Que dois-je faire si mes e-mails Amazon SES échouent à la validation DMARC en raison d’une mauvaise correspondance SPF ou DKIM ?

Lecture de 4 minute(s)

Les e-mails que j’envoie depuis Amazon Simple Email Service (Amazon SES) échouent à la validation DMARC (Domain-based Message Authentication, Reporting and Conformance) en raison d’une mauvaise correspondance au Sender Policy Framework (SPF) ou au DomainKeys Identified Mail (DKIM).

Brève description

Pour la correspondance SPF et DKIM, vous devez respecter la correspondance exacte ou la correspondance partielle.

Pour vérifier la correspondance SPF, DMARC associe le domaine Mail From ou Envelope From au domaine From. Il y a correspondance exacte lorsque le domaine Mail From ou Envelope From est identique au domaine From. Dans le cas d’une correspondance partielle, le domaine Mail From ou Envelope From est un sous-domaine du domaine From.

Pour vérifier la correspondance DKIM, DMARC associe le domaine d= de la signature DKIM au domaine From. Dans la correspondance exacte, le domaine d= est identique au domaine From. Il y a correspondance partielle lorsque le domaine d= est un sous-domaine du domaine From.

Résolution

Utiliser une correspondance partielle pour l’authentification SPF ou DKIM dans l’enregistrement DMARC

Pour aider vos e-mails à réussir la validation DMARC, utilisez la correspondance partielle.

Pour déterminer la correspondance DMARC de votre domaine pour SPF et DKIM, exécutez la commande suivante :

nslookup -type=TXT _dmarc.example.com

La commande renvoie un enregistrement DMARC semblable à ce qui suit :

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Pour l'authentification SPF, si l'enregistrement ne contient pas d’identification aspf ou s’il contient la chaîne aspf=r, votre domaine utilise une correspondance partielle. L'exemple précédent n'inclut pas d’identification aspf. L'exemple de domaine utilise donc une correspondance partielle. Si l’enregistrement contient la chaîne aspf=s, votre domaine utilise une correspondance exacte.

Pour DKIM, si l’enregistrement ne contient pas d’identification adkim ou s’il contient la chaîne adkim=r, votre domaine utilise une correspondance partielle. Si l’enregistrement contient la chaîne adkim=s, votre domaine utilise une correspondance exacte.

Seul votre administrateur système peut passer d’une correspondance exacte à une correspondance partielle.

Conformité à DMARC via l’authentification SPF

Pour vous assurer que vos messages sont conformes à DMARC via l'authentification SPF, vérifiez les configurations suivantes :

L'enregistrement SPF de votre domaine MAIL FROM doit contenir include:amazonses.com.
Le domaine MAIL FROM que le serveur de messagerie expéditeur spécifie au serveur de messagerie récepteur correspond à l'adresse FROM figurant dans l'en-tête de l'e-mail.

Lorsque vous utilisez Amazon SES pour envoyer des e-mails, le domaine MAIL FROM est un sous-domaine d'amazonses.com par défaut. Votre domaine From est le domaine à partir duquel vous envoyez l'e-mail. Si le domaine MAIL FROM ne correspond pas au domaine From, la correspondance SPF échoue pour la validation DMARC.

Pour résoudre ce problème, vous devez configurer un domaine MAIL FROM personnalisé sur l'identité vérifiée à partir de laquelle vous envoyez des e-mails. Les domaines MAIL FROM personnalisés sont toujours des sous-domaines du domaine parent. Par exemple, si le domaine vérifié (le domaine From) est exemple.com, vous pouvez configurer le domaine MAIL FROM personnalisé afin qu’il soit mail.exemple.com.

L'authentification SPF vérifie le domaine MAIL FROM. Ajoutez donc l'enregistrement SPF à votre sous-domaine MAIL FROM personnalisé dans Amazon SES. Les domaines MAIL FROM personnalisés étant des sous-domaines, vos sous-domaines doivent utiliser une politique SPF partielle (aspr=r).

Conformité à DMARC via l'authentification DKIM

Pour vous assurer que vos messages sont conformes à DMARC via l'authentification DKIM, vérifiez les configurations suivantes :

Le message comporte une signature DKIM valide et réussit la vérification DKIM.
L’adresse d’expédition figurant dans l’en-tête de l’e-mail doit correspondre au domaine d= de la signature DKIM.

Lorsque vous utilisez Easy DKIM dans Amazon SES, vous obtenez trois enregistrements CNAME. Pour vérifier les enregistrements DKIM respectifs, exécutez la commande suivante sur chacun des enregistrements CNAME :

nslookup -type=CNAME example1._domainkey.example.com

Remarque : Remplacez exemple1._domainkey.exemple.com par le nom de votre enregistrement CNAME.

La commande renvoie l’enregistrement DKIM :

example1.dkim.amazonses.com.

Il est recommandé d'utiliser Easy DKIM, car vous pouvez répondre aux deux exigences de validation DMARC via DKIM. Vous pouvez également, si vous le souhaitez, signer manuellement vos e-mails. Toutefois, Amazon SES ne valide pas la signature DKIM.

Sujets: Front-End Web & Mobile Business Applications
Balises: Amazon Simple Email Service
Langue: Français

AWS OFFICIELA mis à jour il y a 7 mois

Aucun commentaire

Contenus pertinents

AWS SES Bloqué suite à un problème critique lié à votre envoi d'e-mails
rePost-User-2050300
demandé il y a 2 ans
Amazon SES - 4.4.1 Unable to connect to remote host de la part d'Orange.fr
Lionel
demandé il y a un an
AWS ACM erreur "le délai de validation a expiré"
rePost-User-1383310
demandé il y a un an
Problème mot de passe perdu
Fesch
demandé il y a 2 ans
account is currently blocked and not recognized as a valid account
Yves Boah
demandé il y a 3 ans
Pourquoi les e-mails que j'envoie à l'aide d'Amazon SES échouent-ils avec le message d'erreur « Email rejected per DMARC policy » (E-mail rejeté conformément à la politique DMARC) ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment activer la norme DKIM pour Amazon SES ?
AWS OFFICIELA mis à jour il y a 6 mois
Pourquoi mon domaine DKIM échoue lors de sa vérification sur Amazon SES ?
AWS OFFICIELA mis à jour il y a 3 ans
Pourquoi mon domaine est-il bloqué à l’état « Vérification en attente » ou « Non vérifié » dans Amazon SES ?
AWS OFFICIELA mis à jour il y a 6 mois