Cosa devo fare se le mie e-mail Amazon SES non superano la convalida DMARC per l'allineamento SPF o l'allineamento DKIM?

4 minuti di lettura

Le e-mail che invio utilizzando Amazon Simple Email Service (Amazon SES) non superano la convalida DMARC (Domain-based Message Authentication, Reporting and Conformance) per l'allineamento Sender Policy Framework (SPF) o l'allineamento DomainKeys Identified Mail (DKIM). Come faccio a risolvere questo problema?

Breve descrizione

DMARC è un protocollo di autenticazione e-mail che utilizza SPF e DKIM per rilevare lo spoofing delle e-mail. Per essere conformi al DMARC, i messaggi devono essere autenticati tramite SPF o DKIM o entrambi.

Per la convalida DMARC dell'allineamento SPF o dell'allineamento DKIM, i componenti chiave nell'intestazione di un'e-mail sono:

Un indirizzo From visualizzato dal destinatario del messaggio
Un indirizzo Mail From o Envelope From che indica da dove proviene il messaggio
Un dominio d= nella firma DKIM

DMARC verifica l'allineamento SPF abbinando il dominio Mail From o Envelope From con il dominio From. È necessario soddisfare uno dei seguenti allineamenti:

**Allineamento rigoroso:**Il dominio Mail From o Envelope From è lo stesso del dominio From.
**Allineamento rilassato:**Il dominio Mail From o Envelope From è un sottodominio del dominio From.

DMARC controlla l'allineamento DKIM facendo corrispondere il dominio d= nella firma DKIM e il dominio From. È necessario soddisfare uno dei seguenti allineamenti:

**Allineamento rigoroso:**Il dominio d= è uguale al dominio From.
**Allineamento rilassato:**Il dominio d= è un sottodominio del dominio From.

Risoluzione

Per superare la convalida DMARC, le e-mail devono essere conformi all'autenticazione SPF o all'autenticazione DKIM.

Utilizzare l'allineamento rilassato per SPF o DKIM nel proprio record DMARC

L'utilizzo dell'allineamento rilassato per SPF o DKIM può aiutare le tue e-mail a superare la convalida DMARC.

Per determinare l'allineamento DMARC del tuo dominio per SPF e DKIM, esegui il seguente comando:

nslookup -type=TXT _dmarc.example.com

Il comando restituisce il tuo record DMARC, simile al seguente:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Per SPF, se il record non include una stringa aspf (come nell'esempio precedente) o include la stringa aspf=r, il dominio utilizza l'allineamento rilassato. Se il record include la stringa aspf=s, il dominio utilizza l'allineamento rigoroso.

Per DKIM, se il record non include una stringa adkim o include la stringa adkim=r, il dominio utilizza l'allineamento rilassato. Se il record include la stringa adkim=s, il dominio utilizza l'allineamento rigoroso.

Il passaggio dall'allineamento rigoroso all'allineamento rilassato deve essere effettuato dall'amministratore del sistema.

Conformità al DMARC mediante SPF

Per ottenere il record SPF, esegui il seguente comando:

nslookup -type=TXT example.com

Il comando restituisce il record SPF, simile al seguente:

"v=spf1 include:amazonses.com ~all"

Per essere sicuri che i tuoi messaggi siano conformi a DMARC tramite SPF, verifica quanto segue:

I messaggi devono superare il controllo SPF. Ciò significa che il record SPF del tuo dominio deve contenere "include:amazonses.com", che autorizza Amazon SES a inviare e-mail per conto del tuo dominio.
Il dominio nell'indirizzo From dell'intestazione dell'e-mail deve essere allineato al dominio Mail From o Envelope From che il server di posta mittente specifica per il server di posta ricevente.

Quando invii e-mail utilizzando Amazon SES, il dominio Mail From o Envelope From è amazonses.com per impostazione predefinita e il dominio From è il dominio che hai verificato. Questi valori non soddisfano l'allineamento SPF e la convalida DMARC.

Per risolvere questo problema, devi configurare un dominio MAIL FROM personalizzato in modo che il valore Mail From sia un sottodominio del dominio verificato. Ad esempio, se il tuo dominio verificato (il dominio From) è example.com, è possibile configurare il dominio personalizzato Mail From come mail.example.com. Questi valori superano l'allineamento SPF e la convalida DMARC.

**Nota:**con Amazon SES, aggiungi il record SPF come parte del tuo sottodominio Mail From personalizzato. Per istruzioni, consulta Configuring the MAIL FROM domain.

Rispetta il DMARC tramite DKIM

Quando usi Easy DKIM in Amazon SES, ti vengono assegnati tre record CNAME. Per verificare i rispettivi record DKIM, esegui il seguente comando su ciascuno dei CNAME:

nslookup -type=CNAME example1._domainkey.example.com

Il comando restituisce il record DKIM:

example1.dkim.amazonses.com.

Per essere sicuri che i tuoi messaggi siano conformi a DMARC tramite DKIM, verifica quanto segue:

Il messaggio deve avere una firma DKIM valida.

2.L'indirizzo From nell'intestazione dell'e-mail deve essere allineato con il dominio d= nella firma DKIM.

È consigliabile configurare Easy DKIM, poiché questa funzione consente di soddisfare entrambi i requisiti di convalida DMARC tramite DKIM. Puoi anche scegliere di firmare manualmente le tue e-mail, tuttavia Amazon SES non convaliderà la firma DKIM da te creata.

Argomenti

Front-end web e dispositivi mobili Applicazioni aziendali

Tag

Amazon Simple Email Service

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Cosa si intende per e-mail non recapitata su Amazon SES e come posso monitorare le e-mail non recapitate?
AWS UFFICIALEAggiornata 2 anni fa
Cosa devo fare se la tassa che mi viene addebitata per i servizi AWS non è corretta?
AWS UFFICIALEAggiornata 2 anni fa
Cosa posso fare se il mio dominio è bloccato nello stato "in corso di verifica" o nello stato di verifica "non verificato" in Amazon SES?
AWS UFFICIALEAggiornata 2 anni fa
Perché le e-mail che invio utilizzando Amazon SES restituiscono il messaggio di errore "E-mail rifiutata in base alla policy DMARC"?
AWS UFFICIALEAggiornata 2 anni fa