SMTP 中继

由于 Mail Manager 部署在您的电子邮件环境（例如 Microsoft 365、Google Workspace 或本地 Exchange）和互联网之间，因此 Mail Manager 使用 SMTP 中继将由 Mail Manager 处理的传入电子邮件路由到您的电子邮件环境。它还可以在将出站电子邮件发送给最终收件人之前，将出站电子邮件路由到其他电子邮件基础设施，例如其他 Exchange 服务器或第三方邮件网关。

SMTP 中继是电子邮件基础设施的重要组件，当规则集中定义的规则操作指定时，它负责在服务器之间高效地路由电子邮件。

具体而言，SMTP 中继可以在 SES Mail Manager 和外部电子邮件基础设施（例如 Exchange、本地或第三方电子邮件网关等）之间重定向传入的电子邮件。传入入口端点的电子邮件将由规则处理，该规则将指定的电子邮件路由到指定的 SMTP 中继，而后者又将其传递到 SMTP 中继中定义的外部电子邮件基础设施。

当您的入口端点收到电子邮件时，它会使用流量策略来确定要阻止或允许的电子邮件。您允许传入的电子邮件会传递给一个规则集，该规则集应用条件规则来执行您为特定类型的电子邮件定义的操作。您可以定义的规则操作之一是SMTPRelay 操作，如果您选择此操作，则电子邮件将传递到您的 SMTP 中继中定义的外部 SMTP 服务器。

例如，你可以使用该SMTPRelay 操作将电子邮件从你的入口端点发送到本地的 Microsoft Exchange 服务器。您可以将 Exchange 服务器设置为具有只能使用特定凭据访问的公有 SMTP 终端节点。创建 SMTP 中继时，输入 Exchange 服务器的服务器名称、端口和凭据，并为 SMTP 中继指定一个唯一的名称，比如 “” RelayToMyExchangeServer。然后，您在入口端点的规则集中创建一条规则，上面写着：“当发件人地址包含 'gmail.com' 时，使用名为的SMTP中继执行SMTPRelay 操作”。RelayToMyExchangeServer

注意

由于不支持私有 SMTP 终端节点，因此您使用 Amazon SES SMTP 中继配置的所有 SMTP 终端节点都必须是公共的。

现在，当来自 gmail.com 的电子邮件到达您的入口端点时，该规则将触发该SMTPRelay 操作，并使用您在创建 SMTP 中继时提供的凭据联系您的 Exchange 服务器，并将电子邮件传送到您的 Exchange 服务器。因此，从 gmail.com 收到的电子邮件将中继到您的 Exchange 服务器。

必须先创建 SMTP 中继，然后才能在规则操作中指定该中继。下一节中的过程将指导您在 SES 控制台中创建 SMTP 中继器。

在 SES 控制台中创建 SMTP 中继

以下过程演示了如何在 SES 控制台中使用 SMTP 中继页面，来创建 SMTP 中继并管理已创建的中继。

使用控制台创建和管理 SMTP 中继

1. 登录 AWS Management Console 并打开 Amazon SES 控制台，网址为https://console.aws.amazon.com/ses/。

2. 在左侧导航面板中，选择 Mail Manager 下的 SMTP 中继。

3. 在 SMTP 中继页面上，选择创建 SMTP 中继。

4. 在创建 SMTP 中继页面上，输入您的 SMTP 中继的唯一名称。

5. 根据您是要配置入站（未经验证）还是出站（已验证）SMTP 中继器，请按照相应的说明进行操作：

   Inbound

   配置入站 SMTP 中继

   1. 当使用 SMTP 中继作为入站网关，将 Mail Manager 处理的传入电子邮件路由到您的外部电子邮件环境时，您首先需要配置电子邮件托管环境。尽管每个电子邮件托管提供商都有自己独特的 GUI 和配置工作流程，但将它们配置为使用入站网关（例如您的 Mail Manager SMTP 中继）的原则却是相似的。

      为了帮助说明这一点，我们在以下各节中提供了如何配置 Google Workspaces 和 Microsoft Office 365 以使用您的 SMTP 中继作为入站网关的示例：

      • 设置 Google Workspaces

      • 设置 Microsoft Office 365

      注意

      确保您的目标收件人目的地是 SES 验证的电子邮件身份。例如，如果你想向收件人发送电子邮件 abc@example.com、admin@example.com、postmaster@acme.com 和 #，那么我们建议你在 SES 中验证example.com和acme.com域名。support@acme.com 如果未验证收件人的目的地，SES 将不会尝试将电子邮件传送到公共 SMTP 服务器。

   2. 将 Google Workspaces 或 Microsoft Office 365 配置为使用入站网关后，请输入公共 SMTP 服务器的主机名，根据您的提供商使用以下相应值：

      • Google Workspaces：aspmx.l.google.com

      • Microsoft Office 365：<your_domain>.mail.protection.outlook.com

        将域名中的圆点替换为“-”。例如，如果您的域名是 acme.com，则需要输入 acme-com.mail.protection.outlook.com

   3. 输入公共 SMTP 服务器的端口号 25。

   4. 将“身份验证”部分留空（请勿选择或创建密钥 ARN）。

   Outbound

   配置出站 SMTP 中继

   1. 输入您希望中继连接到的公共 SMTP 服务器的主机名。

   2. 输入公共 SMTP 服务器的端口号。

   3. 通过从 Secret AR N 中选择一个密钥，为您的公共 SMTP 服务器设置身份验证。如果您选择之前创建的密钥，则该密钥必须包含以下创建新密钥步骤中指示的策略。

      • 您可以通过选择新建来创建新密钥， AWS Secrets Manager 控制台将打开，您可以在其中继续创建新密钥：

      1. 在密钥类型中，选择其他密钥类型。

      2. 以密钥/值对的形式输入以下密钥和值：

         密钥	值
         username	my_username
         password	my_password

         注意

         对于这两个密钥，您只能输入所示的 username 和 password（其他任何内容都将导致身份验证失败）。对于相应的值，请分别输入您自己的用户名和密码。

      3. 选择添加新密钥以在加密密钥中创建 KMS 客户托管密钥 (CMK) — AWS KMS 控制台将打开。

      4. 在客户自主管理型密钥页面上，选择创建密钥。

      5. 保留配置密钥页面上的默认值，然后选择下一步。

      6. 在别名中输入密钥的名称（您可以选择添加描述和标签），然后单击下一步。

      7. 在密钥管理员中，选择您想要允许管理密钥的任何用户（您自己除外）或角色，然后选择下一步。

      8. 在密钥用户中，选择想要允许使用密钥的任何用户（您自己除外）或角色，然后选择下一步。

      9. 将 KMS CMK 策略 复制并粘贴到 "statement" 级别的密钥策略 JSON 文本编辑器中，将其作为额外声明添加进去，并用逗号进行分隔。将区域和账户替换为您自己的信息。

      10. 选择完成。

      11. 选择浏览器选项卡，在其中打开 “ AWS Secrets Manager 存储新密钥” 页面，然后选择 “加密密钥” 字段旁边的刷新图标（圆形箭头），然后在该字段内单击并选择您新创建的密钥。

      12. 在配置密钥页面上的密钥名称字段中输入名称。

      13. 在资源权限中，选择编辑权限。

      14. 将 密钥资源策略 复制并粘贴到资源权限 JSON 文本编辑器中，然后将区域和账户替换为您自己的信息。（请务必删除编辑器中的所有示例代码。）

      15. 选择保存，然后选择下一步。

      16. （可选）配置轮换，然后选择下一步。

      17. 查看您的新密钥并选择存储。

      18. 选择浏览器中打开 SES C reate SMTP 中继页面的选项卡，然后选择刷新列表，然后在 Secret AR N 中选择新创建的密钥。

6. 选择创建 SMTP 中继。

7. 您可以从 SMTP 中继页面查看和管理已经创建的 SMTP 中继。如果要删除某个 SMTP 中继，请选择其单选按钮，然后选择删除。

8. 要编辑 SMTP 中继，请选择其名称。在详细信息页面上，您可以更改中继的名称、外部 SMTP 服务器的名称、端口和登录凭证，方法是选择相应的编辑或更新按钮，然后选择保存更改。

设置 Google Workspaces 以使用入站（未经验证的）SMTP 中继

以下演练示例向您展示了如何设置 Google Workspaces 以使用 Mail Manager 入站（未经验证）SMTP 中继。

先决条件

• 有权访问 Google 管理员控制台（Google 管理员控制台 >“应用程序”>“Google Workspace”>“Gmail”）。

• 有权访问域名称服务器（托管将用于 Mail Manager 设置的域的 MX 记录）。

设置 Google Workspaces 以使用入站 SMTP 中继

• 将 Mail Manager IP 地址添加到入站网关配置中

  1. 在 Google 管理员控制台中，转到应用程序 > Google Workspace > Gmail。

  2. 选择垃圾邮件、网络钓鱼和恶意软件，然后转到入站网关配置。

  3. 启用入站网关，并使用以下详细信息对其进行配置：

     

     • 在 Gateway 中 IPs，选择添加，然后从 SMTP 中继 IP 范围表中添加 IPs 特定于您所在地区的入口终端节点。

     • 选择自动检测外部 IP。

     • 选择要求来自上述电子邮件网关的连接使用 TLS。

     • 选择对话框底部的保存以保存配置。保存后，管理员控制台会将入站网关显示为已启用。

设置 Microsoft Office 365 以使用入站（未经验证）SMTP 中继

以下演练示例向您展示了如何设置 Microsoft Office 365 以使用 Mail Manager 入站（未经验证）SMTP 中继。

先决条件

• 有权访问 Microsoft 安全管理中心（Microsoft 安全管理中心 >“电子邮件与协作”>“策略和规则”>“威胁策略”）。

• 有权访问域名称服务器（托管将用于 Mail Manager 设置的域的 MX 记录）。

设置 Microsoft Office 365 以使用入站 SMTP 中继

1. 将 Mail Manager IP 地址添加到允许列表

   1. 在 Microsoft 安全管理中心中，转到电子邮件与协作 > 策略和规则 > 威胁策略。

   2. 在策略下，选择反垃圾邮件。

   3. 选择连接筛选策略，然后选择编辑连接筛选策略。

      • 在 “始终允许来自以下 IP 地址或地址范围的消息” 对话框中，从 SMTP 中继 IP 范围表中添加 IPs 特定于您所在地区的入口端点。

      • 选择保存。

   4. 返回反垃圾邮件选项，并选择反垃圾邮件入站策略。

      • 在对话框底部，选择编辑垃圾邮件阈值和属性：

        

      • 滚动到标记为垃圾邮件，并确保 SPF 记录：硬故障设置为关。

      • 选择保存。

2. 增强的筛选配置（推荐）

   此选项将允许 Microsoft Office 365 在 SES Mail Manager 收到邮件之前正确识别原始连接 IP。

   1. 创建入站连接器

      • 登录到新的 Exchange 管理中心，然后转到邮件流 > 连接器。

      • 选择添加连接器。

      • 在连接来源中，选择合作伙伴组织，然后选择下一步。

      • 按如下所示填写各字段：

        • 名称 – Simple Email Service Mail Manager 连接器

        • 描述 – 用于筛选的连接器

          

      • 选择下一步。

      • 在对已发送的电子邮件进行身份验证中，选择通过验证发送服务器的 IP 地址是否与下列 IP 地址之一（属于您的合作伙伴组织）相匹配，然后从 SMTP 中继 IP 范围表中添加 IPs 特定于您所在地区的入口端点。

        

      • 选择下一步。

      • 在安全限制中，接受默认的如果电子邮件不是通过 TLS 发送的，则拒绝电子邮件设置，然后选择下一步。

      • 检查您的设置，然后选择创建连接。

   2. 启用增强的筛选

      现在，入站连接器已配置完毕，您需要在 Microsoft 安全管理中心启用该连接器的增强筛选配置。

      • 在 Microsoft 安全管理中心中，转到电子邮件与协作 > 策略和规则 > 威胁策略。

      • 在规则下，选择增强筛选。

        

      • 选择您之前创建的 Simple Email Service Mail Manager 连接器，编辑其配置参数。

      • 选择自动检测并跳过最后一个 IP 地址和应用于整个组织。

        

      • 选择保存。