Les e-mails que j’envoie par Amazon Simple Email Service (Amazon SES) échouent à la validation DMARC (Domain-based Message Authentication, Reporting and Conformance) à cause d’une mauvaise correspondance au Sender Policy Framework (SPF) ou au DomainKeys Identified Mail (DKIM). Comment résoudre ce problème ?
Brève description
DMARC est un protocole d’authentification des e-mails qui s’appuie sur SPF et DKIM pour détecter l’usurpation d’adresse e-mail. Pour être conformes à DMARC, vos messages doivent être authentifiés par SPF, DKIM, ou les deux.
Voici les en-têtes d’e-mail nécessaires à la validation DMARC de la correspondance SPF ou DKIM :
- Une adresse d’expédition visible pour le destinataire du message
- Une adresse Mail From ou Envelope From qui indique la provenance du message
- Un domaine d= dans la signature DKIM
DMARC vérifie la conformité SPF en comparant le domaine Mail From ou Envelope From au domaine d’expédition. L’une des correspondances suivantes doit être respectée :
- Correspondance exacte : Le domaine Mail From ou Envelope From est le même que le domaine d’expédition.
- Correspondance partielle : Le domaine Mail From ou Envelope From est un sous-domaine du domaine d’expédition.
DMARC vérifie la correspondance DKIM en comparant le domaine d= dans la signature DKIM et le domaine d’expédition. L’une des correspondances suivantes doit être respectée :
- Correspondance exacte : Le domaine d= est le même que le domaine d’expédition.
- Correspondance partielle : Le domaine d= est un sous-domaine du domaine d’expédition.
Résolution
Pour réussir la validation DMARC, les e-mails doivent être conformes à l’authentification SPF ou DKIM.
Utilisation d’une correspondance partielle pour l’authentification SPF ou DKIM dans l’enregistrement DMARC
L’utilisation d’une correspondance partielle pour l’authentification SPF ou DKIM peut faciliter la validation DMARC de vos e-mails.
Pour déterminer la correspondance DMARC de votre domaine pour SPF et DKIM, exécutez la commande suivante :
nslookup -type=TXT _dmarc.example.com
La commande renvoie un enregistrement DMARC semblable à ce qui suit :
"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"
Pour SPF, si l’enregistrement ne contient pas de chaîne aspf (comme dans l’exemple précédent), ou s’il contient la chaîne aspf=r, votre domaine utilise une correspondance partielle. Si l’enregistrement contient la chaîne aspf=s, votre domaine utilise une correspondance exacte.
Pour DKIM, si l’enregistrement ne contient pas de chaîne adkim, ou s’il contient la chaîne adkim=r, votre domaine utilise une correspondance partielle. Si l’enregistrement contient la chaîne adkim=s, votre domaine utilise une correspondance exacte.
Le passage d’une correspondance exacte à une correspondance partielle doit être effectué par votre administrateur système.
Conformité à DMARC via SPF
Pour obtenir l’enregistrement SPF, exécutez la commande suivante :
nslookup -type=TXT example.com
La commande renvoie l’enregistrement SPF semblable à ce qui suit :
"v=spf1 include:amazonses.com ~all"
Pour vérifier que vos messages sont conformes à DMARC via SPF, vérifiez les points suivants :
1. Vos messages doivent être validés via SPF. Cela signifie que l’enregistrement SPF de votre domaine doit contenir la mention « include:amazonses.com », qui autorise Amazon SES à envoyer des e-mails au nom de votre domaine.
2. Le domaine indiqué dans l’adresse d’expédition de l’en-tête de l’e-mail doit correspondre au domaine Mail From ou Envelope From que le serveur de messagerie expéditeur indique au serveur de messagerie récepteur.
Lorsque vous envoyez des e-mails à l’aide d’Amazon SES, le domaine Mail From ou Envelope From est amazonses.com par défaut, tandis que le domaine d’expédition est le domaine que vous avez vérifié. La correspondance SPF et la validation DMARC rejettent ces valeurs.
Pour résoudre ce problème, vous devez configurer un domaine MAIL FROM personnalisé afin que la valeur Mail From soit un sous-domaine du domaine vérifié. Par exemple, si le domaine vérifié (le domaine d’expédition) est example.com, vous pouvez configurer le domaine Mail From personnalisé afin qu’il soit mail.example.com. La correspondance SPF et la validation DMARC acceptent ces valeurs.
Remarque : avec Amazon SES, vous ajoutez l’enregistrement SPF dans le cadre de votre sous-domaine Mail From personnalisé. Pour obtenir des instructions, consultez Configuration du domaine MAIL FROM.
Conformité à DMARC via DKIM
Lorsque vous utilisez Easy DKIM dans Amazon SES, vous obtenez trois enregistrements CNAME. Pour vérifier les enregistrements DKIM respectifs, exécutez la commande suivante sur chacun des CNAME :
nslookup -type=CNAME example1._domainkey.example.com
La commande renvoie l’enregistrement DKIM :
example1.dkim.amazonses.com.
Pour vérifier la conformité des messages à DMARC via DKIM, vérifiez les points suivants :
1. Le message doit comporter une signature DKIM valide.
2. L’adresse d’expédition figurant dans l’en-tête de l’e-mail doit correspondre au domaine d= de la signature DKIM.
Il est recommandé de configurer Easy DKIM, car cette fonctionnalité vous permet de répondre aux deux exigences de validation DMARC via DKIM. Vous pouvez également choisir de signer manuellement vos e-mails, mais Amazon SES ne valide pas la signature DKIM que vous créez.