As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configuração do recebimento de e-mails do Amazon SES
Esta seção descreve os pré-requisitos necessários para que você possa começar a configurar o Amazon SES para receber seu e-mail. É importante que você tenha lido [Conceitos de recebimento de e-mail e casos do Amazon SES](receiving-email-concepts.md) para entender os conceitos de como o Amazon SES funciona e considerar como você deseja receber, filtrar e processar seus e-mails.
Antes de configurar o recebimento de e-mails criando um *conjunto de regras*, *regras de recebimento* e *filtros de endereços IP*, você deve primeiro concluir os seguintes pré-requisitos de configuração:
+ Verifique seu domínio com o Amazon SES publicando registros DNS para provar que você é proprietário dele.
+ Permita que o Amazon SES receba e-mails para seu domínio publicando um registro MX.
+ Dê permissão ao Amazon SES para acessar outros AWS recursos a fim de executar ações de regras de recebimento.
Ao criar e verificar uma identidade de domínio, você está publicando registros nas configurações de DNS para concluir o processo de verificação, mas isso por si só não é suficiente para usar o recebimento de e-mails. Específico para o recebimento de e-mails, também é necessário publicar um registro MX para especificar um domínio de email personalizado. Este registro é utilizado nas configurações de DNS do seu domínio para permitir que o SES receba e-mail para o seu domínio. A concessão de permissões é necessária porque as ações que você escolher em suas regras de recebimento não funcionarão, a menos que o Amazon SES tenha permissão para usar o respectivo AWS serviço necessário para essas ações.
**Topics**
+ [Verificação de seu domínio para recebimento de e-mails do Amazon SES](receiving-email-verification.md)
+ [Publicação de um registro MX para o recebimento de e-mails do Amazon SES](receiving-email-mx-record.md)
+ [Concessão de permissões ao Amazon SES para recebimento de e-mails](receiving-email-permissions.md)
# Verificação de seu domínio para recebimento de e-mails do Amazon SES
Assim como com qualquer domínio que você deseja usar para enviar ou receber e-mails com o Amazon SES, primeiro é necessário comprovar que é seu proprietário. O procedimento de verificação inclui iniciar a verificação do domínio com o SES e, em seguida, publicar os registros de DNS, sejam CNAME ou TXT, em seu provedor de DNS dependendo do método de verificação que você usar.
Por meio do console, você pode verificar seus domínios com [Easy DKIM](send-email-authentication-dkim-easy.md) ou [Bring Your Own DKIM (BYODKIM)](send-email-authentication-dkim-bring-your-own.md) e copiar facilmente os registros DNS deles para publicar em seu provedor de DNS. A explicação desse procedimento está em [Criar uma identidade de domínio](creating-identities.md#verify-domain-procedure). Opcionalmente, você pode usar o SES [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainDkim.html)ou [https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_VerifyDomainIdentity.html) APIs.
Você pode facilmente confirmar que seu domínio ou endereço de e-mail foi verificado ao verificar seu status na tabela [Identidades verificadas](view-verified-domains.md) no console do SES ou usando o SES [https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityVerificationAttributes.html)ou [https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_GetEmailIdentity.html) APIs.
# Publicação de um registro MX para o recebimento de e-mails do Amazon SES
Um registro *mail exchanger* (*registro MX*) é uma configuração que especifica quais servidores de mensagens podem aceitar e-mails enviados para seu domínio.
Para que o Amazon SES gerencie seus e-mails de entrada, adicione um registro MX à configuração do DNS de seu domínio. O registro MX que você cria se refere ao endpoint que recebe e-mails para a AWS região em que você usa o Amazon SES. Por exemplo, o endpoint para a região Oeste dos EUA (Oregon) é *inbound-smtp.us-west-2.amazonaws.com*. Para obter uma lista completa de endpoints, consulte [Regiões e endpoints do SES](regions.md#region-endpoints).
**nota**
Os endpoints que recebem e-mails no Amazon SES não são servidores IMAP ou de POP3 e-mail. Você não pode usá-los URLs como servidores de e-mail de entrada em clientes de e-mail. Se você precisar de uma solução que possa enviar e receber e-mails usando um cliente de e-mail, considere usar a [Amazon WorkMail](https://aws.amazon.com/workmail).
O procedimento a seguir inclui etapas gerais para a criação de um registro MX. *Os procedimentos específicos para criar um registro MX dependem do seu DNS ou provedor de hospedagem.* Consulte a documentação do provedor para obter informações sobre como adicionar um registro MX à configuração de DNS do seu domínio.
**nota**
**Para adicionar os registros MX à configuração de DNS para seu domínio**
1. (Pré-requisito) Para concluir esses procedimentos, você precisará modificar os registros DNS do seu domínio. Se você não puder acessar os registros DNS, ou não se sentir confortável para fazer isso, entre em contato com o administrador do sistema para obter assistência.
1. Faça login no console de gerenciamento para seu provedor de DNS.
1. Crie um novo registro MX.
1. Para o registro MX **Name** (Nome), insira seu domínio. Por exemplo, se você deseja que o Amazon SES gerencie o e-mail que é enviado para o domínio *exemplo.com*, insira o seguinte:
```
example.com.
```
**nota**
Dependendo do seu provedor de DNS: 1) O `.` no final da extensão do domínio pode não ser necessário. 2) O campo **Nome** pode ser referido como **Host**, **Domínio** ou **Domínio de mensagens**.
1. Em **Type (Tipo)**, selecione **MX**.
**nota**
Alguns provedores de DNS se referem ao campo **Type (Tipo)** como o **Record Type (Tipo de registro)** ou um nome semelhante.
1. Em **Value (Valor)**, insira o seguinte:
```
10 inbound-smtp.region.amazonaws.com
```
No exemplo anterior, *region* substitua pelo endereço do endpoint que recebe e-mails da AWS região que você usa com o Amazon SES. Por exemplo, se você estiver usando a região Leste dos EUA (Norte da Virgínia), *region* substitua por`us-east-1`. Para obter uma lista de endpoints para o recebimento de e-mails, consulte [Regiões e endpoints do SES](regions.md#region-endpoints).
**nota**
Os consoles de gerenciamento de alguns provedores de DNS incluem campos separados para o registro **Value (Valor)** e o registro **Priority (Prioridade)**. Se esse for o caso para o seu provedor de DNS, insira `10` para o valor **Priority (Prioridade)** e insira o URL do endpoint de e-mails de entrada para o **Value (Valor)**.
**Importante**
Os procedimentos específicos para a criação de um registro MX dependem de seu provedor de hospedagem ou do DNS. Consulte a documentação do seu provedor ou entre em contato com ele para obter informações sobre como adicionar um registro MX à configuração de DNS do seu domínio.
## Instruções para a criação de registros MX para vários provedores
Os procedimentos para a criação de um registro MX para seu domínio dependem de qual provedor de DNS você usa. Esta seção inclui links para a documentação de vários provedores de DNS comuns. Esta lista não é uma lista completa de provedores. Se o seu provedor não estiver listado abaixo, você provavelmente ainda poderá usá-lo com o Amazon SES. A inclusão na lista não é um endosso ou recomendação de produtos ou serviços de nenhuma empresa.
| Nome do provedor de DNS/hospedagem | Link da documentação |
| --- | --- |
| Amazon Route 53 | [Criação de registros usando o console do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) |
| GoDaddy | [Adicionar um registro MX](https://www.godaddy.com/help/add-an-mx-record-19234) (link externo) |
| DreamHost | [Como faço para alterar meus registros MX?](https://help.dreamhost.com/hc/en-us/articles/215035328) (link externo) |
| Cloudflare | [Configurar registros de e-mail](https://developers.cloudflare.com/dns/manage-dns-records/how-to/email-records/) (link externo) |
| HostGator | [Alterar registros MX – Windows](https://www.hostgator.com/help/article/changing-mx-records-windows) (link externo) |
| Namecheap | [Como posso configurar os registros MX necessários para o serviço de e-mail? ](https://www.namecheap.com/support/knowledgebase/article.aspx/322/2237/how-can-i-set-up-mx-records-required-for-mail-service) (link externo) |
| Names.co.uk | [Alterar configurações de DNS de seus domínios](https://www.names.co.uk/support/domains/1156-changing_your_domains_dns_settings.html) (link externo) |
| Wix | [Adicionar ou atualizar registros MX em sua conta do Wix](https://support.wix.com/en/article/adding-or-updating-mx-records-in-your-wix-account) (link externo) |
# Concessão de permissões ao Amazon SES para recebimento de e-mails
Algumas das tarefas que você pode realizar ao receber e-mails no SES, como enviar e-mails para um bucket do Amazon Simple Storage Service (Amazon S3) ou chamar AWS Lambda uma função, exigem permissões especiais. Esta seção mostra políticas de exemplo para vários casos de uso comuns.
**Topics**
+ [Configuração de permissões de perfil do IAM para a ação Entregar ao bucket do S3](#receiving-email-permissions-s3-iam-role)
+ [Conceder permissão ao SES para gravar em um bucket do S3](#receiving-email-permissions-s3)
+ [Dê permissão ao SES para usar sua AWS KMS chave](#receiving-email-permissions-kms)
+ [Dê permissão ao SES para invocar uma função AWS Lambda](#receiving-email-permissions-lambda)
+ [Dê permissão ao SES para publicar em um tópico do Amazon SNS que pertença a uma conta diferente AWS](#receiving-email-permissions-sns)
## Configuração de permissões de perfil do IAM para a ação Entregar ao bucket do S3
Os seguintes pontos são aplicáveis a esse perfil do IAM:
+ Ele só pode ser usado para [Ação Deliver to S3 bucket (Entregar ao bucket do S3)](receiving-email-action-s3.md).
+ Ele deve ser usado se quiser gravar em um bucket do S3 que existe em uma região onde o [Recebimento de e-mail](regions.md#region-receive-email) do SES não está disponível.
Se quiser gravar em um bucket do S3, forneça um perfil do IAM com permissões para acessar os recursos relevantes para a [Ação Deliver to S3 bucket (Entregar ao bucket do S3)](receiving-email-action-s3.md). Você também precisaria conceder permissão ao SES para que assumisse esse perfil a fim de realizar a ação por meio de uma política de confiança do IAM, conforme explicado na [próxima seção](#receiving-email-permissions-s3-iam-role-trust).
Essa política de permissão deve ser colada no editor de política em linha do perfil do IAM. Consulte [Ação Deliver to S3 bucket (Entregar ao bucket do S3)](receiving-email-action-s3.md) e siga as etapas descritas no item do **perfil do IAM**. (O exemplo a seguir também inclui permissões opcionais caso você queira usar a notificação de tópico do SNS ou uma chave gerenciada pelo cliente na ação do S3.)
**nota**
Você tem a opção de configurar a ação do S3 sem especificar um perfil do IAM, permitindo apenas o serviço SES na política de bucket do S3, conforme mostrado em [Conceder permissão ao SES para gravar em um bucket do S3](#receiving-email-permissions-s3). Isso também funcionará para cenários entre contas.
Se você especificar uma função do IAM para a ação do S3, o SES assumirá essa função para a operação 'PutObject', e as permissões do IAM especificadas aqui serão suficientes para o mesmo uso da conta. No entanto, para o uso entre contas, você precisará de uma política de bucket adicional que permita que a função do IAM 'PutObject' no bucket. Isso é especificado pelo proprietário do bucket que concede permissões de bucket entre contas, conforme explicado em [Proprietário do bucket concedendo permissões de bucket entre contas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:my-topic"
},
{
"Sid": "KMSAccess",
"Effect": "Allow",
"Action": "kms:GenerateDataKey*",
"Resource": "arn:aws:kms:us-east-1::111122223333:key/key-id"
}
]
}
```
------
Faça as seguintes alterações no exemplo de política anterior:
+ *amzn-s3-demo-bucket*Substitua pelo nome do bucket do S3 no qual você deseja gravar.
+ *region*Substitua pelo Região da AWS local em que você criou a regra de recebimento.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *my-topic*Substitua pelo nome do tópico do SNS no qual você deseja publicar notificações.
+ *key-id*Substitua pelo ID da sua chave KMS.
### Política de confiança para o perfil do IAM da ação do S3
A política de confiança a seguir deve ser adicionada às *Relações de confiança* do perfil do IAM para permitir que o SES assuma esse perfil.
**nota**
A adição manual dessa política de confiança só é necessária quando você não cria seu perfil do IAM pelo console do SES usando as etapas descritas no item do **Perfil do IAM** do fluxo de trabalho da [Ação Deliver to S3 bucket (Entregar ao bucket do S3)](receiving-email-action-s3.md). *Quando você cria o perfil do IAM pelo console, essa política de confiança é automaticamente gerada e aplicada ao perfil, tornando essa etapa desnecessária.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESAssume",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
Faça as seguintes alterações no exemplo de política anterior:
+ *region*Substitua pelo Região da AWS local em que você criou a regra de recebimento.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *rule\$1set\$1name*Substitua pelo nome do conjunto de regras que contém a regra de recebimento que contém a ação de entrega para o bucket do Amazon S3.
+ *receipt\$1rule\$1name*Substitua pelo nome da regra de recebimento que contém a ação de entrega para o bucket do Amazon S3.
## Conceder permissão ao SES para gravar em um bucket do S3
Quando você aplica a política a seguir a um bucket do S3, ela concede permissão ao SES para gravar nesse bucket, desde que ele exista em uma região onde o [recebimento de e-mail](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_inbound_endpoints) do SES está disponível. Se você quiser gravar em um bucket fora de uma região com *recebimento de e-mail*, consulte [Configuração de permissões de perfil do IAM para a ação Entregar ao bucket do S3](#receiving-email-permissions-s3-iam-role). Para obter mais informações sobre a criação de regras de recebimento que transferem e-mails de entrada para o Amazon S3, consulte [Ação Deliver to S3 bucket (Entregar ao bucket do S3)](receiving-email-action-s3.md).
Para obter mais informações sobre como anexar políticas aos buckets do S3, consulte [Uso de políticas de bucket e políticas de usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowSESPuts",
"Effect":"Allow",
"Principal":{
"Service":"ses.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
]
}
```
------
Faça as seguintes alterações no exemplo de política anterior:
+ *amzn-s3-demo-bucket*Substitua pelo nome do bucket do S3 no qual você deseja gravar.
+ *region*Substitua pela AWS região em que você criou a regra de recebimento.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *rule\$1set\$1name*Substitua pelo nome do conjunto de regras que contém a regra de recebimento que contém a ação de entrega para o bucket do Amazon S3.
+ *receipt\$1rule\$1name*Substitua pelo nome da regra de recebimento que contém a ação de entrega para o bucket do Amazon S3.
## Dê permissão ao SES para usar sua AWS KMS chave
Para o SES criptografar seus e-mails, ele deve ter permissão para usar a chave do AWS KMS especificada ao configurar sua regra de recebimento. Você pode usar a chave do KMS padrão (**aws/ses**) na sua conta ou uma chave gerenciada pelo cliente criada por você. Se você usar a chave padrão do KMS, não será necessário realizar etapas adicionais para conceder permissão ao SES para usá-la. Se você usar uma chave gerenciada pelo cliente, precisará conceder ao SES permissão para usá-la adicionando uma instrução à política da chave.
Use a seguinte instrução de política como política de chave para permitir que o SES use sua chave gerenciada pelo cliente quando ele receber e-mails em seu domínio.
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
Faça as seguintes alterações no exemplo de política anterior:
+ *region*Substitua pela AWS região em que você criou a regra de recebimento.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *rule\$1set\$1name*Substitua pelo nome do conjunto de regras que contém a regra de recebimento que você associou ao recebimento de e-mails.
+ *receipt\$1rule\$1name*Substitua pelo nome da regra de recebimento que você associou ao recebimento de e-mails.
Se você estiver usando AWS KMS para enviar mensagens criptografadas para um bucket do S3 com a criptografia do lado do servidor ativada, será necessário adicionar a ação de política,. `"kms:Decrypt"` Usando o exemplo anterior, a inclusão dessa ação à sua política poderia ser feita da seguinte forma:
```
{
"Sid": "AllowSESToEncryptMessagesBelongingToThisAccount",
"Effect": "Allow",
"Principal": {
"Service":"ses.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition":{
"StringEquals":{
"AWS:SourceAccount":"111122223333",
"AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
}
}
}
```
Para obter mais informações sobre como anexar políticas às AWS KMS chaves, consulte [Usando políticas de chaves AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guia do AWS Key Management Service desenvolvedor*.
## Dê permissão ao SES para invocar uma função AWS Lambda
Para permitir que o SES chame uma AWS Lambda função, você pode escolher a função ao criar uma regra de recebimento no console do SES. Quando você faz isso, o SES adiciona automaticamente as permissões necessárias à função.
Você também pode usar a operação `AddPermission` na API da AWS Lambda para anexar uma política a uma função. A seguinte chamada da API `AddPermission` concede ao SES permissão para invocar a função do Lambda. Para obter mais informações sobre como anexar políticas a funções do Lambda, consulte [Permissões do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html) no *Guia do desenvolvedor do AWS Lambda *.
```
{
"Action": "lambda:InvokeFunction",
"Principal": "ses.amazonaws.com",
"SourceAccount": "111122223333",
"SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name",
"StatementId": "GiveSESPermissionToInvokeFunction"
}
```
Faça as seguintes alterações no exemplo de política anterior:
+ *region*Substitua pela AWS região em que você criou a regra de recebimento.
+ Substitua *111122223333* pelo ID de sua conta da AWS .
+ *rule\$1set\$1name*Substitua pelo nome do conjunto de regras que contém a regra de recebimento em que você criou sua função Lambda.
+ *receipt\$1rule\$1name*Substitua pelo nome da regra de recebimento que contém sua função Lambda.
## Dê permissão ao SES para publicar em um tópico do Amazon SNS que pertença a uma conta diferente AWS
Para publicar notificações sobre um tópico em uma AWS conta separada, você deve anexar uma política ao tópico do Amazon SNS. O tópico do SNS deve estar na mesma região que o conjunto de regras de domínio e recebimento.
A política a seguir dá permissão à SES para publicar em um tópico do Amazon SNS em uma conta separada AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111122223333:topic_name",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "444455556666",
"AWS:SourceArn": "arn:aws:ses:us-east-1:777788889999:receipt-rule-set/rule_set_name:receipt-rule/rule_name"
}
}
}
]
}
```
------
Faça as seguintes alterações no exemplo de política anterior:
+ *topic\$1region*Substitua por Região da AWS aquela em que o tópico do Amazon SNS foi criado.
+ *sns\$1topic\$1account\$1id*Substitua pelo ID da AWS conta que possui o tópico do Amazon SNS.
+ *topic\$1name*Substitua pelo nome do tópico do Amazon SNS no qual você deseja publicar notificações.
+ *aws\$1account\$1id*Substitua pela ID da AWS conta que está configurada para receber e-mail.
+ *receipt\$1region*Substitua pelo Região da AWS local em que você criou a regra de recebimento.
+ *rule\$1set\$1name*Substitua pelo nome do conjunto de regras que contém a regra de recebimento na qual você criou sua ação de tópico de publicação no Amazon SNS.
+ *receipt\$1rule\$1name*Substitua pelo nome da regra de recebimento que contém a ação de tópico publicar no Amazon SNS.
Se o seu tópico do Amazon SNS usa AWS KMS criptografia no lado do servidor, você precisa adicionar permissões à política de chaves. AWS KMS Você pode adicionar permissões anexando a seguinte política à política de AWS KMS chaves:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSESToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------