Que faire si mes e-mails Amazon SES ne sont pas conformes à la validation DMARC pour l'alignement SPF ou DKIM ?

Date de la dernière mise à jour : 24/04/2020

Les e-mails que j'envoie à l'aide d'Amazon Simple Email Service (Amazon SES) ne sont pas conformes à la validation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour l'alignement SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail). Comment puis-je résoudre ce problème ?

Brève description

DMARC est un protocole d'authentification d'e-mail qui utilise SPF et DKIM pour détecter les usurpations de messagerie. Pour se conformer à DMARC, vos messages doivent être authentifiés via SPF ou DKIM, ou les deux.

Pour la validation DMARC de l'alignement SPF ou DKIM, les composants clés d'un en-tête d'e-mail sont les suivants :

  • Une adresse From affichée pour le destinataire du message
  • Une adresse Mail From ou Envelope From qui indique d'où provient le message
  • Un domaine d= dans la signature DKIM

DMARC vérifie l'alignement SPF en mettant en correspondance le domaineMail From ou Envelope From avec le domaine From. L'un des alignements suivants doit être respecté :

  • Alignement strict : le domaine Mail From ou Envelope From est le même que le domaine From.
  • Alignement souple : le domaine Mail From ou Envelope From est un sous-domaine du domaine From.

DMARC vérifie l'alignement DKIM en faisant correspondre le domaine d= dans la signature DKIM et le domaine From. L'un des alignements suivants doit être respecté :

  • Alignement strict : le domaine d= est le même que le domaine From.
  • Alignement souple : le domaine d= est un sous-domaine du domaine From.

Solution

Pour réussir la validation DMARC, vos e-mails doivent être conformes à l'authentification SPF ou à l'authentification DKIM.

Utilisez un alignement souple pour SPF ou DKIM dans votre enregistrement DMARC

L'utilisation d'un alignement souple pour SPF ou DKIM peut aider vos e-mails à réussir la validation DMARC.

Pour déterminer l'alignement DMARC de votre domaine pour SPF et DKIM, exécutez la commande suivante :

nslookup -type=TXT _dmarc.example.com

La commande renvoie votre enregistrement DMARC, comme suit :

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Pour SPF, si l'enregistrement n'inclut pas de chaîne aspf (comme dans l'exemple précédent) ou si l'enregistrement inclut la chaîne aspf=r, votre domaine utilise un alignement souple. Si l'enregistrement inclut la chaîne aspf=s, votre domaine utilise un alignement strict.

Pour DKIM, si l'enregistrement n'inclut pas de chaîne adkim ou si l'enregistrement inclut la chaîne adkim=r, votre domaine utilise un alignement souple. Si l'enregistrement inclut la chaîne adkim=s, votre domaine utilise un alignement strict.

Le passage d'un alignement strict à un alignement souple doit être effectué par votre administrateur système.

Conformité à DMARC via SPF

Pour obtenir votre enregistrement SPF, exécutez la commande suivante :

nslookup -type=TXT example.com

La commande renvoie votre enregistrement SPF, comme suit :

"v=spf1 include:amazonses.com ~all"

Pour vous assurer que vos messages sont conformes à DMARC via SPF, vérifiez les points suivants :

1.    Vos messages doivent réussir le contrôle SPF. Cela signifie que l'enregistrement SPF de votre domaine doit comporter « include:amazonses.com », ce qui autorise Amazon SES à envoyer des e-mails au nom de votre domaine.

2.    Le domaine de l'adresse From de l'en-tête d'e-mail doit être aligné sur celui du domaine Mail From ou Envelope From que le serveur de messagerie d'envoi spécifie au serveur de messagerie de réception.

Lorsque vous envoyez des e-mails à l'aide d'Amazon SES, le domaine Mail From ou Envelope From est amazonses.com par défaut, et votre domaine From est le domaine que vous avez vérifié. Ces valeurs ne sont pas conformes à l'alignement SPF et à la validation DMARC.

Pour résoudre ce problème, vous devez configurer un domaine Mail From personnalisé afin que la valeur Mail From soit un sous-domaine de votre domaine vérifié. Par exemple, si votre domaine vérifié (le domaine From) est example.com, vous pouvez configurer le domaine Mail From personnalisé pour qu'il soit mail.example.com. Ces valeurs réussissent l'alignement SPF et la validation DMARC.

Conformité à DMARC via DKIM

Lorsque vous utilisez Easy DKIM dans Amazon SES, vous disposez de trois enregistrements CNAME. Pour vérifier les enregistrements DKIM respectifs, exécutez la commande suivante sur chacun des enregistrements CNAME :

nslookup -type=CNAME example1._domainkey.example.com

La commande renvoie l'enregistrement DKIM :

example1.dkim.amazonses.com.

Pour vous assurer que vos messages sont conformes à DMARC via DKIM, vérifiez les points suivants :

1.    Le message doit avoir une signature DKIM valide.

2.    L'adresse From de l'en-tête de l'e-mail doit être alignée avec le domaine d= dans la signature DKIM.

Il est recommandé de configurer Easy DKIM, car cette fonctionnalité vous permet de respecter les deux exigences de validation DMARC via DKIM. Vous pouvez également choisir de signer manuellement vos e-mails, mais Amazon SES ne valide pas la signature DKIM que vous construisez.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?