DieE-Mail-Sicherheit war schon immer eine Herausforderung. Es reicht nicht aus, die Nachrichten nur zu verschlüsseln, um Hacker und Spammer daran zu hindern, sie auszunutzen. An dieser Stelle kommt das Konzept der DMARC-Bewertung ins Spiel. DMARC verwendet DNS, um festzulegen, wie E-Mails zu behandeln sind, die nicht authentifiziert werden können SPF, DKIModer beides.
In diesem Blog wird erörtert, was DMARC ist, warum Sie es brauchen und wie Sie den Fehler 521 5.2.1 failed DMARC evaluation beheben können.
Was ist DMARC?
DMARC ist die Abkürzung für Domain-based Message Authentication, Reporting & Conformance, ein E-Mail-Authentifizierungsprotokoll, das auf den SPF- und DKIM-Protokollen aufbaut. Nachrichten werden von autorisierten Servern an den SPF-Eintrag und/oder die DKIM-Signatur der DMARC-konformen Domäne gesendet. Wenn eine der beiden Überprüfungen erfolgreich ist, wird die Nachricht zugestellt. Die Nachricht wird jedoch als nicht zugestellt zurückgeschickt, wenn sie beide Prüfungen nicht bestanden hat, da sie die SPF- oder DKIM-Anforderungen nicht erfüllt hat.
Bis 2021 stieg die Zahl der beobachteten gültigen DMARC-Richtlinien im Vergleich zu 2020 sogar um 84 % auf insgesamt fast 5 Millionen eindeutige Datensätze.
Was ist SPF?
SPF ist die Abkürzung für Senders Policy Framework, ein E-Mail-Authentifizierungsprotokoll, das E-Mail-Spoofing erkennt und E-Mail-Spoofing-Sicherheit. Es ermöglicht Ihnen, einen DNS-TXT-Eintrag zu erstellen, in dem Sie alle IP-Adressen auflisten, die über Ihre Domäne E-Mails versenden dürfen. SPF hilft ISPs oder E-Mail-Servern, Nachrichten von einer bestimmten Domäne zu überprüfen.
Was ist DKIM?
DKIM steht für Domainkeys Identified Mail, ein Protokoll, mit dem Sie Ihre E-Mails digital signieren können. Dabei wird ein eindeutiger Bezeichner mit Hilfe von Public-Key-Kryptographie und nicht eine IP-Adresse verwendet. Der empfangende Server vergleicht also immer die privaten und öffentlichen Hashes, um zu sehen, ob sie übereinstimmen.
Wenn sie übereinstimmen, wird die Nachricht geprüft, andernfalls wird sie als Spam markiert.
Wie hängt DMARC von SPF und DKIM ab?
DMARC basiert auf den E-Mail-Authentifizierungsprotokollen SPF und DKIM. Es erlaubt Ihnen zu beschreiben, wie die Empfänger-Server mit nicht autorisierten E-Mails umgehen sollen, die von Ihrer Domäne kommen. DMARC definiert einen weiteren DNS-Eintrag in dem der öffentliche Schlüssel für die sendende Domäne gespeichert wird. Diese Einträge ermöglichen es dem empfangenden E-Mail-Server, Folgendes zu tun:
- Überprüfen Sie die Authentifizierung des Absenders für den Versand von E-Mails von der Quelldomäne mit SPF.
- Authentifizierung von E-Mails durch Verifizierung anhand der digitalen Signatur, die durch die Einrichtung von DKIM festgelegt wurde.
- Entscheiden Sie, wie die nicht authentifizierten E-Mails vom Mailserver des Empfängers behandelt werden sollen.
Obwohl E-Mail-Systemadministratoren versuchen, bei nicht authentifizierten E-Mails vorsichtig zu sein, hilft DMARC ihnen zu entscheiden, wie diese behandelt werden können. Dies geschieht durch die Festlegung einer der drei Richtlinien: keine, zurückweisen oder unter Quarantäne stellen.
Sie sollten Ihr Team jedoch darin schulen, wie man Phishing- und BEC-Angriffe um das Risiko zu mindern.
Wie DMARC meine Nachrichten einschränkt
Hier sind einige Meldungen, die Sie bei einer fehlgeschlagenen DMARC-Auswertung sehen können.
"521 5.2.1 DMARC-Auswertung fehlgeschlagen: Diese Nachricht hat die DMARC-Evaluierung nicht bestanden und wird aufgrund der bereitgestellten DMARC-Richtlinien abgelehnt."
"550 5.7.1- Nicht authentifizierte E-Mail von domain.tld wird aufgrund der DMARC-Richtlinie der Domain nicht akzeptiert. Bitte wenden Sie sich an den Administrator der Domain domain.tld, wenn es sich um eine legitime E-Mail handelt. Bitte besuchen Sie https://support.google.com/mail/answer/2451690, um mehr über die DMARC-Initiative zu erfahren. 62si14044909itw.103 - gsmtp"
Sie sehen diese Nachrichten aufgrund von DMARC-Fehlern. Dies geschieht in der Regel, wenn die Postfachanbieter keine Nachrichten akzeptieren, bei denen die Absenderdomäne eine ihrer Adressen ist, und die Nachricht von einem nicht autorisierten E-Mail-Domänen-Dienstanbieter gesendet wird.
Aus diesem Grund dürfen Twilio SendGrid-Konten keine Nachrichten mit einer Gmail-, AOL- oder Yahoo-Absenderadresse an eine Domäne senden, die zuvor eine DMARC-Überprüfung durchführt. Aufgrund dieser Komplikationen ist es wichtig zu wissen, was eine DMARC-Evaluierung ist und wie man eine fehlgeschlagene Evaluierung beheben kann.
Wenn Sie weiterhin E-Mails versenden möchten, müssen Sie Ihre E-Mail-Adresse in eine andere, nicht geschützte E-Mail-Adresse ändern. Verwenden Sie am besten Ihre eigene E-Mail-Domäne, da sie legitim ist. Sie können auch die legitime E-Mail-Domäne eines Anbieters verwenden. Dann können Sie im Reply-To-Feld die ursprüngliche Adresse angeben, die zuvor als Absenderadresse eingestellt war.
Es ist zu beachten, dass E-Mails mit fehlgeschlagener DMARC-Prüfung verworfen werden können und als Blockiert. Wenn Sie die E-Mail fehlerfrei versenden möchten, passen Sie die Absenderadresse wie oben beschrieben an und versuchen Sie dann, die E-Mail erneut zu versenden.
Syntax-Fehler
Während Sie lernen, was die DMARC-Bewertung ist, möchten Sie vielleicht auch etwas über Syntaxfehler in DNS-Einträgen erfahren. Übliche SMTP-Fehler beginnen mit dem Code 554, der das Scheitern der Transaktion anzeigt. Dies ist ein permanenter Fehler, und der Server sendet die Nachricht nicht erneut.
- Ein 554 5.7.5 permanenter Fehler bei der Auswertung der dmarc-Richtlinie (Protonmail) liest sich wie folgt;
Die Antwort des entfernten Servers lautete:
554 5.7.5 Permanenter Fehler bei der Auswertung der DMARC-Richtlinie
- Ein 521 5.2.1-Fehler bei der Auswertung der dmarc-Richtlinie lautet wie folgt:
Diese Nachricht hat die DMARC-Evaluierung nicht bestanden und wird aufgrund der bereitgestellten DMARC-Richtlinien abgelehnt.
- Ein 550 5.7.1-Fehler bei der Auswertung der dmarc-Richtlinie lautet wie folgt:
Nicht authentifizierte E-Mails von example.com werden aufgrund der dmarc-Richtlinie der Domäne nicht akzeptiert
Wie lässt sich der Fehler 521 5.2.1 Failed Dmarc Evaluation beheben?
Welche Schritte können Sie unternehmen, um die Meldung 'Diese Nachricht hat die DMARC-Auswertung nicht bestanden' Fehler?
Um DMARC zu verwenden, müssen Sie SPF und eine benutzerdefinierte DKIM-Signatur ausrichten. Als nächstes müssen Sie sicherstellen, dass alle E-Mail-Server, die Ihre Domäne verwenden, aktualisiert werden. Dazu gehören auch die Server, die Ihr Unternehmen lokal verwendet, bevor Sie eine DMARC-Richtlinie veröffentlichen. Sie müssen die Richtlinie aktualisieren, wenn Sie eine Bounce-Nachricht erhalten, in der eine Nachricht angegeben wird, die die DMARC-Bewertung aufgrund fehlender SPF- oder DKIM-Anpassung nicht bestanden hat.
Sie können unser Team von DMARC-Experten für die richtige Anleitung und Konfiguration konsultieren.
