Eu acho que você está confuso. Você está se perguntando sobre a criptografia end-to-end do conteúdo de e-mail ou criptografar o transporte de seus e-mails para SES?
Se for o primeiro, você precisará procurar algo como PGP ou S / MIME. Qualquer um desses requer cooperação do remetente e do destinatário para facilitar a troca de chaves e subsequente criptografia / descriptografia das mensagens. O SES não se preocupa com isso - você pode enviar cargas criptografadas através do SES ou pode optar por não fazê-lo. Sua escolha.
Se for o último, tudo o que você precisa fazer é garantir que seu cliente ou biblioteca SMTP esteja configurado corretamente para usar STARTTLS. Não há necessidade de você comprar ou gerenciar certificados nesse caso, já que você é um cliente do serviço da Amazon - eles gerenciam os certificados. Lembre-se de que essa opção criptografa apenas um único salto SMTP - a Amazon ainda tem acesso à versão em texto não criptografado do email, como a qualquer outro servidor de email pelo qual possa passar. Além disso, um ou mais saltos ao longo do caminho do email da origem ao destino podem não suportar STARTTLS, caso em que o email está em trânsito na Internet pública não criptografada. Se isso lhe interessar, você precisará implementar PGP ou S / MIME.