En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Que dois-je faire si mes e-mails Amazon SES échouent à la validation DMARC à cause d’une mauvaise correspondance SPF ou DKIM ?

Lecture de 5 minute(s)
0

Les e-mails que j’envoie par Amazon Simple Email Service (Amazon SES) échouent à la validation DMARC (Domain-based Message Authentication, Reporting and Conformance) à cause d’une mauvaise correspondance au Sender Policy Framework (SPF) ou au DomainKeys Identified Mail (DKIM). Comment résoudre ce problème ?

Brève description

DMARC est un protocole d’authentification des e-mails qui s’appuie sur SPF et DKIM pour détecter l’usurpation d’adresse e-mail. Pour être conformes à DMARC, vos messages doivent être authentifiés par SPF, DKIM, ou les deux.

Voici les en-têtes d’e-mail nécessaires à la validation DMARC de la correspondance SPF ou DKIM :

  • Une adresse d’expédition visible pour le destinataire du message
  • Une adresse Mail From ou Envelope From qui indique la provenance du message
  • Un domaine d= dans la signature DKIM

DMARC vérifie la conformité SPF en comparant le domaine Mail From ou Envelope From au domaine d’expédition. L’une des correspondances suivantes doit être respectée :

  • Correspondance exacte : Le domaine Mail From ou Envelope From est le même que le domaine d’expédition.
  • Correspondance partielle : Le domaine Mail From ou Envelope From est un sous-domaine du domaine d’expédition.

DMARC vérifie la correspondance DKIM en comparant le domaine d= dans la signature DKIM et le domaine d’expédition. L’une des correspondances suivantes doit être respectée :

  • Correspondance exacte : Le domaine d= est le même que le domaine d’expédition.
  • Correspondance partielle : Le domaine d= est un sous-domaine du domaine d’expédition.

Résolution

Pour réussir la validation DMARC, les e-mails doivent être conformes à l’authentification SPF ou DKIM.

Utilisation d’une correspondance partielle pour l’authentification SPF ou DKIM dans l’enregistrement DMARC

L’utilisation d’une correspondance partielle pour l’authentification SPF ou DKIM peut faciliter la validation DMARC de vos e-mails.

Pour déterminer la correspondance DMARC de votre domaine pour SPF et DKIM, exécutez la commande suivante :

nslookup -type=TXT _dmarc.example.com

La commande renvoie un enregistrement DMARC semblable à ce qui suit :

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Pour SPF, si l’enregistrement ne contient pas de chaîne aspf (comme dans l’exemple précédent), ou s’il contient la chaîne aspf=r, votre domaine utilise une correspondance partielle. Si l’enregistrement contient la chaîne aspf=s, votre domaine utilise une correspondance exacte.

Pour DKIM, si l’enregistrement ne contient pas de chaîne adkim, ou s’il contient la chaîne adkim=r, votre domaine utilise une correspondance partielle. Si l’enregistrement contient la chaîne adkim=s, votre domaine utilise une correspondance exacte.

Le passage d’une correspondance exacte à une correspondance partielle doit être effectué par votre administrateur système.

Conformité à DMARC via SPF

Pour obtenir l’enregistrement SPF, exécutez la commande suivante :

nslookup -type=TXT example.com

La commande renvoie l’enregistrement SPF semblable à ce qui suit :

"v=spf1 include:amazonses.com ~all"

Pour vérifier que vos messages sont conformes à DMARC via SPF, vérifiez les points suivants :

1.    Vos messages doivent être validés via SPF. Cela signifie que l’enregistrement SPF de votre domaine doit contenir la mention « include:amazonses.com », qui autorise Amazon SES à envoyer des e-mails au nom de votre domaine.

2.    Le domaine indiqué dans l’adresse d’expédition de l’en-tête de l’e-mail doit correspondre au domaine Mail From ou Envelope From que le serveur de messagerie expéditeur indique au serveur de messagerie récepteur.

Lorsque vous envoyez des e-mails à l’aide d’Amazon SES, le domaine Mail From ou Envelope From est amazonses.com par défaut, tandis que le domaine d’expédition est le domaine que vous avez vérifié. La correspondance SPF et la validation DMARC rejettent ces valeurs.

Pour résoudre ce problème, vous devez configurer un domaine MAIL FROM personnalisé afin que la valeur Mail From soit un sous-domaine du domaine vérifié. Par exemple, si le domaine vérifié (le domaine d’expédition) est example.com, vous pouvez configurer le domaine Mail From personnalisé afin qu’il soit mail.example.com. La correspondance SPF et la validation DMARC acceptent ces valeurs.

Remarque : avec Amazon SES, vous ajoutez l’enregistrement SPF dans le cadre de votre sous-domaine Mail From personnalisé. Pour obtenir des instructions, consultez Configuration du domaine MAIL FROM.

Conformité à DMARC via DKIM

Lorsque vous utilisez Easy DKIM dans Amazon SES, vous obtenez trois enregistrements CNAME. Pour vérifier les enregistrements DKIM respectifs, exécutez la commande suivante sur chacun des CNAME :

nslookup -type=CNAME example1._domainkey.example.com

La commande renvoie l’enregistrement DKIM :

example1.dkim.amazonses.com.

Pour vérifier la conformité des messages à DMARC via DKIM, vérifiez les points suivants :

1.    Le message doit comporter une signature DKIM valide.

2.    L’adresse d’expédition figurant dans l’en-tête de l’e-mail doit correspondre au domaine d= de la signature DKIM.

Il est recommandé de configurer Easy DKIM, car cette fonctionnalité vous permet de répondre aux deux exigences de validation DMARC via DKIM. Vous pouvez également choisir de signer manuellement vos e-mails, mais Amazon SES ne valide pas la signature DKIM que vous créez.

Sujets
Web et mobile front-endApplications commerciales
Balises
Amazon Simple Email Service
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans
Aucun commentaire

Contenus pertinents