Was mache ich, wenn meine Amazon SES E-Mails die DMARC-Validierung für den SPF- oder DKIM-Abgleich nicht bestehen?

Lesedauer: 4 Minute

Die E-Mails, die ich mit Amazon Simple Email Service (Amazon SES) versende, scheitern bei der Domain-basierten Message Authentication, Reporting and Conformance (DMARC)-Validierung für den Sender Policy Framework (SPF)-Abgleich oder den DomainKeys Identified Mail (DKIM)-Abgleich. Wie kann ich das beheben?

Kurzbeschreibung

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das SPF und DKIM verwendet, um E-Mail-Spoofing zu erkennen. Um DMARC-konform zu sein, müssen Ihre Nachrichten entweder über SPF oder DKIM oder über beide authentifiziert werden.

Für die DMARC-Validierung des SPF- oder DKIM-Abgleichs sind die wichtigsten Komponenten in einem E-Mail-Header:

Eine From -Adresse, die dem Nachrichtenempfänger angezeigt wird
Eine Mail From- oder Envelope From -Adresse, die angibt, woher die Nachricht stammt
Eine d= -Domain in der DKIM-Signatur

DMARC überprüft den SPF-Abgleich, indem es die Mail From- oder Envelope From -Domain mit der From Domain abgleicht. Einer der folgenden Abgleiche muss erfüllt sein:

Strikter Abgleich: Die Mail From oder Envelope From -Domain ist mit der Domain From identisch.
Lockerer Abhleich: Die Mail From oder Envelope From -Domain ist eine Subdomain der Domain From.

DMARC überprüft den DKIM-Abgleich, indem es die d= Domain in der DKIM-Signatur und die Domain From abgleicht. Einer der folgenden Abgleiche muss erfüllt sein:

**Strikter Abgleich:**Die d= -Domain ist dieselbe wie die From-Domain.
**Lockerer Abhleich:**Die d= -Domain ist eine Subdomain der From-Domain.

Behebung

Um die DMARC-Validierung zu bestehen, müssen Ihre E-Mails entweder der SPF-Authentifizierung oder der DKIM-Authentifizierung entsprechen.

Verwenden eines lockeren Abgleichs für SPF oder DKIM in Ihrem DMARC-Eintrag

Die Verwendung eines lockeren Abgleichs für SPF oder DKIM kann dazu beitragen, dass Ihre E-Mails die DMARC-Validierung bestehen.

Führen Sie den folgenden Befehl aus, um den DMARC-Abgleich Ihrer Domain für SPF und DKIM zu ermitteln:

nslookup -type=TXT _dmarc.example.com

Der Befehl gibt Ihren DMARC-Eintrag zurück, ähnlich dem folgenden:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Wenn der Datensatz für SPF keine aspf-Zeichenfolge enthält (wie im vorherigen Beispiel) oder der Datensatz die Zeichenfolge aspf=r enthält, verwendet Ihre Domain einen lockeren Abgleich. Wenn der Eintrag die Zeichenfolge aspf=s enthält, verwendet Ihre Domain einen strikten Abgleich.

Wenn der Datensatz für DKIM keine adkim-Zeichenfolge enthält oder der Datensatz die Zeichenfolge adkim=r enthält, verwendet Ihre Domain einen lockeren Abgleich. Wenn der Datensatz die Zeichenfolge adkim=s enthält, verwendet Ihre Domain einen lockeren Abgleich.

Der Wechsel vom strikten Abgleich zum lockeren Abgleich von Ihrem Systemadministrator vorgenommen werden.

Einhaltung von DMARC über SPF

Führen Sie den folgenden Befehl aus, um Ihren SPF-Eintrag abzurufen:

nslookup -type=TXT example.com

Der Befehl gibt Ihren SPF-Eintrag zurück, ähnlich dem folgenden:

"v=spf1 include:amazonses.com ~all"

Um sicherzustellen, dass Ihre Nachrichten mit DMARC über SPF konform sind, überprüfen Sie Folgendes:

1. Ihre Nachrichten müssen die SPF-Prüfung bestehen. Das bedeutet, dass der SPF-Eintrag Ihrer Domain „include:amazonses.com“ enthalten muss, was Amazon SES autorisiert, E-Mails im Namen Ihrer Domain zu versenden.

2. Die Domäne in der From -Adresse des E-Mail-Headers muss mit der Domain Mail From oder Envelope From übereinstimmen, die der sendende E-Mail-Server dem empfangenden E-Mail-Server angibt.

Wenn Sie E-Mails mit Amazon SES versenden, lautet die Domain Mail From oder Envelope From standardmäßig amazonses.com, und Ihre From -Domain ist die Domain, die Sie verifiziert haben. Diese Werte scheitern am SPF-Abgleich und der DMARC-Validierung.

Um dieses Problem zu lösen, müssen Sie eine benutzerdefinierte MAIL FROM-Domain einrichten, sodass der Wert Mail From eine Subdomain Ihrer verifizierten Domain ist. Wenn Ihre verifizierte Domain (die From -Domain) beispielsweise example.com ist, können Sie die benutzerdefinierte Mail From -Domain auf mail.example.com einrichten. Diese Werte bestehen den SPF-Abgleich und die DMARC-Validierung.

**Hinweis:**Bei Amazon SES fügen Sie den SPF-Eintrag als Teil Ihrer benutzerdefinierten Mail From -Subdomain hinzu. Eine Anleitung finden Sie unter Konfiguration der MAIL FROM-Domain.

Einhaltung von DMARC über DKIM

Wenn Sie Easy DKIM in Amazon SES verwenden, erhalten Sie drei CNAME-Einträge. Um die entsprechenden DKIM-Einträge zu überprüfen, führen Sie den folgenden Befehl für jeden der CNAMEs aus:

nslookup -type=CNAME example1._domainkey.example.com

Der Befehl gibt den DKIM-Eintrag zurück:

example1.dkim.amazonses.com.

Um sicherzustellen, dass Ihre Nachrichten über DKIM mit DMARC kompatibel sind, überprüfen Sie Folgendes:

1. Die Nachricht muss eine gültige DKIM-Signatur haben.

2. Die From -Adresse im E-Mail-Header muss mit der d= -Domain in der DKIM-Signatur übereinstimmen.

Es ist eine bewährte Methode, Easy DKIM einzurichten, da Sie mit dieser Funktion beide DMARC-Validierungsanforderungen über DKIM erfüllen können. Sie können Ihre E-Mails manuell signieren, aber Amazon SES validiert die von Ihnen erstellte DKIM-Signatur nicht.

Themen

Frontend-Web & Mobile Geschäftsanwendungen

Relevanter Inhalt

Was mache ich, wenn ich beim Ausfüllen des Einmalpasscodes für die Anmeldung bei meinem AWS-Konto eine Fehlermeldung erhalte?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie kann ich meine Zugangsschlüssel für einen bestehenden Amazon SES SMTP IAM-Benutzer rotieren?
AWS OFFICIALAktualisiert vor 2 Jahren
Was mache ich, wenn die Steuer, die mir für AWS-Services berechnet wird, falsch ist?
AWS OFFICIALAktualisiert vor 2 Jahren
Was kann ich tun, wenn meine Domain in Amazon SES im Status „Überprüfung ausstehend“ oder im Bestätigungsstatus „nicht bestätigt“ feststeckt?
AWS OFFICIALAktualisiert vor 2 Jahren