Ein DMARC-Fail für Ihre Nachrichten ist ein Grund zur Besorgnis, wenn Sie ein Unternehmen sind, das sowohl für die externe als auch für die interne Kommunikation stark auf E-Mails angewiesen ist. Es gibt sowohl Methoden als auch Tools, die Sie online (kostenlos) verwenden können, um DMARC-Fehler für Ihre E-Mails zu verhindern.
In diesem Artikel werden wir die 6 wichtigsten Gründe für DMARC-Fehler sorgfältig entlarven und aufzeigen, wie Sie diese für eine verbesserte Zustellbarkeit abmildern können.
Bevor wir zu den Gründen für das Scheitern von DMARC kommen, wollen wir uns ansehen, was DMARC ist und wie es Ihnen hilft:
DMARC ist eine Schlüsselaktivität in Ihrer E-Mail-Authentifizierungspolitik, um zu verhindern, dass gefälschte "Spoofed"-E-Mails transaktionale Spamfilter passieren. Aber es ist nur eine Säule eines umfassenden Anti-Spam-Programms, und nicht alle DMARC-Berichte sind gleich. Einige geben Aufschluss über die genaue Aktion, die der Empfänger einer Nachricht durchgeführt hat, während andere nur angeben, ob eine Nachricht erfolgreich war oder nicht. Zu verstehen, warum eine Nachricht fehlgeschlagen ist, ist ebenso wichtig wie zu wissen, ob sie erfolgreich war.
Häufige Gründe, die zum Scheitern von DMARC führen können
Die Feststellung, warum DMARC fehlschlägt, kann kompliziert sein. Ich werde jedoch einige typische Gründe und die Faktoren, die dazu beitragen, erläutern, damit Sie als Domänenbesitzer das Problem schneller beheben können.
Fehler bei der DMARC-Ausrichtung
DMARC nutzt den Domänenabgleich, um Ihre E-Mails zu authentifizieren. Das bedeutet, dass DMARC überprüft, ob die in der Absenderadresse (im sichtbaren Header) angegebene Domäne authentisch ist, indem sie mit der im verborgenen Return-path-Header (für SPF) und DKIM-Signatur-Header (für DKIM) angegebenen Domäne abgeglichen wird. Wenn beides übereinstimmt, besteht die E-Mail DMARC, andernfalls schlägt DMARC fehl.
Wenn Ihre E-Mails DMARC nicht bestehen, kann es sich also um einen Domain-Fehlalarm handeln. Das heißt, dass weder SPF- noch DKIM-Kennungen übereinstimmen und die E-Mail von einer nicht autorisierten Quelle zu stammen scheint. Dies ist jedoch nur einer der Gründe, warum DMARC fehlschlägt.
DMARC-Ausrichtungsmodus
Ihr Protokollausrichtungsmodus spielt ebenfalls eine große Rolle dabei, ob Ihre Nachrichten DMARC passieren oder nicht. Sie können zwischen den folgenden Ausrichtungsmodi für die SPF-Authentifizierung wählen:
- Entspannt: Dies bedeutet, dass SPF auch dann funktioniert, wenn die Domäne im Return-path-Header und die Domäne im From-Header einfach organisatorisch übereinstimmen.
- Streng: Dies bedeutet, dass SPF nur dann funktioniert, wenn die Domäne im Return-path-Header und die Domäne im From-Header exakt übereinstimmen.
Sie können zwischen den folgenden Ausrichtungsmodi für die DKIM-Authentifizierung wählen:
- Entspannt: Dies bedeutet, dass DKIM auch dann akzeptiert wird, wenn die Domäne in der DKIM-Signatur und die Domäne in der Absenderkopfzeile einfach organisatorisch übereinstimmen.
- Streng: Dies bedeutet, dass DKIM nur dann funktioniert, wenn die Domäne in der DKIM-Signatur und die Domäne in der Absenderkopfzeile genau übereinstimmen.
Damit E-Mails die DMARC-Authentifizierung bestehen, muss entweder SPF oder DKIM übereinstimmen.
Keine DKIM-Signatur einrichten
Ein sehr häufiger Fall, in dem Ihr DMARC fehlschlägt, ist, dass Sie keine DKIM-Signatur für Ihre Domäne angegeben haben. In solchen Fällen weist Ihr E-Mail-Austauschdienstanbieter Ihren ausgehenden E-Mails eine Standard-DKIM-Signatur zu, die nicht mit der Domäne in Ihrer Absenderkopfzeile übereinstimmt. Der empfangende MTA kann die beiden Domänen nicht abgleichen, so dass DKIM und DMARC für Ihre Nachricht fehlschlagen (wenn Ihre Nachrichten sowohl mit SPF als auch mit DKIM abgeglichen sind).
Keine Sendequellen zu Ihrem DNS hinzufügen
Es ist wichtig zu beachten, dass bei der Einrichtung von DMARC für Ihre Domäne die empfangenden MTAs DNS-Abfragen durchführen, um Ihre Sendequellen zu autorisieren. Das bedeutet, dass, wenn Sie nicht alle autorisierten Absender im DNS Ihrer Domäne aufgeführt haben, Ihre E-Mails DMARC für die nicht aufgeführten Absender nicht bestehen, da der Empfänger sie nicht in Ihrem DNS finden kann. Um sicherzustellen, dass Ihre legitimen E-Mails immer zugestellt werden, sollten Sie daher alle autorisierten Drittanbieter, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden, in Ihrem DNS eintragen lassen.
Im Falle einer E-Mail-Weiterleitung
Bei der E-Mail-Weiterleitung durchläuft die E-Mail einen Zwischenserver, bevor sie schließlich an den Empfangsserver zugestellt wird. Bei der E-Mail-Weiterleitung schlägt die SPF-Prüfung fehl, da die IP-Adresse des Zwischenservers nicht mit der des sendenden Servers übereinstimmt und diese neue IP-Adresse normalerweise nicht in den SPF-Eintrag des ursprünglichen Servers aufgenommen wird. Im Gegensatz dazu hat die Weiterleitung von E-Mails in der Regel keine Auswirkungen auf die DKIM-E-Mail-Authentifizierung, es sei denn, der zwischengeschaltete Server oder die weiterleitende Stelle nimmt bestimmte Änderungen am Inhalt der Nachricht vor.
Da wir wissen, dass SPF bei der E-Mail-Weiterleitung unweigerlich versagt, wird die weitergeleitete E-Mail bei der DMARC-Authentifizierung als illegitim eingestuft, wenn die sendende Quelle DKIM-neutral ist und sich ausschließlich auf SPF zur Validierung verlässt. Um dieses Problem zu lösen, sollten Sie sich sofort für eine vollständige DMARC-Compliance in Ihrem Unternehmen entscheiden, indem Sie alle ausgehenden Nachrichten sowohl mit SPF als auch mit DKIM abgleichen und authentifizieren, denn damit eine E-Mail die DMARC-Authentifizierung besteht, muss die E-Mail entweder die SPF- oder die DKIM-Authentifizierung und den Abgleich bestehen.
Ihre Domain wird gespoofed
Wenn Ihre DMARC-, SPF- und DKIM-Protokolle für Ihre Domäne ordnungsgemäß konfiguriert sind, Ihre Richtlinien durchgesetzt werden und gültige, fehlerfreie Datensätze vorliegen und das Problem nicht auf einen der oben genannten Fälle zurückzuführen ist, liegt der wahrscheinlichste Grund für das Nichtbestehen von DMARC darin, dass Ihre Domäne gespoofed oder gefälscht wird. Dies ist der Fall, wenn Imitatoren und Bedrohungsakteure versuchen, über eine bösartige IP-Adresse E-Mails zu versenden, die scheinbar von Ihrer Domäne stammen.
Jüngste Statistiken zum E-Mail-Betrug haben ergeben, dass Fälle von E-Mail-Spoofing in letzter Zeit zunehmen und eine große Gefahr für den Ruf Ihres Unternehmens darstellen. In solchen Fällen schlägt DMARC fehl, wenn Sie eine Ablehnungsrichtlinie implementiert haben, und die gefälschte E-Mail wird nicht in den Posteingang des Empfängers zugestellt. Daher kann Domain-Spoofing die Antwort auf die Frage sein, warum DMARC in den meisten Fällen fehlschlägt.
Warum schlägt DMARC bei Mailbox-Anbietern von Drittanbietern fehl? (Gmail, Mailchimp, Sendgrid, etc.)
Wenn Sie externe Mailbox-Anbieter nutzen, um in Ihrem Namen E-Mails zu versenden, müssen Sie DMARC, SPF und/oder DKIM für sie aktivieren. Dazu können Sie sich entweder an den Anbieter wenden und ihn bitten, die Implementierung für Sie zu übernehmen, oder Sie können die Sache selbst in die Hand nehmen und die Protokolle manuell aktivieren. Dazu müssen Sie Zugang zu Ihrem Kontoportal haben, das auf jeder dieser Plattformen gehostet wird (als Administrator).
Wenn Ihre Gmail-Nachrichten DMARC nicht bestehen, gehen Sie zum SPF-Eintrag Ihrer Domäne und überprüfen Sie, ob Sie _spf.google.com in den Eintrag aufgenommen haben. Falls nicht, kann dies ein Grund dafür sein, dass die empfangenden Server Gmail nicht als Ihre autorisierte Sendequelle identifizieren können. Das Gleiche gilt für Ihre E-Mails, die Sie von Mailchimp, Sendgrid und anderen Anbietern versenden.
Wie kann man DMARC-Fehler beheben?
Um DMARC-Fehler zu beheben, empfehlen wir Ihnen, sich bei unserem kostenlosen DMARC-Analyzer anzumelden und mit der DMARC-Berichterstattung und -Überwachung zu beginnen.
#Schritt 1: Mit einer Nicht-Richtlinie können Sie damit beginnen, Ihre Domäne mit DMARC (RUA) Aggregate Reports zu überwachen und Ihre ein- und ausgehenden E-Mails genau im Auge zu behalten, damit Sie auf unerwünschte Zustellungsprobleme reagieren können
#Schritt 2: Danach helfen wir Ihnen bei der Umstellung auf eine durchgesetzte Richtlinie, die Sie letztendlich gegen Domain-Spoofing und Phishing-Angriffe immun macht.
#Schritt 3: Erkennen Sie bösartige IP-Adressen und melden Sie sie direkt von der PowerDMARC-Plattform aus, um zukünftigen Imitationsangriffen zu entgehen, und zwar mit Hilfe unserer Threat Intelligence Engine.
#Schritt 4: Aktivieren Sie DMARC (RUF) Forensic Reports, um detaillierte Informationen über Fälle zu erhalten, in denen Ihre E-Mails DMARC nicht bestanden haben, so dass Sie das Problem an der Wurzel packen und schneller beheben können.
Wie geht man mit Nachrichten um, die DMARC nicht bestehen?
Beachten Sie, dass eine E-Mail DMARC aufgrund üblicher Umstände wie z. B. einer Spoofing-Bedrohung durchfallen kann, wenn sie die Ausrichtung für a) nur DKIM b) nur SPF c) beides nicht erfüllt. Wenn sie beide Kriterien nicht erfüllt, wird Ihre Nachricht als nicht autorisiert eingestuft. Sie können eine geeignete DMARC-Richtlinie konfigurieren, um den Empfängern mitzuteilen, wie sie auf diese E-Mails reagieren sollen.
Wir hoffen, dass wir die Frage klären konnten, warum DMARC für Ihre Domain nicht funktioniert, und dass wir Ihnen eine Lösung anbieten können, wie Sie das Problem leicht beheben können. Verhindern Sie Domain-Spoofing und überwachen Sie Ihren E-Mail-Verkehr mit PowerDMARC, noch heute!
- Wie behebt man den Fehler "DKIM-Signatur ist nicht gültig"? - 24. Januar 2023
- Europäische Kommission empfiehlt DMARC für die Sicherheit der E-Mail-Kommunikation - Januar 20, 2023
- SPF-Syntax: Ein vollständiger Leitfaden - 17. Januar 2023
