Conformidade com DMARC usando o Amazon SES - Amazon Simple Email Service Classic

Este é o manual do usuário do Amazon SES Classic. Atualizações e novos recursos só estão sendo documentados no novo Guia do desenvolvedor do Amazon SES que recomendamos usar.

Conformidade com DMARC usando o Amazon SES

Autenticação de mensagens com base em Domain-based Message Authentication, Reporting and Conformance (DMARC) é um protocolo de autenticação de e-mail que usa Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) para detectar e-mail falsificação. Para estar em conformidade com o DMARC, as mensagens devem ser autenticadas por meio de SPF, DKIM ou ambos.

Este tópico contém informações que o ajudarão a configurar o Amazon SES para que os e-mails enviados estejam em conformidade com SPF e DKIM. Ao estarem em conformidade com um desses sistemas de autenticação, seus e-mails estarão em conformidade com o DMARC. Para obter mais informações sobre especificação DMARC, consulte http://www.dmarc.org.

Configuração da política DMARC no domínio

Para configurar a DMARC, é necessário modificar as configurações de DNS do seu domínio. As configurações de DNS do seu domínio devem incluir um registro TXT que especifica as configurações DMARC do domínio. Os procedimentos para adicionar registros TXT à configuração de DNS dependem de qual DNS ou provedor de hospedagem você usa. Se você usar o Amazon Route 53, consulte Working with Records (Trabalhar com registros) no Guia do desenvolvedor do Amazon Route 53. Se você usar outro provedor, consulte a documentação de configuração de DNS do seu provedor.

O nome do registro TXT criado deve ser _dmarc.example.com, onde example.com é o seu domínio. O valor do registro TXT contém a política DMARC que se aplica ao seu domínio. Veja a seguir um exemplo de um registro TXT que contém uma política DMARC:

Nome Type Valor
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

Em outras palavras, essa política informa os provedores de e-mail para fazer o seguinte:

  • Procurar todos os e-mails com um domínio "From" de example.com que não envia autenticação DKIM ou SPF.

  • Colocar em quarentena 25% dos e-mails com falha de autenticação, enviando-os para a pasta de Spam (também é possível não realizar nenhuma ação usando p=none ou rejeitar mensagens definitivas usando p=reject).

  • Enviar relatórios sobre todos os e-mails com falha de autenticação falhou em um resumo (ou seja, um relatório que agrega os dados de um determinado período, em vez de enviar relatórios individuais para cada evento). Os provedores de e-mail normalmente enviam esses relatórios agregados uma vez por dia, embora essas políticas variem de provedor para provedor.

Para saber mais sobre como configurar a DMARC para seu domínio, consulte a Visão geral no site DMARC.

Para obter todas as especificações do sistema DMARC, consulte RFC 7489 no site do IETF. A seção 6.3 deste documento contém uma lista completa de tags que podem ser usadas para configurar a política DMARC para o seu domínio.

Conformidade com o DMARC por meio de SPF

Para um e-mail estar em conformidade com o DMARC com base em SPF, as condições a seguir deverão ser cumpridas:

  • O e-mail deve passar uma verificação de SPF.

  • O domínio no endereço From do cabeçalho do e-mail deve estar alinhado com o domínio MAIL FROM que o servidor de envio de e-mail especifica para o servidor de e-mail recebedor. Se a política DMARC do domínio par SPF especifica alinhamento estrito, os domínios "De" e MAIL FROM devem corresponder exatamente. Se a política DMARC do domínio para SPF especifica alinhamento flexível, o domínio MAIL FROM pode ser um subdomínio do domínio no cabeçalho De.

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure um domínio MAIL FROM personalizado executando os procedimentos em Configurar um domínio MAIL FROM personalizado.

  • Verifique se o seu domínio de envio usa uma política flexível para SPF. Se você não tiver alterado o alinhamento da política do seu domínio, ele usará uma política flexível por padrão.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para SPF digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    nslookup -type=TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string aspf=r, ou se a string aspf não estiver presente, seu domínio usará o alinhamento flexível para SPF. Se o registro incluir a string aspf=s, seu domínio usará o alinhamento estrito para SPF. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Você também pode usar a ferramenta de pesquisa DMARC baseada na web, como o DMARC Inspector do site dmarcian ou a ferramenta DMARC Check do site Proofpoint para determinar o alinhamento de políticas do seu domínio para o SPF.

Conformidade com o DMARC por meio de DKIM

Para um e-mail estar em conformidade com o DMARC com base em DKIM, as condições a seguir deverão ser cumpridas:

  • A mensagem deve ter uma assinatura DKIM válida.

  • O endereço From no cabeçalho do e-mail deve estar alinhado com o domínio d= na assinatura do DKIM. Se a política DMARC do domínio especificar alinhamento estrito para DKIM, esses domínios deverão corresponder exatamente. Se a política DMARC do domínio especificar alinhamento flexível para DKIM, o domínio d= poderá ser um subdomínio do domínio De.

Para cumprir esses requisitos, execute as seguintes etapas:

  • Configure o Easy DKIM executando os procedimentos em Easy DKIM no Amazon SES. Quando você usar o Easy DKIM, o Amazon SES assinará automaticamente seus e-mails.

    nota

    Em vez de usar o Easy DKIM, também é possível assinar manualmente suas mensagens. No entanto, você deve ter muito cuidado se optar por fazê-lo, porque o Amazon SES não validará a assinatura do DKIM que você criar. Por esse motivo, é altamente recomendável usar o Easy DKIM.

  • Verifique se o seu domínio de envio usa uma política flexível para DKIM. Se você não tiver alterado o alinhamento da política do seu domínio, ele usará uma política flexível por padrão.

    nota

    Você pode determinar o alinhamento do DMARC de seu domínio para DKIM digitando o seguinte comando na linha de comando, substituindo example.com pelo seu domínio:

    nslookup -type=TXT _dmarc.example.com

    Na saída do comando, em Resposta não autorizada, procure um registro que comece com v=DMARC1. Se esse registro incluir a string adkim=r, ou se a string adkim não estiver presente, seu domínio usará o alinhamento flexível para DKIM. Se o registro incluir a string adkim=s, seu domínio usará o alinhamento estrito para DKIM. O administrador do sistema precisará remover essa tag do registro TXT DMARC na configuração do DNS do seu domínio.

    Você também pode usar a ferramenta de pesquisa DMARC baseada na web, como o DMARC Inspector do site dmarcian ou a ferramenta DMARC Check do site Proofpoint para determinar o alinhamento de políticas do seu domínio para o DKIM.