本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SMTP 中继
<a name="eb-relay"></a>

由于 Mail Manager 部署在您的电子邮件环境（例如 Microsoft 365、Google Workspace 或本地 Exchange）和互联网之间，因此 Mail Manager 使用 SMTP 中继将由 Mail Manager 处理的传入电子邮件路由到您的电子邮件环境。它还可以在将出站电子邮件发送给最终收件人之前，将出站电子邮件路由到其他电子邮件基础设施，例如其他 Exchange 服务器或第三方邮件网关。

SMTP 中继是电子邮件基础设施的重要组件，当规则集中定义的规则操作指定时，它负责在服务器之间高效地路由电子邮件。

具体而言，SMTP 中继可以在 SES Mail Manager 和外部电子邮件基础设施（例如 Exchange、本地或第三方电子邮件网关等）之间重定向传入的电子邮件。传入入口端点的电子邮件将由规则处理，该规则将指定的电子邮件路由到指定的 SMTP 中继，而后者又将其传递到 SMTP 中继中定义的外部电子邮件基础设施。

当您的入口端点收到电子邮件时，它会使用流量策略来确定要阻止或允许的电子邮件。您允许传入的电子邮件会传递给一个规则集，该规则集应用条件规则来执行您为特定类型的电子邮件定义的操作。*您可以定义的规则操作之一是SMTPRelay 操作，如果您选择此操作，则电子邮件将传递到您的 SMTP 中继中定义的外部 SMTP 服务器。*

例如，你可以使用该*SMTPRelay 操作*将电子邮件从你的入口端点发送到本地的 Microsoft Exchange 服务器。您可以将 Exchange 服务器设置为具有只能使用特定凭证访问的*公共* SMTP 端点。创建 SMTP 中继时，输入 Exchange 服务器的服务器名称、端口和凭据，并为 SMTP 中继指定一个唯一的名称，比如 “” RelayToMyExchangeServer。然后，您在入口端点的规则集中创建一条规则，上面写着：“当发件人*地址*包含 *'gmail.com'* 时，使用名为的SMTP中继执行*SMTPRelay 操作*”。*RelayToMyExchangeServer*

**注意**  
您使用 Amazon SES SMTP 中继配置的所有 SMTP 端点都必须是公共的，因为不支持私有 SMTP 端点。

现在，当来自 *gmail.com* 的电子邮件到达您的入口端点时，该规则将触发该*SMTPRelay 操作*，并使用您在创建 SMTP 中继时提供的凭据联系您的 Exchange 服务器，并将电子邮件传送到您的 Exchange 服务器。因此，从 *gmail.com* 收到的电子邮件将*中继*到您的 Exchange 服务器。

必须先创建 SMTP 中继，然后才能在规则操作中指定该中继。下一节中的过程将指导您在 SES 控制台中创建 SMTP 中继器。

## 在 SES 控制台中创建 SMTP 中继
<a name="eb-relay-create-console"></a>

以下过程演示了如何在 SES 控制台中使用 **SMTP 中继**页面，来创建 SMTP 中继并管理已创建的中继。

**使用控制台创建和管理 SMTP 中继**

1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台，网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。

1. 在左侧导航面板中，选择 **Mail Manager** 下的 **SMTP 中继**。

1. 在 **SMTP 中继**页面上，选择**创建 SMTP 中继**。

1. 在**创建 SMTP 中继**页面上，输入您的 SMTP 中继的唯一名称。

1. 根据您是要配置入站（未经验证）还是出站（已验证）SMTP 中继器，请按照相应的说明进行操作：

------
#### [ Inbound ]

**配置入站 SMTP 中继**

   1. 当使用 SMTP 中继作为入站网关，将 Mail Manager 处理的传入电子邮件路由到您的外部电子邮件环境时，您首先需要配置电子邮件托管环境。尽管每个电子邮件托管提供商都有自己独特的 GUI 和配置工作流程，但将它们配置为使用入站网关（例如您的 Mail Manager SMTP 中继）的原则却是相似的。

      为了帮助说明这一点，我们在以下各节中提供了如何配置 Google Workspaces 和 Microsoft Office 365 以使用您的 SMTP 中继作为入站网关的示例：
      + [设置 Google Workspaces](#eb-relay-inbound-google)
      + [设置 Microsoft Office 365](#eb-relay-inbound-ms365)
**注意**  
确保您预期的收件人目的地是 SES 已验证的电子邮件身份。例如，如果您想将电子邮件递送给收件人 *abc@example.com*、*admin@example.com*、*postmaster@acme.com* 和 *support@acme.com*，那么我们建议您在 SES 中验证 `example.com` 和 `acme.com` 域。如果收件人目的地未经过验证，SES 将不会尝试将电子邮件递送到公共 SMTP 服务器。

   1. 将 Google Workspaces 或 Microsoft Office 365 配置为使用入站网关后，请输入公共 SMTP 服务器的主机名，根据您的提供商使用以下相应值：
      + Google Workspaces：`aspmx.l.google.com`
      + Microsoft Office 365：`<your_domain>.mail.protection.outlook.com`

        将域名中的圆点替换为“-”。例如，如果您的域名是 *acme.com*，则需要输入 `acme-com.mail.protection.outlook.com`

   1. 输入公共 SMTP 服务器的端口号 25。

   1. 将“身份验证”部分留空（请勿选择或创建密钥 ARN）。

------
#### [ Outbound ]

**配置出站 SMTP 中继**

   1. 输入您希望中继连接到的公共 SMTP 服务器的主机名。

   1. 输入公共 SMTP 服务器的端口号。

   1. 从**密钥 ARN** 中选择一个密钥，为您的公共 SMTP 服务器设置身份验证。*如果您选择之前创建的密钥，则该密钥必须包含以下创建新密钥步骤中指示的策略。*
      + 您可以通过选择**新建**来创建新密钥， AWS Secrets Manager 控制台将打开，您可以在其中继续创建新密钥：

      1. 在**密钥类型**中，选择**其他密钥类型**。

      1. 以**密钥/值对**的形式输入以下密钥和值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/eb-relay.html)
**注意**  
对于这两个密钥，您只能输入所示的 `username` 和 `password`（其他任何内容都将导致身份验证失败）。对于相应的值，请分别输入您自己的用户名和密码。

      1. 选择**添加新密钥**以在**加密**密钥中创建 KMS 客户托管密钥 (CMK) — AWS KMS 控制台将打开。

      1. 在**客户自主管理型密钥**页面上，选择**创建密钥**。

      1. 保留**配置密钥**页面上的默认值，然后选择**下一步**。

      1. 在**别名**中输入密钥的名称（您可以选择添加描述和标签），然后单击**下一步**。

      1. 在**密钥管理员**中，选择您想要允许管理密钥的任何用户（您自己除外）或角色，然后选择**下一步**。

      1. 在**密钥用户**中，选择想要允许使用密钥的任何用户（您自己除外）或角色，然后选择**下一步**。

      1. 将 [KMS CMK 策略](eb-policies.md#eb-policies-relay-cmk) 复制并粘贴到 `"statement"` 级别的**密钥策略** JSON 文本编辑器中，将其作为额外声明添加进去，并用逗号进行分隔。将区域和账户替换为您自己的信息。

      1. 选择**结束**。

      1. 选择打开 AWS Secrets Manager **存储新密钥页面的浏览器选项卡，然后选择加密密****钥**字段旁边的*刷新图标*（圆形箭头），然后在该字段内单击并选择您新创建的密钥。

      1. 在**配置密钥**页面上的**密钥名称**字段中输入名称。

      1. 在**资源权限**中，选择**编辑权限**。

      1. 将 [密钥资源策略](eb-policies.md#eb-policies-relay-secrets) 复制并粘贴到**资源权限** JSON 文本编辑器中，然后将区域和账户替换为您自己的信息。（请务必删除编辑器中的所有示例代码。） 

      1. 选择**保存**，然后选择**下一步**。

      1. （可选）配置轮换，然后选择**下一步**。

      1. 查看您的新密钥并选择**存储**。

      1. 选择浏览器中打开 SES **创建 SMTP 中继**页面的标签页，然后选择**刷新列表**，接着在**密钥 ARN** 中选择您新创建的密钥。

------

1. 选择**创建 SMTP 中继**。

1. 您可以从 **SMTP 中继**页面查看和管理已经创建的 SMTP 中继。如果要删除某个 SMTP 中继，请选择其单选按钮，然后选择**删除**。

1. 要编辑 SMTP 中继，请选择其名称。在详细信息页面上，您可以更改中继的名称、外部 SMTP 服务器的名称、端口和登录凭证，方法是选择相应的**编辑**或**更新**按钮，然后选择**保存更改**。

## 设置 Google Workspaces 以使用入站（未经验证的）SMTP 中继
<a name="eb-relay-inbound-google"></a>

以下演练示例向您展示了如何设置 Google Workspaces 以使用 Mail Manager 入站（未经验证）SMTP 中继。

**先决条件**
+ 有权访问 Google 管理员控制台（[Google 管理员控制台](https://admin.google.com/) >“应用程序”>“Google Workspace”>“Gmail”）。
+ 有权访问域名称服务器（托管将用于 Mail Manager 设置的域的 MX 记录）。

**设置 Google Workspaces 以使用入站 SMTP 中继**
+ **将 Mail Manager IP 地址添加到入站网关配置中**

  1. 在 [Google 管理员控制台](https://admin.google.com/)中，转到**应用程序 > Google Workspace > Gmail**。

  1. 选择**垃圾邮件、网络钓鱼和恶意软件**，然后转到**入站网关**配置。

  1. 启用**入站网关**，并使用以下详细信息对其进行配置：  
![\[启用入站网关，并使用以下详细信息对其进行配置。\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/GoogleWSInboundGateway.png)
     + 在 **Gateway** 中 IPs，选择**添**加，然后从 [SMTP 中继 IP 范围](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges)表中添加 IPs 特定于您所在地区的入口终端节点。
     + 选择**自动检测外部 IP**。
     + 选择**要求来自上述电子邮件网关的连接使用 TLS**。
     + 选择对话框底部的**保存**以保存配置。保存后，管理员控制台会将**入站网关**显示为已启用。

## 设置 Microsoft Office 365 以使用入站（未经验证）SMTP 中继
<a name="eb-relay-inbound-ms365"></a>

以下演练示例向您展示了如何设置 Microsoft Office 365 以使用 Mail Manager 入站（未经验证）SMTP 中继。

**先决条件**
+ 有权访问 Microsoft 安全管理中心（[Microsoft 安全管理中心](https://security.microsoft.com/homepage) >“电子邮件与协作”>“策略和规则”>“威胁策略”）。
+ 有权访问域名称服务器（托管将用于 Mail Manager 设置的域的 MX 记录）。

**设置 Microsoft Office 365 以使用入站 SMTP 中继**

1. **将 Mail Manager IP 地址添加到允许列表**

   1. 在 [Microsoft 安全管理中心](https://security.microsoft.com/homepage)中，转到**电子邮件与协作 > 策略和规则 > 威胁策略**。

   1. 在**策略**下，选择**反垃圾邮件**。

   1. 选择**连接筛选策略**，然后选择**编辑连接筛选策略**。
      + 在 “**始终允许来自以下 IP 地址或地址范围的消息**” 对话框中，从 [SMTP 中继 IP 范围](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges)表中添加 IPs 特定于您所在地区的入口端点。
      + 选择**保存**。

   1. 返回**反垃圾邮件**选项，并选择**反垃圾邮件入站策略**。
      + 在对话框底部，选择**编辑垃圾邮件阈值和属性**：  
![\[启用入站网关，并使用以下详细信息对其进行配置。\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/MSO365AntiSpamInboundPolicy.png)
      + 滚动到**标记为垃圾邮件**，并确保 **SPF 记录：硬故障**设置为**关**。
      + 选择**保存**。

1. **增强的筛选配置（推荐）**

   此选项将允许 Microsoft Office 365 在 SES Mail Manager 收到邮件之前正确识别原始连接 IP。

   1. **创建入站连接器**
      + 登录到新的 [Exchange 管理中心](https://admin.exchange.microsoft.com/#/homepage)，然后转到**邮件流** > **连接器**。
      + 选择**添加连接器**。
      + 在**连接来源**中，选择**合作伙伴组织**，然后选择**下一步**。
      + 按如下所示填写各字段：
        + **名称**：Simple Email Service Mail Manager 连接器
        + **描述**：用于筛选的连接器   
![\[添加连接器\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/MSExAddConnector.png)
      + 选择**下一步**。
      + 在**对已发送的电子邮件进行身份****验证中，选择通过验证发送服务器的 IP 地址是否与下列 IP 地址之一（属于您的合作伙伴组织）相匹配，**然后从 [SMTP 中继 IP](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges) 范围表中添加 IPs 特定于您所在地区的入口端点。  
![\[在对已发送的电子邮件进行身份验证中，选择通过验证发送服务器的 IP 地址是否与下列 IP 地址之一（属于您的合作伙伴组织）相匹配，然后从下表中添加 IPs特定于您所在地区的入口端点。\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/MSExAuthSentMail.png)
      + 选择**下一步**。
      + 在**安全限制**中，接受默认的**如果电子邮件不是通过 TLS 发送的，则拒绝电子邮件**设置，然后选择**下一步**。
      + 检查您的设置，然后选择**创建连接**。

   1. **启用增强的筛选**

      现在，入站连接器已配置完毕，您需要在 **Microsoft 安全管理中心**启用该连接器的增强筛选配置。
      + 在 [Microsoft 安全管理中心](https://security.microsoft.com/homepage)中，转到**电子邮件与协作 > 策略和规则 > 威胁策略**。
      + 在**规则**下，选择**增强筛选**。  
![\[在“威胁策略”中的“规则”下选择“增强筛选”。\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/MSO365ThreatPolicies.png)
      + 选择您之前创建的 **Simple Email Service Mail Manager 连接器**，编辑其配置参数。
      + 选择**自动检测并跳过最后一个 IP 地址**和**应用于整个组织**。  
![\[编辑之前创建的连接器的配置。\]](http://docs.aws.amazon.com/zh_cn/ses/latest/dg/images/MSO365EditConnector.png)
      + 选择**保存**。