AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Was mache ich, wenn meine Amazon SES E-Mails die DMARC-Validierung für den SPF- oder DKIM-Abgleich nicht bestehen?

Lesedauer: 4 Minute

Die E-Mails, die ich mit Amazon Simple Email Service (Amazon SES) versende, scheitern bei der Domain-basierten Message Authentication, Reporting and Conformance (DMARC)-Validierung für den Sender Policy Framework (SPF)-Abgleich oder den DomainKeys Identified Mail (DKIM)-Abgleich.

Kurzbeschreibung

Sowohl für die SPF- als auch für die DKIM-Ausrichtung musst du entweder den strikten Abgleich oder den lockere Abgleich einhalten.

Um den SPF-Abgleich zu überprüfen, gleicht DMARC die **Mail From **- oder Envelope From-Domain mit der From-Domain ab. Ein strikter Abgleich liegt vor, wenn die Mail From- oder Envelope From-Domain mit der From-Domain identisch ist. Ein lockerer Abgleich liegt vor, wenn die Mail From- oder Envelope From-Domain eine Subdomain der From-Domain ist.

Um den DKIM-Abgleich zu überprüfen, gleicht DMARC die d=-Domain in der DKIM-Signatur mit der From-Domain ab. Ein strikter Abgleich liegt vor, wenn die d=-Domain mit der From-Domain identisch ist. Ein lockerer Abgleich liegt vor, wenn die d=-Domain eine Subdomain der From-Domain ist.

Lösung

Verwenden eines lockeren Abgleichs für SPF oder DKIM im DMARC-Eintrag

Verwende einen lockeren Abgleich, damit die E-Mails die DMARC-Validierung bestehen.

Führe den folgenden Befehl aus, um den DMARC-Abgleich der Domain für SPF und DKIM zu ermitteln:

nslookup -type=TXT _dmarc.example.com

Der Befehl gibt den DMARC-Eintrag zurück, ähnlich dem folgenden:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Wenn der Datensatz für die SPF-Authentifizierung kein aspf-Tag oder die Zeichenfolge aspf=r enthält, verwendet die Domain einen lockeren Abgleich. Das vorherige Beispiel enthält kein aspf-Tag, daher verwendet die Beispiel-Domain einen lockeren Abgleich. Wenn der Eintrag die aspf=s-Zeichenfolge enthält, verwendet die Domain einen strikten Abgleich.

Wenn der Datensatz für DKIM keine adkim-Tag enthält oder die Zeichenfolge adkim=r enthält, verwendet die Domain einen lockeren Abgleich. Wenn der Datensatz die Zeichenfolge adkim=s enthält, verwendet die Domain einen lockeren Abgleich.

Nur der Systemadministrator kann vom strikten Abgleich zum lockeren Abgleich wechseln.

Einhaltung von DMARC durch SPF-Authentifizierung

Überprüfe die folgenden Konfigurationen, um sicherzustellen, dass die Nachrichten durch SPF-Authentifizierung DMARC-konform sind:

Der SPF-Eintrag der MAIL FROM-Domain muss include:amazonses.com enthalten.
Die MAIL FROM-Domain, die der sendende E-Mail-Server dem empfangenden Mailserver angibt, stimmt mit der FROM-Adresse im E-Mail-Header.

Wenn du Amazon SES zum Senden von E-Mails verwendest, ist die MAIL FROM-Domain standardmäßig eine Subdomain von amazonses.com. Die From-Domain ist die Domain, von der du die E-Mail sendest. Wenn die MAIL FROM-Domain nicht mit der From-Domain übereinstimmt, schlägt der SPF-Abgleich bei der DMARC-Validierung fehl.

Um dieses Problem zu beheben, musst du eine benutzerdefinierte MAIL FROM-Domain für die verifizierte Identität einrichten, von der aus du E-Mails sendest. Benutzerdefinierte MAIL FROM-Domains sind immer Subdomains der übergeordneten Domain. Wenn die verifizierte Domain (die From-Domain) beispielsweise example.com ist, kannst du die benutzerdefinierte MAIL FROM-Domain auf mail.example.com einrichten.

Die SPF-Authentifizierung überprüft die MAIL FROM-Domain. Füge daher den SPF-Eintrag zu der benutzerdefinierten MAIL FROM-Subdomain in Amazon SES hinzu. Da es sich bei benutzerdefinierten MAIL FROM-Domains um Subdomains handelt, müssen die Subdomains eine lockere SPF-Richtlinie verwenden (aspr=r).

Einhaltung von DMARC durch DKIM-Authentifizierung

Überprüfe die folgenden Konfigurationen, um sicherzustellen, dass die Nachrichten durch DKIM-Authentifizierung DMARC-konform sind:

Die Nachricht hat eine gültige DKIM-Signatur und besteht die DKIM-Prüfung.
Die From-Adresse im E-Mail-Header stimmt mit der d=-Domain in der DKIM-Signatur überein.

Wenn du Easy DKIM in Amazon SES verwendest, erhältst du drei CNAME-Einträge. Um die entsprechenden DKIM-Einträge zu überprüfen, führe den folgenden Befehl für jeden der CNAMEs aus:

nslookup -type=CNAME example1._domainkey.example.com

Hinweis: Ersetze **example1._domainkey.example.com ** mit dem Namen des CNAME-Eintrags.

Der Befehl gibt den DKIM-Eintrag zurück:

example1.dkim.amazonses.com.

Es ist eine bewährte Methode, Easy DKIM zu verwenden, da du beide DMARC-Validierungsanforderungen über DKIM erfüllen kannst. Du kannst die E-Mails manuell signieren, aber Amazon SES validiert die DKIM-Signatur nicht.

Themen: Front-End Web & Mobile Business Applications
Tags: Amazon Simple Email Service
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 8 Monaten

Relevanter Inhalt

Ich habe erfolgreich einen SPF-Datensatz in Route 53 erstellt, der jedoch nicht von anderen E-Mail-Anbietern erkannt wird. Wie kann ich das beheben?
AWS OFFICIALAktualisiert vor 3 Jahren
Warum schlagen die E-Mails, die ich mit Amazon SES verschicke, mit der Fehlermeldung „E-Mail gemäß DMARC-Richtlinie abgelehnt“ fehl?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie migriere ich meine E-Mail-Plattform zu Amazon SES?
AWS OFFICIALAktualisiert vor 3 Monaten
Wie kann ich die vollständigen E-Mail-Header anzeigen, die zwischen Amazon SES und den E-Mail-Clients ausgetauscht wurden?
AWS OFFICIALAktualisiert vor 6 Monaten