Hvad er DMARC-evaluering?
E-mailsikkerhed har altid været en udfordring. Det er ikke nok bare at kryptere beskederne for at forhindre hackere og spammere i at udnytte dem. Det er her, begrebet DMARC-evaluering kommer ind i billedet. DMARC bruger DNS til at specificere, hvordan man behandler e-mails, der ikke kan autentificere SPF, DKIMeller begge dele.
I denne blog diskuteres det, hvad DMARC er, hvorfor du har brug for det, og hvordan du løser fejlmeddelelsen 521 5.2.1 failed DMARC evaluation error.
Hvad er DMARC?
DMARC er en forkortelse for Domain-based Message Authentication, Reporting & Conformance, en protokol til godkendelse af e-mail, der bygger på SPF- og DKIM-protokollerne. Meddelelser sendes fra autoriserede servere til det DMARC-kompatible domænes SPF-post og/eller DKIM-signatur. Hvis en af kontrollerne er vellykket, leveres meddelelsen. Meddelelsen returneres imidlertid som ikke leveret, hvis den ikke består begge dele, da den ikke opfylder SPF- eller DKIM-kravene.
I 2021 var antallet af gyldige DMARC-politikker, der blev observeret i brug, steget med hele 84 % til i alt næsten 5 millioner unikke poster i forhold til 2020.
Hvad er SPF
SPF er en forkortelse for Senders Policy Framework, en protokol til autentificering af e-mail, der registrerer og leverer sikkerhed mod e-mailforfalskning. Den giver dig mulighed for at oprette en DNS TXT-post, hvor du anfører alle de IP-adresser, der har tilladelse til at sende e-mail via dit domæne. SPF hjælper internetudbydere eller e-mail-servere med at validere meddelelser fra et bestemt domæne.
Hvad er DKIM?
DKIM står for Domainkeys Identified Mail og er en protokol, der giver dig mulighed for at underskrive din e-mail digitalt. Det sker ved hjælp af en unik identifikator ved hjælp af kryptografi med offentlige nøgler og ikke en IP-adresse. Så den modtagende server sammenligner altid de private og offentlige hashes for at se, om de passer sammen.
Hvis de stemmer overens, valideres meddelelsen, ellers markeres den som spam.
Hvordan afhænger DMARC af SPF og DKIM?
DMARC er afhængig af både SPF- og DKIM-protokollerne til autentificering af e-mail. Det giver dig mulighed for at beskrive, hvordan modtagernes servere skal håndtere uautoriserede e-mails, der kommer fra dit domæne. DMARC definerer en anden DNS-optegnelse hvor den offentlige nøgle for det afsendende domæne er gemt. Disse poster giver den modtagende e-mail-server mulighed for at gøre følgende:
- Kontroller afsenderens godkendelse til at sende e-mail fra kildedomænet ved hjælp af SPF.
- Autentificering af e-mails ved at kontrollere ved hjælp af den digitale signatur, der er oprettet ved at etablere DKIM.
- Bestem, hvordan ubekræftede e-mails skal behandles af modtagerens mailserver.
Selv om administratorer af e-mail-systemer forsøger at være forsigtige med ikke-autentificerede mails, hjælper DMARC dem med at beslutte, hvordan disse mails skal behandles. Dette fungerer ved at indstille en af de tre politikker: ingen, afvisning eller karantæne.
Du bør dog uddanne dit team i, hvordan du kan forhindre phishing og BEC-angreb for at mindske risikoen.
Hvordan DMARC begrænser mine meddelelser
Her er nogle meddelelser, som du kan se ved en mislykket DMARC-evaluering.
"521 5.2.1 mislykkedes DMARC-evaluering: Denne meddelelse mislykkedes DMARC-evaluering og afvises på grund af den medfølgende DMARC-politik."
"550 5.7.1- Uautentificeret e-mail fra domain.tld er ikke accepteret på grund af domænets DMARC-politik. Kontakt venligst administratoren af domænet domain.tld-domænet, hvis dette var en legitim mail. Besøg venligst https://support.google.com/mail/answer/2451690 for at få mere at vide om DMARC-initiativet. 62si14044909itw.103 - gsmtp"
Du ser disse meddelelser på grund af DMARC-fejl. Dette sker typisk, når postkasseudbyderne ikke accepterer meddelelser, hvor From-domænet er en af deres adresser, og meddelelsen er sendt fra en uautoriseret tjenesteudbyder af postdomænet.
Derfor kan Twilio SendGrid-konti ikke sende meddelelser med en Gmail-, AOL- eller Yahoo-fra-adresse til et domæne, der på forhånd verificerer DMARC. Disse komplikationer gør det afgørende at vide, hvad DMARC-evaluering er, og hvordan man løser fejlslagen evaluering.
Hvis du stadig ønsker at sende e-mails, skal du ændre din e-mailadresse til en anden ikke-beskyttet e-mailadresse. Det er bedst at bruge dit eget e-mail-domæne, da det er legitimt. Du kan også bruge en sælgers legitime e-mail-domæne. Derefter kan du indstille Reply-To-feltet som den oprindelige adresse, der tidligere blev indstillet som Fra-adresse.
Det skal bemærkes, at e-mails med mislykket DMARC-evaluering kan blive kasseret og sporet som Blokeret. Hvis du ønsker at sende den uden fejl, skal du justere din From-adresse som angivet ovenfor og derefter prøve at sende den igen fra din side.
Syntaksfejl
Mens du lærer, hvad DMARC-evaluering er, vil du måske også gerne vide mere om syntaksfejl i DNS-poster. Almindelige SMTP-fejl begynder med koden 554, der angiver, at transaktionen er mislykket. Det er en permanent fejl, og serveren sender ikke beskeden igen.
- En 554 5.7.5 permanent fejl ved evaluering af dmarc-politik (Protonmail) lyder således;
Svaret fra den eksterne server var:
554 5.7.5 permanent fejl ved evaluering af DMARC-politik
- En 521 5.2.1 fejl, der evaluerer dmarc-politikken, lyder således:
Denne meddelelse har ikke bestået DMARC-evaluering og afvises på grund af den angivne DMARC-politik
- En 550 5.7.1-fejl, der evaluerer dmarc-politikken, lyder således:
Uautentificeret e-mail fra example.com accepteres ikke på grund af domænets dmarc-politik
Hvordan løses 521 5.2.1 Fejl i Dmarc-evalueringen?
Hvilke skridt kan du tage for at løse problemet med 'denne meddelelse har ikke bestået DMARC-evaluering' fejl?
For at bruge DMARC skal du tilpasse SPF- og en brugerdefineret DKIM-signatur. Dernæst skal du sikre, at alle de e-mail-servere, der bruger dit domæne, er opdateret. Dette omfatter også dem, som din virksomhed bruger lokalt, inden du offentliggør en DMARC-politik. Du skal opdatere politikken, hvis du modtager en bounce-meddelelse, der angiver en meddelelse, som ikke bestod DMARC-evaluering på grund af manglende SPF- eller DKIM-justering.
Du kan kontakte vores team af DMARC-eksperter for at få den rette vejledning og konfiguration.
- Hvordan ved man, om en e-mail er et fupnummer? - 27. marts 2024
- Hvad er cyberkriminalitet? Typer, konsekvenser og forebyggelse - 22. marts 2024
- Kan man have flere SPF-poster? - 19. marts 2024