¿Qué hago cuando mis correos electrónicos de Amazon SES no superan la validación de DMARC para la alineación de SPF o DKIM?

Descripción corta

Tanto para la alineación de SPF como para la de DKIM, debes cumplir con la alineación estricta o la alineación relajada.

Para comprobar la alineación del SPF, DMARC hace coincidir el dominio Mail From o Envelope From con el dominio From. La alineación estricta se produce cuando el dominio Mail From o Envelope From es el mismo que el dominio From. La alineación relajada se produce cuando el dominio Mail From o Envelope From es un subdominio del dominio From.

Para comprobar la alineación de DKIM, DMARC hace coincidir el dominio d= de la firma de DKIM con el dominio From. La alineación estricta se produce cuando el dominio d= es el mismo que el dominio From. La alineación relajada se produce cuando el dominio d= es un subdominio del dominio From.

Resolución

Utilización de la alineación relajada para SPF o DKIM en un registro de DMARC

Para ayudar a tus correos electrónicos a superar la validación de DMARC, utiliza una alineación relajada.

Para determinar la alineación de DMARC de tu dominio para SPF y DKIM, ejecuta el siguiente comando:

nslookup -type=TXT _dmarc.example.com

El comando devuelve tu registro de DMARC, como a continuación:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Para la autenticación SPF, si el registro no incluye una etiqueta aspf o incluye la cadena aspf=r, tu dominio utiliza una alineación relajada. El ejemplo anterior no incluye una etiqueta aspf, por lo que el dominio de ejemplo usa una alineación relajada. Si el registro incluye la cadena aspf=s, el dominio utiliza la alineación estricta.

En el caso de DKIM, si el registro no incluye una etiqueta adkim o incluye la cadena adkim=r, el dominio utiliza la alineación relajada. Si el registro incluye la cadena adkim=s, el dominio utiliza la alineación estricta.

Solo el administrador del sistema puede cambiar de la alineación estricta a la relajada.

Cumplimiento con DMARC mediante la autenticación SPF

Para asegurarte de que tus mensajes cumplen con DMARC mediante la autenticación SPF, comprueba las siguientes configuraciones:

• El registro SPF de tu dominio MAIL FROM debe contener include:amazonses.com.
• El dominio MAIL FROM que el servidor de correo remitente especifica para el servidor de correo receptor coincide con la dirección FROM del encabezado del correo electrónico.

Cuando utilizas Amazon SES para enviar correos electrónicos, el dominio MAIL FROM es un subdominio de amazonses.com de forma predeterminada. Tu dominio From es el dominio desde el que envías el correo electrónico. Si el dominio MAIL FROM no coincide con el dominio From, se produce un error en la alineación del SPF para la validación de DMARC.

Para resolver este problema, debes configurar un dominio MAIL FROM personalizado en la identidad verificada desde la que envías los correos electrónicos. Los dominios MAIL FROM personalizados son siempre subdominios del dominio principal. Por ejemplo, si tu dominio verificado (el dominio From) es ejemplo.com, puedes configurar el dominio MAIL FROM personalizado para que sea mail.example.com.

La autenticación SPF comprueba el dominio MAIL FROM, así que agrega el registro SPF a tu subdominio MAIL FROM personalizado en Amazon SES. Como los dominios MAIL FROM personalizados son subdominios, tus subdominios deben usar una política flexible para el SPF (aspr=r).

Cumplimiento con DMARC mediante la autenticación DKIM

Para asegurarte de que tus mensajes cumplen con DMARC mediante la autenticación DKIM, comprueba las siguientes configuraciones:

• El mensaje tiene una firma DKIM válida y pasa la comprobación DKIM.
• La dirección From del encabezado del correo electrónico coincide con el dominio d= de la firma DKIM.

Cuando utilizas Easy DKIM en Amazon SES, se te facilitan tres registros CNAME. Para comprobar sus registros de DKIM, ejecuta el siguiente comando en cada uno de los registros CNAME:

nslookup -type=CNAME example1._domainkey.example.com

Nota: Sustituye example1._domainkey.example.com por el nombre de tu registro CNAME.

El comando devuelve el registro de DKIM:

example1.dkim.amazonses.com.

Se recomienda utilizar Easy DKIM porque puedes cumplir ambos requisitos de validación de DMARC a través de DKIM. También puedes optar por firmar los correos electrónicos manualmente, pero Amazon SES no validará la firma DKIM.