本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# SMTP 轉送
由於 Mail Manager 會部署在您的電子郵件環境 (例如 Microsoft 365、Google Workspace 或現場部署交換) 與網際網路之間,因此 Mail Manager 會使用 SMTP 轉送,將 Mail Manager 處理的電子郵件路由到您的電子郵件環境。它也可以將傳出電子郵件路由到另一個電子郵件基礎設施,例如另一個 Exchange 伺服器或第三方電子郵件閘道,然後再傳送給最終收件人。
SMTP 轉送是您電子郵件基礎設施的重要元件,當由規則集中定義的規則動作指定時,負責在伺服器之間有效率地路由電子郵件。
具體而言,SMTP 轉送可以重新導向 SES Mail Manager 與外部電子郵件基礎設施之間的傳入電子郵件,例如 Exchange、內部部署或第三方電子郵件閘道等。傳入至輸入端點的電子郵件將由規則處理,該規則會將指定的電子郵件路由至指定的 SMTP 轉送,而該轉送則會將其傳遞至 SMTP 轉送中定義的外部電子郵件基礎設施。
當您的輸入端點收到電子郵件時,它會使用流量政策來決定要封鎖或允許哪些電子郵件。您在 中允許的電子郵件會傳遞至套用條件式規則的規則集,以執行您為特定電子郵件類型定義的動作。您可以定義的其中一個規則動作是 *SMTPRelay 動作*,如果您選取此動作,電子郵件將傳遞至 SMTP 轉送中定義的外部 SMTP 伺服器。
例如,您可以使用 *SMTPRelay 動作*,將電子郵件從輸入端點傳送至內部部署 Microsoft Exchange Server。您將 Exchange 伺服器設定為具有只能使用特定登入資料存取的*公*有 SMTP 端點。當您建立 SMTP 轉送時,您可以輸入 Exchange 伺服器的伺服器名稱、連接埠和登入資料,並為 SMTP 轉送提供唯一的名稱,例如 "RelayToMyExchangeServer"。然後,您可以在輸入端點的規則集中建立規則,其中指出「當*寄件者地址*包含*「gmail.com」*,然後使用名為 *RelayToMyExchangeServer* 的 SMTP 轉送來執行 *SMTPRelay 動作*。
**注意**
您使用 Amazon SES SMTP 轉送設定的所有 SMTP 端點都必須是公有的,因為不支援私有 SMTP 端點。
現在,當來自 *gmail.com* 的電子郵件到達您的輸入端點時,規則會觸發 *SMTPRelay 動作*,並使用您在建立 SMTP 轉送時提供的登入資料來聯絡 Exchange 伺服器,並將電子郵件交付到您的 Exchange 伺服器。因此,從 *gmail.com* 收到的電子郵件會*轉送*到您的 Exchange 伺服器。
您必須先建立 SMTP 轉送,才能在規則動作中指定它。下一節中的程序將逐步引導您在 SES 主控台中建立 SMTP 轉送。
## 在 SES 主控台中建立 SMTP 轉送
下列程序說明如何使用 SES 主控台中的 **SMTP 轉送**頁面來建立 SMTP 轉送和管理您已建立的轉送。
**使用主控台建立和管理 SMTP 轉送**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) 的 Amazon SES 主控台。
1. 在左側導覽面板中,選擇 **Mail Manager** 下的 **SMTP 轉送**。
1. 在 **SMTP 轉送**頁面上,選取**建立 SMTP 轉送**。
1. 在**建立 SMTP 轉送**頁面上,輸入 SMTP 轉送的唯一名稱。
1. 根據您要設定傳入 (未驗證) 或傳出 (已驗證) SMTP 轉送,請遵循各自的指示:
------
#### [ Inbound ]
**設定傳入 SMTP 轉送**
1. 當 SMTP 轉送用作傳入閘道,將 Mail Manager 處理的電子郵件路由到外部電子郵件環境時,您必須先設定電子郵件託管環境。雖然每個電子郵件託管供應商都有自己的 GUI 和組態工作流程,但將它們設定為使用傳入閘道的主體,例如您的 Mail Manager SMTP 轉送,將會是類似的。
為了協助說明這一點,我們在下列各節提供範例,說明如何設定 Google Workspaces 和 Microsoft Office 365 將 SMTP 轉送做為傳入閘道使用:
+ [設定 Google Workspaces](#eb-relay-inbound-google)
+ [設定 Microsoft Office 365](#eb-relay-inbound-ms365)
**注意**
確保您預期的收件人目的地是 SES 驗證的電子郵件身分。例如,如果您想要傳送電子郵件給收件人 *abc@example.com*、*admin@example.com*、*postmaster@acme.com* 和 *support@acme.com*,建議您在 SES 中驗證 `example.com`和 `acme.com`網域。如果未驗證收件人目的地,SES 不會嘗試將電子郵件交付到公有 SMTP 伺服器。
1. 將 Google Workspaces 或 Microsoft Office 365 設定為使用傳入閘道之後,請輸入公有 SMTP 伺服器的主機名稱,並將下列值分別提供給您的提供者:
+ Google 工作區: `aspmx.l.google.com`
+ Microsoft Office 365: `.mail.protection.outlook.com`
將網域名稱中的點取代為 "-"。例如,如果您的網域是 *acme.com*,您可以輸入 `acme-com.mail.protection.outlook.com`
1. 輸入公有 SMTP 伺服器的連接埠號碼 25。
1. 將身分驗證區段保留空白 (請勿選取或建立秘密 ARN)。
------
#### [ Outbound ]
**設定傳出 SMTP 轉送**
1. 輸入您要轉送連線之公有 SMTP 伺服器的主機名稱。
1. 輸入公有 SMTP 伺服器的連接埠號碼。
1. 從**秘密 ARN** 選取其中一個秘密,為您的公有 SMTP 伺服器設定身分驗證。*如果您選取先前建立的秘密,它必須包含以下步驟中指示的政策,以建立新的秘密。*
+ 您可以選擇建立新秘密 ****- AWS Secrets Manager 主控台會開啟,您可以在其中繼續建立新的金鑰:
1. 在**秘密類型中選擇其他****類型的秘密**。
1. 在金鑰**/值對中輸入下列金鑰和值**:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/eb-relay.html)
**注意**
對於這兩個金鑰,您只能輸入 `username`和 `password`,如下所示 (任何其他項目都會導致身分驗證失敗)。對於這些值,請分別輸入您自己的使用者名稱和密碼。
1. 選取**新增金鑰**以在**加密**金鑰中建立 KMS 客戶受管金鑰 (CMK) — AWS KMS 主控台將會開啟。
1. 在客戶受管**金鑰頁面上選擇建立**金鑰。 ****
1. 在**設定金鑰**頁面上保留預設值,然後選取**下一步**。
1. 在**別名**中輸入金鑰的名稱 (或者,您可以新增描述和標籤),後面接著**下一步**。
1. 選取您想要允許在金鑰**管理員**中管理金鑰的任何使用者 (而非您自己) 或角色,接著選取**下一步**。
1. 選取您想要允許 在金鑰使用者中**使用該金鑰的任何使用者** (而非您自己) 或角色,然後按**下一步**。
1. 透過將金鑰**政策** JSON 文字編輯器新增為以逗號分隔的額外陳述式,在 `"statement"` 層級複製並貼[KMS CMK 政策](eb-policies.md#eb-policies-relay-cmk)到金鑰政策 JSON 文字編輯器中。使用您自己的 取代區域和帳戶號碼。
1. 選擇**完成**。
1. 選取瀏覽器的索引標籤,在其中開啟 AWS Secrets Manager **儲存新的秘密**頁面,然後選取**加密金鑰**欄位旁的*重新整理圖示* (圓形箭頭),然後在欄位中按一下,然後選取新建立的金鑰。
1. 在設定**秘密頁面上的秘密名稱**欄位中輸入名稱。 ****
1. 在資源**許可中選取編輯**許可。 ****
1. 將 複製並貼[秘密資源政策](eb-policies.md#eb-policies-relay-secrets)到**資源許可** JSON 文字編輯器中,並將區域和帳號取代為您自己的 。(請務必刪除編輯器中的任何範例程式碼。)
1. 選擇**儲存**後接**下一步**。
1. 選擇性地設定輪換,後面接著**下一步**。
1. 選擇**存放區**,檢閱並存放您的新秘密。
1. 選取您開啟 SES **Create SMTP 轉送**頁面的瀏覽器標籤,然後選擇**重新整理清單**,然後在秘密 **ARN 中選取新建立的秘密**。
------
1. 選取**建立 SMTP 轉送**。
1. 您可以檢視和管理已從 SMTP 轉送頁面建立**的 SMTP 轉送**。如果您想要移除 SMTP 轉送,請選取其選項按鈕,接著選取**刪除**。
1. 若要編輯 SMTP 轉送,請選取其名稱。在詳細資訊頁面上,您可以選取對應的**編輯**或**更新**按鈕,然後**儲存變更**,以變更轉送的名稱、外部 SMTP 伺服器的名稱、連接埠和登入憑證。
## 為傳入 (未驗證) SMTP 轉送設定 Google Workspaces
下列逐步解說範例說明如何設定 Google Workspaces 來使用 Mail Manager 傳入 (未驗證) SMTP 轉送。
**先決條件**
+ 存取 Google 管理員主控台 ([Google 管理員主控台](https://admin.google.com/) > 應用程式 > Google 工作區 > Gmail)。
+ 存取託管用於 Mail Manager 設定的網域 MX 記錄的網域名稱伺服器。
**設定 Google Workspaces 以使用傳入 SMTP 轉送**
+ **將郵件管理員 IP 地址新增至傳入閘道組態**
1. 在 [Google 管理員主控台](https://admin.google.com/)中,前往**應用程式 > Google 工作區 > Gmail**。
1. 選取**垃圾郵件、網路釣魚和惡意軟體**,然後移至**傳入閘道**組態。
1. 啟用**傳入閘道**,並使用下列詳細資訊進行設定:
![\[啟用傳入閘道,並使用詳細資訊進行設定。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/GoogleWSInboundGateway.png)
+ 在**閘道 IPs**中,選取**新增 **,然後從 SMTP 轉送 IPs 範圍資料表新增您所在區域的特定輸入端點 IP。 [https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges)
+ 選取**自動偵測外部 IP**。
+ 從**上述電子郵件閘道選取需要 TLS 以進行連線**。
+ 選取對話方塊底部的**儲存**以儲存組態。儲存後,管理員主控台會將**傳入閘道**顯示為已啟用。
## 為傳入 (未驗證) SMTP 轉送設定 Microsoft Office 365
下列逐步解說範例示範如何設定 Microsoft Office 365 以使用 Mail Manager 傳入 (未驗證) SMTP 轉送。
**先決條件**
+ 存取 Microsoft 安全管理中心 ([Microsoft 安全管理中心](https://security.microsoft.com/homepage) > 電子郵件與協同合作 > 政策與規則 > 威脅政策)。
+ 存取託管用於 Mail Manager 設定的網域 MX 記錄的網域名稱伺服器。
**設定 Microsoft Office 365 以使用傳入 SMTP 轉送**
1. **將郵件管理員 IP 地址新增至允許清單**
1. 在 [Microsoft 安全管理員中心](https://security.microsoft.com/homepage),前往**電子郵件與協同合作 > 政策與規則 > 威脅政策**。
1. 選取**政策**下的**反垃圾郵件**。
1. 選取**連線篩選政策**,後面接著**編輯連線篩選政策**。
+ 在**一律允許來自下列 IP 地址或地址範圍的訊息**對話方塊中,從 SMTP 轉送 IPs 範圍資料表新增您所在區域的特定輸入端點 IP。 [https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges)
+ 選取**儲存**。
1. 返回**反垃圾郵件**選項,然後選擇**反垃圾郵件傳入政策**。
+ 在對話方塊底部,選取**編輯垃圾郵件閾值和屬性**:
![\[啟用傳入閘道,並使用詳細資訊進行設定。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/MSO365AntiSpamInboundPolicy.png)
+ 捲動至**標記為垃圾郵件**,並確保 **SPF 記錄:硬性失敗**設定為**關閉**。
+ 選取**儲存**。
1. **增強型篩選組態 (建議)**
此選項將允許 Microsoft Office 365 在 SES Mail Manager 收到訊息之前正確識別原始連線 IP。
1. **建立傳入連接器**
+ 登入新的 [Exchange 管理中心](https://admin.exchange.microsoft.com/#/homepage),並前往**郵件流程** > **連接器**。
+ 選取**新增連接器**。
+ 在**連線來源**中,選取**合作夥伴組織**,接著選取**下一步**。
+ 如下所示填入欄位:
+ **名稱** – Simple Email Service Mail Manager 連接器
+ **描述** – 用於篩選的連接器
![\[新增連接器。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/MSExAddConnector.png)
+ 選取**下一步**。
+ 在**驗證已傳送的電子郵件**中,選取**透過驗證傳送伺服器的 IP 地址符合下列其中一個 IP 地址,該地址屬於您的合作夥伴組織**,並從 SMTP 轉送 IPs 範圍資料表新增您所在區域的輸入端點 IP。 [https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_mm_relay_ip_ranges)
![\[在驗證已傳送的電子郵件中,選取透過驗證傳送伺服器的 IP 地址是否符合下列其中一個 IP 地址,這些地址屬於您的合作夥伴組織,並從下表新增您區域特有的輸入端點 IPs。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/MSExAuthSentMail.png)
+ 選取**下一步**。
+ 在**安全限制**中,**如果未透過 TLS 設定傳送,則接受預設的拒絕電子郵件訊息**,後面接著**下一步**。
+ 檢閱您的設定,然後選取**建立連接器**。
1. **啟用增強型篩選**
現在已設定傳入連接器,您需要在 **Microsoft Security 管理中心**啟用連接器的增強型篩選組態。
+ 在 [Microsoft 安全管理員中心](https://security.microsoft.com/homepage),前往**電子郵件與協同合作 > 政策與規則 > 威脅政策**。
+ 選取**規則**下的**增強型篩選**。
![\[選取威脅政策內規則下的增強型篩選。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/MSO365ThreatPolicies.png)
+ 選取您先前建立的 **Simple Email Service Mail Manager 連接器**,以編輯其組態參數。
+ 選取**自動偵測並略過最後一個 IP 地址**,然後**套用至整個組織**。
![\[編輯先前建立的連接器組態。\]](http://docs.aws.amazon.com/zh_tw/ses/latest/dg/images/MSO365EditConnector.png)
+ 選取**儲存**。