Вопрос или проблема
Я настроил SPF и DKIM для своего собственного домена для отправки писем. Хотя тесты SPF и DKIM проходят, тест DMARC не проходит для писем, у которых адрес для ответа отличается от поля “От”. Моя запись SPF:
v=spf1 include:amazonses.com include:_spf.google.com -all
Моя запись DMARC:
v=DMARC1; p=none; pct=100; rua=mailto:[электронная почта защищена]; ruf=mailto:[электронная почта защищена]
З Headers отправленного письма:
Delivered-To: [электронная почта защищена]
Received: by 10.129.165.193 with SMTP id c184csp206242ywh;
Thu, 19 May 2016 03:56:53 -0700 (PDT)
X-Received: by 10.233.239.210 with SMTP id d201mr13984760qkg.41.1463655413313;
Thu, 19 May 2016 03:56:53 -0700 (PDT)
Return-Path: <01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com>
Received: from a8-86.smtp-out.amazonses.com (a8-86.smtp-out.amazonses.com. [54.240.8.86])
by mx.google.com with ESMTPS id g90si11881962qgg.13.2016.05.19.03.56.53
for <[электронная почта защищена]>
(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Thu, 19 May 2016 03:56:53 -0700 (PDT)
Received-SPF: pass (google.com: domain of 01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com designates 54.240.8.86 as permitted sender) client-ip=54.240.8.86;
Authentication-Results: mx.google.com;
dkim=pass [электронная почта защищена];
spf=pass (google.com: domain of 01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com designates 54.240.8.86 as permitted sender) smtp.mailfrom=01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com;
dmarc=fail (p=NONE dis=NONE) header.from=mydomain.com
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=6gbrjpgwjskckoa6a5zn6fwqkn67xbtw; d=amazonses.com; t=1463655412;
h=From:Reply-To:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Message-ID:Date:Feedback-ID;
bh=F8+/Ni/QwQrszhKD2uANwAa3fcsUlA2ym/y/2fXINhY=;
b=AlNNHzoGT1Ezy9haiRXTLviRYW5XGIGE8IXIMjGcLxogxh2tSPGCOt7yJCix/sI0
5sGh1EHuBHkrd3sTlQ5i5/O2/ci+dXc47mS7Efo8snkyVK7Kf8FlfwsrTontTGoUJWB
L76+pQCzbzs+HZS9HXym8EO7ZEWp+7g33IX+W0oE=
From: "MYDOMAIN.COM" <[электронная почта защищена]>
Reply-To: [электронная почта защищена]
To: [электронная почта защищена]
В чем может быть проблема?
Amazon SES устанавливает MAIL FROM домен для сообщений, которые вы отправляете, на значение по умолчанию, в вашем случае это 01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com (см. Return-Path)
Это приведет к сбою теста DMARC.
Я использую Route 53, поэтому я решил эту проблему, следуя инструкциям здесь следующим образом:
- создал и подтвердил новый домен, который используется только для почты от SES, например
mail.mydomain.com. - выбрал “Сгенерировать DKIM настройки”
- SES автоматически применил настройки DKIM, используя Route 53
Ваш DKIM не согласован, и ваш SPF также может быть несогласован (я не могу сказать без реальных доменных имен), и это приведет к сбою вашего DMARC. Один из двух должен быть в соответствии, вы можете прочитать об этом здесь: Согласование идентификаторов
Вы также можете использовать тестер электронной почты, который поможет найти проблему с DMARC. Однако раздел отчета DMARC является платной функцией, но это недорого.
У меня была такая же проблема, и она возникла из-за того, что я подтвердил свой домен с “www” в SES.
Ответ или решение
Для того чтобы понять, почему тест DMARC не проходит при использовании Amazon SES, особенно когда адрес для ответов (Reply-To) отличается от адреса в поле "From", необходимо рассмотреть несколько аспектов, касающихся настройки SPF, DKIM и DMARC.
Возможные причины неудачного прохождения DMARC:
-
Несоответствие Return-Path и From:
Amazon SES устанавливает значение MAIL FROM для сообщений по умолчанию, которое в вашем случае выглядит следующим образом:01000154c8a933ce-e7e039ee-6c9d-4e64-9693-28708e049ecf-000000@amazonses.com. Это адрес не соответствует вашему домену (например,mydomain.com), что может приводить к провалу DMARC проверки. Для прохождения DMARC проверки важно, чтобы хотя бы один из идентификаторов (SPF или DKIM) был правильно выровнен с вашим доменом. -
Недостаточная настройка DKIM:
Ваш DKIM может быть неправильно настроен (aligned). Вы должны убедиться, что значение DKIM соответствует вашему домену, с которого вы отправляете письма. В противном случае это тоже приведет к несоответствию, и DMARC не пройдет. -
Настройка SPF:
Ваш SPF-запись выглядит допустимо, однако нельзя исключать вероятность, что она также может быть неправильно выровнена. Убедитесь, что отправляя письма от Amazon SES, домен в MAIL FROM соответствует вашему основному домену, который вы используете для DMARC.
Рекомендации по исправлению:
-
Используйте собственный домен MAIL FROM:
Следуйте инструкциям из документации AWS по настройке собственного домена MAIL FROM. Это можно сделать следующим образом:- Создайте и подтвердите новый поддомен, который будет использоваться только для отправки писем через SES, например
mail.mydomain.com. - Сгенерируйте настройки DKIM.
- Убедитесь, что настройки DKIM и SPF правильно применены к поддомену.
- Создайте и подтвердите новый поддомен, который будет использоваться только для отправки писем через SES, например
-
Проверьте выравнивание DKIM и SPF:
Используйте инструменты проверки, такие как Mail Tester, чтобы убедиться, что и DKIM, и SPF правильно выровнены и соответствуют вашему домену. Этот инструмент покажет детальный отчет, который поможет выявить проблемные места. -
Проверьте записи DNS:
Убедитесь, что все DNS-записи (SPF, DKIM и DMARC) правильно настроены и обновлены в DNS ваших доменов. -
Обратите внимание на Reply-To адрес:
Если Reply-To адрес часто отличается от From адреса, это может также привести к проблемам с доставкой и проверкой DMARC. Постарайтесь, чтобы эти адреса соответствовали друг другу, если это возможно.
Применив вышеприведенные рекомендации, вы сможете минимизировать риски провала DMARC и улучшить общую доставляемость ваших писем.