hvorfor DMARC fejler | DMARC fejler

DMARC-fejl for dine meddelelser er en kilde til bekymring, hvis du er en organisation, der er meget afhængig af e-mails til både ekstern og intern kommunikation. Der findes metoder og værktøjer, som du kan bruge online (gratis) til at stoppe DMARC-fejl for dine e-mails.

I denne artikel vil vi omhyggeligt debunke de 6 vigtigste årsager til DMARC-svigt, og hvordan du kan afhjælpe dem for at forbedre leveringsmulighederne.

Inden vi går over til hvorfor DMARC fejler, skal vi se, hvad det er, og hvordan det hjælper dig:

DMARC er en vigtig aktivitet i din politik for autentificering af e-mail for at forhindre, at falske "spoofede" e-mails passerer transaktions-spamfiltre. Men det er kun én søjle i et overordnet antispamprogram, og ikke alle DMARC-rapporter er lige gode. Nogle vil fortælle dig den nøjagtige handling, som postmodtagerne har foretaget på hver enkelt meddelelse, og andre vil kun fortælle dig, om en meddelelse var vellykket eller ej. Det er lige så vigtigt at forstå, hvorfor en meddelelse ikke lykkedes, som det er lige så vigtigt at vide, om den lykkedes.

Almindelige årsager til, at DMARC kan mislykkes

Det kan være kompliceret at finde ud af, hvorfor DMARC fejler. Jeg vil dog gennemgå nogle typiske årsager og de faktorer, der bidrager til dem, så du som domæneejer kan arbejde på at afhjælpe problemet hurtigere.

DMARC-justeringsfejl

DMARC gør brug af domænetilpasning til at autentificere dine e-mails. Det betyder, at DMARC kontrollerer, om det domæne, der er nævnt i From-adressen (i den synlige header), er autentisk, ved at sammenligne det med det domæne, der er nævnt i den skjulte Return-path-headeren (for SPF) og DKIM-signaturheaderen (for DKIM). Hvis en af dem stemmer overens, godkendes e-mailen af DMARC, ellers mislykkes DMARC.

Derfor, hvis dine e-mails ikke DMARC det kan være et tilfælde af domæne forskydning. Det er hverken SPF eller DKIM-identifikatorer, der justeres, og e-mailen ser ud til at blive sendt fra en uautoriseret kilde. Dette er dog blot en af grundene til, at DMARC ikke.

DMARC-justeringstilstand 

Din protokoljusteringstilstand spiller også en stor rolle i dine meddelelser, der passerer eller svigter DMARC. Du kan vælge mellem følgende justeringstilstande for SPF-godkendelse:

  • Afslappet: Dette betyder, at hvis domænet i Return-path-headeren og domænet i From-headeren blot er et organisatorisk match, så vil SPF også bestå.
  • Strengt: Dette betyder, at SPF kun godkendes, hvis domænet i Return-path-headeren og domænet i From-headeren er nøjagtigt ens, og kun så vil SPF blive godkendt.

Du kan vælge mellem følgende justeringstilstande for DKIM-godkendelse:

  • Afslappet: Dette betyder, at hvis domænet i DKIM-signaturen og domænet i From-headeren blot er et organisatorisk match, vil DKIM også bestå.
  • Strengt: Dette betyder, at DKIM kun godkendes, hvis domænet i DKIM-signaturen og domænet i From-headeren er nøjagtigt ens, og kun så vil DKIM blive godkendt.

Bemærk, at for at e-mails kan passere DMARC-godkendelse, skal enten SPF eller DKIM tilpasses.  

Sådan konfigurerer du ikke din DKIM-signatur 

Et meget almindeligt tilfælde, hvor DMARC ikke virker, er, at du ikke har angivet en DKIM-signatur for dit domæne. I sådanne tilfælde tildeler din udbyder af e-mailudvekslingstjenester en standard-DKIM-signatur til dine udgående e-mails, som ikke stemmer overens med domænet i din From-header. Den modtagende MTA kan ikke tilpasse de to domæner, og derfor mislykkes DKIM og DMARC for din meddelelse (hvis dine meddelelser er tilpasset både SPF og DKIM).

Sender ikke kilder til din DNS 

Det er vigtigt at bemærke, at når du konfigurerer DMARC for dit domæne, udfører modtagende MTA'er DNS-forespørgsler for at godkende dine sendekilder. Det betyder, at medmindre du har alle dine autoriserede afsenderkilder opført i dit domænes DNS, vil dine e-mails ikke kunne modtage DMARC for de kilder, der ikke er opført, da modtageren ikke vil kunne finde dem i din DNS. For at sikre, at dine legitime e-mails altid leveres, skal du derfor sørge for at indtaste alle dine autoriserede tredjepartsleverandører af e-mails, som har tilladelse til at sende e-mails på vegne af dit domæne, i din DNS.

I tilfælde af videresendelse af e-mail

Under videresendelse af e-mail passerer e-mailen gennem en mellemliggende server, før den i sidste ende leveres til den modtagende server. Under videresendelse af e-mail mislykkes SPF-kontrollen, da IP-adressen på den mellemliggende server ikke svarer til den afsendende servers IP-adresse, og denne nye IP-adresse er normalt ikke medtaget i den oprindelige servers SPF-post. Derimod påvirker videresendelse af e-mails normalt ikke DKIM-e-mailgodkendelsen, medmindre den formidlende server eller den videresendende enhed foretager visse ændringer i meddelelsens indhold.

Som vi ved, at SPF uundgåeligt mislykkes under videresendelse af e-mail, hvis den afsendende kilde er DKIM-neutral og udelukkende er afhængig af SPF til validering, vil den videresendte e-mail blive gjort ulovlig under DMARC-godkendelse. For at løse dette problem skal du straks vælge fuld DMARC-overholdelse i din organisation ved at justere og godkende alle udgående meddelelser i forhold til både SPF og DKIM, da e-mail for at bestå DMARC-godkendelse kræves e-mailen for at bestå enten SPF- eller DKIM-godkendelse og -justering.

Dit domæne bliver forfalsket

Hvis du har konfigureret dine DMARC-, SPF- og DKIM-protokoller korrekt for dit domæne, med dine politikker til håndhævelse og gyldige fejlfrie poster, og problemet ikke er et af de ovennævnte tilfælde, er den mest sandsynlige årsag til, at dine e-mails ikke opfylder DMARC, at dit domæne bliver forfalsket eller forfalsket. Dette er, når imitatorer og trusselsaktører forsøger at sende e-mails, der ser ud til at komme fra dit domæne ved hjælp af en ondsindet IP-adresse.

Nylige statistikker om e-mailsvindel har konkluderet, at antallet af tilfælde af e-mailforfalskninger er steget i den seneste tid og udgør en meget stor trussel mod din virksomheds omdømme. I sådanne tilfælde vil DMARC, hvis du har implementeret en afvisningspolitik, mislykkes, og den spoofede e-mail vil ikke blive leveret til modtagerens indbakke. Derfor kan domænespoofing være svaret på, hvorfor DMARC fejler i de fleste tilfælde.

Hvorfor fejler DMARC for tredjepartsudbydere af postkasser? (Gmail, Mailchimp, Sendgrid osv.)

Hvis du bruger eksterne postkasseudbydere til at sende e-mails på dine vegne, skal du aktivere DMARC, SPF og/eller DKIM for dem. Det kan du gøre ved enten at kontakte dem og bede dem om at håndtere implementeringen for dig, eller du kan tage sagen i egen hånd og manuelt aktivere protokollerne. For at gøre dette skal du have adgang til din kontoportal, der er hostet på hver af disse platforme (som administrator).

Hvis dine Gmail-meddelelser ikke kan modtage DMARC, skal du gå over til dit domænes SPF-record og kontrollere, om du har inkluderet _spf.google.com i den. Hvis ikke, kan det være en af grundene til, at modtagerservere ikke kan identificere Gmail som din autoriserede afsendelseskilde. Det samme gælder for dine e-mails sendt fra Mailchimp, Sendgrid og andre.

Hvordan retter man DMARC-fejl?

For at rette op på DMARC-fejl anbefaler vi, at du tilmelder dig vores gratis DMARC Analyzer og starter din rejse med DMARC-rapportering og -overvågning.

#Stræk 1: Med en politik, der ikke omfatter nogen, kan du begynde med at overvåge dit domæne med DMARC (RUA) Aggregate Reports og holde et vågent øje med dine indgående og udgående e-mails, hvilket vil hjælpe dig med at reagere på eventuelle uønskede leveringsproblemer.

#Strin 2: Derefter hjælper vi dig med at skifte til en håndhævet politik, som i sidste ende vil hjælpe dig med at opnå immunitet mod domæne-spoofing og phishing-angreb

#Stræk 3: Fjern ondsindede IP-adresser og rapporter dem direkte fra PowerDMARC-platformen for at undgå fremtidige angreb med hjælp fra vores Threat Intelligence-motor

#Stræk 4: Aktiver DMARC (RUF) Forensiske rapporter for at få detaljerede oplysninger om tilfælde, hvor dine e-mails har fejlet DMARC, så du kan gå til roden af problemet og løse det hurtigere

Hvordan håndterer man meddelelser, der ikke opfylder DMARC?

Bemærk, at en e-mail kan mislykkes i DMARC på grund af sædvanlige omstændigheder som f.eks. en spoofing-trussel, manglende tilpasning for a) kun DKIM b) kun SPF c) begge dele. Hvis den ikke består begge dele, vil din meddelelse nu blive anset for at være uautoriseret. Du kan konfigurere en passende DMARC-politik for at instruere modtagerne om, hvordan de skal reagere på disse e-mails.

Vi håber, at vi kunne løse problemet med hvorfor DMARC fejler for dit domæne og give en løsning på, hvordan du nemt kan løse problemet. For at forhindre domænespoofing og overvåge dit e-mailflow med PowerDMARC, i dag!

Nyeste indlæg af Ahona Rudra (se alle)