O que eu faço quando meus e-mails do Amazon SES apresentam na validação do DMARC para alinhamento SPF ou alinhamento DKIM?

4 minuto de leitura

Os e-mails que envio do Amazon Simple Email Service (Amazon SES) apresentam falha na validação do Domain-based Message Authentication, Reporting and Conformance (DMARC) para o alinhamento do Sender Policy Framework (SPF) ou do DomainKeys Identified Mail (DKIM).

Breve descrição

Para o alinhamento SPF e DKIM, você deve atender ao alinhamento estrito ou ao alinhamento flexível.

Para verificar o alinhamento SPF, o DMARC combina o domínio Enviado de ou Envelope de com o domínio De. O alinhamento estrito ocorre quando o domínio Enviado de ou Envelope de é igual ao domínio De. O alinhamento flexível ocorre quando o domínio Enviado de ou Envelope de é um subdomínio do domínio De.

Para verificar o alinhamento DKIM, o DMARC combina o domínio d= na assinatura DKIM com o domínio De. O alinhamento estrito ocorre quando o domínio d= é igual ao domínio De. O alinhamento flexível ocorre quando o domínio d= é um subdomínio do domínio De.

Resolução

Usar alinhamento relaxado para SPF ou DKIM em seu registro DMARC

Para ajudar seus e-mails a passarem pela validação do DMARC, use um alinhamento flexível.

Para determinar o alinhamento DMARC do seu domínio para SPF e DKIM, execute o seguinte comando:

nslookup -type=TXT _dmarc.example.com

O comando retorna seu registro DMARC, semelhante ao seguinte:

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

Para autenticação SPF, se o registro não incluir uma tag aspf ou incluir a string aspf=r, seu domínio usará um alinhamento flexível. O exemplo anterior não inclui uma tag aspf, então o domínio de exemplo usa um alinhamento flexível. Se o registro incluir a string aspf=s, seu domínio usará um alinhamento estrito.

Para DKIM, se o registro não incluir uma tag adkim ou incluir a string adkim=r, seu domínio usará um alinhamento flexível. Se o registro incluir a string adkim=s, seu domínio usará um alinhamento estrito.

A mudança do alinhamento estrito para o alinhamento flexível deve ser feita somente pelo administrador do sistema.

Cumprir com o DMARC através da autenticação SPF

Para garantir que as mensagens estejam em conformidade com o DMARC por meio da autenticação SPF, verifique as seguintes configurações:

Seu registro SPF do domínio ENVIADO DE deve conter include:amazonses.com.
O domínio ENVIADO DE que o servidor de envio de e-mail especifica para o servidor de e-mail receptor corresponde ao endereço DE no cabeçalho do e-mail.

Quando você usa o Amazon SES para enviar e-mails, o domínio ENVIADO DE é, por padrão, um subdomínio da amazonses.com. Seu domínio De é o domínio do qual você envia o e-mail. Se o domínio ENVIADO DE não corresponder ao domínio De, o alinhamento SPF falhará na validação do DMARC.

Para resolver esse problema, você deve configurar um domínio ENVIADO DE personalizado na identidade verificada da qual você envia e-mails. Os domínios ENVIADO DE personalizados são sempre subdomínios do domínio principal. Por exemplo, se seu domínio verificado (o domínio De) for exemplo.com, você poderá configurar o domínio personalizado ENVIADO DE como mail.exemplo.com.

A autenticação SPF verifica o domínio ENVIADO DE, então adicione o registro SPF em seu subdomínio ENVIADO DE personalizado no Amazon SES. Como os domínios ENVIADO DE personalizados são subdomínios, seus subdomínios devem usar uma política flexível para SPF (aspr=r).

Cumprir com o DMARC através da autenticação DKIM

Para garantir que suas mensagens estejam em conformidade com o DMARC por meio da autenticação DKIM, verifique as seguintes configurações:

A mensagem tem uma assinatura DKIM válida e passa pela verificação DKIM.
O endereço De no cabeçalho do e-mail corresponde ao domínio d= da assinatura DKIM.

Ao usar o Easy DKIM no Amazon SES, você recebe três registros CNAME. Para verificar os registros DKIM, execute o seguinte comando em cada um dos registros CNAME:

nslookup -type=CNAME example1._domainkey.example.com

Observação: substitua example1._domainkey.exemplo.com pelo nome do seu registro CNAME.

O comando retorna o registro DKIM:

example1.dkim.amazonses.com.

É uma prática recomendada usar o Easy DKIM porque é possível atender aos dois requisitos de validação do DMARC por meio do DKIM. Também é possível optar por assinar manualmente seus e-mails, mas o Amazon SES não valida a assinatura DKIM.

Tópicos: Front-End Web & Mobile Business Applications
Tags: Amazon Simple Email Service
Idioma: Português

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 8 meses
Erro no EC2 Amazon
User-5232071
feita há 9 meses
Problemas de Login no console ( MFA ATIVO) mesmo com todos dados corretos
Romeu Bisso
feita há 7 meses
FNAF 6 Mobile Game (Full Game Android) - Problema de latência ao acessar assets a partir de uma instância EC2
mariagone
feita há 6 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um ano
Por que os e-mails que eu envio usando o Amazon SES estão falhando com a mensagem de erro "Email rejected per DMARC policy" (E-mail rejeitado de acordo com a política do DMARC)?
AWS OFICIALAtualizada há 4 anos
Eu criei com êxito um registro SPF no Route 53, mas outros provedores de e-mail não conseguem identificar o registro. Como posso corrigir isso?
AWS OFICIALAtualizada há 4 anos
Como faço para ativar o DKIM para o Amazon SES?
AWS OFICIALAtualizada há um ano
Como faço para visualizar os cabeçalhos completos de e-mail trocados entre o Amazon SES e os clientes de e-mail?
AWS OFICIALAtualizada há um ano
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há 2 meses