Die E-Mail-Authentifizierung ist ein wichtiger Aspekt der Arbeit eines E-Mail-Providers. E-Mail-Authentifizierung, auch bekannt als SPF und DKIM, überprüft die Identität eines E-Mail-Anbieters. DMARC ergänzt den Prozess der Verifizierung einer E-Mail, indem es prüft, ob eine E-Mail von einer legitimen Domain durch Abgleich gesendet wurde, und den empfangenden Servern vorgibt, wie auf Nachrichten zu reagieren ist, die die Authentifizierungsprüfung nicht bestehen. Heute werden wir die verschiedenen Szenarien besprechen, die Ihre Frage beantworten würden, warum DMARC fehlschlägt.
DMARC ist eine wichtige Aktivität in Ihrer E-Mail-Authentifizierungsrichtlinie, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spam-Filter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist genauso wichtig wie zu wissen, ob sie es war. Der folgende Artikel erläutert die Gründe, aus denen Nachrichten die DMARC-Authentifizierungsprüfung nicht bestehen. Dies sind die häufigsten Gründe (von denen einige leicht behoben werden können), aus denen Nachrichten die DMARC-Authentifizierungsprüfungen nicht bestehen können.
Häufige Gründe, warum Nachrichten an DMARC scheitern können
Die Identifizierung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domain-Besitzer auf eine schnellere Behebung des Problems hinarbeiten können.
Fehler bei der DMARC-Ausrichtung
DMARC nutzt den Domain-Abgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC prüft, ob die in der Absenderadresse (im sichtbaren Header) genannte Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) genannten Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.
Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.
DMARC-Ausrichtungsmodus
Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:
- Entspannt: Dies bedeutet, dass wenn die Domain im Return-path-Header und die Domain im From-Header einfach organisatorisch übereinstimmen, auch dann SPF passieren wird.
- Streng: Dies bedeutet, dass SPF nur dann erfolgreich ist, wenn die Domain im Return-path-Header und die Domain im From-Header exakt übereinstimmen.
Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:
- Entspannt: Dies bedeutet, dass, wenn die Domäne in der DKIM-Signatur und die Domäne im Absender-Header einfach organisatorisch übereinstimmen, auch dann DKIM passieren wird.
- Streng: Dies bedeutet, dass DKIM nur dann erfolgreich ist, wenn die Domäne in der DKIM-Signatur und die Domäne im Von-Header exakt übereinstimmen.
Beachten Sie, dass für E-Mails, die die DMARC-Authentifizierung passieren, entweder SPF oder DKIM übereinstimmen müssen.
Keine DKIM-Signatur einrichten
Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domain angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrem Von-Header übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen und daher schlägt DKIM und DMARC für Ihre Nachricht fehl (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).
Keine Sendequellen zu Ihrem DNS hinzufügen
Es ist wichtig zu beachten, dass, wenn Sie DMARC für Ihre Domain einrichten, die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Sendequellen im DNS Ihrer Domain aufgelistet haben, Ihre E-Mails DMARC für die Quellen, die nicht aufgelistet sind, nicht zustellen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten E-Mail-Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen.
Im Falle einer E-Mail-Weiterleitung
Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des zwischengeschalteten Servers nicht mit der des sendenden Servers übereinstimmt, und diese neue IP-Adresse wird normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keinen Einfluss auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Instanz nimmt bestimmte Änderungen am Inhalt der Nachricht vor.
Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.
Ihre Domain wird gespoofed
Wenn Sie Ihre DMARC-, SPF- und DKIM-Protokolle ordnungsgemäß für Ihre Domain konfiguriert haben, Ihre Richtlinien durchgesetzt sind und gültige fehlerfreie Datensätze vorliegen, und das Problem keiner der oben genannten Fälle ist, dann ist der wahrscheinlichste Grund, warum Ihre E-Mails DMARC nicht bestehen, dass Ihre Domain gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, E-Mails zu versenden, die scheinbar von Ihrer Domain kommen, indem sie eine bösartige IP-Adresse verwenden.
Aktuelle E-Mail-Betrugsstatistiken haben ergeben, dass E-Mail-Spoofing-Fälle inletzter Zeit zunehmen und eine sehr große Bedrohung für den Ruf Ihres Unternehmens darstellen. In solchen Fällen, wenn Sie DMARC auf einer Ablehnungsrichtlinie implementiert haben, wird diese fehlschlagen und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort darauf sein, warum DMARC in den meisten Fällen fehlschlägt.
Wir empfehlen Ihnen, sich bei unserem kostenlosen DMARC Analyzer anzumelden und mit dem DMARC Reporting und Monitoring zu beginnen.
- Mit einer "none"-Richtlinie können Sie Ihre Domain mit DMARC (RUA) Aggregate Reports überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge behalten, was Ihnen hilft, auf unerwünschte Zustellungsprobleme zu reagieren
- Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Ihnen letztendlich dabei hilft, Immunität gegen Domain-Spoofing und Phishing-Angriffe zu erlangen
- Mit Hilfe unserer Threat Intelligence-Engine können Sie bösartige IP-Adressen notieren und direkt von der PowerDMARC-Plattform aus melden, um zukünftigen Impersonation-Angriffen zu entgehen
- Die DMARC (RUF) Forensic Reports von PowerDMARC helfen Ihnen, detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie dem Problem auf den Grund gehen und es beheben können
Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!
