Os e-mails que envio usando o Amazon Simple Email Service (Amazon SES) estão falhando na validação do Domain-based Message Authentication, Reporting and Conformance (DMARC) para o alinhamento do Sender Policy Framework (SPF) ou do DomainKeys Identified Mail (DKIM). Como corrijo isso?
Breve descrição
O DMARC é um protocolo de autenticação de e-mail que usa SPF e DKIM para detectar remetentes falsos. Para cumprir com o DMARC, suas mensagens devem ser autenticadas por meio de SPF ou DKIM, ou ambos.
Para a validação DMARC do alinhamento SPF ou do alinhamento DKIM, os principais componentes do cabeçalho de um e-mail são:
- Um endereço De exibido para o destinatário da mensagem
- Um endereço Enviado de ou Envelope de indicando a origem da mensagem
- Um domínio d= na assinatura DKIM
O DMARC verifica o alinhamento SPF combinando o domínio Enviado de ou ** Envelope de** com o domínio De. Um dos seguintes alinhamentos deve ser atendido:
- Alinhamento rigoroso: o domínio Enviado de ou Envelope de é igual ao domínio De.
- Alinhamento relaxado: o domínio Enviado de ou Envelope de é um subdomínio do domínio De.
O DMARC verifica o alinhamento do DKIM combinando o domínio d= na assinatura DKIM e o domínio De. Um dos seguintes alinhamentos deve ser atendido:
- Alinhamento rigoroso: o domínio d= é o mesmo que o domínio De.
- Alinhamento relaxado: o domínio d= é um subdomínio do domínio De.
Resolução
Para passar pela validação do DMARC, seus e-mails devem estar em conformidade com a autenticação SPF ou a autenticação DKIM.
Usar alinhamento relaxado para SPF ou DKIM em seu registro DMARC
Usar um alinhamento relaxado para SPF ou DKIM pode ajudar seus e-mails a passarem pela validação do DMARC.
Para determinar o alinhamento DMARC do seu domínio para SPF e DKIM, execute o seguinte comando:
nslookup -type=TXT _dmarc.example.com
O comando retorna seu registro DMARC, semelhante ao seguinte:
"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"
Para SPF, se o registro não incluir uma string aspf (como no exemplo anterior) ou se o registro incluir a string aspf=r, seu domínio usará um alinhamento relaxado. Se o registro incluir a string aspf=s, seu domínio usará um alinhamento rigoroso.
Para DKIM, se o registro não incluir uma string adkim, ou se o registro incluir a string adkim=r, seu domínio usará um alinhamento relaxado. Se o registro incluir a string adkim=s, seu domínio usará um alinhamento rigoroso.
A mudança do alinhamento rigoroso para o alinhamento relaxado deve ser feita pelo administrador do sistema.
Cumprir com o DMARC através do SPF
Para obter seu registro SPF, execute o seguinte comando:
nslookup -type=TXT example.com
O comando retorna seu registro SPF, semelhante ao seguinte:
"v=spf1 include:amazonses.com ~all"
Para ter certeza de que suas mensagens estão em conformidade com o DMARC por meio do SPF, verifique o seguinte:
1.Suas mensagens devem passar pela verificação SPF. Isso significa que o registro SPF do seu domínio deve ter “include:amazon”, que autoriza o Amazon SES a enviar e-mails em nome do seu domínio.
2.O domínio no endereço De no cabeçalho do e-mail deve estar alinhado com o domínio Enviado de ou Envelope de que o servidor de envio de e-mail especifica para o servidor de e-mail receptor.
Quando você envia e-mails usando o Amazon SES, o domínio Enviado de ou Envelope de é amazon.com por padrão, e seu domínio De é o domínio que você verificou. Esses valores falham no alinhamento SPF e na validação do DMARC.
Para resolver isso, você deve configurar um domínio ENVIADO DE personalizado para que o valor Enviado de seja um subdomínio do seu domínio verificado. Por exemplo, se seu domínio verificado (o domínio De) for example.com, você poderá configurar o domínio personalizado Enviado de como mail.example.com. Esses valores passam pelo alinhamento SPF e pela validação do DMARC.
Observação: com o Amazon SES, você adiciona o registro SPF como parte do seu subdomínio Enviado de personalizado. Para obter instruções, consulte Configurando o domínio ENVIADO DE.
Cumprir com o DMARC através do DKIM
Ao usar o Easy DKIM no Amazon SES, você recebe três registros CNAME. Para verificar os respectivos registros DKIM, execute o seguinte comando em cada um dos CNAMEs:
nslookup -type=CNAME example1._domainkey.example.com
O comando retorna o registro DKIM:
example1.dkim.amazonses.com.
Para ter certeza de que suas mensagens estão em conformidade com o DMARC por meio do DKIM, verifique o seguinte:
1.A mensagem deve ter uma assinatura DKIM válida.
2.O endereço De no cabeçalho do e-mail deve estar alinhado com o domínio d= da assinatura DKIM.
É uma prática recomendada configurar o Easy DKIM, porque esse recurso permite que você atenda aos dois requisitos de validação do DMARC por meio do DKIM. Você também pode optar por assinar manualmente seus e-mails, mas o Amazon SES não valida a assinatura DKIM construída.