¿Qué hago si mis correos electrónicos de Amazon SES no superan la validación de DMARC para la alineación de SPF o DKIM?
Los correos electrónicos que envío con Amazon Simple Email Service (Amazon SES) no superan la validación de la autenticación de mensajes, informes y conformidad basada en dominios (DMARC) para la alineación del marco de directivas de remitente (SPF) o la alineación de DomainKeys Identified Mail (DKIM). ¿Cómo puedo solucionarlo?
Breve descripción
DMARC es un protocolo de autenticación de correo electrónico que utiliza SPF y DKIM para detectar la suplantación de correo electrónico. Para cumplir con DMARC, sus mensajes deben autenticarse mediante SPF, DKIM, o ambos.
Para la validación de DMARC de la alineación de SPF o DKIM, los componentes clave del encabezado de un correo electrónico deben ser:
- Una dirección From, que se muestra al destinatario del mensaje
- Una dirección Mail From o Envelope From, que indica el origen del mensaje
- Un dominio d= en la firma DKIM
DMARC compara el dominio Mail From o Envelope From con el dominio From para comprobar la alineación de SPF. Se debe cumplir una de las siguientes alineaciones:
- Alineación estricta: El dominio Mail From o Envelope From es idéntico al dominio From.
- Alineación relajada: El dominio Mail From o Envelope From es un subdominio del dominio From.
DMARC compara el dominio d= en la firma DKIM con el dominio From para comprobar la alineación de DKIM. Se debe cumplir una de las siguientes alineaciones:
- Alineación estricta: El dominio d= es idéntico al dominio From.
- Alineación relajada: El dominio d= es un subdominio del dominio From.
Solución
Para superar la validación de DMARC, sus correos electrónicos deben cumplir la autenticación de SPF o DKIM.
Utilización de la alineación relajada para SPF o DKIM en un registro de DMARC
El uso de la alineación relajada para SPF o DKIM puede contribuir a que sus correos electrónicos superen la validación de DMARC.
Para determinar la alineación de DMARC de su dominio para SPF y DKIM, ejecute el siguiente comando:
nslookup -type=TXT _dmarc.example.com
El comando devuelve su registro de DMARC, como a continuación:
"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"
En el caso de SPF, si el registro no incluye una cadena aspf (como en el ejemplo anterior) o incluye la cadena aspf=r, el dominio utilizará la alineación relajada. Si el registro incluye la cadena aspf=s, el dominio utilizará la alineación estricta.
En el caso de DKIM, si el registro no incluye una cadena adkim o incluye la cadena adkim=r, el dominio utilizará la alineación relajada. Si el registro incluye la cadena adkim=s, el dominio utilizará la alineación estricta.
El administrador del sistema es el responsable de cambiar de la alineación estricta a la relajada.
Cumplimiento de DMARC mediante SPF
Para obtener su registro de SPF, ejecute el siguiente comando:
nslookup -type=TXT example.com
El comando devuelve el registro de SPF, como a continuación:
"v=spf1 include:amazonses.com ~all"
Para asegurarse de que sus mensajes cumplen con DMARC mediante SPF, compruebe lo siguiente:
1. Sus mensajes deben superar la verificación de SPF. Esto significa que el registro de SPF de su dominio debe incluir «include:amazonses.com», que autoriza a Amazon SES a enviar correos electrónicos en nombre de su dominio.
2. El dominio de la dirección From del encabezado del correo electrónico debe estar alineado con el dominio Mail From o Envelope From que el servidor de correo remitente especifica para el servidor de correo destinatario.
Cuando envía correos electrónicos con Amazon SES, el dominio Mail From o Envelope From es amazonses.com de forma predeterminada, mientras que el dominio From es el dominio que ha verificado. Estos valores no superan la alineación de SPF ni la validación de DMARC.
Para solucionar este problema, debe configurar un dominio MAIL FROM personalizado para que el valor de Mail From sea un subdominio de su dominio verificado. Por ejemplo, si su dominio verificado (el dominio From) es example.com, puede configurar el dominio Mail From personalizado para que sea mail.example.com. Estos valores superan la alineación de SPF y la validación de DMARC.
Nota: Con Amazon SES, puede añadir el registro de SPF como parte de su subdominio Mail From personalizado. Para obtener instrucciones, consulte Configuring the MAIL FROM domain.
Cumplimiento de DMARC mediante DKIM
Cuando utiliza Easy DKIM en Amazon SES, se le facilitan tres registros CNAME. Para comprobar los registros de DKIM correspondientes, ejecute el siguiente comando en cada uno de los CNAME:
nslookup -type=CNAME example1._domainkey.example.com
El comando devuelve el registro de DKIM:
example1.dkim.amazonses.com.
Para asegurarse de que sus mensajes cumplen con DMARC mediante DKIM, compruebe lo siguiente:
1. El mensaje debe tener una firma DKIM válida.
2. La dirección From del encabezado del correo electrónico debe estar alineada con el dominio d= de la firma DKIM.
Se recomienda configurar Easy DKIM, ya que esta característica le permite cumplir los dos requisitos de la validación DMARC mediante DKIM. También puede optar por firmar los correos electrónicos manualmente, pero Amazon SES no validará la firma DKIM que componga.
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años