O que eu faço se meus e-mails do Amazon SES falham na validação do DMARC para alinhamento SPF ou alinhamento DKIM?

5 minuto de leitura

Os e-mails que envio usando o Amazon Simple Email Service (Amazon SES) estão falhando na validação do Domain-based Message Authentication, Reporting and Conformance (DMARC) para o alinhamento do Sender Policy Framework (SPF) ou do DomainKeys Identified Mail (DKIM). Como corrijo isso?

Breve descrição

O DMARC é um protocolo de autenticação de e-mail que usa SPF e DKIM para detectar remetentes falsos. Para cumprir com o DMARC, suas mensagens devem ser autenticadas por meio de SPF ou DKIM, ou ambos.

Para a validação DMARC do alinhamento SPF ou do alinhamento DKIM, os principais componentes do cabeçalho de um e-mail são:

Um endereço De exibido para o destinatário da mensagem
Um endereço Enviado de ou Envelope de indicando a origem da mensagem
Um domínio d= na assinatura DKIM

O DMARC verifica o alinhamento SPF combinando o domínio Enviado de ou ** Envelope de** com o domínio De. Um dos seguintes alinhamentos deve ser atendido:

Alinhamento rigoroso: o domínio Enviado de ou Envelope de é igual ao domínio De.
Alinhamento relaxado: o domínio Enviado de ou Envelope de é um subdomínio do domínio De.

O DMARC verifica o alinhamento do DKIM combinando o domínio d= na assinatura DKIM e o domínio De. Um dos seguintes alinhamentos deve ser atendido:

Alinhamento rigoroso: o domínio d= é o mesmo que o domínio De.
Alinhamento relaxado: o domínio d= é um subdomínio do domínio De.

Resolução

Para passar pela validação do DMARC, seus e-mails devem estar em conformidade com a autenticação SPF ou a autenticação DKIM.

Usar alinhamento relaxado para SPF ou DKIM em seu registro DMARC

Usar um alinhamento relaxado para SPF ou DKIM pode ajudar seus e-mails a passarem pela validação do DMARC.

Para determinar o alinhamento DMARC do seu domínio para SPF e DKIM, execute o seguinte comando:

nslookup -type=TXT _dmarc.example.com

O comando retorna seu registro DMARC, semelhante ao seguinte:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Para SPF, se o registro não incluir uma string aspf (como no exemplo anterior) ou se o registro incluir a string aspf=r, seu domínio usará um alinhamento relaxado. Se o registro incluir a string aspf=s, seu domínio usará um alinhamento rigoroso.

Para DKIM, se o registro não incluir uma string adkim, ou se o registro incluir a string adkim=r, seu domínio usará um alinhamento relaxado. Se o registro incluir a string adkim=s, seu domínio usará um alinhamento rigoroso.

A mudança do alinhamento rigoroso para o alinhamento relaxado deve ser feita pelo administrador do sistema.

Cumprir com o DMARC através do SPF

Para obter seu registro SPF, execute o seguinte comando:

nslookup -type=TXT example.com

O comando retorna seu registro SPF, semelhante ao seguinte:

"v=spf1 include:amazonses.com ~all"

Para ter certeza de que suas mensagens estão em conformidade com o DMARC por meio do SPF, verifique o seguinte:

1.Suas mensagens devem passar pela verificação SPF. Isso significa que o registro SPF do seu domínio deve ter “include:amazon”, que autoriza o Amazon SES a enviar e-mails em nome do seu domínio.

2.O domínio no endereço De no cabeçalho do e-mail deve estar alinhado com o domínio Enviado de ou Envelope de que o servidor de envio de e-mail especifica para o servidor de e-mail receptor.

Quando você envia e-mails usando o Amazon SES, o domínio Enviado de ou Envelope de é amazon.com por padrão, e seu domínio De é o domínio que você verificou. Esses valores falham no alinhamento SPF e na validação do DMARC.

Para resolver isso, você deve configurar um domínio ENVIADO DE personalizado para que o valor Enviado de seja um subdomínio do seu domínio verificado. Por exemplo, se seu domínio verificado (o domínio De) for example.com, você poderá configurar o domínio personalizado Enviado de como mail.example.com. Esses valores passam pelo alinhamento SPF e pela validação do DMARC.

Observação: com o Amazon SES, você adiciona o registro SPF como parte do seu subdomínio Enviado de personalizado. Para obter instruções, consulte Configurando o domínio ENVIADO DE.

Cumprir com o DMARC através do DKIM

Ao usar o Easy DKIM no Amazon SES, você recebe três registros CNAME. Para verificar os respectivos registros DKIM, execute o seguinte comando em cada um dos CNAMEs:

nslookup -type=CNAME example1._domainkey.example.com

O comando retorna o registro DKIM:

example1.dkim.amazonses.com.

Para ter certeza de que suas mensagens estão em conformidade com o DMARC por meio do DKIM, verifique o seguinte:

1.A mensagem deve ter uma assinatura DKIM válida.

2.O endereço De no cabeçalho do e-mail deve estar alinhado com o domínio d= da assinatura DKIM.

É uma prática recomendada configurar o Easy DKIM, porque esse recurso permite que você atenda aos dois requisitos de validação do DMARC por meio do DKIM. Você também pode optar por assinar manualmente seus e-mails, mas o Amazon SES não valida a assinatura DKIM construída.

Tópicos

Web e dispositivos móveis front-end Aplicativos de negócios

Conteúdo relevante

Por que meus e-mails enviados usando o Amazon SES não chegam ao destino?
AWS OFICIALAtualizada há um ano
Por que os e-mails que eu envio usando o Amazon SES estão falhando com a mensagem de erro "Email rejected per DMARC policy" (E-mail rejeitado de acordo com a política do DMARC)?
AWS OFICIALAtualizada há 2 anos
Como eu crio credenciais SMTP para usar com o Amazon SES? Como fazer a autenticação no Amazon SES usando credenciais SMTP?
AWS OFICIALAtualizada há 2 anos
Como faço para migrar da minha solução de envio de e-mail para o Amazon SES?
AWS OFICIALAtualizada há 2 anos