可用性**  
並非所有 TLS 政策值對輸入端點類型和網路組態的每個組合都有效：
+ **FIPS** – 可與公有和私有網路上的所有輸入端點類型 （開放、已驗證和 mTLS) 搭配使用，但僅適用於美國和加拿大區域。一旦設定，就`FIPS`無法透過更新變更為另一個值。如果您需要不同的 TLS 政策，則必須建立新的輸入端點。
+ **必要** – 可與所有區域中的所有輸入端點類型搭配使用。不過，對於公有網路上已驗證的 和 mTLS 傳入端點， `REQUIRED` 只能在建立時設定，無法透過更新進行變更。對於私有網路上的開放輸入端點 （公有或私有） 和已驗證或 mTLS 輸入端點，`REQUIRED`可以在建立時設定，並透過更新進行變更。請注意， `REQUIRED` 不適用於美國和加拿大區域中公有網路的已驗證或 mTLS 傳入端點，改用 `FIPS` 。
+ **選用** – 可與公有和私有網路上的開放輸入端點搭配使用，以及與私有網路上的已驗證輸入端點搭配使用。 `OPTIONAL` 不適用於 mTLS 輸入端點，也不適用於公有網路上已驗證的輸入端點。

**變更 TLS 政策的規則**  
更新現有輸入端點上的 TLS 政策時，適用下列規則：
+ `FIPS` 無法在建立後變更。
+ 對於私有網路上的開放輸入端點和已驗證的輸入端點，您可以在 `REQUIRED`和 之間切換`OPTIONAL`。
+ 對於公有網路上的 mTLS 輸入端點和已驗證的輸入端點，無法在建立之後變更 TLS 政策。

## 傳入端點的相互 TLS (mTLS) 身分驗證
<a name="eb-ingress-mtls"></a>

相互 TLS (mTLS) 身分驗證需要連接 SMTP 用戶端，才能在輸入端點的信任存放區中呈現由其中一個憑證授權單位 (CAs) 簽署的 TLS 用戶端憑證。只有具有信任憑證的用戶端才能傳送電子郵件到您的端點。

若要建立 mTLS 輸入端點，請選擇 `MTLS`作為輸入端點類型，並在 `CreateIngressPoint` API 的 `IngressPointConfiguration` 參數`TrustStore`中提供`TlsAuthConfiguration`包含 的 。

**信任存放區組態**  
信任存放區會定義您的輸入端點接受哪些用戶端憑證。其包含下列欄位：
+ **CAContent** （必要） – PEM 格式的憑證授權單位 (CA) 憑證套件。此套件包含用於驗證用戶端憑證的 CA 憑證。您可以在單一套件中包含多個 CA 憑證，最高可達 500 KB。
+ **CrlContent** （選用） – PEM 格式的憑證撤銷清單 (CRL)。如果提供，即使用戶端憑證是由信任的 CA 簽署，出現在 CRL 上的用戶端憑證也會遭到拒絕。高達 500 KB。
+ **KmsKeyArn** （選用） – 用於加密信任存放區資料之 AWS KMS 客戶受管金鑰 (CMK) 的 ARN。如果未指定，則會使用 AWS 受管金鑰。使用 CMK 時，金鑰政策必須允許 SES 使用金鑰。請參閱 [mTLS 信任存放區的 KMS 客戶受管金鑰 (CMK) 金鑰政策](eb-policies.md#eb-policies-ingress-mtls-cmk)。

過期的憑證會被視為無效，且不在連線中接受。SES 也會從您的信任存放區篩選掉過期的 CA 憑證和過期的憑證撤銷清單 (CRLs)。如果 CRL 過期，與該 CRL 相關聯的 CA 憑證也會從信任存放區中移除，這表示該 CA 簽署的用戶端將無法再連線，直到您提供更新的 CRL。

**在規則條件中使用用戶端憑證屬性**  
當用戶端連線至具有有效憑證的 mTLS 輸入端點時，憑證屬性 （例如通用名稱、序號和主體別名欄位） 可用於規則條件中做為字串表達式。這可讓您根據連線用戶端的身分，對電子郵件進行路由、篩選或動作。如需可用屬性的完整清單，請參閱[規則條件](eb-rules.md#rule-conditions)參考。

## 在 SES 主控台中建立輸入端點
<a name="eb-ingress-create-console"></a>

下列程序說明如何使用 SES 主控台中的**輸入端點**頁面來建立輸入端點，並管理您已建立的端點。

**使用主控台建立管理輸入端點**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 Amazon SES 主控台。

1. 在左側導覽面板中，選擇**郵件管理員**下的**傳入端點**。

1. 在**輸入端點**頁面上，選取**建立輸入端點**。

1. 在**建立新的輸入端點**頁面上，輸入輸入端點的唯一名稱。

1. 選擇它是**開放**、**已驗證**或 **mTLS** 端點。
   + 如果您選擇**已驗證**，請選取 **SMTP 密碼**並輸入密碼 （要與授權寄件者共用） 或 **Secret**，然後從 **Secret ARN** 選取其中一個秘密。*如果您選取先前建立的秘密，它必須包含以下步驟中指定的政策，以建立新的秘密。*
   + 如果您選擇 **mTLS**，您必須提供包含 CA 憑證套件的信任存放區組態。您也可以選擇性地提供憑證撤銷清單和 AWS KMS 金鑰。請參閱 [傳入端點的相互 TLS (mTLS) 身分驗證](#eb-ingress-mtls)。
   + 您可以選擇建立新秘密 ****- AWS Secrets Manager 主控台會開啟，您可以在其中繼續建立新的金鑰：

   1. 在**秘密類型中選擇其他****類型的秘密**。

   1. 在**金鑰/值對**中，輸入 `password` 表示金鑰，輸入 表示值的實際密碼。
**注意**  
對於**金鑰**，您只能輸入 `password`（其他項目會導致身分驗證失敗）。

   1. 選取**新增金鑰**以在**加密**金鑰中建立 KMS 客戶受管金鑰 (CMK) — AWS KMS 主控台將會開啟。

   1. 在客戶受管**金鑰頁面上選擇建立**金鑰。 ****

   1. 在**設定金鑰**頁面上保留預設值，然後選取**下一步**。

   1. 在**別名**中輸入金鑰的名稱 （或者，您可以新增描述和標籤），後面接著**下一步**。

   1. 選取您想要允許在**金鑰管理員**中管理金鑰的任何使用者 （而非您自己） 或角色，接著選取**下一步**。

   1. 選取您想要允許 在金鑰使用者中**使用該金鑰的任何使用者** （而非您自己） 或角色，然後按**下一步**。

   1. 透過將**金鑰政策** JSON 文字編輯器新增為以逗號分隔的額外陳述式，在 `"statement"` 層級複製並貼[KMS CMK 政策](eb-policies.md#eb-policies-ingress-cmk)到金鑰政策 JSON 文字編輯器中。使用您自己的 取代區域和帳戶號碼。

   1. 選擇**完成**。

   1. 選取瀏覽器的索引標籤，在其中開啟 AWS Secrets Manager **存放新的秘密**頁面，然後選取**加密金鑰**欄位旁的*重新整理圖示* （圓形箭頭），然後在欄位中按一下，然後選取新建立的金鑰。

   1. 在設定**秘密頁面上的秘密名稱**欄位中輸入名稱。 ****

   1. 在資源**許可中選取編輯**許可。 ****

   1. 將 複製並貼[秘密資源政策](eb-policies.md#eb-policies-ingress-secrets)到**資源許可** JSON 文字編輯器中，並將區域和帳號取代為您自己的 。（請務必在編輯器中刪除任何範例程式碼。) 

   1. 選擇**儲存**後接**下一步**。

   1. 選擇性地設定輪換，後面接著**下一步**。

   1. 選擇**存放區**來檢閱和存放您的新秘密。

   1. 選取瀏覽器的索引標籤，在其中開啟 SES **建立新的輸入端點**頁面，然後選擇**重新整理清單**，然後在秘密 **ARN 中選取新建立的秘密**。

1. 選取規則集，其中包含您要在您允許的電子郵件上執行的規則動作。

1. 選取流量政策，以決定您要封鎖或允許的電子郵件。

1. 選擇它是**公**有或**私有**網路。
   + 針對公有網路，選擇僅限 **IPv4** 或**雙堆疊** (IPv4 和 IPv6) 定址。
   + 針對私有網路，選取或輸入您已與相同帳戶中授權寄件者共用的 VPC 端點，例如 IAM 使用者或角色。或者，您可以選擇建立 VPC 端點來開啟 Amazon VPC 主控台，以建立新的 VPC **端點**。

1. 為您的輸入端點選取 TLS 政策。預設值取決於您的區域 - 如需可用值和限制的詳細資訊[TLS 政策](#eb-ingress-tls-policy)，請參閱 。

1. 選取**建立輸入端點**。

1. 在**一般詳細資訊**中，建立輸入端點時會顯示「佈建」，重新整理頁面，直到顯示「作用中」且 **ARecord** 欄位包含值為止。複製「A」記錄值，並將其貼到您的 DNS 組態或 SMTP 用戶端，如 中所述[公有端點組態](#eb-ingress-a-record)。

1. 主控台上的**一般詳細資訊**容器上方有一個大型的未標記號碼，字首為「inp」（也複寫在頁面頂端的導覽線索中），例如 **inp-1abc2de3fghi4jkl5mnop6qr**。這稱為*輸入端點 ID*，其值會用作登入您輸入伺服器的*使用者名稱*。（您需要與您的授權寄件者共用，才能連線至您的端點。)

1. 您可以檢視和管理從輸入端點頁面建立**的輸入端點**。如果您想要移除輸入端點，請選取其選項按鈕，接著選取**刪除**。

1. 若要編輯輸入端點，請選取其名稱以開啟其摘要頁面：
   + 您可以在**一般詳細資訊**中選擇**編輯**，然後選擇**儲存變更**，以變更端點的作用中狀態或 TLS 政策 （適用於支援的組態）。
   + 您可以在規則集或流量政策中選擇**編輯**，然後選擇**儲存變更**，以選取不同的**規則集**或**流量政策**。