As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Amazon SES e protocolos de segurança
<a name="security-protocols"></a>

Este tópico descreve os protocolos de segurança que você pode usar quando se conecta ao Amazon SES, bem como quando o Amazon SES entrega um e-mail a um receptor.

## Remetente de e-mail para o Amazon SES
<a name="security-client-to-ses"></a>

O protocolo de segurança que você usa para se conectar ao Amazon SES depende de você estar usando a API do Amazon SES ou a interface SMTP do Amazon SES, conforme descrito a seguir.

### HTTPS
<a name="security-client-to-ses-api"></a>

Se você estiver usando a API do Amazon SES (diretamente ou por meio de um AWS SDK), todas as comunicações serão criptografadas por TLS por meio do endpoint HTTPS do Amazon SES. O endpoint HTTPS do Amazon SES é compatível com o TLS 1.2 e o TLS 1.3.

### Interface SMTP
<a name="security-client-to-ses-smtp"></a>

Se estiver acessando o Amazon SES por meio da interface SMTP, você precisará criptografar a conexão usando o Transport Layer Security (TLS). Observe que a TLS é normalmente chamada pelo nome de seu protocolo antecessor, Secure Sockets Layer (SSL).

O Amazon SES oferece suporte a dois mecanismos para estabelecer conexão criptografada por TLS: STARTTLS e TLS Wrapper.
+ **STARTTLS**: o STARTTLS é um meio de atualizar uma conexão não criptografada para uma conexão criptografada. Existem versões do STARTTLS para diversos protocolos; a versão SMTP é definida em [RFC 3207](https://www.ietf.org/rfc/rfc3207.txt). Para conexões STARTTLS, o Amazon SES é compatível com o TLS 1.2 e TLS 1.3.
+ **TLS Wrapper**: o TLS Wrapper (também conhecido como SMTPS ou Handshake Protocol) é um meio de iniciar uma conexão criptografada sem antes estabelecer uma conexão não criptografada. Com o TLS Wrapper, o endpoint SMTP do Amazon SES não faz a negociação de TLS. É responsabilidade do cliente se conectar ao endpoint usando TLS e continuar usando TLS durante toda a conversa. O TLS Wrapper é um protocolo mais antigo, mas ainda é compatível com muitos clientes. Para conexões do TLS Wrapper, o Amazon SES é compatível com o TLS 1.2 e o TLS 1.3.

Para obter informações sobre como conectar com a interface SMTP do Amazon SES usando esses métodos, consulte [Conexão com um endpoint SMTP do Amazon SES](smtp-connect.md).

## Amazon SES para o receptor
<a name="security-ses-to-receiver"></a>

 Embora o TLS 1.3 seja nosso método de entrega padrão, o SES pode entregar e-mails aos servidores de e-mail usando versões anteriores do TLS. 

Por padrão, o Amazon SES usa *TLS oportunista*. O TLS oportunista no SES sempre usa STARTTLS e não inclui o TLS Wrapper. O fluxo envolve o estabelecimento de uma conexão inicial de texto simples, seguida pela atualização para uma sessão criptografada por TLS se o cliente e o servidor oferecerem suporte a STARTTLS. Se o SES não conseguir estabelecer uma conexão segura, ele enviará a mensagem não criptografada.

É possível alterar esse comportamento usando conjuntos de configurações. Use a operação [PutConfigurationSetDeliveryOptions](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutConfigurationSetDeliveryOptions.html)da API para definir a `TlsPolicy` propriedade de uma configuração definida como`Require`. É possível usar a [AWS CLI](https://aws.amazon.com/cli) para fazer essa alteração.

**Para configurar o Amazon SES para exigir conexões TLS em um conjunto de configurações**
+ Na linha de comando, insira o seguinte comando:

  ```
  aws sesv2 put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --tls-policy REQUIRE
  ```

  No exemplo anterior, *MyConfigurationSet* substitua pelo nome do seu conjunto de configurações.

  Ao enviar um e-mail usando esse conjunto de configurações, o Amazon SES só envia a mensagem para o servidor de recebimento de e-mails se puder estabelecer uma conexão segura. Se o Amazon SES não conseguir estabelecer uma conexão segura com o servidor de recebimento de e-mails, ele descarta a mensagem.

## End-to-end criptografia
<a name="security-end-to-end"></a>

Você pode usar o Amazon SES para enviar mensagens criptografadas usando S/MIME ou PGP. As mensagens que usam esses protocolos são criptografadas pelo remetente. O conteúdo delas só pode ser visualizado por destinatários que possuem as chaves privadas necessárias para descriptografar as mensagens.

O Amazon SES oferece suporte aos seguintes tipos de MIME, que você pode usar para enviar e-mails S/MIME criptografados:
+ `application/pkcs7-mime`
+ `application/pkcs7-signature`
+ `application/x-pkcs7-mime`
+ `application/x-pkcs7-signature`

O Amazon SES também suporta os seguintes tipos de MIME, que podem ser usados para enviar e-mail criptografado por PGP:
+ `application/pgp-encrypted`
+ `application/pgp-keys`
+ `application/pgp-signature`