使用 Amazon SES 來遵循 DMARC - Amazon Simple Email Service Classic

這是 Amazon SES Classic 使用者指南。更新和新功能只會記錄在我們建議使用的新 Amazon SES 開發人員指南

使用 Amazon SES 來遵循 DMARC

網域型訊息身份驗證、回報與遵循 (DMARC) 是電子郵件身份驗證協定,使用寄件者政策架構 (SPF) 和網域金鑰識別郵件 (DKIM) 來偵測電子郵件詐騙。為遵循 DMARC 規範,訊息必須透過 SPF 或 DKIM 或同時使用兩者來進行身份驗證。

此主題包含可協助您設定 Amazon SES 的資訊,讓您傳送的電子郵件同時符合 SPF 和 DKIM 標準。只要遵循其中一項身份驗證系統,您的電子郵件便符合 DMARC 標準。如需 DMARC 規範的資訊,請參閱 http://www.dmarc.org

對您的網域設定 DMARC 政策

若要設定 DMARC,您必須修改您網域的 DNS 設定。您網域的 DNS 設定應該包含指定網域 DMARC 設定的 TXT 記錄。將 TXT 記錄新增到您 DNS 組態的程序取決於您使用的 DNS 或託管提供者。如果您使用 Route 53,請參閱 Amazon Route 53 開發人員指南中的使用記錄。如果使用其他提供者,請參閱您提供者的 DNS 組態文件。

您建立的 TXT 記錄名稱應該是 _dmarc.example.com,其中 example.com 為您的網域。TXT 記錄的值包含套用到您網域的 DMARC 政策。以下為包含 DMARC 政策的 TXT 記錄範例:

名稱 類型
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

在純語言中,此政策會通知電子郵件提供者執行下列動作:

  • 尋找所有未通過 SPF 或 DKIM 驗證,"From" 網域為 example.com 的電子郵件。

  • 將郵件傳送到垃圾郵件資料夾,隔離 25% 驗證失敗的電子郵件 (您也可以使用 p=none 什麼都不做,或使用 p=reject 完全拒絕訊息)。

  • 以摘要傳送所有驗證失敗電子郵件的報告 (也就是彙總特定時段資料的報告,而不是傳送每項事件的個別報告)。電子郵件提供者通常每天會傳送一次這些彙總報告,但這些政策因提供者而異。

若要進一步了解為您的網域設定 DMARC,請參閱 DMARC 網站的 Overview

如需完整的 DMARC 系統規格,請參閱 IETF 網站的 RFC 7489。本文件第 6.3 節包含完整的標籤清單,您可以用來為您的網域設定 DMARC 政策。

透過 SPF 來遵循 DMARC

若要讓電子郵件遵循以 SPF 為基礎的 DMARC 驗證,需符合下列條件:

  • 電子郵件必須通過 SPF 檢查。

  • 電子郵件標題寄件者地址中的網域須符合傳送郵件伺服器指定到接收郵件伺服器的「寄件人」網域。如果網域中對於 SPF 採取的 DMARC 政策嚴格規定需相同,寄件者與「寄件人」網域需完全相符。如果網域中對 SPF 採取的 DMARC 政策較寬鬆,「寄件人」網域可以是寄件者標題中網域的子網域。

為了符合這些要求,請完成以下步驟:

  • 完成 設定自訂 MAIL FROM 網域 中的步驟以設定自訂的「寄件人」網域。

  • 請確任您的傳送網域對 SPF 採取寬鬆政策。如果您尚未變更網域的政策的相符程度時,根據預設將使用寬鬆政策。

    注意

    若要判定網域對於 SPF 採取的 DMARC 符合度,可於命令列輸入下列命令,以 example.com 取代您的網域:

    nslookup -type=TXT _dmarc.example.com

    在此命令輸出檔的 Non-authoritative answer (非授權答案) 下,尋找以 v=DMARC1. 開頭的記錄。若此記錄包含 aspf=r 字串,或如果 aspf 字串完全未顯示,那麼您的網域就是對於 SPF 採取寬鬆的符合度。若記錄包含 aspf=s 字串,那麼您的網域就是對於 SPF 採取嚴格的符合度。您的系統管理員將需自網域中 DNS 組態的 DMARC TXT 記錄移除此標籤。

    或者,您可以使用 Web DMARC 查詢工具,例如 dmarcian 網站的 DMARC Inspector 或 Proofpoint 網站的 DMARC Check 工具,來判定您網域對 SPF 採取的政策符合度。

透過 DKIM 來遵循 DMARC

若要讓電子郵件遵循以 DKIM 為基礎的 DMARC 驗證,需符合下列條件:

  • 訊息必須含有有效的 DKIM 簽章。

  • 電子郵件標題中的寄件者地址必須符合 DKIM 簽章中的 d= 網域。如果網域中對於 DKIM 採取的 DMARC 政策嚴格規定需相同,這些網域需完全相符。如果網域中對 DKIM 採取的 DMARC 政策較寬鬆,d= 網域可以是寄件者網域的子網域。

為了符合這些要求,請完成以下步驟:

  • 請完成 Amazon SES 中的 Easy DKIM 中的程序以設定 Easy DKIM。使用 Easy DKIM 時,Amazon SES 會自動簽署電子郵件。

    注意

    除了使用 Easy DKIM 外,您也可以手動簽署郵件。不過,若您選擇採取此方法必須謹慎處理,因為 Amazon SES 不會驗證您所建構的 DKIM 簽章。因此,我們強烈建議您使用 Easy DKIM。

  • 請確任您的傳送網域對 DKIM 採取寬鬆政策。如果您尚未變更網域的政策的相符程度時,根據預設將使用寬鬆政策。

    注意

    若要判定網域對於 DKIM 採取的 DMARC 符合度,可於命令列輸入下列命令,以 example.com 取代您的網域:

    nslookup -type=TXT _dmarc.example.com

    在此命令輸出檔的 Non-authoritative answer (非授權答案) 下,尋找以 v=DMARC1. 開頭的記錄。若此記錄包含 adkim=r 字串,或如果 adkim 字串完全未顯示,那麼您的網域就是對於 DKIM 採取寬鬆的符合度。若記錄包含 adkim=s 字串,那麼您的網域就是對於 DKIM 採取嚴格的符合度。您的系統管理員將需自網域中 DNS 組態的 DMARC TXT 記錄移除此標籤。

    或者,您可以使用 Web DMARC 查詢工具,例如 dmarcian 網站的 DMARC Inspector 或 Proofpoint 網站的 DMARC Check 工具,來判定您網域對 DKIM 採取的政策符合度。