Concepts de réception d'e-mails et cas d'utilisation Amazon SES - Amazon Simple Email Service
Contrôle basé sur le destinataire à l'aide de règles de réceptionContrôle basé sur IP à l'aide de filtres d'adresses IPProcessus de réception des messagesCas d'utilisation & restrictionsAuthentification d'e-mails et détection de logiciels malveillants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concepts de réception d'e-mails et cas d'utilisation Amazon SES

Lorsque vous utilisez Amazon SES comme serveur de messagerie, vous indiquez au service ce qu'il doit faire avec vos messages. La première méthode, les règles de réception, vous permet de contrôler avec précision la réception de vos e-mails en utilisant le contrôle basé sur le destinataire pour spécifier un ensemble d'actions à entreprendre en fonction du destinataire. L'autre méthode, les filtres d'adresses IP, fournit un large niveau decontrôle basé sur l'IP pour bloquer ou autoriser les messages en fonction de l'adresse IP d'origine ou de la plage d'adresses.

Ces deux méthodes sont décrites dans cette section, avec un aperçu de la façon dont Amazon SES traite le message reçu, et des cas d'utilisation pour vous aider à déterminer comment vous souhaitez recevoir, filtrer et traiter votre message lors de la configuration des règles et des filtres.

Contrôle basé sur le destinataire à l'aide de règles de réception

Le principal moyen de contrôler votre message entrant est de spécifier la façon dont il est traité grâce à une liste détaillée d'actions pour toutes vos identités vérifiées, à savoir vos domaines, sous-domaines ou adresses e-mail. Notez que les adresses e-mail doivent appartenir à l'une de vos identités de domaine vérifiées. Ces actions sont définies et ordonnées dans les règles de réception que vous créez dans un ensemble de règles.

En option, vous pouvez également ajouter des conditions au destinataire pour spécifier que les actions ne doivent être exécutées que si le destinataire du message entrant correspond à une identité de destinataire indiquée dans la condition. Par exemple, si vous possédez exemple.com, vous pouvez spécifier que les messages destinés à utilisateur@exemple.com doivent être renvoyés à l'expéditeur et que tous les autres messages pour exemple.com et ses sous-domaines doivent être livrés.

Si vous n'ajoutez aucune condition de destinataire, les actions seront appliquées à toutes les adresses e-mail, domaines et sous-domaines qui appartiennent à vos domaines vérifiés. Les actions suivantes peuvent être appliquées à vos règles de réception :

  • Action Add header (Ajout d'en-tête) – Ajoute un en-tête à l'e-mail reçu. Vous utilisez généralement cette action uniquement en combinaison avec d'autres actions.

  • Return bounce response action (Action de réponse de retour à l'expéditeur) : bloque l'e-mail en renvoyant une réponse de retour à l'expéditeur et vous avertit éventuellement via Amazon SNS.

  • Invoquer l'action de fonction Lambda (Invoke AWS Lambda function action) – Appelle votre code via une fonction Lambda et vous avertit éventuellement via Amazon SNS.

  • Deliver to S3 bucket action (Livrer à l'action du compartiment S3) – Place les messages dans un compartiment Amazon S3 et vous avertit éventuellement via Amazon SNS.

  • Publish to Amazon SNS topic action (Publier sur une action de rubrique Amazon SNS) — Publie l'e-mail complet dans une rubrique Amazon SNS.

    Note

    L'action SNS comprend une copie complète du contenu des e-mails dans les notifications Amazon SNS. Les autres options de notifications Amazon SNS mentionnées ici vous informent simplement de la remise d'un e-mail ; elles contiennent des informations sur l'e-mail, et non le contenu de l'e-mail proprement dit.

  • Stop rule set action Action Stop (Arrêter l'action du jeu de règles) – Met fin à l'évaluation de l'ensemble de règles de réception et vous avertit éventuellement via Amazon SNS.

  • Integrate with Amazon WorkMail action (Intégrer l'action Amazon WorkMail) – Traite les messages avec Amazon WorkMail. Vous n'utilisez généralement pas cette action directement, car Amazon WorkMail se charge de la configuration.

Les règles de réception sont regroupées en jeux de règles. Si vous n'avez pas de jeu de règles existant, vous devez d'abord créer un jeu de règles avant de commencer à créer des règles de réception. Vous pouvez définir plusieurs ensembles de règles pour votre compte AWS, mais un seul ensemble est actif à un moment donné. La figure suivante illustre les relations entre les règles, les ensembles de règles de réception et les actions.

Présentation des e-mails entrants

Contrôle basé sur IP à l'aide de filtres d'adresses IP

Vous pouvez contrôler votre flux de messagerie en configurant des filtres d'adresses IP. Les filtres d'adresses IP sont facultatifs et vous permettent de choisir d'accepter ou de bloquer les messages provenant d'une adresse IP ou d'une plage d'adresses IP. Vos filtres d'adresses IP peuvent inclure des listes rouges (adresses IP dont vous souhaitez bloquer les messages entrants) et des listes vertes (adresses IP dont vous souhaitez toujours accepter les messages).

Les filtres d'adresses IP sont utiles pour bloquer le courrier indésirable. Amazon SES gère sa propre liste de blocage d'adresses IP connues pour envoyer du courrier indésirable, notamment elles répertoriées dans Spamhaus. Toutefois, vous pouvez choisir de recevoir les messages provenant de ces adresses IP en ajoutant celles-ci à votre liste d’autorisations. Étant donné qu'aucun journal n'indique les adresses IP qui sont bloquées, l'expéditeur bloqué devra vous en informer. Il s'agit également d'une bonne occasion d'aider l'expéditeur à déterminer si son adresse IP figure sur une liste de blocage, par exemple Spamhaus, et de lui recommander de demander à être supprimé de la liste. Cela sera bénéfique pour vous et pour l'expéditeur, car vous n'aurez pas à gérer un filtre d'adresse IP pour lui et cela améliorera la délivrabilité de ses e-mails.

Note

  • Indépendamment de votre configuration de filtres d'adresses IP, Amazon EC2 bloque le trafic sortant sur le port 25 (envoi de courrier) sauf s'il figure dans la liste d'autorisation. Consultez cet article AWS re:Post pour en savoir plus.

  • Si vous souhaitez uniquement recevoir des messages à partir d'une liste finie d'adresses IP connues, configurez une liste rouge qui contient 0.0.0.0/0 et une liste verte qui contient les adresses IP que vous approuvez. Cette configuration bloque toutes les adresses IP par défaut, et autorise uniquement les messages provenant des adresses IP que vous spécifiez explicitement.

Processus de réception des messages

Lorsqu'Amazon SES reçoit un e-mail pour votre domaine, les événements suivants ont lieu :

  1. Amazon SES examine d'abord l'adresse IP de l'expéditeur. Amazon SES autorise l'e-mail à réussir cette étape sauf dans les cas suivants :

    • L'adresse IP figure dans votre liste rouge.

    • L'adresse IP figure dans la liste rouge d'Amazon SES mais n'est pas dans votre liste verte.

  2. Amazon SES examine votre jeu de règles actif pour déterminer si l'une de vos règles de réception contient une condition de destinataire :

    • S'il existe une condition de destinataire et qu'elle correspond à l'un des destinataires de l'e-mail entrant, Amazon SES accepte l'e-mail. S'il n'y a pas de correspondance, Amazon SES bloque l'e-mail.

    • Si la règle de réception ne contient pas de condition de destinataire, Amazon SES accepte le message et toutes les actions de la règle s'appliqueront à toutes les identités vérifiées que vous possédez.

  3. Amazon SES authentifie l'e-mail et vérifie s'il s'agit d'un courrier indésirable et recherche des logiciels malveillants :

    • L'adresse IP de l'hôte distant qui a livré l'e-mail à Amazon SES est vérifiée par rapport à la stratégie SPF spécifiée sous le domaine MAIL FROM utilisé lors de la transaction SMTP.

    • Les signatures DKIM présentes dans la section d'en-tête de l'e-mail sont vérifiées.

    • Si l'analyse du contenu est activée, le contenu de l'e-mail est analysé pour y vérifier s'il s'agit d'un courrier indésirable et détecter des logiciels malveillants.

    • Les résultats de l'authentification d'e-mail et de l'analyse de contenu sont mis à votre disposition lors de l'évaluation des règles de réception.

    Pour plus d'informations, consultez Authentification d'e-mails et détection de logiciels malveillants.

  4. Pour l'e-mail qu'Amazon SES accepte, toutes les règles de réception de votre jeu de règles actif sont appliquées dans l'ordre que vous avez défini et, dans chaque règle de réception, les actions sont exécutées dans l'ordre que vous avez défini.

Cas d'utilisation et restrictions pour la réception d'e-mails Amazon SES

Cette section passe en revue quelques considérations générales et cas d'utilisation pour la réception d'emails Amazon SES. Sous forme de questions et réponses, vous trouverez des questions fréquemment posées et des informations qui vous aideront à déterminer s'il est avantageux d'utiliser Amazon SES pour recevoir et gérer les e-mails au nom d'un ou de plusieurs domaines vérifiés que vous possédez.

Disponibilité par région

La réception des e-mails dans votre région est-elle prise en charge par Amazon SES ?

Amazon SES ne prend en charge la réception d'e-mails que dans certaines régions AWS. Pour obtenir la liste complète des régions prenant en charge la réception d'e-mails, veuillez consulter Points de terminaison et quotas Amazon Simple Email Service dans le document Références générales AWS.

Clients de messagerie POP ou IMAP

Microsoft Outlook peut-il être utilisé pour recevoir des e-mails entrants ?

Amazon SES n'inclut pas les serveurs POP ou IMAP pour recevoir les e-mails entrants. Ceci signifie que vous ne pouvez pas utiliser un client de messagerie tel que Microsoft Outlook pour recevoir des e-mails entrants. Si vous souhaitez une solution qui peut envoyer et recevoir des e-mails à l'aide d'un client de messagerie, pensez à utiliser Amazon WorkMail.

Utilisation d'autres services AWS

Avez-vous configuré les autorisations appropriées ?

Si vous voulez que vos messages soient remis à un compartiment S3, qu'ils soient publiés dans une rubrique Amazon SNS que vous ne possédez pas, qu'ils déclenchent une fonction Lambda ou qu'ils utilisent une clé gérée personnalisée, vous devez autoriser Amazon SES à accéder à ces ressources. Pour accorder ces accès à Amazon SES, vous créez des stratégies sur des ressources à partir des consoles ou des API pour ces services AWS. Pour en savoir plus Attribution d'autorisations.

Contenu des e-mails

Comment souhaitez-vous qu'Amazon SES vous transmette le contenu des e-mails?

Amazon SES peut vous fournir le contenu des e-mails de deux manières : le service peut stocker les e-mails dans un compartiment S3 que vous spécifiez, ou il peut vous envoyer une notification Amazon SNS qui contient une copie de l'e-mail. Amazon SES vous remet l'e-mail brut non modifié au format Multipurpose Internet Mail Extensions (MIME). Pour plus de détails sur le format MIME, consultez la spécification RFC 2045.

Quelle est la taille des e-mails que vous recevrez ?

Si vous stockez des e-mails dans un compartiment S3, la taille maximale des e-mails (en-têtes compris) est de 40 Mo. Si vous décidez de recevoir vos e-mails via des notifications Amazon SNS, la taille maximale des e-mails (en-têtes compris) est de 150 Ko.

Comment voulez-vous déclencher le traitement de vos e-mails ?

Une fois que votre e-mail est remis, vous souhaiterez le traiter avec votre propre code. Par exemple, votre application peut convertir les e-mails encodés en base 64 dans un format affichable, puis les mettre à disposition d'un utilisateur final via un client de messagerie. Vous pouvez démarrer le processus de deux façons :

  • Si vos e-mails sont remis à Amazon S3, votre application peut écouter les notifications Amazon SNS générées par les actions S3, extraire l'ID de message de l'e-mail à partir des notifications, puis utiliser cet ID pour récupérer l'e-mail depuis Amazon S3.

    Sinon, vous pouvez intégrer le traitement des e-mails dans vos règles de réception en écrivant une fonction Lambda. Dans ce cas, votre règle de réception doit d'abord écrire l'e-mail dans Amazon S3, puis déclencher la fonction Lambda. Des actions Lambda peuvent être exécutées de manière synchrone ou asynchrone depuis vos règles de réception, selon que la fonction Lambda doit renvoyer un résultat qui détermine comment d'autres actions sont effectuées. Nous vous conseillons d'utiliser l'exécution asynchrone, sauf si une exécution synchrone est absolument nécessaire à votre cas d'utilisation. Pour en savoir plus sur AWS Lambda, consultez le Guide du développeur AWS Lambda.

  • Si vos e-mails sont remis via une notification Amazon SNS à l'aide de l'action SNS, votre application peut écouter les notifications Amazon SNS, puis extraire les e-mails des notifications.

Souhaitez-vous que les e-mails soient chiffrés ?

Amazon SES s'intègre à AWS Key Management Service (AWS KMS) afin de chiffrer éventuellement les messages qu'il écrit dans votre compartiment S3. Amazon SES utilise le chiffrement côté client pour chiffrer vos messages avant de les écrire dans Amazon S3. Cela signifie que vous devez déchiffrer le contenu de votre côté après avoir récupéré les messages depuis Amazon S3. Le kit AWS SDK for Java et le kit AWS SDK for Ruby fournissent un client qui peut traiter le déchiffrement pour vous. Amazon SES peut chiffrer les e-mails pour vous uniquement si vous choisissez que vos e-mails soient remis dans un compartiment S3.

Courrier indésirable

À quel stade du processus de réception d'e-mails souhaitez bloquer le courrier indésirable ?

Lorsque l'expéditeur tente d'envoyer un e-mail à un destinataire, le serveur de messagerie de l'expéditeur échange une séquence de commandes avec le serveur du destinataire. Cette séquence est appelée conversation SMTP.

Vous pouvez bloquer un e-mail entrant à deux moments au cours du processus de réception des e-mails : au cours de la conversation SMTP et après la conversation SMTP. Vous utilisez les filtres d'adresses IP pour bloquer les messages au cours de la conversation SMTP et les règles de réception pour bloquer les e-mails après la conversation SMTP.

Vous pouvez utiliser les filtres d'adresses IP pour bloquer les e-mails provenant d'adresses IP spécifiques. L'avantage de l'utilisation des filtres d'adresses IP pour bloquer le courrier indésirable est que nous ne vous facturerons pas les messages bloqués au cours de la conversation SMTP. L'inconvénient de l'utilisation des filtres d'adresses IP est qu'ils bloquent les e-mails provenant des adresses IP que vous spécifiez sans exécuter la moindre analyse sur le contenu des messages. Pour en savoir plus sur les filtres des adresses IP, consultez Création de filtres d'adresses IP - Démonstration de la console.

Vous pouvez utiliser les règles de réception pour envoyer une notification de retour à l'expéditeur d'un e-mail en fonction de l'adresse (ou du domaine ou sous-domaine) à laquelle le message a été envoyé. L'avantage de l'utilisation des règles de réception est que vous pouvez effectuer une analyse supplémentaire des messages entrants avant d'envoyer une notification de retour à l'expéditeur. Par exemple, vous pouvez utiliser AWS Lambda pour envoyer des notifications de retour à l'expéditeur uniquement lorsque les messages échouent à l'authentification DKIM ou sont identifiés comme courrier indésirable. L'inconvénient de l'utilisation de règles de réception est que, dans la mesure où les règles de réception sont traitées après la conversation SMTP, nous vous facturons chaque message que vous recevez. Vous pouvez également être facturé si vous utilisez Lambda pour analyser le contenu des messages entrants. Pour en savoir plus sur les règles de réception, consultez Création de règles de réception - Démonstration de la console. Pour en savoir plus sur l'utilisation de Lambda pour analyser les e-mails entrants, consultez Exemples de fonctions Lambda.

Flux de messagerie

Comment voulez-vous répartir vos flux de messagerie ?

Votre domaine reçoit très probablement différentes classes de messages. Par exemple, une partie des messages de votre domaine, comme un e-mail envoyé à utilisateur@exemple.com, peut être destinée à une boîte de réception personnelle. Il serait préférable pour d'autres messages, comme un e-mail envoyé à unsubscribe@exemple.com, d'être plutôt dirigés vers des systèmes automatisés. Vous pouvez utiliser des règles de réception pour répartir vos messages entrants de façon à ce qu'ils puissent être traités différemment. Pour en savoir plus sur la configuration de règles de réception, consultez Création de règles de réception.

Authentification de la réception d'e-mails et recherche de logiciels malveillants

Amazon SES authentifie chaque e-mail reçu et y vérifie éventuellement s'il s'agit d'un courrier indésirable et s'il contient des logiciels malveillants : SES n'effectue aucune action sur les e-mails reçus en fonction des résultats de l'authentification d'e-mail ou de l'analyse de contenu. En revanche, les résultats de ces opérations vous sont fournis sous la forme d'attributs que vous pouvez utiliser dans les actions de règles de réception SES, telles que les Amazon SNS notifications (Notifications Amazon SNS) ou comme en-têtes dans un message remis dans Amazon S3.

Authentification d'e-mail

Amazon SES authentifie chaque e-mail reçu à l'aide de SPF, DKIM et DMARC. Les résultats de chaque mécanisme d'authentification sont fournis dans les notifications Amazon SNS envoyées par SES dans le cadre de l'évaluation des règles dans l'ensemble de règles de réception actif. Par ailleurs, si vous avez choisi de recevoir une copie de l'e-mail dans Amazon S3, le résultat de l'authentification d'e-mail est capturé dans l'en-tête Authentication-Results que SES ajoute à la section d'en-tête de l'e-mail :

Authentication-Results: example.com;
spf=pass (spfCheck: 10.0.0.1 is permitted by domain of example.com) client-ip=10.0.0.1; envelope-from=example@example.com; helo=10.0.0.1;
dkim=pass header.i=example.com;
dkim=permerror header.i=some-example.com;
dmarc=pass header.from=example@example.com;

L'en-tête Authentication-Results est décrit dans RFC 8601

Analyse du contenu d'e-mail pour détecter le courrier indésirable et les logiciels malveillants

Amazon SES analyse le contenu des e-mails reçus à la recherche de logiciels malveillants en fonction de la valeur de l'attribut ScanEnabled (API) ou Spam and virus scanning (Analyse anti-spam et virus) (console) de la règle de réception associée à l'e-mail. Par défaut, SES recherche les logiciels malveillants dans le contenu des e-mails. Pour désactiver l'analyse de contenu des e-mails reçus qui correspondent à une règle de réception spécifique, vous devez définir l'indicateur ScanEnabled de la règle de réception sur false si vous utilisez l'API ou désactiver la case Spam and virus scanning (Analyse anti-spam et virus) si vous utilisez la console. Si la règle de réception correspondant à un e-mail est activée, le résultat de l'analyse du contenu est fourni dans les notifications Amazon SNS envoyées par SES dans le cadre de l'évaluation des règles de l'ensemble de règles de réception actif. Par ailleurs, si vous avez choisi de recevoir une copie de l'e-mail dans Amazon S3, le résultat de l'analyse du contenu est capturé dans les en-têtes X-SES-Spam-Verdict et X-SES-Virus-Verdict que SES ajoute à la section d'en-tête de l'e-mail 

X-SES-Spam-Verdict: PASS
X-SES-Virus-Verdict: FAIL

Les valeurs possibles pour les en-têtes ci-dessus sont répertoriées dans :

Maintenant que vous avez compris les concepts de la réception d'e-mails, son fonctionnement et ses cas d'utilisation, vous pouvez commencer en allant sur Configuration de la réception d'e-mails.