本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon SES 和安全協議
本主題說明當您連接到 Amazon 以及 Amazon SES 將電子郵件SES傳送給接收者時可以使用的安全協定。
電子郵件發件人到 Amazon SES
您用來連接到 Amazon 的安全協議SES取決於您使用的是 Amazon SES API 還是 Amazon SES SMTP 界面,如下所述。
HTTPS
如果您使用的是 Amazon SES API (直接或透過 AWS SDK),則所有通訊都會TLS透過 Amazon SES HTTPS 端點加密。Amazon SES HTTPS 端點支持 TLS 1.2 和 TLS 1.3。
SMTP接口
如果您SES透過SMTP介面存取 Amazon,則需要使用傳輸層安全性 (TLS) 加密連線。請注意,通TLS常由它的前身協議,安全套接字層(SSL)的名稱稱引用。
Amazon SES 支持兩種建立加TLS密連接的機制:STARTTLS和TLS包裝器。
-
STARTTLS— STARTTLS 是將未加密連接升級到加密連接的一種方法。有各種協議的版本; 該SMTP版本在 RFC3207
中定義。STARTTLS對於STARTTLS連接,Amazon SES 支持 TLS 1.2 和 TLS 1.3。 -
TLS包裝器 — TLS 包裝器(也稱為SMTPS或握手協議)是在不首先建立未加密連接的情況下啟動加密連接的一種方法。使用TLS包裝器時,Amazon SES SMTP 端點不會執行TLS交涉:客戶有責任使用連線到端點TLS,並繼續在整個對話中使用TLS。TLS包裝器是一個較舊的協議,但許多客戶端仍然支持它。對於TLS包裝連接,Amazon SES 支持 TLS 1.2 和 TLS 1.3。
如需使用這些方法連線到 Amazon SES SMTP 界面的相關資訊,請參閱連接到 Amazon SES SMTP 端點。
Amazon SES 到接收器
SES支持 TLS 1.2 和 TLS 1.3 進行TLS連接。如需進一步了解,請參閱 SES 中的基礎設施安全。
默認情況下,Amazon SES 使用機會TLS。這表示 Amazon SES 始終嘗試與接收郵件伺服器建立安全連線。如果 Amazon SES 無法建立安全連線,則會以未加密的方式傳送訊息。
您可以透過使用組態集來變更這種行為。使用此PutConfigurationSetDeliveryOptionsAPI作業將組態集的TlsPolicy屬性設定為Require。您可以使用 AWS CLI
若要將 Amazon SES 設定為需要組態集的TLS連線
-
在命令列中輸入以下命令:
aws sesv2 put-configuration-set-delivery-options --configuration-set-nameMyConfigurationSet--tls-policy REQUIRE在前面的例子中,替換
MyConfigurationSet使用您的配置集的名稱。當您使用此組態集傳送電子郵件時,Amazon SES 只會在可以建立安全連線的情況下,才會將訊息傳送至接收電子郵件伺服器。如果 Amazon SES 無法與接收電子郵件服務器建立安全連接,則會丟棄該消息。
E nd-to-end 加密
您可以使用 Amazon SES 傳送使用 S/ MIME 或加密的訊息PGP。使用這些通訊協定的訊息會由寄件者加密。其內容只能由擁有解密訊息所需之私有金鑰的收件人檢視。
Amazon SES 支援下列MIME類型,您可以使用這些類型傳送 S/ MIME 加密電子郵件:
-
application/pkcs7-mime -
application/pkcs7-signature -
application/x-pkcs7-mime -
application/x-pkcs7-signature
Amazon SES 也支援下列MIME類型,您可以使用這些類型傳送加PGP密的電子郵件:
-
application/pgp-encrypted -
application/pgp-keys -
application/pgp-signature
