Se conformer à DMARC à l'aide d'Amazon SES - Amazon Simple Email Service

Se conformer à DMARC à l'aide d'Amazon SES

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole d'authentification d'e-mail qui utilise SPF et DKIM pour détecter l'usurpation de messagerie. Pour des raisons de conformité à DMARC, les messages doivent être authentifiés via SPF et/ou DKIM.

Cette rubrique contient des informations qui vous aideront à configurer Amazon SES afin que les e-mails que vous envoyez soient conformes à la fois à SPF et à DKIM. En se conformant à l'un de ces systèmes d'authentification, vos e-mails seront conformes à DMARC. Pour en savoir plus sur la spécification DMARC, consultez http://www.dmarc.org.

Configuration de la stratégie DMARC sur votre domaine

Pour configurer DMARC, vous devez modifier les paramètres DNS de votre domaine. Les paramètres DNS de votre domaine doivent inclure un registre TXT qui spécifie les paramètres DMARC du domaine. Les procédures d'ajout de registres TXT à votre configuration DNS dépendent du fournisseur DNS ou d'hébergement que vous utilisez. Si vous utilisez Route 53, veuillez consulter Utilisation des registres dans le Guide du développeur Amazon Route 53. Si vous utilisez un autre fournisseur, consultez la documentation de configuration DNS de celui-ci.

Le nom de le registre TXT que vous créez doit être _dmarc.example.com, où example.com est votre domaine. La valeur de le registre TXT contient la stratégie DMARC qui s'applique à votre domaine. Voici un exemple de registre TXT qui contient une stratégie DMARC :

Nom Type Valeur
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

Dans un langage simple, cette stratégie demande aux fournisseurs de messagerie d'effectuer les opérations suivantes :

  • Appliquez la politique DMARC à 25 % des messages, dont tous ceux qui échouent à l'authentification, et envoyez-les dans le dossier de courrier indésirable (vous pouvez également ne rien faire en utilisant p=none, ou rejetez carrément les messages en utilisant p=reject).

    • pct est une balise DMARC facultative qui prend un entier en texte brut compris entre 0 et 100 inclus (si cette balise n'est pas utilisée, tous les messages sont soumis à la politique DMARC).

  • Envoyer des rapports sur tous les e-mails dont l'authentification a échoué dans un condensé (c'est-à-dire, un rapport qui regroupe les données pour une certaine période plutôt que d'envoyer des rapports individuels pour chaque événement). En règle générale, les fournisseurs de messagerie envoient ces rapports consolidés une fois par jour, même si ces stratégies diffèrent d'un fournisseur à l'autre.

Pour en savoir plus sur la configuration DMARC pour votre domaine, consultez sa présentation sur le site web DMARC.

Pour obtenir les spécifications complètes du système DMARC, consultez RFC 7489 sur le site web IETF. La section 6.3 de ce document contient une liste complète des balises que vous pouvez utiliser afin de configurer la stratégie DMARC pour votre domaine.

Conformité à DMARC via SPF

Pour qu'un e-mail soit conforme à DMARC basé sur SPF, les deux conditions suivantes doivent être remplies :

  • L'e-mail doit réussir un contrôle SPF.

  • Le domaine de l'adresse « From » de l'en-tête d'e-mail doit être aligné sur celui du domaine MAIL FROM que le serveur de messagerie d'envoi spécifie au serveur de messagerie de réception. Si la stratégie DMARC du domaine pour SPF spécifie un alignement strict, les domaines From et MAIL FROM doivent être rigoureusement identiques. Si la stratégie DMARC du domaine pour SPF spécifie un alignement souple, le domaine MAIL FROM peut être un sous-domaine du domaine de l'en-tête From.

Pour se conformer à ces exigences, complétez les étapes suivantes :

  • Configurez un domaine MAIL FROM personnalisé en exécutant les procédures de Utilisation d'un domaine MAIL FROM personnalisé.

  • Assurez-vous que votre domaine d'envoi utilise une stratégie souple pour SPF. Si vous n'avez pas modifié l'alignement de la stratégie de votre domaine, il utilisera une stratégie souple par défaut.

    Note

    Vous pouvez déterminer l'alignement DMARC de votre domaine pour SPF en tapant la commande suivante sur la ligne de commande et en remplaçant example.com par votre domaine :

    nslookup -type=TXT _dmarc.example.com

    Dans le résultat de la commande, sous Non-authoritative answer, recherchez un registre qui commence par v=DMARC1. Si cet registre inclut la chaîne aspf=r, ou si la chaîne aspf n'est pas du tout présente, votre domaine utilise l'alignement souple pour SPF. Si le registre inclut la chaîne aspf=s, votre domaine utilise l'alignement strict pour SPF. Votre administrateur système doit supprimer cette balise de le registre TXT DMARC dans la configuration DNS de votre domaine.

    Sinon, vous pouvez utiliser un outil de recherche DMARC basé sur le web, comme DMARC Inspector sur le site web de dmarcian ou l'outil DMARC Check sur le site web de Proofpoint, pour déterminer l'alignement de la stratégie de votre domaine pour SPF.

Conformité à DMARC via DKIM

Pour qu'un e-mail soit conforme à DMARC basé sur DKIM, les deux conditions suivantes doivent être remplies :

  • Le message doit avoir une signature DKIM valide.

  • L'adresse From de l'en-tête d'e-mail doit être alignée sur le domaine d= de la signature DKIM. Si la stratégie DMARC du domaine spécifie un alignement strict pour DKIM, ces domaines doivent être rigoureusement identiques. Si la stratégie DMARC du domaine spécifie un alignement souple pour DKIM, le domaine d= peut être un sous-domaine du domaine From.

Pour se conformer à ces exigences, complétez les étapes suivantes :

  • Configurez Easy DKIM en effectuant les procédures d' Easy DKIM dans Amazon SES. Lorsque vous utilisez Easy DKIM, Amazon SES signe automatiquement vos e-mails.

    Note

    Plutôt que d'utiliser Easy DKIM, vous pouvez également signer manuellement vos messages. Cependant, vous devez être prudent si vous choisissez de le faire, car Amazon SES ne valide pas la signature DKIM que vous construisez. Pour cette raison, nous recommandons vivement d'utiliser Easy DKIM.

  • Assurez-vous que votre domaine d'envoi utilise une stratégie souple pour DKIM. Si vous n'avez pas modifié l'alignement de la stratégie de votre domaine, il utilisera une stratégie souple par défaut.

    Note

    Vous pouvez déterminer l'alignement DMARC de votre domaine pour DKIM en tapant la commande suivante sur la ligne de commande et en remplaçant example.com par votre domaine :

    nslookup -type=TXT _dmarc.example.com

    Dans le résultat de la commande, sous Non-authoritative answer, recherchez un registre qui commence par v=DMARC1. Si cet registre inclut la chaîne adkim=r, ou si la chaîne adkim n'est pas du tout présente, votre domaine utilise l'alignement souple pour DKIM. Si le registre inclut la chaîne adkim=s, votre domaine utilise l'alignement strict pour DKIM. Votre administrateur système doit supprimer cette balise de le registre TXT DMARC dans la configuration DNS de votre domaine.

    Sinon, vous pouvez utiliser un outil de recherche DMARC basé sur le web, comme DMARC Inspector sur le site web de dmarcian ou l'outil DMARC Check sur le site web de Proofpoint, pour déterminer l'alignement de la stratégie de votre domaine pour DKIM.