Amazon SES e protocolos de segurança - Amazon Simple Email Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon SES e protocolos de segurança

Este tópico descreve os protocolos de segurança que você pode usar quando se conecta ao Amazon SES, bem como quando o Amazon SES entrega um e-mail a um receptor.

Remetente de e-mail para o Amazon SES

O protocolo de segurança que você usa para se conectar ao Amazon SES depende de você estar usando a API do Amazon SES ou a interface SMTP do Amazon SES, conforme descrito a seguir.

HTTPS

Se você estiver usando a API do Amazon SES (diretamente ou por meio de um AWS SDK), todas as comunicações serão criptografadas por TLS por meio do endpoint HTTPS do Amazon SES. O endpoint HTTPS do Amazon SES é compatível com o TLS 1.2 e o TLS 1.3.

Interface SMTP

Se estiver acessando o Amazon SES por meio da interface SMTP, você precisará criptografar a conexão usando o Transport Layer Security (TLS). Observe que a TLS é normalmente chamada pelo nome de seu protocolo antecessor, Secure Sockets Layer (SSL).

O Amazon SES oferece suporte a dois mecanismos para estabelecer conexão criptografada por TLS: STARTTLS e TLS Wrapper.

  • STARTTLS: o STARTTLS é um meio de atualizar uma conexão não criptografada para uma conexão criptografada. Existem versões do STARTTLS para diversos protocolos; a versão SMTP é definida em RFC 3207. Para conexões STARTTLS, o Amazon SES é compatível com o TLS 1.2 e TLS 1.3.

  • TLS Wrapper: o TLS Wrapper (também conhecido como SMTPS ou Handshake Protocol) é um meio de iniciar uma conexão criptografada sem antes estabelecer uma conexão não criptografada. Com o TLS Wrapper, o endpoint SMTP do Amazon SES não faz a negociação de TLS. É responsabilidade do cliente se conectar ao endpoint usando TLS e continuar usando TLS durante toda a conversa. O TLS Wrapper é um protocolo mais antigo, mas ainda é compatível com muitos clientes. Para conexões do TLS Wrapper, o Amazon SES é compatível com o TLS 1.2 e o TLS 1.3.

Para obter informações sobre como conectar com a interface SMTP do Amazon SES usando esses métodos, consulte Conexão com um endpoint SMTP do Amazon SES.

Amazon SES para o receptor

Embora o TLS 1.3 seja nosso método de entrega padrão, o SES pode entregar e-mails aos servidores de e-mail usando versões anteriores do TLS.

Por padrão, o Amazon SES usa TLS oportunista. Isso significa que o Amazon SES sempre tenta estabelecer uma conexão segura com o servidor de recebimento de e-mails. Se o Amazon SES não conseguir estabelecer uma conexão segura, ele envia a mensagem não criptografada.

É possível alterar esse comportamento usando conjuntos de configurações. Use a operação PutConfigurationSetDeliveryOptionsda API para definir a TlsPolicy propriedade de uma configuração definida comoRequire. É possível usar a AWS CLI para fazer essa alteração.

Para configurar o Amazon SES para exigir conexões TLS em um conjunto de configurações
  • Na linha de comando, insira o seguinte comando:

    aws sesv2 put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --tls-policy REQUIRE

    No exemplo anterior, MyConfigurationSet substitua pelo nome do seu conjunto de configurações.

    Ao enviar um e-mail usando esse conjunto de configurações, o Amazon SES só envia a mensagem para o servidor de recebimento de e-mails se puder estabelecer uma conexão segura. Se o Amazon SES não conseguir estabelecer uma conexão segura com o servidor de recebimento de e-mails, ele descarta a mensagem.

End-to-end criptografia

É possível usar o Amazon SES para enviar mensagens que são criptografadas usando S/MIME ou PGP. As mensagens que usam esses protocolos são criptografadas pelo remetente. O conteúdo delas só pode ser visualizado por destinatários que possuem as chaves privadas necessárias para descriptografar as mensagens.

O Amazon SES oferece suporte aos seguintes tipos de MIME, que podem ser usados para enviar e-mail criptografado por S/MIME:

  • application/pkcs7-mime

  • application/pkcs7-signature

  • application/x-pkcs7-mime

  • application/x-pkcs7-signature

O Amazon SES também suporta os seguintes tipos de MIME, que podem ser usados para enviar e-mail criptografado por PGP:

  • application/pgp-encrypted

  • application/pgp-keys

  • application/pgp-signature