Amazon SES dan protokol keamanan

Topik ini menjelaskan protokol keamanan yang dapat Anda gunakan ketika Anda terhubung ke Amazon SES, serta ketika Amazon SES mengirim email ke penerima.

Pengirim email ke Amazon SES

Protokol keamanan yang Anda gunakan untuk terhubung ke Amazon SES bergantung pada apakah Anda menggunakan API Amazon SES atau antarmuka SMTP Amazon SES, seperti yang dijelaskan berikutnya.

HTTPS

Jika Anda menggunakan API Amazon SES (baik secara langsung atau melalui SDK AWS), maka semua komunikasi dienkripsi oleh TLS melalui titik akhir HTTPS Amazon SES. Titik akhir HTTPS Amazon SES mendukung TLS 1.2, TLS 1.1, dan TLS 1.0.

Antarmuka SMTP

Jika Anda mengakses Amazon SES melalui antarmuka SMTP, Anda diminta untuk mengenkripsi koneksi Anda menggunakan Keamanan Lapisan Pengangkutan (TLS). Perhatikan bahwa TLS sering disebut dengan nama protokol pendahulunya, Lapisan Soket Aman (SSL).

Amazon SES mendukung dua mekanisme untuk membangun koneksi yang terenkripsi TLS: STARTTLS dan TLS Wrapper.

• STARTTLS—STARTTLS adalah sarana untuk meningkatkan koneksi tidak terenkripsi ke koneksi terenkripsi. Ada beberapa Versi STARTTLS untuk berbagai protokol; versi SMTP ditentunkan di RFC 3207. Untuk koneksi STARTTLS, Amazon SES mendukung TLS 1.2, TLS 1.1, TLS 1.0 dan SSLv2Hello.

• Wrapper TLS—Wrapper TLS (juga dikenal sebagai SMTPS atau Protokol Handshake) adalah sarana untuk memulai koneksi terenkripsi tanpa terlebih dahulu membuat koneksi yang tidak terenkripsi. Dengan Wrapper TLS, titik akhir SMTP Amazon SES tidak melakukan negosiasi TLS: Klien bertanggung jawab untuk terhubung ke titik akhir menggunakan TLS, dan terus menggunakan TLS untuk seluruh percakapan. Wrapper TLS adalah protokol yang lebih tua, namun masih didukung oleh banyak klien. Untuk koneksi Wrapper TLS , Amazon SES mendukung TLS 1.2, TLS 1.1, dan TLS 1.0.

Untuk informasi tentang menghubungkan ke antarmuka SMTP Amazon SES menggunakan metode ini, lihat Menghubungkan ke titik akhir SMTP Amazon SES.

Amazon SES untuk Penerima

Amazon SES mendukung TLS 1.2, TLS 1.1, dan TLS 1.0 untuk koneksi TLS.

Secara default, Amazon SES menggunakan TLS oportunistik. Ini berarti bahwa Amazon SES selalu berusaha untuk membuat koneksi yang aman ke server surat penerima. Jika Amazon SES tidak dapat membuat koneksi yang aman, pesan dikirimkan tanpa enkripsi.

Anda dapat mengubah perilaku ini dengan menggunakan set konfigurasi. Gunakan operasi PutConfigurationSetDeliveryOptionsAPI untuk mengaturTlsPolicy properti untuk konfigurasi yang disetel keRequire. Anda dapat menggunakan AWS CLI untuk membuat perubahan ini.

Untuk mengonfigurasi Amazon SES agar memerlukan koneksi TLS untuk satu set konfigurasi

• Di baris perintah, masukkan perintah berikut:

  aws sesv2 put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --tls-policy REQUIRE

  Di contoh sebelumnya, ganti MyConfigurationSetdengan nama set konfigurasi Anda.

  Ketika Anda mengirim email menggunakan set konfigurasi ini, Amazon SES hanya mengirimkan pesan ke server email penerima jika dapat membuat koneksi yang aman. Jika Amazon SES tidak dapat membuat koneksi aman ke server email penerima, maka pesan akan dihapus.

nd-to-end Enkripsi E

Anda dapat menggunakan Amazon SES untuk mengirim pesan yang dienkripsi menggunakan S/MIME atau PGP. Pesan yang menggunakan protokol ini dienkripsi oleh pengirim. Kontennya hanya dapat dilihat oleh penerima yang memiliki private key yang diperlukan untuk mendekripsi pesan.

Amazon SES mendukung tipe MIME berikut, yang dapat Anda gunakan untuk mengirim email yang dienkripsi S/MIME:

• application/pkcs7-mime

• application/pkcs7-signature

• application/x-pkcs7-mime

• application/x-pkcs7-signature

Amazon SES juga mendukung tipe MIME berikut, yang dapat Anda gunakan untuk mengirim email yang dienkripsi PGP:

• application/pgp-encrypted

• application/pgp-keys

• application/pgp-signature