SMTP繼電器 - Amazon Simple Email Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SMTP繼電器

由於郵件管理員是在您的電子郵件環境 (例如 Microsoft 365、Google Workspace 或內部部署 Exchange) 和網際網路之間部署,因此郵件管理員會使用SMTP轉送,將郵件管理員處理的內送電子郵件路由傳送至您的電子郵件環境。它也可以將輸出電子郵件路由傳送至其他電子郵件基礎結構,例如另一部 Exchange 伺服器或協力廠商電子郵件閘道,然後再傳送

SMTP轉送是電子郵件基礎結構的重要組成部分,負責在規則集中定義的規則操作指定時,在伺服器之間有效地路由電子郵件。

具體而言,SMTP轉送可以在 SES Mail Manager 和外部電子郵件基礎結構 (例如 Exchange、內部部署或協力廠商電子郵件閘道等) 之間重新導向傳入電子郵件。傳送至輸入端點的內送電子郵件將由一個規則處理,該規則會將指定的電子郵件路由到指定的轉SMTP送,然後將其傳遞至轉SMTP送中定義的外部電子郵件基礎結構。

當您的輸入端點收到電子郵件時,它會使用流量政策來判斷要封鎖或允許哪些電子郵件。您允許的電子郵件會傳遞至規則集,該規則集會套用條件規則,以執行您針對特定電子郵件類型定義的動作。您可以定義的其中一個規則動作是SMTPRelay動作 — 如果您選取此動作,電子郵件會傳SMTP送至轉送中定義的外部SMTP伺服器。

例如,您可以使用此SMTPRelay動作,將電子郵件從輸入端點傳送到內部部署 Microsoft Exchange 伺服器。您可以將 Exchange 伺服器設定為擁有只能使用特定認證存取的公用SMTP端點。建立SMTP轉送時,請輸入 Exchange 伺服器的伺服器名稱、連接埠和認證,並為SMTP轉送指定唯一的名稱,例如「RelayToMyExchangeServer」。然後,您會在輸入端點的規則集中建立一個規則,上面寫著:「當寄件者位址包含 'gmail.com' 時,然後使用呼叫的SMTP轉送執行SMTPRelay動作」。RelayToMyExchangeServer

現在,當來自 gmail.com 的電子郵件送達您的輸入端點時,規則會觸發SMTPRelay動作,並使用您在建立SMTP轉送並將電子郵件傳遞至 Exchange 伺服器時提供的認證來連絡 Exchange 伺服器。因此,從 gmail.com 收到的電子郵件會轉送到您的 Exchange 伺服器。

您必須先建立SMTP轉送,才能在規則動作中指定轉送。下一節中的程序將引導您完成在SES主控台中建立SMTP轉送的過程。

在SES主控台中建立SMTP轉送

下列程序說明如何使用SES主控台中的SMTP轉送頁面來建立SMTP轉送及管理您已建立的轉送。

使用主控台建立和管理SMTP轉送
  1. 登入 AWS Management Console 並在打開 Amazon SES 控制台https://console.aws.amazon.com/ses/

  2. 在左側導覽面板中,選擇 [郵件管理員] 下的 [SMTP轉送]。

  3. 在轉SMTP送頁面上,選取建立SMTP轉送

  4. 在 [建立SMTP轉送] 頁面上,輸入SMTP轉送的唯一名稱。

  5. 根據您要設定輸入 (未驗證) 還是輸出 (已驗證) SMTP 轉送,請依照個別指示執行:

    Inbound
    若要設定輸入SMTP轉送
    1. 當SMTP轉送作為輸入閘道,將 Mail Manager 處理的內送電子郵件路由傳送至外部電子郵件環境時,您首先需要設定電子郵件代管環境。雖然每個電子郵件代管服務供應商都有其專屬GUI的設定工作流程,但是設定它們使用輸入閘道 (例如 Mail Manager SMTP 轉送) 的主體會類似。

      為了說明這一點,我們在以下各節中提供了如何配置谷歌工作空間和 Microsoft 辦公室 365 使用您的SMTP轉送作為入站網關的示例:

      注意

      請確定預定收件者目的地的網域是SES已驗證的網域身分識別。例如,如果您想要將電子郵件傳送給收件者 abc@example.comsupport@acme.com,則必須在中驗證 example.comacme.com 網域。SES如果未驗證收件者網域,SES將不會嘗試將電子郵件傳送至公用SMTP伺服器。如需詳細資訊,請參閱在 Amazon SES 中建立和驗證身分

    2. 將 Google 工作區或 Microsoft Office 365 設定為使用入埠閘道之後,請輸入公用SMTP伺服器的主機名稱,其中包含與您的提供者相關的下列值:

      • 谷歌工作區:aspmx.l.google.com

      • Microsoft 辦公軟件 <your_domain>.mail.protection.outlook.com

        將網域名稱中的點取代為「-」。例如,如果您的網域是 acme.com,您可以輸入 acme-com.mail.protection.outlook.com

    3. 輸入公用SMTP伺服器的連接埠號碼 25。

    4. 將 [驗證] 區段保留空白 (請勿選取或建立密碼ARN)。

    Outbound
    設定輸出SMTP轉送
    1. 輸入您希望轉送連線到的公用SMTP伺服器的主機名稱。

    2. 輸入公用SMTP伺服器的連接埠號碼。

    3. 通過從 Sec ret 中選擇一個密碼來為您的SMTP服務器設置身份驗證ARN。如果您選取先前建立的密碼,它必須包含下列步驟中指定的原則,才能建立新密碼。

      • 您可以選擇「建立新密碼」來建立新密碼 — AWS Secrets Manager 控制台將打開,您可以在其中繼續創建新密鑰:

      1. 選擇其他類型的密碼密碼類型

      2. 在鍵/值對中輸入以下鍵和值:

        金鑰 value

        username

        我的使用者名稱

        password

        我的密碼

        注意

        對於這兩個密鑰,您只能輸入usernamepassword如圖所示(其他任何內容都會導致身份驗證失敗)。對於這些值,請分別輸入您自己的使用者名稱和密碼。

      3. 選取新增金鑰以在加密金鑰中建立KMS客戶管理的金鑰 (CMK) — AWS KMS 控制台將打開。

      4. 選擇 [客戶管理的金鑰] 頁面上的 [立金鑰]。

      5. 將預設值保留在 [設定] 索引鍵頁面上,並選取 [下一步]。

      6. 名中輸入鍵的名稱 (可選,您可以加入描述和標籤),然後輸入下一步

      7. 在「金鑰管理」中選取任何您想要允許管理金鑰的使用者 (您自己以外的) 或角色,接著選取「下一步」。

      8. 選擇您想要允許使用密鑰的任何用戶(您自己以外的用)或角色,然後選擇「下一步」。

      9. 複製並貼KMSCMK政策"statement"層級的金鑰原則JSON文字編輯器中,方法是將它新增為以逗號分隔的其他陳述式。使用您自己的地區和帳號取代地區和帳號。

      10. 選擇 Finish (完成)。

      11. 選擇您擁有的瀏覽器標籤 AWS Secrets Manager 將新的密碼頁面儲存為開啟狀態,並選取「加密金鑰」欄位旁邊的重新整理圖示 (圓形箭頭),然後在欄位內按一下並選取新建立的金鑰。

      12. 在 [設定密碼] 頁面的 [密碼名稱] 欄位中輸入名稱。

      13. 選取資源權限中的編輯權限

      14. 複製並粘貼機密資源策略資源權限JSON文本編輯器中,並用您自己的區域和帳號替換。(請務必刪除編輯器中的任何範例程式碼。)

      15. 選擇了其次是下一頁

      16. 可選配置旋轉,然後配置下一步

      17. 選擇 [商店],檢閱並儲存您的新密碼。

      18. 選取瀏覽器的索引標籤,在其中開啟 [SES建立新的輸入端點] 頁面,然後選擇 [重新整理清單],然後在 [機密] 中選取您新建立的密碼ARN

  6. 選取 [建立SMTP轉送]。

  7. 您可以在SMTP轉送頁面檢視和管理您已經建立的SMTP轉送。如果有要刪除的中SMTP繼,請選擇它的單選按鈕,然後選擇刪除

  8. 若要編輯SMTP轉送,請選取其名稱。在詳細資料頁面上,您可以變更轉送的名稱、外部SMTP伺服器的名稱、連接埠和登入認證,方法是選取對應的 [編輯] 或 [更新] 按鈕,然後選取 [儲存變更]。

為輸入 (未經驗證) SMTP 轉送設定 Google 工作區

以下逐步解說範例說明如何將 Google Workspace 設定為使用郵件管理員輸入 (未驗證) SMTP 轉送。

先決條件

  • 訪問谷歌管理員控制台(谷歌管理員控制台 > 應用程序 > 谷歌工作區 > Gmail 的)。

  • 存取裝載將用於郵件管理員安裝之網域 MX 記錄的網域名稱伺服器。

若要設定 Google 工作區以搭配輸入中SMTP繼工作
  • 將郵件管理員 IP 位址新增至輸入閘道組態

    1. 谷歌管理員控制台中,轉到應用程序 > 谷歌工作區 > Gmail

    2. 選取 [垃圾郵件]、[網路釣魚] 和 [惡意程式碼],然後移至輸入閘

    3. 啟用輸入閘道,並使用下列詳細資料進行設定:

      啟用輸入閘道,並使用詳細資料進行設定。
      • 閘道中IPs,選取新增,然後從下表新增IPs特定於您區域的輸入端點:

        區域 IP 範圍

        歐盟西部 -1 DUB

        206.55.133.0/24

        歐盟-中環 -1 FRA

        206.55.132.0/24

        美國-西部 2 /2 PDX

        206.55.131.0/24

        AP-東北/1/ NRT

        206.55.130.0/24

        美國東部 -1 IAD

        206.55.129.0/24

        ap-東南方/2/ SYD

        206.55.128.0/24

      • 選取 [自動偵測外部 IP]。

      • 選取 [TLS需要來自上述電子郵件閘道的連線]。

      • 選取對話方塊底部的「存」(Save) 以儲存組態。儲存之後,管理員主控台會將輸入閘道顯示為已啟用。

設定 Microsoft 辦公室 365 的入站 (未驗證) SMTP 轉送

下列逐步解說範例會示範如何設定 Microsoft Office 365 使用郵件管理員輸入 (未驗證) SMTP 轉送。

先決條件

  • 存取 Microsoft 安全性系統管理中心 (Microsoft 安全性系統管理中心 > 電子郵件與共同作業 > 原則與規則 > 威脅原則)。

  • 存取裝載將用於郵件管理員安裝之網域 MX 記錄的網域名稱伺服器。

若要設定 Microsoft 辦公室 365 使用輸入SMTP轉送
  1. 將郵件管理員 IP 位址新增至允許清單

    1. Microsoft 安全性系統管理中心中,移至電子郵件與共同作業 > 原則與規則 > 威脅原則

    2. 選取 [原則] 底下的 [反垃圾

    3. 選取連線篩選原則,然後選取 [編輯連線篩選原則]

      • 在「一律允許來自下列 IP 位址或位址範圍的訊息」對話方塊中,從下表新增您所在地區IPs特定的輸入端點:

        區域 IP 範圍

        歐盟西部 -1 DUB

        206.55.133.0/24

        歐盟-中環 -1 FRA

        206.55.132.0/24

        美國-西部 2 /2 PDX

        206.55.131.0/24

        AP-東北/1/ NRT

        206.55.130.0/24

        美國東部 -1 IAD

        206.55.129.0/24

        ap-東南方/2/ SYD

        206.55.128.0/24

      • 選取 Save (儲存)。

    4. 返回垃圾郵件選項,然後選擇反垃圾郵件輸入原則

      • 在對話方塊底部,選取 [編輯垃圾郵件閾值和內容]:

        啟用輸入閘道,並使用詳細資料進行設定。
      • 捲動至 [標記為垃圾郵件],並確認 [SPF記錄:硬性失敗] 設定為 [關閉]。

      • 選取 Save (儲存)。

  2. 增強的過濾配置(建議)

    此選項將允許 Microsoft Office 365 在SES郵件管理器收到郵件之前正確識別原始連接 IP。

    1. 建立輸入連接器

      • 登入新的 Exchange 系統管理中心,然後移至 [郵件流程] > [連接器]。

      • 選取 [新增連接器]。

      • 連線來源中,選取夥伴組織,接著選取下一步

      • 填寫欄位,如下所示:

        • 名稱 — 簡單的電子郵件服務郵件管理器

        • 說明 — 用於過濾的連接器

          新增連接器。
      • 選取下一步

      • 在 [驗證已傳送的電子郵件] 中,選取 [驗證傳送伺服器的 IP 位址是否符合下列其中一個 IP 位址 (屬於您的夥伴組織),然後從下表新增您所在地區IPs特定的輸入端點:

        區域 IP 範圍

        歐盟西部 -1 DUB

        206.55.133.0/24

        歐盟-中環 -1 FRA

        206.55.132.0/24

        美國-西部 2 /2 PDX

        206.55.131.0/24

        AP-東北/1/ NRT

        206.55.130.0/24

        美國東部 -1 IAD

        206.55.129.0/24

        ap-東南方/2/ SYD

        206.55.128.0/24

        在 [驗證已傳送的電子郵件] 中,選取 [驗證傳送伺服器的 IP 位址是否符合下列其中一個 IP 位址 (屬於您的夥伴組織),然後從下表新增您所在地區IPs特定的輸入端點。
      • 選取下一步

      • 在 [安全性限制] 中,接受預設的 [如果電子郵件未透過傳送,則拒絕 TLS] 設定,接著是 [下一步]。

      • 檢閱您的設定並選取 [建立連接器]。

    2. 啟用增強型篩選

      現在已設定輸入連接器,您必須在 Microsoft 安全性系統管理中心中啟用連接器的增強型篩選設定。

      • Microsoft 安全性系統管理中心中,移至電子郵件與共同作業 > 原則與規則 > 威脅原則

      • 選取 [規則] 下的 [增強篩

        在威脅策略內的規則下,選取 [增強過濾]。
      • 選取您先前建立的簡易電子郵件服務郵件管理員連接器,以編輯其組態參數。

      • 選取 [自動偵測並略過最後一個 IP 位址] 和 [套用至整個組織]。

        編輯先前建立的連接器組態。
      • 選取 Save (儲存)。