我有一个经过验证的域,可以与我创建的 IAM 用户一起使用。
电子邮件成功发出。
我希望将其锁定,因此我首先创建了一个 VPC 端点,它允许来自整个 VPC 的 SMTP 流量。这也没有问题。
最后,我只想允许通过此端点发送电子邮件,因此希望 SES 授权策略接受从本地 VPC 范围(例如 10.204.0.0/16)发送的电子邮件。这是为了改善任何泄露的凭据,因此不良行为者不能仅仅因为他们有一些 SES 访问权限就发送冒充我们域的电子邮件。
我无法过滤,aws:SourceIp因为这仅适用于公共 IP 地址。
因此,这是否可能,或者我是否必须允许泄露的凭据可能允许外部参与者作为我们经过验证的域发送的可能性(尽管不太可能)?
Amazon SES 可以使用 SMTP 凭证,这实质上意味着 SES 连接到 Internet 并且在理论上本质上是公开的。
虽然您可以限制 IAM 用户和角色使用 Amazon SES API,但您无法限制某人连接到任何 Amazon SES 终端节点以使用被盗凭证滥用您的 SMTP 服务器。这就是 SMTP 协议的设计工作方式 - 使用凭据。
它不知道VPC IP 范围。
虽然您无法防止泄露的凭证被使用,但您可以监控您的 Amazon SES 发送活动,或许还可以使用 CloudWatch 警报来发现任何可疑行为,以便在发生泄露时更具反应性。
还要积极主动地防止在第一个实例中泄漏 - 将 SMTP 凭证存储在锁定的AWS Parameter Store 中,只授予一个主要 IAM SMTP 用户一次执行操作的权限ses:SendRawEmail等。
高级别监控、对哪些应用程序在什么时间可以访问 SMTP 凭证的严格限制、IAM SMTP 用户的不断轮换以及因此 SMTP 凭证和一般安全意识的组合应该有望防止您的凭证泄露,如果最坏的情况确实如此发生时,上述行动应该可以减少检测时间和爆炸半径。
感谢您尝试在所有层面应用安全性并为安全事件做准备!