Amazon SES dan protokol keamanan

Topik ini menjelaskan protokol keamanan yang dapat Anda gunakan ketika Anda terhubung ke Amazon SES, serta ketika Amazon SES mengirim email ke penerima.

Pengirim email ke Amazon SES

Protokol keamanan yang Anda gunakan untuk terhubung ke Amazon SES bergantung pada apakah Anda menggunakan API Amazon SES atau antarmuka SMTP Amazon SES, seperti yang dijelaskan berikutnya.

HTTPS

Jika Anda menggunakan Amazon SES API (baik secara langsung atau melalui AWS SDK), maka semua komunikasi dienkripsi oleh TLS melalui titik akhir Amazon SES HTTPS. Titik akhir Amazon SES HTTPS mendukung TLS 1.2 dan TLS 1.3.

Antarmuka SMTP

Jika Anda mengakses Amazon SES melalui antarmuka SMTP, Anda diminta untuk mengenkripsi koneksi Anda menggunakan Keamanan Lapisan Pengangkutan (TLS). Perhatikan bahwa TLS sering disebut dengan nama protokol pendahulunya, Lapisan Soket Aman (SSL).

Amazon SES mendukung dua mekanisme untuk membangun koneksi yang terenkripsi TLS: STARTTLS dan TLS Wrapper.

• STARTTLS—STARTTLS adalah sarana untuk meningkatkan koneksi tidak terenkripsi ke koneksi terenkripsi. Ada beberapa Versi STARTTLS untuk berbagai protokol; versi SMTP ditentunkan di RFC 3207. Untuk koneksi STARTTLS, Amazon SES mendukung TLS 1.2 dan TLS 1.3.

• Wrapper TLS—Wrapper TLS (juga dikenal sebagai SMTPS atau Protokol Handshake) adalah sarana untuk memulai koneksi terenkripsi tanpa terlebih dahulu membuat koneksi yang tidak terenkripsi. Dengan Wrapper TLS, titik akhir SMTP Amazon SES tidak melakukan negosiasi TLS: Klien bertanggung jawab untuk terhubung ke titik akhir menggunakan TLS, dan terus menggunakan TLS untuk seluruh percakapan. Wrapper TLS adalah protokol yang lebih tua, namun masih didukung oleh banyak klien. Untuk koneksi TLS Wrapper, Amazon SES mendukung TLS 1.2 dan TLS 1.3.

Untuk informasi tentang menghubungkan ke antarmuka SMTP Amazon SES menggunakan metode ini, lihat Menghubungkan ke titik akhir SMTP Amazon SES.

Amazon SES untuk Penerima

SES mendukung TLS 1.2 untuk koneksi TLS. Untuk mempelajari selengkapnya, lihat Keamanan infrastruktur di SES.

Secara default, Amazon SES menggunakan TLS oportunistik. Ini berarti bahwa Amazon SES selalu berusaha untuk membuat koneksi yang aman ke server surat penerima. Jika Amazon SES tidak dapat membuat koneksi yang aman, pesan dikirimkan tanpa enkripsi.

Anda dapat mengubah perilaku ini dengan menggunakan set konfigurasi. Gunakan operasi PutConfigurationSetDeliveryOptionsAPI untuk menyetel TlsPolicy properti untuk konfigurasi yang disetelRequire. Anda dapat menggunakan AWS CLI untuk membuat perubahan ini.

Untuk mengonfigurasi Amazon SES agar memerlukan koneksi TLS untuk satu set konfigurasi

• Di baris perintah, masukkan perintah berikut:

  aws sesv2 put-configuration-set-delivery-options --configuration-set-name MyConfigurationSet --tls-policy REQUIRE

  Pada contoh sebelumnya, ganti MyConfigurationSetdengan nama set konfigurasi Anda.

  Ketika Anda mengirim email menggunakan set konfigurasi ini, Amazon SES hanya mengirimkan pesan ke server email penerima jika dapat membuat koneksi yang aman. Jika Amazon SES tidak dapat membuat koneksi aman ke server email penerima, maka pesan akan dihapus.

nd-to-end Enkripsi E

Anda dapat menggunakan Amazon SES untuk mengirim pesan yang dienkripsi menggunakan S/MIME atau PGP. Pesan yang menggunakan protokol ini dienkripsi oleh pengirim. Konten mereka hanya dapat dilihat oleh penerima yang memiliki kunci pribadi yang diperlukan untuk mendekripsi pesan.

Amazon SES mendukung tipe MIME berikut, yang dapat Anda gunakan untuk mengirim email yang dienkripsi S/MIME:

• application/pkcs7-mime

• application/pkcs7-signature

• application/x-pkcs7-mime

• application/x-pkcs7-signature

Amazon SES juga mendukung tipe MIME berikut, yang dapat Anda gunakan untuk mengirim email yang dienkripsi PGP:

• application/pgp-encrypted

• application/pgp-keys

• application/pgp-signature