554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie [SOLVED]

Yunes Tarada

vor 2 Jahren

554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie

Lesezeit: 7 min

Haben Sie die Meldung "554 5.7.5 permanent error evaluating DMARC-Richtlinie" beim Versenden von E-Mails von Ihrer Domain? Der "554 5.7.5 permanent error evaluating DMARC policy" ist ein häufiger Fehler, der die SMTP-Ports daran hindert, E-Mails von Ihrer Domain zu akzeptieren. Das Problem tritt normalerweise aufgrund einer Kombination von Einstellungen im SPF-Eintrag, DMARC-Eintrag oder E-Mail-Dienst auf.

In dieser Anleitung beschreiben wir, wie Sie dieses Problem schnell und einfach lösen können.

Gründe für 554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie

Wenn Sie mit einem "554 5.7.5 permanent error evaluating DMARC policy" konfrontiert sind, finden Sie hier einige häufige Gründe für diesen Fehler:

1. Unvollständige DMARC-Einstellungen

Wenn Sie DMARC einrichten, können Sie entweder p=none oder p=quarantine/reject verwenden. Wenn Sie die Richtlinie p=none verwenden, müssen Sie sicherstellen, dass SPF und DKIM die Nachricht weiterleiten. Andernfalls wird sie bei der Bewertung der DMARC-Richtlinie nicht berücksichtigt.

2. Falscher DKIM-E-Mail-Authentifizierungssatz

DKIM steht für DomainKeys Identified Mail. Es handelt sich um eine Methode zur Überprüfung der Authentizität des E-Mail-Absenders, die böswillige Akteure daran hindert, den Domänennamen des E-Mail-Absenders vorzutäuschen.

Manchmal kann es zu Problemen mit der DKIM-Authentifizierung kommen. Eine Nichtübereinstimmung zwischen dem "d="-Tag in der DKIM-Signatur und der sendenden Domäne führt zu einer fehlgeschlagenen DMARC-Auswertung.

Wenn Sie z. B. Ihren Domänennamen geändert haben und ihn in den DKIM-Einträgen nicht aktualisiert haben, wird auch die Bewertung der DMARC-Richtlinie fehlschlagen.

3. Falscher SPF-Eintrag

SPF steht für Sender Policy Framework. Es ist eine E-Mail-Authentifizierungstechnik, mit der überprüft werden kann, ob eine E-Mail-Nachricht von einem gültigen Absender-Server stammt oder nicht.

DMARC prüft SPF-Einträge, um festzustellen, ob sie gültig sind oder nicht. Sie müssen sicherstellen, dass die SPF-Einträge richtig konfiguriert sind und mit Ihrem Domänennamen funktionieren, um diesen Fehler zu vermeiden.

4. Falsche Politikbewertung auf Empfängerseite

Wenn der empfangende Server Ihre DMARC-Richtlinieneinstellungen falsch auswertet, kann dies ebenfalls zu diesem Fehler führen. Das bedeutet, dass der Empfängerserver E-Mails aufgrund seiner eigenen Richtlinien ablehnt und nicht, weil etwas mit Ihren DMARC-Einstellungen nicht stimmt.

Um dieses Problem zu vermeiden, stellen Sie sicher, dass alle oben genannten Punkte richtig konfiguriert sind, um die Richtlinienbewertung auf der Empfängerseite zu bestehen.

Sprechen Sie anschließend mit dem Empfänger und bitten Sie ihn, sein eigenes DMARC zu bewerten.

554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie beheben

1. Zusätzliche Zeichen aus dem Datensatz entfernen

Der Fehler 5.7.5 permanenter Fehler bei der Auswertung der DMARC-Richtlinie kann verschiedene Ursachen haben, die häufigsten sind jedoch:

falsche Anführungszeichen
zusätzliche Zeichen oder Symbole im Datensatz
ein fehlendes Semikolon am Ende des Datensatzes

Hier ist ein Beispiel für einen Datensatz, der diesen Fehler verursachte:

v=DMARC1; p=keine; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s.

Dieser Datensatz sieht auf den ersten Blick vielleicht gut aus, aber beim Testen erhielten wir die Meldung "5.7.5 permanent error evaluating DMARC policy".

Bei einer erneuten Überprüfung stellten wir fest, dass am Ende des Datensatzes ein zusätzlicher Punkt stand - wenn Sie sich denselben Datensatz wie oben genau ansehen, können Sie erkennen, dass am Ende ein Punkt (.) steht.

Nachdem wir diesen Punkt entfernt und den Test erneut durchgeführt hatten, funktionierte er einwandfrei.

So sieht der gleiche Datensatz ohne Fehler aus:

v=DMARC1; p=keine; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s

2. Ändern Sie Ihren SPF-Eintrag von neutral

Wenn Sie beim Versuch, eine E-Mail zu versenden, die Fehlermeldung "5.7.5 permanent error evaluating DMARC policy" erhalten, liegt das wahrscheinlich daran, dass Ihr SPF-Eintrag auf Neutral eingestellt ist.

SPF steht für Sender Policy Framework und hilft sicherzustellen, dass der Mailserver, von dem eine E-Mail gesendet wird, legitim ist. Es reicht nicht aus, einen Server zu haben, der E-Mails versendet; es muss überprüft werden, ob der Server legitim ist. Genau das tut SPF: Es verifiziert, dass Ihr Mailserver über die richtigen Anmeldedaten verfügt.

Warum kann Ihr SPF-Eintrag nicht neutral sein?

Denn wenn Nachrichten über einen neutralen Server gesendet werden dürfen, könnten Betrüger gefälschte E-Mails mit Ihrem Domänennamen verschicken, was bedeutet, dass die Leute denken könnten, sie seien echt, obwohl sie es nicht sind - und schließlich auf Links klicken oder Dateien herunterladen, die sie nicht sollten.

Deshalb sollten Sie zumindest Ihren SPF-Eintrag ändern in softfail ~all oder hardfail -all ändern, wenn Sie DMARC implementieren, damit die Empfänger wissen, dass eine Nachricht von Ihrem Domänennamen wahrscheinlich sicher ist.

3. Prüfen Sie, ob Ihr E-Mail-Dienstanbieter SPF-ausgerichtete E-Mails unterstützt

Einer der häufigsten Gründe für den Erhalt dieser Fehlermeldung ist, dass Ihr E-Mail-Dienstanbieter keine SPF-ausgerichteten E-Mails unterstützt.

E-Mail-Anbieter wie MailChimp und ProtonMail haben ihre eigenen SPF-Einträge, und wenn Sie E-Mails über sie senden, senden sie keine SFP-ausgerichteten E-Mails. Daher ist es wichtig, dass Sie den SPF-Verteilungstyp Ihres E-Mail-Anbieters überprüfen, um zu sehen, ob er SPF-ausgerichtete E-Mails unterstützt.

Wenn dies der Fall ist, wird Ihre DKIM-Signatur während des Sendevorgangs so geändert, dass die Absenderadresse mit Ihrer eigenen Domäne übereinstimmt (statt mit der Domäne von MailChimp), und gewährleistet, dass Sie die DMARC-Richtlinienprüfung bestehen.

Wenn dies nicht der Fall ist, müssen Sie einen anderen E-Mail-Anbieter verwenden (oder die Einstellungen Ihres bestehenden Anbieters ändern), damit Sie SPF-ausgerichtete E-Mails versenden können.

4. Ändern der p=none-Richtlinie für DMARC

Wenn Sie die Fehlermeldung "554 5.7.5 permanent error evaluating DMARC policy" erhalten, bedeutet dies, dass die DMARC-Richtlinie Ihrer Domäne Sie am Versand Ihrer E-Mails hindert. Um dies zu beheben, müssen Sie nur Ihren DMARC-Eintrag bei Ihrem DNS-Anbieter so ändern, dass er eine p=none-Richtlinie enthält.

Die DMARC-Richtlinie gibt den E-Mail-Anbietern vor, wie sie mit E-Mails verfahren sollen, die die SPF- und DKIM-Prüfungen nicht bestehen: Sie können sie zurückweisen oder unter Quarantäne stellen. Wenn Sie E-Mails auch dann versenden möchten, wenn diese Prüfungen nicht bestanden wurden, können Sie Ihre Richtlinie vorübergehend lockern, indem Sie sie auf p=none in Ihren DNS-Einstellungen festlegen.

Dies wird als "lockere Richtlinie" bezeichnet und ist daher nicht zum Schutz vor E-Mail-Spoofing zu empfehlen. Wenn Sie jedoch Ihre DMARC-Richtlinie auf p=none ändern, können Sie vorübergehend E-Mails senden, ohne DMARC-Fehler zu erhalten.

Sie könnten zum Beispiel diesen Datensatz ändern:

_dmarc.yourdomain.com TXT "v=DMARC1; p=reject; fo=1

dazu:

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; fo=1

Was bedeutet das für Sie? Sie können Ihre E-Mails versenden, auch wenn sie DMARC nicht bestehen. Sie sollten jedoch zu einer p=reject- oder p=quarantine-Richtlinie zurückkehren, um E-Mail-Spoofing auf Ihrer Domain zu verhindern.

5. DomainKeys Identified Mail (DKIM)-Authentifizierung einrichten

Wenn Sie die Fehlermeldung "554 5.7.5 permanent error evaluating DMARC policy" (554 5.7.5 permanenter Fehler bei der Auswertung der DMARC-Richtlinie) erhalten, bedeutet dies, dass Sie die E-Mail-Authentifizierung mit DomainKeys Identified Mail (DKIM) in Ihrer Domain nicht aktiviert haben - und um DMARC zu bestehen, müssen Sie einen DKIM-E-Mail-Authentifizierungsdatensatz eingerichtet haben.

Dazu müssen Sie Folgendes tun:

Wählen Sie die Option "Ich verwalte meine E-Mail-Authentifizierung" auf der Seite Einstellungen Ihres Kontos.
Geben Sie den Domänennamen in das Feld DKIM ein und klicken Sie auf Speichern.
Kopieren Sie den generierten TXT-Eintragsnamen und den TXT-Eintragswert in die DNS-Einträge Ihres Webhosts

Anforderungen an die Formatierung von DMARC-Richtlinien

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das es den Empfängern ermöglicht, zu überprüfen, ob E-Mails, die vorgeben, von Ihrer Domäne zu stammen, tatsächlich von Ihrer Domäne kommen. In diesem Leitfaden werden einige der wichtigen Formatierungsanforderungen bei der Ersteinrichtung von DMARC erläutert.

Zunächst muss Ihr DMARC-Eintrag mit "v=DMARC1" beginnen. Dies lässt E-Mail-Anbieter wissen, dass der Datensatz gemäß der derzeit verwendeten DMARC-Version formatiert ist (das ist 1).
Geben Sie als nächstes Ihre Richtlinie an. Die Richtlinie muss entweder p=none oder p=quarantine oder p=reject lauten. Damit wird den E-Mail-Anbietern mitgeteilt, was zu tun ist, wenn eine E-Mail die Authentifizierungsprüfung nicht besteht.
Die Richtlinie sollte der zweite Wert im Datensatz sein. Die Richtlinie kann eine von drei Möglichkeiten sein: p=keine, p=Quarantäne oder p=zurückweisen. "Keine" bedeutet, dass der E-Mail-Anbieter nichts unternehmen soll, wenn er eine verdächtige E-Mail von Ihrer Domäne sieht - er lässt sie einfach in Ruhe und stellt sie vielleicht sogar zu. "Quarantäne" bedeutet, dass Sie möchten, dass verdächtige E-Mails von Ihrer Domäne als Spam oder Junk-Mail zugestellt werden, anstatt als normale E-Mails zugestellt zu werden. Die Option "Ablehnen" schließlich bedeutet, dass verdächtige E-Mails von Ihrer Domäne abgelehnt und überhaupt nicht zugestellt werden sollen.
Verwenden Sie Doppelpunkte als Trennzeichen zwischen Werten - es ist eine gute Idee, Doppelpunkte und nicht Semikolons zu verwenden. Semikolons können Probleme verursachen, insbesondere wenn mehrere Werte in einer Zeile angegeben werden.
Verwenden Sie keine zusätzlichen Zeichen oder falsche Anführungszeichen. Überschüssige Leerzeichen am Ende von Zeilen werden als Teil des Datensatzes behandelt, was zu Problemen führen kann.

Hier ist ein Beispiel für einen guten DMARC-Datensatz:

v=DMARC1; pct=100; p=ablehnen; rua=mailto:dmarc@example.net; mailto:dmarc-rua@example.com; aspf=s

So finden Sie Fehler in der DMARC-Aufzeichnungsrichtlinie

Ein DMARC-Eintrag ist ein guter Schritt zur Sicherung Ihrer E-Mail-Kommunikation. Wenn er jedoch Fehler enthält, ist das gesamte System unwirksam. Deshalb ist es wichtig, Fehler zu finden und sie so schnell wie möglich zu beheben.

Der beste Weg, dies zu tun, ist die Verwendung der DMARC-Abfrage Werkzeug von PowerDMARC. Das Tool prüft, ob Ihr Datensatz gültig ist oder nicht, und zeigt Ihnen mögliche Fehler an. Sie können das Tool kostenlos nutzen, indem Sie diese Schritte befolgen:

Besuchen Sie das DMARC Lookup Tool von PowerDMARC.
Geben Sie Ihren Domänennamen in das leere Feld ein.
Sobald Ihr Datensatz geprüft wurde, zeigt Ihnen das Tool eine Übersicht über die gesamte Datenbank.
Wenn es Fehler gibt, werden diese auf der Seite hervorgehoben.
Sobald Sie wissen, woher die Fehler kommen, können Sie sie anhand der mit jeder Fehlermeldung gelieferten Anweisungen leicht beheben.

Machen Sie sich Sorgen um die Sicherheit Ihrer Geschäfts-E-Mails?

Das ist ein echtes Problem. In der Tat beginnen viele Cyberangriffe mit einer E-Mail. Aber das bedeutet nicht, dass Sie aufgeben müssen, Ihre Kunden per E-Mail zu erreichen!

Sichern Sie stattdessen alle Ihre Geschäfts-E-Mails mit den E-Mail-Authentifizierungsdiensten von PowerDMARC. So gewinnen Sie das Vertrauen Ihrer Kunden und schützen Ihre Marke vor Phishing-Versuchen durch Hacker und andere schlechte Akteure.

Mit PowerDMARC können Sie sicherstellen, dass alle E-Mails, die von Ihrem Unternehmen stammen, von Ihren Kunden nicht nur sicher geöffnet werden können, sondern auch leicht als legitime Mitteilungen Ihrer Marke zu erkennen sind, da sie mit dem Siegel Ihres Unternehmens versehen sind.

Wir wissen, dass Ihnen der Schutz der Integrität Ihres Firmennamens und -images wichtig ist, und wir möchten, dass Sie dies auf eine Art und Weise tun können, die für beide Seiten sinnvoll ist. Deshalb bieten wir diesen Service zu einem erschwinglichen Preis an und geben unseren Kunden gleichzeitig Zugang zu unserem gesamten Fachwissen über E-Mail-Authentifizierungstechniken.

Ist Ihre Domain gegen E-Mail-Spoofing geschützt? Holen Sie sich Ihr kostenlose DMARC hier.

Über
Neueste Beiträge

Yunes Tarada

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024
FTC berichtet, dass E-Mail ein beliebtes Medium für Betrügereien mit falschen Namen ist - 16. April 2024
SubdoMailing und das Aufkommen von Subdomain-Phishing - 18. März 2024