554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie [SOLVED]

Blog

Ein "554 5.7.5 Permanent Error Evaluating DMARC Policy" weist auf einen Fehler bei der Authentifizierung hin, der die Zustellung aufgrund eines falsch konfigurierten DMARC-Datensatzes verhindert.

von YunesTarada

Lesezeit: 9 min
554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie [SOLVED]
Inhaltsverzeichnis-

A 554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie zeigt einen Fehler bei der E-Mail-Authentifizierung an, der die Zustellung von E-Mails aufgrund eines falsch konfigurierten DMARC-Datensatzes verhindert.

Wichtigste Erkenntnisse

  1. Falsche Syntax in SPF-, DKIM- oder DMARC-Einträgen kann zu einem "554 5.7.5 permanent error evaluating DMARC policy" führen.
  2. Dieser Fehler verhindert die E-Mail-Zustellung, indem er die SMTP-Ports blockiert und die Kommunikation unterbricht.
  3. Ihr SPF-Eintrag sollte mit -all oder ~all enden, um neutrale Richtlinien zu vermeiden und die DNS-Lookup-Limits einzuhalten.
  4. Stellen Sie sicher, dass das d=-Tag in DKIM-Signaturen mit den sendenden Domänen übereinstimmt, um DMARC-Validierungsfehler zu vermeiden.
  5. Die vorübergehende Einstellung von DMARC auf p=none kann bei der Überwachung des Mailflusses helfen, bevor strengere Richtlinien durchgesetzt werden.

Domain-Besitzer stoßen möglicherweise auf die Meldung "554 5.7.5 permanent error evaluating DMARC-Richtlinie"Fehler aus den folgenden Gründen auftreten:

  1. Falsche SPF-, DKIM- oder DMARC-Datensatzsyntax 
  2. Redundante oder fehlende Zeichen in DNS-Einträgen 
  3. Fehlende Unterstützung für SPF-ausgerichtete E-Mails 
  4. DKIM-Signatur-Domänen-Fehlanpassungen

Der "554 5.7.5 permanente Fehler bei der Auswertung DMARC Richtlinie" ist ein häufiger Fehler, der die SMTP Ports daran hindert, E-Mails von Ihrer Domain zu akzeptieren. Das Problem tritt normalerweise aufgrund einer Kombination von Einstellungen im SPF-Eintrag auf, DMARC-Eintragoder dem E-Mail-Dienst.

In dieser Anleitung beschreiben wir, wie Sie dieses Problem schnell und einfach lösen können.

Vereinfachen Sie 554 5.7.5 Permanenter Fehler mit PowerDMARC!

15-Tage-TestDemo buchen

Warum erhalten Sie den Fehler "554 5.7.5 Permanent Error Evaluating DMARC Policy"?

Wenn Sie mit einem "554 5.7.5 permanent error evaluating DMARC policy" konfrontiert sind, finden Sie hier einige häufige Gründe für diesen Fehler:

1. Unvollständige oder falsche DMARC-Einstellungen

Unvollständige DMARC-Datensätze können zu Fehlern bei der Bewertung der DMARC-Richtlinie führen. Zum Beispiel ein fehlendes p=-Tag. Wenn Ihr DMARC-Datensatz etwa so aussieht: 

v=DMARC1; pct=100;

Dies ist ein Beispiel für unvollständige DMARC-Einstellungen Das Richtlinien-Tag fehlt. Dies ist ein fehlerhafter Datensatz. Wenn Sie DMARCeinrichten, können Sie entweder p=none oder p=quarantine/reject verwenden.

Ebenso können Syntaxfehler in Ihrem Datensatz, wie zusätzliche Zeichen oder Leerzeichen, den 554 5.7.5 permanenten Fehler bei der Auswertung der DMARC-Richtlinie auslösen. 

v=DMARC1; p:none; pct=100; rua=mailto:[email protected]

In diesem Beispiel ist das ":" ein falsches Zeichen, da auf alle Mechanismen ein Gleichheitszeichen (=) folgt, gefolgt von dem Wert. 

Die richtige Reihenfolge der DMARC-Datensätze

  • Ihr DMARC-Eintrag sollte mit dem Versionsnamen v=DMARC1 beginnen. 
  • Das Richtlinien-Tag ist ebenfalls obligatorisch und sollte den Wert "none/reject/quarantine" haben. 
  • Alle DMARC-Tags müssen von "=[Wert]" gefolgt werden und mit einem Semikolon (;) enden. 
  • Zwischen den einzelnen Mechanismen oder Tags sollte ein einzelnes Leerzeichen stehen 
  • Zwischen den einzelnen definierten Mechanismen sollten keine Leerzeichen stehen, zum Beispiel: p=none; 

2. Falsche DKIM-Ausrichtung

DKIM steht für DomainKeys Identified Mail. Es handelt sich um eine Methode zur Überprüfung der Authentizität des E-Mail-Absenders, die böswillige Akteure daran hindert, den Domänennamen des E-Mail-Absenders vorzutäuschen.

Manchmal kann es zu Problemen mit der DKIM-Authentifizierung kommen. Eine Nichtübereinstimmung zwischen dem "d="-Tag in der DKIM-Signatur und der sendenden Domäne führt zu einer fehlgeschlagenen DMARC-Auswertung.

Wenn Sie z. B. Ihren Domänennamen geändert haben und ihn in den DKIM-Einträgen nicht aktualisiert haben, wird auch die Bewertung der DMARC-Richtlinie fehlschlagen.

3. Falscher SPF-Eintrag

SPF steht für Sender Policy Framework. Es ist eine E-Mail-Authentifizierungstechnik, mit der überprüft werden kann, ob eine E-Mail-Nachricht von einem gültigen Absender-Server stammt oder nicht.

DMARC prüft SPF-Einträge, um festzustellen, ob sie gültig sind oder nicht. Sie müssen sicherstellen, dass die SPF-Einträge korrekt konfiguriert sind und mit Ihrem Domänennamen funktionieren, um diesen Fehler zu vermeiden. Einige Dinge, die bei SPF zu vermeiden sind, sind folgende: 

  • Ihr SPF-Eintrag muss mit einem Ausfallmechanismus enden (-all oder ~all) 
  • Vermeiden Sie die Verwendung einer neutralen Richtlinie für die SPF-Bewertung 
  • Vermeiden Sie die Überschreitung von SPF DNS und void lookup limits 

4. Fehlende Unterstützung für SPF-ausgerichtete E-Mails durch Ihren ESP

Wenn Sie die Fehlermeldung "554 5.7.5 Permanent Error Evaluating DMARC Policy" erhalten, kann es sich um ein Problem auf Seiten Ihres E-Mail-Anbieters handeln. Nicht alle E-Mail-Anbieter unterstützen SPF-ausgerichtete E-Mails. Einige handhaben SPF-Richtlinien sogar intern, was zu Fehlern führen kann, wenn Sie SPF für Ihre Domain aktiviert haben. 

Behebung von "554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie" in 5 Schritten

Sie können die folgenden Schritte ausführen, um den Fehler "554 5.7.5 Permanent Error Evaluating DMARC Policy" möglicherweise zu beheben. Eine Lösung ist jedoch nicht garantiert. Wenn diese Schritte den Fehler nicht beheben kontaktieren Sie uns für eine kostenlose Bewertung der Domain-Sicherheit.

1. Zusätzliche Zeichen aus dem Datensatz entfernen

Der 5.7.5 permanente Fehler bei der Bewertung der DMARC-Richtlinie kann auf verschiedene Faktoren zurückzuführen sein, zu den häufigsten Ursachen gehören jedoch folgende:

  • Falsch verwendete Anführungszeichen
  • Überzählige Zeichen oder Symbole im Datensatz
  • Ein fehlendes Semikolon zum Abschluss des Satzes.

Hier ist ein Beispiel für einen Datensatz, der diesen Fehler verursachte:

v=DMARC1; p=keine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1:d:s.

Dieser Datensatz sieht auf den ersten Blick vielleicht gut aus, aber beim Testen erhielten wir die Meldung "5.7.5 permanent error evaluating DMARC policy".

Bei einer erneuten Überprüfung stellten wir fest, dass am Ende des Datensatzes ein zusätzlicher Punkt stand - wenn Sie sich denselben Datensatz wie oben genau ansehen, können Sie erkennen, dass am Ende ein Punkt (.) steht. 

Nachdem wir diesen Punkt entfernt und den Test erneut durchgeführt hatten, funktionierte er einwandfrei.

So sieht der gleiche Datensatz ohne Fehler aus:

v=DMARC1; p=keine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1:d:s

2. Ändern Sie Ihren SPF-Eintrag von neutral

Wenn Sie beim Versuch, eine E-Mail zu versenden, die Fehlermeldung "5.7.5 permanent error evaluating DMARC policy" erhalten, liegt das wahrscheinlich daran, dass Ihr SPF-Eintrag auf Neutral eingestellt ist.

SPF steht für Sender Policy Framework und hilft sicherzustellen, dass der Mailserver, von dem eine E-Mail gesendet wird, legitim ist. Es reicht nicht aus, einen Server zu haben, der E-Mails versendet; es muss überprüft werden, ob der Server legitim ist. Genau das tut SPF: Es verifiziert, dass Ihr Mailserver über die richtigen Anmeldedaten verfügt.

Warum kann Ihr SPF-Eintrag nicht neutral sein? 

Wenn Nachrichten über einen neutralen Server gesendet werden dürfen, könnten Betrüger gefälschte E-Mails mit Ihrem Domänennamen verschicken, was bedeutet, dass die Leute denken könnten, sie seien echt, obwohl sie es nicht sind.

Deshalb sollten Sie zumindest Ihren SPF-Eintrag auf softfail ~all oder hardfail -all ändern, wenn Sie DMARC implementieren, damit die Empfänger wissen, dass eine Nachricht von Ihrem Domänennamen wahrscheinlich sicher ist.

3. Prüfen Sie, ob Ihr E-Mail-Dienstanbieter SPF-ausgerichtete E-Mails unterstützt

Einer der häufigsten Gründe für den Erhalt dieser Fehlermeldung ist, dass Ihr E-Mail-Dienstanbieter keine SPF-ausgerichteten E-Mails unterstützt.

E-Mail-Anbieter wie MailChimp und ProtonMail haben ihre eigenen SPF-Einträge, und wenn Sie E-Mails über sie senden, senden sie keine SFP-ausgerichteten E-Mails. Daher ist es wichtig, dass Sie den SPF-Verteilungstyp Ihres E-Mail-Anbieters überprüfen, um zu sehen, ob er SPF-ausgerichtete E-Mails unterstützt.

Wenn dies der Fall ist, wird Ihre DKIM-Signatur während des Sendevorgangs so geändert, dass die Absenderadresse mit Ihrer eigenen Domäne (statt mit der Domäne von MailChimp) übereinstimmt und gewährleistet, dass Sie die DMARC-Richtlinienprüfung bestehen.

Wenn dies nicht der Fall ist, müssen Sie einen anderen E-Mail-Anbieter verwenden (oder die Einstellungen Ihres bestehenden Anbieters ändern), damit Sie SPF-ausgerichtete E-Mails versenden können.

4. Umstellung auf p=none Richtlinie für DMARC

Wenn Sie die Fehlermeldung "554 5.7.5 permanent error evaluating DMARC policy" erhalten, bedeutet dies, dass die DMARC-Richtlinie Ihrer Domäne Sie am Versand Ihrer E-Mails hindert. Um dies zu beheben, müssen Sie nur Ihren DMARC-Eintrag bei Ihrem DNS-Anbieter so ändern, dass er eine p=none-Richtlinie enthält.

Die DMARC-Richtlinie gibt den E-Mail-Anbietern vor, wie sie mit E-Mails verfahren sollen, die die SPF- und DKIM-Prüfungen nicht bestehen: Sie können sie zurückweisen oder unter Quarantäne stellen. Wenn Sie E-Mails auch dann versenden möchten, wenn diese Prüfungen nicht bestanden wurden, können Sie Ihre Richtlinie vorübergehend lockern, indem Sie sie in Ihren DNS-Einstellungen auf p=none setzen.

DMARC none wird als "entspannte, nicht reagierende oder nur überwachende Richtlinie" bezeichnet und wird daher nicht zur Verhinderung von E-Mail-Spoofing empfohlen.. Wenn Sie jedoch Ihre DMARC-Richtlinie auf p=none ändern, können Sie Ihre E-Mails an Posteingänge zustellen, ohne von DMARC-Fehlern betroffen zu sein.

Sie könnten zum Beispiel diesen Datensatz ändern:

_dmarc.yourdomain.com TXT v=DMARC1; p=reject; rua=mailto:[email protected];

dazu:

_dmarc.yourdomain.com TXT v=DMARC1; p=none; rua=mailto:[email protected];

Was bedeutet das für Sie? Sie können Ihre E-Mails senden, auch wenn sie DMARC nicht bestehen. Sie sollten jedoch letztlich auf eine p=reject- oder p=quarantine-Richtlinie zurückgreifen, um E-Mail-Spoofing auf Ihrer Domain zu verhindern.

5. DomainKeys Identified Mail (DKIM)-Authentifizierung einrichten

Wenn Sie den Fehlercode "554 5.7.5 permanent error evaluating DMARC policy" erhalten, bedeutet dies, dass die E-Mail-Authentifizierung DomainKeys Identified Mail (DKIM) für Ihre Domain nicht aktiviert wurde. Um DMARC zu bestehen, müssen Sie also einen DKIM-E-Mail-Authentifizierungsdatensatz einrichten (falls Sie nicht bereits SPF haben).

Hier sind die Schritte, die Sie dazu benötigen:

  • Melden Sie sich bei PowerDMARC an und wählen Sie DKIM-Datensatzgenerator aus unserer Power Toolbox. 
  • Geben Sie Ihren Domänennamen ein, definieren Sie einen Selektor (z. B. selector1) für Ihren Eintrag und klicken Sie auf die Schaltfläche Generieren. 
  • Unser Tool generiert automatisch Ihre öffentlichen und privaten DKIM-Schlüsselpaare. 
  • Kopieren Sie den generierten TXT-Eintragsnamen und den TXT-Eintragswert (Wert des öffentlichen Schlüssels) und veröffentlichen Sie sie in Ihrem DNS, indem Sie auf Ihre DNS-Verwaltungskonsole zugreifen. 

Anforderungen an die Formatierung von DMARC-Richtlinien

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das es den Empfängern ermöglicht, zu überprüfen, ob E-Mails, die vorgeben, von Ihrer Domäne zu stammen, tatsächlich von Ihrer Domäne kommen. In diesem Leitfaden werden einige der wichtigen Formatierungsanforderungen bei der Ersteinrichtung von DMARC erläutert.

  •  Zunächst muss Ihr DMARC-Eintrag mit "v=DMARC1" beginnen. Dies lässt E-Mail-Anbieter wissen, dass der Datensatz gemäß der derzeit verwendeten DMARC-Version formatiert ist (das ist 1). 
  •  Geben Sie als nächstes Ihre Richtlinie an. Die Richtlinie muss entweder p=keine, p=Quarantäne oder p=zurückweisen lauten. Damit wird den E-Mail-Anbietern mitgeteilt, was zu tun ist, wenn eine E-Mail die Authentifizierungsprüfung nicht besteht. 
  • Das Richtlinienfeld in Ihrem DMARC-Datensatz ist ein Pflichtfeld nach dem Feld v= Version. Die Richtlinie kann eine von drei Möglichkeiten sein: p=keine, p=Quarantäne oder p=zurückweisen. "Keine" bedeutet, dass der E-Mail-Anbieter nichts unternehmen soll, wenn er eine verdächtige E-Mail von Ihrer Domäne sieht - er lässt sie einfach in Ruhe und stellt sie vielleicht sogar zu. "Quarantäne" bedeutet, dass Sie möchten, dass verdächtige E-Mails von Ihrer Domäne als Spam oder Junk-Mail zugestellt werden, anstatt als normale E-Mails zugestellt zu werden. Die Option "Ablehnen" schließlich bedeutet, dass verdächtige E-Mails von Ihrer Domäne abgelehnt und überhaupt nicht zugestellt werden sollen.
  •  Verwenden Sie Doppelpunkte als Trennzeichen zwischen Werten - es ist eine gute Idee, Doppelpunkte und nicht Semikolons zu verwenden. Semikolons können Probleme verursachen, insbesondere wenn mehrere Werte in einer Zeile angegeben werden.
  •  Verwenden Sie keine zusätzlichen Zeichen oder falsche Anführungszeichen. Überschüssige Leerzeichen am Ende von Zeilen werden als Teil des Datensatzes behandelt, was zu Problemen führen kann.

Hier ist ein Beispiel für einen guten DMARC-Datensatz:

v=DMARC1; p=reject; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=100;

So finden Sie Fehler in der DMARC-Aufzeichnungsrichtlinie

Ein DMARC-Eintrag ist ein guter Schritt zur Sicherung Ihrer E-Mail-Kommunikation. Wenn er jedoch Fehler enthält, ist das gesamte System unwirksam. Deshalb ist es wichtig, Fehler zu finden und sie so schnell wie möglich zu beheben.

Der beste Weg, dies zu tun, ist die Verwendung der DMARC-Abfrage Werkzeug von PowerDMARC. Das Tool prüft, ob Ihr Datensatz gültig ist oder nicht, und zeigt Ihnen mögliche Fehler an. Sie können das Tool kostenlos nutzen, indem Sie diese Schritte befolgen:

1. Melden Sie sich bei PowerDMARC an und navigieren Sie zum DMARC Lookup Tool in Power Toolbox.

2. Geben Sie Ihren Domänennamen in das leere Feld ein.

3. Nach der Prüfung Ihres Datensatzes zeigt Ihnen das Tool eine Übersicht über die veröffentlichte Syntax und hebt Fehler in Ihrem Datensatz hervor.

 

4. Wenn es Fehler gibt, werden diese auf der Seite hervorgehoben. 

5. Sobald Sie wissen, woher die Fehler kommen, können Sie sie anhand der mit jeder Fehlermeldung gelieferten Anweisungen leicht beheben.

Machen Sie sich Sorgen um die Sicherheit Ihrer Geschäfts-E-Mails?

Das ist ein echtes Problem. In der Tat beginnen viele Cyberangriffe mit einer E-Mail. Der DBIR 2019 von Verizon berichtet, dass 94 % der Datenschutzverletzungen mit Angriffen beginnen, die auf Menschen per E-Mail abzielen.

Das heißt aber nicht, dass Sie aufgeben müssen, Ihre Kunden per E-Mail zu erreichen!

Sichern Sie stattdessen alle Ihre Geschäfts-E-Mails mit den E-Mail-Authentifizierungsdiensten von PowerDMARC. So gewinnen Sie das Vertrauen Ihrer Kunden und schützen Ihre Marke vor Phishing-Versuchen durch Hacker und andere schlechte Akteure.

Mit PowerDMARC können Sie sicherstellen, dass alle E-Mails, die von Ihrem Unternehmen stammen, von Ihren Kunden nicht nur sicher geöffnet werden können, sondern auch leicht als legitime Mitteilungen Ihrer Marke zu erkennen sind, da sie mit dem Siegel Ihres Unternehmens versehen sind.

Wir wissen, dass Ihnen der Schutz der Integrität Ihres Firmennamens und -images wichtig ist, und wir möchten, dass Sie dies auf eine Art und Weise tun können, die für beide Seiten sinnvoll ist. Deshalb bieten wir diesen Service zu einem erschwinglichen Preis an und geben unseren Kunden gleichzeitig Zugang zu unserem gesamten Fachwissen über E-Mail-Authentifizierungstechniken.

Ist Ihre Domain gegen E-Mail-Spoofing geschützt? Holen Sie sich Ihr kostenlose DMARC Testversion noch heute!

Neueste Beiträge von Yunes Tarada (alle anzeigen)
NCSC Mail Check-Änderungen und ihre Auswirkungen auf die E-Mail-Sicherheit im öffentlichen Sektor...DMARC für PCI DSS: Version 4.0 Anforderungen und Empfehlungen