Amazon SES et protocoles de sécurité - Amazon Simple Email Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon SES et protocoles de sécurité

Cette rubrique décrit les protocoles de sécurité que vous pouvez utiliser lorsque vous vous connectez à Amazon SES, mais aussi lorsqu'Amazon SES remet un e-mail à un récepteur.

Expéditeur d'e-mails à destination d'Amazon SES

Le protocole de sécurité que vous utilisez pour vous connecter à Amazon SES varie selon que vous utilisez l'API Amazon SES ou l'interface SMTP Amazon SES, comme décrit ensuite.

HTTPS

Si vous utilisez l'API Amazon SES (directement ou via un AWS SDK), toutes les communications sont cryptées par TLS via le point de terminaison HTTPS Amazon SES. Le point de terminaison HTTPS Amazon SES prend en charge TLS 1.2 et TLS 1.3.

Interface SMTP

Si vous accédez à Amazon SES via l'interface SMTP, vous devez chiffrer votre connexion à l'aide du protocole TLS (Transport Layer Security). Notez que TLS est souvent désigné sous le nom de son prédécesseur, le protocole SSL (Secure Sockets Layer).

Amazon SES prend en charge deux mécanismes d'établissement d'une connexion à chiffrement TLS : STARTTLS et TLS Wrapper.

  • STARTTLS – STARTTLS permet de mettre à niveau une connexion non chiffrée en connexion chiffrée. Il existe différentes versions de STARTTLS selon les protocoles. La version SMTP est définie dans RFC 3207. Pour les connexions STARTTLS, Amazon SES prend en charge les protocoles TLS 1.2 et TLS 1.3.

  • TLS Wrapper – TLS Wrapper (également connu sous le nom de SMTPS ou de protocole de négociation) permet d'initier une connexion chiffrée sans établir en premier lieu une connexion non chiffrée. Avec TLS Wrapper, le point de terminaison SMTP Amazon SES n'effectue pas de négociation TLS : c'est la responsabilité du client de se connecter au point de terminaison à l'aide de TLS et de continuer à utiliser TLS pour la totalité de la conversation. TLS Wrapper est un protocole plus ancien, mais de nombreux clients continuent de le prendre en charge. Pour les connexions TLS Wrapper, Amazon SES prend en charge TLS 1.2 et TLS 1.3.

Pour obtenir des informations sur la connexion à l'interface SMTP Amazon SES à l'aide de ces méthodes, consultez Connexion à un point de terminaison SMTP Amazon SES.

Amazon SES à destination d'un récepteur

Bien que TLS 1.3 soit notre méthode de livraison par défaut, SES peut envoyer des e-mails aux serveurs de messagerie utilisant des versions antérieures de TLS.

Par défaut, Amazon SES utilise la méthode TLS opportuniste. Cela signifie qu'Amazon SES tente toujours de créer une connexion sécurisée au serveur de messagerie de réception. Si Amazon SES ne peut pas établir une connexion sécurisée, il envoie le message non chiffré.

Vous pouvez modifier ce comportement en utilisant des jeux de configurations. Utilisez l'opération PutConfigurationSetDeliveryOptionsAPI pour définir la TlsPolicy propriété d'une configuration définie surRequire. Vous pouvez utiliser l'AWS CLI pour effectuer cette modification.

Pour configurer Amazon SES afin d'exiger des connexions TLS pour un jeu de configurations
  • Sur la ligne de commande, entrez la commande suivante :

    aws sesv2 put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --tls-policy REQUIRE

    Dans l'exemple précédent, remplacez MyConfigurationSet par le nom de votre jeu de configuration.

    Lorsque vous envoyez un e-mail à l'aide de ce jeu de configurations, Amazon SES envoie uniquement le message au serveur de messagerie de réception s'il peut établir une connexion sécurisée. Si Amazon SES ne peut pas créer une connexion sécurisée au serveur de messagerie de réception, il supprime le message.

End-to-end chiffrement

Vous pouvez utiliser Amazon SES pour envoyer des messages chiffrés à l'aide de S/MIME ou PGP. Les messages qui utilisent ces protocoles sont chiffrés par l'expéditeur. Leur contenu ne peut être consulté que par les destinataires qui possèdent les clés privées requises pour déchiffrer les messages.

Amazon SES prend en charge les types MIME suivants, que vous pouvez utiliser pour envoyer des e-mails chiffrés à l'aide de S/MIME :

  • application/pkcs7-mime

  • application/pkcs7-signature

  • application/x-pkcs7-mime

  • application/x-pkcs7-signature

Amazon SES prend également en charge les types MIME suivants, que vous pouvez utiliser pour envoyer des e-mails chiffrés à l'aide de PGP :

  • application/pgp-encrypted

  • application/pgp-keys

  • application/pgp-signature