Comparto la configuración que ideé para usar AWS SES para correos electrónicos salientes, de rebote y entrantes. Definitivamente hay matices en el servicio SES, y requirió bastante prueba y error para entender exactamente cómo funciona. Esto es más una descarga de ideas que una guía paso a paso. Debería ser innecesario, pero úselo bajo su propio riesgo. Y, por supuesto, siempre lea y comprenda cualquier código escrito por otros que implemente.

Antecedentes:

Estoy trabajando para implementar Discourse en AWS y utilizar todos los servicios que pueda para garantizar la confiabilidad y la redundancia. Como desarrollador, me siento más cómodo con la línea de comandos y el código, y quería usar la automatización de IaC. Todo mi entorno se está implementando con Terraform, pero he intentado hacer clic en la consola web y alinear las cosas lo mejor que he podido. IAM y los documentos de políticas están más allá del alcance de esto, pero creo que he señalado dónde se necesitan las cosas.

Ejecutar una instancia de Postfix parece excesivo para una sola aplicación. Usar un buzón POP3 es muy de los 90. Así que me sumergí en el mundo de AWS.

Encontré algunas publicaciones extremadamente útiles que me ayudaron en mi búsqueda:

• AWS SES / AWS Lambda mail receiver endpoint code?
• How to use Amazon SES for sending emails to users?
• Configure VERP to handle bouncing e-mails

El contenedor mail-receiver también me ayudó a entender cómo Discourse procesa los mensajes:

• Configure direct-delivery incoming email for self-hosted sites with Mail-Receiver
• Update mail-receiver to the release version

Inicialmente esperaba que el punto final del webhook de AWS manejara los mensajes entrantes, pero después de revisar el código, me di cuenta de que no lo haría. Basé mi código de receptor lambda en el excelente ejemplo de @dltj. Opté por usar SNS para la entrega de mensajes en lugar de S3.

Prerrequisitos

• Cuenta de AWS
• Conocimiento práctico de DNS y los tipos de registros relacionados con el correo electrónico
• Un dominio (o subdominio) en el que pueda realizar cambios

Notas

• Todo lo documentado debe crearse en la misma región de AWS
• El texto en negrita e cursiva como este son sus valores específicos de implementación
• El texto en cursiva son nombres de variables, valores fijos o elementos de la interfaz de usuario

Pasos

1. Cree una identidad de dominio de Simple Email Service (SES), su.dominio, en una de las regiones de AWS que admiten la recepción de correo electrónico

   • Regions and Amazon SES - Amazon Simple Email Service

2. Verifique la identidad del dominio

   • Verified identities in Amazon SES - Amazon Simple Email Service
   • Verifying your domain for Amazon SES email receiving - Amazon Simple Email Service

3. Cree un tema de Simple Notification Service (SNS), feedback-sns-topic, para notificaciones de comentarios

4. Configure la identidad de dominio su.dominio
   a. Habilite el reenvío de comentarios por correo electrónico
   b. Configure las notificaciones de comentarios de rebote y quejas (no de entrega) para usar el tema feedback-sns-topic de SNS

5. Cree una suscripción en el tema feedback-sns-topic de SNS
   a. El protocolo es HTTPS (¿todavía no está usando HTTP?)
   b. Establezca el punto final en https://su.dominio/webhooks/aws (consulte la publicación de VERP)
   c. Seleccione habilitar la entrega de mensajes sin procesar

6. Cree otro tema de SNS, incoming-sns-topic, para el correo electrónico entrante

7. Cree un conjunto de reglas de recepción de correo electrónico de SES, inbound-mail-set, si no existe uno activo. Si es así, úselo, ya que solo puede haber un conjunto de reglas activo

8. Cree una regla de recepción en el conjunto de reglas de recepción inbound-mail-set
   a. Establezca la condición del destinatario en su.dominio
   b. Agregue una acción para publicar en el tema de SNS incoming-sns-topic, codificando Base64

9. Cree una clave API en su instancia de Discourse para el usuario system, otorgando la acción receive email en el recurso email

10. Cree un secreto en Secret Manager, email-handler-secret, con las siguientes claves y sus respectivos valores:

    • api_endpoint - https://su.dominio/admin/email/handle_mail
    • api_key - del paso 9
    • api_username - system, a menos que haya usado algo diferente en el paso 9

11. Cree una capa Lambda, lambda-receiver-layer, para el tiempo de ejecución python3.10 que contenga las bibliotecas requests y aws-lambda-powertools

12. Cree una función Lambda, email-receiver-lambda, para el tiempo de ejecución python3.10 con el código del receptor:

# Copyright (c) 2023 Derek J. Lambert
#
# Permission is hereby granted, free of charge, to any person obtaining a copy
# of this software and associated documentation files (the "Software"), to deal
# in the Software without restriction, including without limitation the rights
# to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
# copies of the Software, and to permit persons to whom the Software is
# furnished to do so, subject to the following conditions:
#
# The above copyright notice and this permission notice shall be included in all
# copies or substantial portions of the Software.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
# IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
# OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
# SOFTWARE.
import json
import os
from typing import TypedDict

import requests
from aws_lambda_powertools import Logger
from aws_lambda_powertools.utilities import parameters
from aws_lambda_powertools.utilities.data_classes import event_source
from aws_lambda_powertools.utilities.data_classes.sns_event import SNSEvent, SNSEventRecord
from aws_lambda_powertools.utilities.typing import LambdaContext


class Secret(TypedDict):
    api_endpoint: str
    api_username: str
    api_key: str


service = os.getenv('AWS_LAMBDA_FUNCTION_NAME')
logger  = Logger(log_uncaught_exceptions=True, service=service)

try:
    SECRET_NAME = os.environ['SECRET_NAME']
except KeyError as e:
    raise RuntimeError(f'Missing {e} environment variable')

AWS_EXTENSION_PORT = os.getenv('PARAMETERS_SECRETS_EXTENSION_HTTP_PORT', 2773)
EXTENSION_ENDPOINT = f'http://localhost:{AWS_EXTENSION_PORT}/secretsmanager/get?secretId={SECRET_NAME}'


def get_secret() -> Secret:
    return parameters.get_secret(SECRET_NAME, transform='json')


def handle_record(record: SNSEventRecord):
    sns         = record.sns
    sns_message = json.loads(sns.message)

    try:
        message_type    = sns_message['notificationType']
        message_mail    = sns_message['mail']
        message_content = sns_message['content']
        message_receipt = sns_message['receipt']
    except KeyError as exc:
        raise RuntimeError(f'Key {exc} missing from message')

    try:
        receipt_action = message_receipt['action']
    except KeyError as exc:
        raise RuntimeError(f'Key {exc} missing from receipt')

    try:
        action_encoding = receipt_action['encoding']
    except KeyError as exc:
        raise RuntimeError(f'Key {exc} missing from action')

    try:
        mail_source      = message_mail['source']
        mail_destination = ','.join(message_mail['destination'])
    except KeyError as exc:
        raise RuntimeError(f'Key {exc} missing from mail')

    logger.info(f'Processing SNS {message_type} {sns.get_type} record with MessageId {sns.message_id} from {mail_source} to {mail_destination}')

    # 'email' is deprecated, but just in case something is configured incorrectly
    body_key = 'email_encoded' if action_encoding == 'BASE64' else 'email'

    request_body = {
        body_key: message_content
    }

    secret  = get_secret()
    headers = {
        'Api-Username': secret['api_username'],
        'Api-Key':      secret['api_key'],
    }

    response = requests.post(url=secret['api_endpoint'], headers=headers, json=request_body)

    logger.info(response.text)
    response.raise_for_status()


@event_source(data_class=SNSEvent)
@logger.inject_lambda_context
def lambda_handler(event: SNSEvent, context: LambdaContext):
    for record in event.records:
        handle_record(record)

13. Configure la función Lambda email-receiver-lambda:
    a. Agregue la capa lambda-receiver-layer
    b. Agregue la capa específica de la región para AWS Parameter Store
    c. Agregue la variable de entorno SECRET_NAME con el valor email-handler-secret
    d. Si desea más detalles registrados, agregue la variable de entorno POWERTOOLS_LOGGER_LOG_EVENT con el valor true

14. Otorgue a la función Lambda email-receiver-lambda el permiso IAM secretsmanager:GetSecretValue para el secreto email-handler-secret

15. Cree una suscripción en el tema SNS incoming-sns-topic
    a. El protocolo es AWS Lambda
    b. Establezca el punto final en el ARN de email-receiver-lambda

16. Se necesitarán permisos IAM para la suscripción de SNS en el tema incoming-sns-topic para invocar email-receiver-lambda, pero creo que esto se hará automáticamente cuando se configure a través de la consola

Para fines de depuración, o autoinfligirse molestias en general, puede agregar una suscripción por correo electrónico a cualquiera de los temas de SNS para monitorear las notificaciones.

Lo escribí en un par de sesiones, pero creo que está todo. Puedo intentar responder preguntas generales según el tiempo lo permita.

Actualizaciones a la publicación original

• Recientemente descubrí que Lambda Powertools tiene soporte para la espectacular biblioteca Pydantic, y actualicé el script para usarla. En la capa Lambda, lambda-receiver-layer, aws-lambda-powertools necesitará incluir el extra parser (es decir, aws-lambda-powertools[parser]).

• También noté que en realidad no estoy usando la Extensión Lambda de Parámetros y Secretos de AWS para recuperar las credenciales, sino la funcionalidad de Powertools (que no almacena en caché entre invocaciones).

• Por el momento, si la versión de la biblioteca requests en la capa Lambda, lambda-receiver-layer, es superior a 2.29.0, necesitarás fijar la biblioteca urllib3 a la versión 1.x (es decir, urllib3<2). Versiones posteriores de requests instalarán la versión 2 de urllib3, que actualmente entra en conflicto con la biblioteca boto3.

Versión 2

# Copyright (c) 2023 Derek J. Lambert
#
# Permission is hereby granted, free of charge, to any person obtaining a copy
# of this software and associated documentation files (the "Software"), to deal
# in the Software without restriction, including without limitation the rights
# to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
# copies of the Software, and to permit persons to whom the Software is
# furnished to do so, subject to the following conditions:
#
# The above copyright notice and this permission notice shall be included in all
# copies or substantial portions of the Software.
#
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
# IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
# FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
# AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
# LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
# OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
# SOFTWARE.
import os
from enum import Enum
from typing import Literal, Optional

import requests
from aws_lambda_powertools import Logger
from aws_lambda_powertools.logging import utils
from aws_lambda_powertools.utilities.parser import BaseModel, event_parser
from aws_lambda_powertools.utilities.parser.models import SnsModel, SesMessage, SnsRecordModel, SesMail, SesReceipt, SesMailCommonHeaders
from aws_lambda_powertools.utilities.typing import LambdaContext


class Secret(BaseModel):
    api_endpoint: str
    api_username: str
    api_key:      str


class SnsSesActionEncoding(str, Enum):
    BASE64 = 'BASE64'
    UTF8   = 'UTF8'


class SnsSesReceiptAction(BaseModel):
    type:     Literal['SNS']
    encoding: SnsSesActionEncoding
    topicArn: str


class SnsSesReceipt(SesReceipt):
    action: SnsSesReceiptAction


class SnsSesMailCommonHeaders(SesMailCommonHeaders):
    returnPath: Optional[str]


class SnsSesMail(SesMail):
    commonHeaders: SnsSesMailCommonHeaders


class SnsSesMessage(SesMessage):
    notificationType: str  # TODO: Are there other values besides 'Received'?
    content:          str
    mail:             SnsSesMail
    receipt:          SnsSesReceipt


try:
    SECRET_NAME       = os.environ['SECRET_NAME']
    AWS_SESSION_TOKEN = os.environ['AWS_SESSION_TOKEN']
except KeyError as e:
    raise RuntimeError(f'Missing {e} environment variable')

AWS_EXTENSION_PORT = os.getenv('PARAMETERS_SECRETS_EXTENSION_HTTP_PORT', 2773)

logger = Logger(service=os.getenv('AWS_LAMBDA_FUNCTION_NAME'), log_uncaught_exceptions=True, use_rfc3339=True)

utils.copy_config_to_registered_loggers(source_logger=logger)


def get_secret() -> Secret:
    # AWS Parameters and Secrets Lambda Extension
    # https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html

    response = requests.get(
        url=f'http://localhost:{AWS_EXTENSION_PORT}/secretsmanager/get?secretId={SECRET_NAME}',
        headers={
            'X-Aws-Parameters-Secrets-Token': AWS_SESSION_TOKEN
        }
    )

    try:
        response.raise_for_status()
    except Exception:
        logger.critical(response.text)
        raise

    return Secret.parse_raw(response.json()['SecretString'])


def handle_record(record: SnsRecordModel):
    sns_record       = record.Sns
    sns_ses_message  = SnsSesMessage.parse_raw(record.Sns.Message)
    mail_destination = ','.join(sns_ses_message.mail.destination)

    logger.info(f'Processing SNS {sns_ses_message.notificationType} notification record with MessageId {sns_record.MessageId} from {sns_ses_message.mail.source} to {mail_destination}')

    # 'email' is deprecated, but just in case something is configured incorrectly
    body_key = 'email_encoded' if sns_ses_message.receipt.action.encoding is SnsSesActionEncoding.BASE64 else 'email'
    secret   = get_secret()

    response = requests.post(
        url=secret.api_endpoint,
        headers={
            'Api-Username': secret.api_username,
            'Api-Key':      secret.api_key,
        },
        json={
            body_key: sns_ses_message.content
        }
    )

    try:
        response.raise_for_status()
    except Exception:
        logger.critical(response.text)
        raise

    logger.info(f'Endpoint response: {response.text}')


@event_parser(model=SnsModel)
@logger.inject_lambda_context
def lambda_handler(event: SnsModel, context: LambdaContext):
    for record in event.Records:
        handle_record(record)

Gracias por esta guía @dlambert

Iba muy bien, hasta que llegué al paso 11:

¿Dónde / cómo creo esto?

¿Lo has conseguido?

Yo también me atasco en el paso 11. No sé qué hacer a continuación. ¿Alguien podría ayudar?

Screenshot 2023-11-28 021900898×799 38.1 KB

No, lo siento, me rendí y deshabilitamos toda la funcionalidad de respuesta por correo electrónico, usando SES solo para correos salientes simples

Intenté seguir todos los pasos de configuración, pero al final, estoy recibiendo este error en Cloudwatch, ¿alguien puede ayudarme con esto?

[ERROR] HTTPError: 403 Client Error: Forbidden for url: https://forum.siteurl.com/admin/email/handle_mail
Traceback (most recent call last):
  File "/opt/python/aws_lambda_powertools/middleware_factory/factory.py", line 135, in wrapper
    response = middleware()
  File "/opt/python/aws_lambda_powertools/utilities/data_classes/event_source.py", line 39, in event_source
    return handler(data_class(event), context)
  File "/opt/python/aws_lambda_powertools/logging/logger.py", line 453, in decorate
    return lambda_handler(event, context, *args, **kwargs)
  File "/var/task/lambda_function.py", line 107, in lambda_handler
    handle_record(record)
  File "/var/task/lambda_function.py", line 100, in handle_record
    response.raise_for_status()
  File "/opt/python/requests/models.py", line 1021, in raise_for_status
    raise HTTPError(http_error_msg, response=self)

De acuerdo, se debió a que Cloudflare lo deshabilitó y eso resolvió el problema. Quizás más tarde escribiré aquí cómo lo hice funcionar siguiendo todos los pasos.

Esto es lo que hice.

Instalé Python 3.10 en mi PC, después del paso 10.

Luego ejecuté estos comandos.

mkdir lambda-receiver-layer

cd lambda-receiver-layer

mkdir python

pip install requests aws-lambda-powertools -t ./python

touch ./python/__init__.py

Como tuve problemas con urllib3

Aquí tienes pasos adicionales para que no obtengas ese error.

En tu directorio lambda-receiver-layer, crea este archivo requirements.txt

Añade la siguiente línea en este archivo requirements.txt:

urllib3<2

Luego ejecuta el siguiente comando:

pip install -r requirements.txt -t layer

Ahora se creará otra carpeta dentro del directorio lambda-receiver-layer llamada layer

Copia todo el contenido de layer a la carpeta python

Ahora, haz clic derecho en la carpeta Python y haz clic en ‘Comprimir en ZIP’, renombra este zip a lambda-receiver-layer

Ahora, regresa a la Consola de Administración de AWS, ve al servicio Lambda y navega a “Layers”. Haz clic en “Create Layer”, pon esto en el nombre lambda-receiver-layer y sube el archivo zip que creaste. En runtime añade Python 3.10 y luego haz clic en crear.

Ahora sigue desde el paso 12 de la publicación original.

Me estoy atascando en el paso 11, ¿dónde pego el código de Python?

Necesito ayuda urgente para solucionar mis rebotes SMTP en varios casos, he publicado un trabajo en Marketplace Fix AWS SNS Bounce

Estoy atascado en el punto 14, ¿alguien puede aclarar qué tengo que hacer?

Si alguien en 2025 se pregunta si la versión 2 todavía funciona, puedo confirmar que sí.\n\nAlgunos problemas que podrías encontrar:\n- Asegúrate de configurar los conjuntos de reglas en Configuración > Recepción de correo electrónico en la consola, no los conjuntos de reglas en Administrador de correo > Conjuntos de reglas. Las cosas del Administrador de correo cuestan mucho dinero, especialmente con esos puntos de conexión de entrada.\n- Necesitas un registro MX en tu DNS para recibir correos electrónicos de respuesta y enviarlos a AWS SES. Si ya tienes un registro MX para tu dominio raíz para cosas generales de correo electrónico (es decir, usar correos electrónicos de Google Workspace para cosas generales de negocios para una dirección como contact@example.com), querrás usar un subdominio para tus respuestas. En mi caso, creé un registro MX en reply.example.com para enviar las respuestas a inbound-smtp.<REGION>.amazonaws.com. Consulta esta documentación para más detalles.\n- Puedes usar CloudWatch para ver cómo funcionan las cosas. Si ves un error donde una cierta biblioteca/módulo no se carga, es probable que hayas configurado mal tu Capa Lambda o no la hayas conectado a la función. Comprueba que el archivo ZIP que subes tenga la estructura de directorios correcta que se parezca a python/lib/python3.10/site-packages/; consulta esta documentación. Recomiendo buscar tutoriales en línea sobre cómo crear una Capa Lambda.\n\nEl código todavía funciona con ARM64: solo necesitas configurar tu capa Lambda con la arquitectura correcta descargando las bibliotecas de Python basadas en ARM.\n\nCuando todo esté dicho y hecho, deberías ver los correos electrónicos recibidos en tus registros de administrador.