我有一个经过验证的域,可与我创建的 IAM 用户配合使用。
邮件发送成功。
我希望锁定此问题,因此我首先创建了一个 VPC 终端节点,允许来自整个 VPC 的 SMTP 流量。这也没有问题。
最后,我想“仅”允许通过“此端点”发送电子邮件,因此希望 SES 授权策略接受从本地 VPC 范围(例如 10.204.0.0/16)发送的电子邮件。这是为了改善任何泄露的凭据,因此不良行为者无法仅仅因为他们具有某些 SES 访问权限而发送冒充我们域的电子邮件。
我无法按 aws:SourceIp 进行过滤,因为这仅适用于公共 IP 地址。
因此,这是否可能,或者我是否必须考虑到泄露的凭据可能允许外部参与者作为我们经过验证的域发送的可能性(尽管不太可能)?
Amazon SES 可以使用 SMTP 凭证,这本质上意味着 SES 连接到互联网并且理论上本质上是公开的。
任何 Amazon SES 终端节点
以使用被盗凭证滥用您的 SMTP 服务器。这就是 SMTP 协议的设计工作原理 - 使用凭据。 它不知道 VPC IP 范围。
虽然您无法阻止泄露的凭证被使用,但您可以监控您的 Amazon SES 发送活动,或许还可以使用 CloudWatch 警报来发现任何可疑行为,以便在发生泄露时做出更积极的反应。
还要主动预防泄漏 - 将 SMTP 凭证存储在锁定 AWS 参数存储中,一次仅向
一个主 IAM SMTP 用户授予执行ses:SendRawEmail操作的权限等等
高水平的监控、对应用程序在何时访问 SMTP 凭证的严格限制、IAM SMTP 用户的不断轮换以及 SMTP 凭证和一般安全意识的结合有望防止您的凭证泄露,如果最坏的情况确实发生了,可以这么说,上述行动应该会减少检测时间和爆炸半径。
感谢您尝试在所有层面应用安全性并为安全事件做好准备!
如果我有一个具有经过验证的 SES 域身份的 Amazon 账户和具有用作 SES SMTP 凭证的密钥的 IAM 用户,我可以使用这些凭证(包括所有 IP 地址)查看电子邮件(通过 SMTP 发送)的所有发送和传递事件),那么为什么 IAM 政策条件不起作用呢?
有官方文档 (
https://docs.aws.amazon.com/ses/latest/dg/sending-authorization-policy-examples.html) 展示了如何进行限制,例如通过“aws:PrincipalOrgID “ - 它似乎适用于 SES SMTP,那么为什么“aws:SourceIp” (
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) 不起作用? 您可以限制发送电子邮件 - 删除所有 SMTP 凭证并通过特定 IAM 用户通过 API 发送电子邮件,您可以向该用户附加包含所需限制的正确策略