本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入口端点是 Mail Manager 中的关键基础设施组件,它利用您配置的策略和规则来接收、路由和管理您的电子邮件,以确定哪些电子邮件应被拒绝,哪些应被允许,以及应该对哪些电子邮件采取相应操作。
每个入口端点都有自身的流量策略来确定要阻止或允许的电子邮件,并拥有规则集来对您允许的电子邮件执行操作;因此,通过创建多个入口端点,您可以指派每个入口端点来管理和路由特定类型的电子邮件。这种精细度级别有助于您构建针对您的业务需求量身定制的电子邮件管理系统。
创建入口端点的必备工作流程
在创建入口端点时,必须为其分配已创建的流量策略和规则集。因此,创建入口端点的工作流程应遵循以下顺序:
-
首先,创建流量策略以确定要阻止或允许的电子邮件。有关更多信息,请参阅 在 SES 控制台中创建流量策略和策略声明。
-
接下来,创建一个规则集以对允许传入的电子邮件执行操作。有关更多信息,请参阅 在 SES 控制台中创建规则集和规则。
-
最后,创建您的入口端点,并将您刚刚创建的流量策略和规则集或您之前创建的任何其他流量策略和规则集分配给它。
创建入口端点后,您必须根据用于接收邮件的环境对其进行配置,无论是本地 SMTP 客户端的配置还是基于 Web 的 DNS 域主机的配置。下面的通过公共端点接收电子邮件部分将对此进行讨论。
配置您的环境以使用入口端点
SES 支持公共终端节点和亚马逊虚拟私有云 (VPC) 终端节点,让入口终端节点接受传入的电子邮件。以下各节说明如何配置您的入口端点以使用这两个选项中的任何一个。
通过公共端点接收电子邮件
使用“A”记录
在您创建入口端点时,将生成该端点的“A”记录,其值将显示在 SES 控制台的入口端点摘要屏幕上。您使用此记录值的方式具体取决于您创建的端点类型和您的应用场景:
-
开放端点 – 发送到您域的邮件将直接解析到您的入口端点,无需进行身份验证。
-
将“A”记录的值直接复制并粘贴到本地 SMTP 客户端的 SMTP 配置中,或 DNS 配置中域的 MX 记录中。
-
支持的端口:25
-
支持 STARTTLS:是
-
-
已验证的端点 – 发送到您的域的邮件必须来自您与之共享 SMTP 凭据的授权发件人,例如您的本地电子邮件服务器。
-
将“A”记录的值以及您的用户名和密码,直接复制并粘贴到本地 SMTP 客户端的 SMTP 配置中。
-
支持的端口:25、587(RFC
2476) -
支持 STARTTLS:是
-
如果您在配置中使用 MX 记录,请注意,虽然每个 DNS 提供商的配置记录的程序和界面不同,但您需要在 DNS 设置中输入的关键信息如以下示例所示:
所有发送到 recipient@marketing.example.com 的电子邮件都将发送到您的入口端点,因为您在域的 DNS 设置中,将入口端点的“A”记录作为 MX 记录的值进行了输入:
-
域 –
marketing.example.com -
MX 记录值 –
890123abcdef.ghijk.mail-manager-smtp.amazonaws.com(这是从您的入口端点复制的“A”记录值。) -
优先级 -
10
连接到已验证的端点
对于为了连接到已验证的端点而与之共享 SMTP 凭证的授权发件人,用户名和密码必须遵循以下协议,才能成功建立与服务器的连接:
-
用户名 – 这是入口端点 ID,必须使用 Base64 进行编码。(请参阅步骤 11。 在控制台程序中学习如何查找入口端点 ID。)
-
密码 – 这是创建入口端点时使用的密码,必须使用 Base64 进行编码。
以下示例显示了典型的 SMTP AUTH 服务器和客户端在建立连接时的交互过程:
S: 250 AUTH LOGIN PLAIN
C: AUTH LOGIN
S: 334 VXNlcm5hbWU6
C: SW5ncmVzc1BvaW50
S: 334 UGFzc3dvcmQ6
C: SW5ncmVzc1Bhc3N3b3Jk
S: 235 Authentication successful此示例包含以下属性:
-
S表示“服务器”– 接受消息的 SMTP 服务器。 -
C表示“客户端”- 与服务器建立连接并向服务器发送消息的 SMTP 客户端。 -
250 AUTH LOGIN PLAIN是服务器对支持的 AUTH 方法(AUTH LOGIN或AUTH PLAIN)的响应,发件人可以选择其中任何一种方法,然后发送符合 SMTP 身份验证服务扩展规范 RFC 2554的 SMTP 命令。本例中使用 AUTH LOGIN。 -
334 VXNlcm5hbWU6– 服务器以 Base64 编码提示输入用户名。 -
SW5ncmVzc1BvaW50– 客户端以 Base64 编码响应入口端点 ID。 -
334 UGFzc3dvcmQ6– 服务器以 Base64 编码提示输入密码。 -
SW5ncmVzc1Bhc3N3b3Jk– 客户端以 Base64 编码响应入口端点密码。
通过 Amazon VPC 终端节点接收电子邮件
除了公共入口终端节点外,您还可以将 VPC 终端节点与 SES 入口终端节点配合使用,以便在您的私有网络基础设施中安全地接收私人电子邮件。
与使用公共入口端点相比,配置差异
-
未提供通常可用于公共端点的 “A” 记录。
-
您必须使用 VPC 终端节点提供的 DNS 名称连接到入口终端节点。
-
所有连接都使用您的 VPC 内的私有网络。
VPC 终端节点支持的入口终端节点类型
SES 通过 VPC 终端节点支持两种类型的入口点:
-
打开入口终端节点-直接通过 VPC 终端节点发送到您的域的电子邮件,无需发件人身份验证。
配置要求:
-
通过将私有开放入口终端节点与您拥有的 VPC 终端节点 ID 关联来创建该终端节点。
-
支持的端口:25、587
-
支持 STARTTLS:是
-
-
经过身份验证的入口端点 — 发送到您域的邮件必须来自您与之共享 SMTP 凭据的授权发件人,例如您的本地电子邮件服务器。
配置要求:
-
通过将私有经过身份验证的入口终端节点与您拥有的 VPC 终端节点 ID 关联来创建该终端节点。
-
支持的端口:25、587
-
支持 STARTTLS:是
-
身份验证使用与经过身份验证的公共端点相同的 base64 编码的用户名和密码机制。
-
VPC 终端节点要求
要将 VPC 终端节点与 SES 入口终端节点配合使用,必须满足以下要求:
-
VPC 终端节点必须处于活动状态且可用。
-
VPC 终端节点必须与入口终端节点归同一个 AWS 账户所有(不支持跨账户访问)。
-
必须根据入口终端节点的类型为相应的服务名称创建 VPC 终端节点:
-
打开入口端点 —
com.amazonaws.region.mail-manager-smtp.open -
经过身份验证的入口端点 —
com.amazonaws.region.mail-manager-smtp.auth -
FIPS 开放入口端点 —
com.amazonaws.region.mail-manager-smtp.open.fips -
经过 FIPS 身份验证的入口端点 —
com.amazonaws.region.mail-manager-smtp.auth.fips
-
重要的配置说明
-
One-to-one 关系 — 每个 VPC 终端节点只能与一个入口终端节点关联。您不能将相同的 VPC 终端节点用于多个入口终端节点。
-
没有 VPC 终端节点策略 — 与其他 AWS 服务不同,与入口终端节点一起使用的 VPC 终端节点不支持 VPC 终端节点策略。SES 会自动验证 VPC 终端节点所有者和入口终端节点所有者是否为同一个 AWS 账户。
-
仅限私有 DN S — VPC 终端节点提供的所有 DNS 名称都将是只能在您的 VPC 内访问的私有 DNS 名称。
-
创建时进行验证 — SES 在资源创建期间执行验证,以确保 VPC 终端节点满足所有要求。
通过 VPC 终端节点连接到您的入口终端节点
配置 VPC 终端节点和入口终端节点后:
-
检索为您的 VPC 终端节点生成的 DNS 名称。
-
将 SMTP 客户端或电子邮件服务器配置为使用这些 DNS 名称进行连接。
-
如果使用经过身份验证的终端节点,请使用与经过身份验证的入口端点一起使用的相应的 base64 编码凭据来配置 SMTP 客户端。
在 SES 控制台中创建入口端点
以下过程演示了如何使用 SES 控制台中的入口端点页面,创建入口端点以及管理已创建的入口端点。
使用控制台创建和管理入口端点
登录 AWS Management Console 并打开 Amazon SES 控制台,网址为https://console.aws.amazon.com/ses/
。 -
在左侧导航面板中,选择 Mail Manager 下的入口端点。
-
在入口端点页面上,选择创建入口端点。
-
在创建新入口端点页面上,为您的入口端点输入一个唯一的名称。
-
选择是创建开放端点还是已验证的端点。
-
如果您选择已验证,请选择 SMTP 密码并输入密码(与授权发件人共享),或者选择密钥,然后从密钥 ARN 中选择一个密钥。如果您选择之前创建的密钥,则该密钥必须包含以下创建新密钥步骤中指示的策略。
-
你可以通过选择 Create new 来创建新密钥—— AWS Secrets Manager 控制台将打开,你可以继续创建新密钥:
-
在密钥类型中,选择其他密钥类型。
-
在密钥/值对中,输入
password作为密钥,并输入实际密码作为值。注意
对于密钥,您只需输入
password(其他任何内容都会导致身份验证失败)。 -
选择添加新密钥以在加密密钥中创建 KMS 客户托管密钥 (CMK) — AWS KMS 控制台将打开。
-
在客户自主管理型密钥页面上,选择创建密钥。
-
保留配置密钥页面上的默认值,然后选择下一步。
-
在别名中输入密钥的名称(您可以选择添加描述和标签),然后单击下一步。
-
在密钥管理员中,选择您想要允许管理密钥的任何用户(您自己除外)或角色,然后选择下一步。
-
在密钥用户中,选择想要允许使用密钥的任何用户(您自己除外)或角色,然后选择下一步。
-
将 KMS CMK 策略 复制并粘贴到
"statement"级别的密钥策略 JSON 文本编辑器中,将其作为额外声明添加进去,并用逗号进行分隔。将区域和账户替换为您自己的信息。 -
选择完成。
-
选择打开 AWS Secrets Manager 存储新密钥页面的浏览器选项卡,然后选择加密密钥字段旁边的刷新图标(圆形箭头),然后在该字段内单击并选择您新创建的密钥。
-
在配置密钥页面上的密钥名称字段中输入名称。
-
在资源权限中,选择编辑权限。
-
将 密钥资源策略 复制并粘贴到资源权限 JSON 文本编辑器中,然后将区域和账户替换为您自己的信息。(请务必删除编辑器中的所有示例代码。)
-
选择保存,然后选择下一步。
-
(可选)配置轮换,然后选择下一步。
-
查看您的新密钥并选择存储。
-
选择浏览器中已打开 SES 创建新入口端点页面的选项卡,然后选择刷新列表,接着在密钥 ARN 中选择新建的密钥。
-
-
选择一个规则集,其中包含您要对允许传入的电子邮件执行的规则操作。
-
选择流量策略以确定要阻止或允许的电子邮件。
-
选择它是公共网络还是私有网络。
-
对于公共网络,请选择 “IPv4仅限” 或 Dualstack(IPv4 和 IPv6)寻址。
-
对于私有网络,请选择或输入您与同一账户中的授权发件人(例如 IAM 用户或角色)共享的 VPC 终端节点。或者,您可以通过选择创建 VPC 终端节点打开 Amazon VPC 控制台来创建新的 VPC 终端节点。
-
-
选择创建入口端点。
-
在常规详细信息中,将在创建入口端点时显示 “配置”,请刷新页面,直到显示 “Active” 并且该ARecord字段包含一个值。复制“A”记录值并将其粘贴到您的 DNS 配置或 SMTP 客户端中,如公共端点配置中所述。
-
在控制台的一般详细信息容器正上方,有一个以“inp”为前缀的未标记的大数字(在页面顶部的面包屑导航中也同样存在),例如 inp-1abc2de3fghi4jkl5mnop6qr。这称为入口端点 ID,其值用作登录入口服务器的用户名。(您需要与授权发件人共享此信息才能连接到您的端点。)
-
您可以从入口端点页面查看和管理已经创建的入口端点。如果要删除某个入口端点,请选择其单选按钮,然后选择删除。
-
要编辑某个入口端点,请选择其名称以打开相应的摘要页面:
-
您可以通过在一般详细信息中选择编辑,然后选择保存更改来更改端点的活动状态。
-
您可以通过在规则集或流量策略中选择编辑,然后选择保存更改来选择不同的规则集或流量策略。
-
