• 554 5.7.5 Permanente fout bij het evalueren van DMARC-beleid [OPGELOST]

554 5.7.5 Permanente fout bij het evalueren van DMARC-beleid [OPGELOST]

Blog

Een "554 5.7.5 Permanente fout bij het evalueren van DMARC-beleid" geeft aan dat de verificatie is mislukt, waardoor aflevering wordt voorkomen vanwege een verkeerd geconfigureerd DMARC-record.

door YunesTarada

Leestijd: 9 min
554 5.7.5 Permanente fout bij het evalueren van DMARC-beleid [OPGELOST]
Inhoudsopgave-

Een 554 5.7.5 Permanente fout bij het evalueren van DMARC-beleid geeft aan dat de e-mailverificatie is mislukt, waardoor de e-mail niet kan worden afgeleverd vanwege een verkeerd geconfigureerd DMARC-record.

Belangrijkste opmerkingen

  1. Een onjuiste syntaxis in SPF-, DKIM- of DMARC-records kan leiden tot een "554 5.7.5 permanente fout bij het evalueren van DMARC-beleid".
  2. Deze fout voorkomt dat e-mail wordt afgeleverd door SMTP-poorten te blokkeren, waardoor de communicatie wordt verstoord.
  3. Je SPF record moet eindigen met -all of ~all om neutraal beleid te vermijden en te voldoen aan DNS lookup limieten.
  4. Zorg ervoor dat de d= tag in DKIM-handtekeningen overeenkomt met de verzendende domeinen om DMARC-validatiefouten te voorkomen.
  5. Tijdelijk DMARC instellen op p=none kan helpen bij het bewaken van de mailstroom voordat een strenger beleid wordt afgedwongen.

Domeineigenaren kunnen de "554 5.7.5 permanente fout evalueren" tegenkomen. DMARC beleid"om de volgende redenen:

  1. Onjuiste SPF, DKIM of DMARC record syntaxis 
  2. Overbodige of ontbrekende tekens in DNS-records 
  3. Gebrek aan ondersteuning voor SPF-e-mails 
  4. DKIM handtekening domein mismatches

De "554 5.7.5 permanente fout evalueren DMARC beleid" is een veel voorkomende fout die de SMTP poorten stoppen met het accepteren van e-mails van uw domein. Het probleem wordt meestal veroorzaakt door een combinatie van instellingen in het SPF-record, DMARC-recordof e-mailservice.

In deze handleiding beschrijven we hoe je dit probleem snel en eenvoudig kunt oplossen.

Vereenvoudig 554 5.7.5 Permanente fout met PowerDMARC!

15 dagen op proefBoek een demo

Waarom krijg je de foutmelding "554 5.7.5 Permanent Error Evaluating DMARC Policy"?

Als je wordt geconfronteerd met een "554 5.7.5 permanente fout bij het evalueren van DMARC-beleid", zijn hier enkele veelvoorkomende redenen achter deze fout:

1. Onvolledige of onjuiste DMARC recordinstellingen

Onvolledige DMARC-records kunnen leiden tot fouten in de evaluatie van het DMARC-beleid. Bijvoorbeeld een ontbrekende p= tag. Als je DMARC-record er ongeveer zo uitziet: 

v=DMARC1; pct=100;

Dit is een voorbeeld van onvolledige DMARC-instellingen de beleidscode ontbreekt. Dit is een foutieve record. Wanneer u DMARCkun je kiezen om p=none of p=quarantine/reject te gebruiken.

Ook syntaxisfouten in je record, zoals extra tekens of spaties, kunnen de 554 5.7.5 permanente fout veroorzaken die de DMARC-beleidsfout evalueert. 

v=DMARC1; p:none; pct=100; rua=mailto:[email protected]

In dit voorbeeld is de ":" een verkeerd teken omdat alle mechanismen worden gevolgd door een gelijk-teken (=), gevolgd door de waarde. 

De juiste volgorde van DMARC-records

  • Je DMARC record moet beginnen met de versienaam v=DMARC1 
  • De policy tag is ook verplicht en moet de waarde none/reject/quarantine hebben. 
  • Alle DMARC-tags moeten worden gevolgd door "=[waarde]" en eindigen met een puntkomma (;) 
  • Tussen de afzonderlijke mechanismen of tags moet één spatie staan 
  • Er mogen geen spaties staan tussen elk gedefinieerd mechanisme, bijvoorbeeld: p=none; 

2. Onjuiste DKIM-uitlijning

DKIM staat voor DomainKeys Identified Mail. Het is een methode om de authenticiteit van de afzender van e-mail te verifiëren, wat voorkomt dat kwaadwillenden zich kunnen voordoen als de domeinnaam van de afzender van e-mail.

Soms kun je problemen ondervinden met je DKIM-authenticatie. Een mismatch tussen de "d=" tag in de DKIM handtekening en het verzendende domein resulteert in een mislukte DMARC evaluatie.

Als je bijvoorbeeld je domeinnaam hebt gewijzigd en deze niet hebt bijgewerkt in DKIM-records, zal de evaluatie van het DMARC-beleid ook mislukken.

3. Onjuist SPF-record

SPF staat voor Sender Policy Framework. Het is een e-mailverificatietechniek die wordt gebruikt om te controleren of een e-mailbericht afkomstig is van een geldige afzenderserver of niet.

DMARC werkt door SPF-records te controleren om te zien of ze geldig zijn of niet. Je moet ervoor zorgen dat de SPF-records correct zijn geconfigureerd en werken met je domeinnaam om deze fout te voorkomen. Een paar dingen die je moet vermijden met SPF zijn de volgende: 

  • Je SPF record moet eindigen met een faalmechanisme (-all of ~all) 
  • Vermijd het gebruik van een neutraal beleid voor SPF-evaluatie 
  • Voorkom overschrijding van SPF DNS en void lookup limieten 

4. Gebrek aan ondersteuning voor SPF-uitgelijnde e-mails door uw ESP

Soms, als je de fout "554 5.7.5 Permanent Error Evaluating DMARC Policy" ontvangt, kan het een probleem aan de kant van je e-mailserviceprovider zijn. Niet alle e-mailproviders ondersteunen SPF-gewaarborgde e-mails. Sommige verwerken het SPF-beleid zelfs intern, wat tot fouten kan leiden als je SPF hebt ingeschakeld voor je domein. 

Fix "554 5.7.5 Permanente fout bij evaluatie van DMARC-beleid" in 5 stappen

Je kunt de onderstaande stappen volgen om de fout "554 5.7.5 Permanent Error Evaluating DMARC Policy" mogelijk op te lossen. Een oplossing is echter niet gegarandeerd. Als deze stappen de fout niet oplossen neem dan contact met ons op voor een gratis evaluatie van de domeinbeveiliging.

1. Extra tekens uit het record verwijderen

De 5.7.5 permanente fout bij het beoordelen van het DMARC-beleid kan door verschillende factoren worden veroorzaakt, maar de belangrijkste oorzaken zijn:

  • Misbruikte aanhalingstekens
  • Overtollige tekens of symbolen in de record
  • Een ontbrekende puntkomma om het record af te sluiten.

Hier is een voorbeeld van een record dat deze foutmelding gaf:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1:d:s.

Deze record ziet er op het eerste gezicht prima uit, maar bij het testen kregen we de melding "5.7.5 permanent error evaluating DMARC policy".

Toen we het opnieuw controleerden, realiseerden we ons dat er een extra punt aan het einde van de record stond-als je goed kijkt naar dezelfde record hierboven, kun je zien dat er een punt (.) aan het einde staat. 

Toen we die stip verwijderden en de test opnieuw uitvoerden, werkte hij perfect.

Hier zie je hoe dezelfde record eruit zag zonder fouten:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1:d:s

2. Uw SPF Record wijzigen van neutraal

Als je een foutmelding krijgt met de tekst "5.7.5 permanente fout bij de evaluatie van het DMARC-beleid" wanneer je een e-mail probeert te versturen, komt dat waarschijnlijk omdat je SPF-record is ingesteld op Neutral.

SPF staat voor Sender Policy Framework en helpt ervoor te zorgen dat de mailserver vanwaar een e-mail wordt verstuurd legitiem is. Het is niet genoeg om alleen maar een server te hebben die e-mails verstuurt; er moet enige verificatie zijn dat de server legitiem is. Dat is wat SPF doet: het controleert of je mailserver de juiste referenties heeft.

Waarom kan je SPF record niet neutraal zijn? 

Als berichten via een neutrale server mogen worden verzonden, kunnen scammers valse e-mails versturen met jouw domeinnaam, wat betekent dat mensen kunnen denken dat ze echt zijn terwijl dat niet zo is - en uiteindelijk op links klikken of bestanden downloaden die ze niet zouden mogen.

Daarom moet je op zijn minst je SPF-record wijzigen in softfail ~all of hardfail -all wanneer je DMARC implementeert, zodat mensen weten dat een bericht van jouw domeinnaam waarschijnlijk veilig is.

3. Controleer of uw e-mailserviceprovider SPF-genoteerde e-mails ondersteunt

Een van de meest voorkomende redenen om deze foutmelding te krijgen is dat je e-mailprovider SPF-e-mails niet ondersteunt.

E-mailproviders zoals MailChimp en ProtonMail hebben hun eigen SPF-records en wanneer je e-mails via hen verstuurt, verzenden ze geen SFP-e-mails. Daarom is het belangrijk dat je het SPF-dispositietype van je e-mailprovider controleert om te zien of deze SPF-uitgelijnde e-mails ondersteunt.

Als dat het geval is, wordt je DKIM-handtekening tijdens het verzendproces aangepast zodat het Van-adres overeenkomt met je eigen domein (in plaats van met het domein van MailChimp) en ervoor zorgt dat je slaagt voor de evaluatie van het DMARC-beleid.

Als dit niet het geval is, dan moet je een andere e-mailprovider gebruiken (of de instellingen van je bestaande provider wijzigen) zodat je SPF-gecorrigeerde e-mails kunt versturen.

4. Verschuif naar p=none beleid voor DMARC

Als je de foutmelding "554 5.7.5 permanente fout bij het evalueren van DMARC-beleid" krijgt, betekent dit dat het DMARC-beleid op je domein voorkomt dat je e-mails kunt verzenden. Om dit op te lossen, hoeft u alleen maar uw DMARC-record bij uw DNS-provider te wijzigen in een p=none-beleid.

Het DMARC-beleid vertelt e-mailproviders wat ze moeten doen met e-mails die de SPF- en DKIM-controles niet doorstaan: afwijzen of in quarantaine plaatsen. Als je e-mails wilt verzenden, zelfs als deze controles niet slagen, kun je het beleid tijdelijk versoepelen door het op p=none te zetten in je DNS-instellingen.

DMARC none wordt een "relaxed, no-action of monitoring-only beleid" genoemd, dus het wordt niet aanbevolen voor het voorkomen van e-mail spoofing. Maar als je je DMARC-beleid wijzigt naar p=none, kun je je e-mails afleveren bij inboxen zonder last te hebben van DMARC-fouten.

Je kunt bijvoorbeeld deze record wijzigen:

_dmarc.yourdomain.com TXT v=DMARC1; p=reject; rua=mailto:[email protected];

naar dit:

_dmarc.yourdomain.com TXT v=DMARC1; p=none; rua=mailto:[email protected];

Wat betekent dit voor jou? U kunt uw e-mail verzenden, zelfs als deze niet door DMARC komt. Je zult echter uiteindelijk terug willen vallen op een p=afwijzen of p=quarantaine beleid om e-mail spoofing op je domein te voorkomen.

5. DKIM-verificatie (DomainKeys Identified Mail) instellen

Als je de foutcode "554 5.7.5 permanente fout bij het evalueren van DMARC-beleid" tegenkomt, geeft dit aan dat DKIM (DomainKeys Identified Mail) e-mailverificatie niet is geactiveerd voor je domein. Om DMARC te passeren, moet je dus een DKIM e-mailverificatie record hebben ingesteld (als je nog geen SPF hebt).

Hier zijn je stappen om dat te doen:

  • Meld u aan bij PowerDMARC en selecteer DKIM record generator uit onze Power Toolbox. 
  • Voer uw domeinnaam in, definieer een selector (bijv. selector1) voor uw record en klik op de knop Genereren. 
  • Onze tool genereert automatisch je DKIM publieke en private sleutelparen. 
  • Kopieer de gegenereerde TXT record naam en TXT record waarde (publieke sleutel waarde) en publiceer ze op je DNS door naar je DNS beheerconsole te gaan. 

Vereisten voor opmaak DMARC-beleid

DMARC is een e-mailverificatieprotocol waarmee ontvangers kunnen controleren of e-mails die van jouw domein afkomstig lijken te zijn, ook echt van jouw domein afkomstig zijn. In deze handleiding worden enkele belangrijke opmaakvereisten beschreven wanneer je DMARC voor de eerste keer instelt.

  •  Ten eerste moet je DMARC-record beginnen met "v=DMARC1". Dit laat e-mailproviders weten dat het record is geformatteerd volgens de versie van DMARC die momenteel wordt gebruikt (dat is 1). 
  •  Geef vervolgens je beleid op. Het beleid moet p=none, p=quarantine, of p=reject zijn. Dit vertelt e-mailproviders wat ze moeten doen als een e-mail de verificatiecontroles niet doorstaat. 
  • Het beleidsveld in je DMARC record is een verplicht veld na het v= versie veld. Het beleid kan een van de volgende drie dingen zijn: p=geen, p=quarantaine of p=verwerpen. "Geen' betekent dat je wilt dat de e-mailprovider niets doet wanneer deze een verdachte e-mail van jouw domein ziet. "Quarantaine" betekent dat u wilt dat verdachte e-mails van uw domein worden afgeleverd als spam of junkmail in plaats van als normale e-mail. Weigeren" betekent dat u wilt dat verdachte e-mails van uw domein worden geweigerd en nooit worden afgeleverd.
  •  Gebruik dubbele punten als scheidingsteken tussen waarden - het is een goed idee om dubbele punten te gebruiken en geen puntkomma. Puntkomma's kunnen problemen veroorzaken, vooral wanneer meerdere waarden op één regel worden opgegeven.
  •  Gebruik geen extra tekens of slechte aanhalingstekens. Overtollige witruimte aan het einde van regels wordt behandeld als onderdeel van de record, wat problemen kan veroorzaken.

Hier is een voorbeeld van een goed DMARC-record:

v=DMARC1; p=reject; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=100;

Hoe fouten vinden in DMARC recordbeleid

Het hebben van een DMARC-record is een goede stap in het beveiligen van je e-mailcommunicatie. Als er echter fouten in zitten, is het hele systeem ineffectief. Daarom is het belangrijk om eventuele fouten zo snel mogelijk te vinden en op te lossen.

De beste manier om dit te doen is door de DMARC opzoeken tool van PowerDMARC. De tool controleert of je record geldig is en laat mogelijke fouten zien. Je kunt de tool gratis gebruiken door deze stappen te volgen:

1. Meld je aan op PowerDMARC en navigeer naar de DMARC Lookup Tool in Power Toolbox.

2. Voer uw domeinnaam in het lege veld in.

3. Zodra je record is gecontroleerd, toont de tool je een overzicht van de gepubliceerde syntaxis en worden fouten in je record gemarkeerd.

 

4. Als er fouten zijn, worden deze gemarkeerd op de pagina. 

5. Als je eenmaal weet waar de fouten vandaan komen, kun je ze eenvoudig oplossen met behulp van de instructies die bij elke foutmelding staan.

Maakt u zich zorgen over de beveiliging van uw zakelijke e-mails?

Het is een echte zorg. In feite beginnen veel cyberaanvallen met een e-mail. De 2019 DBIR van Verizon meldt dat 94% van de datalekken beginnen met aanvallen gericht op mensen via e-mail.

Maar dat betekent niet dat je het moet opgeven om je klanten via e-mail te bereiken!

Beveilig in plaats daarvan al je zakelijke e-mails met e-mailverificatieservices van PowerDMARC. Dit zal u helpen het vertrouwen van uw klanten te winnen en uw merk te beschermen tegen phishingpogingen van hackers en andere slechte actoren.

Met PowerDMARC kunt u ervoor zorgen dat alle e-mails die van uw bedrijf komen niet alleen veilig zijn voor klanten om te openen, maar ook gemakkelijk voor hen om te identificeren als legitieme communicatie van uw merk door er het zegel van uw bedrijf op te plaatsen.

We weten dat het beschermen van de integriteit van uw bedrijfsnaam en imago belangrijk voor u is, en we willen dat u dit kunt doen op een manier die voor beide betrokken partijen zinvol is - daarom bieden we deze service aan tegen een betaalbare prijs, terwijl onze klanten toch toegang hebben tot al onze expertise op het gebied van e-mailverificatietechnieken.

Is uw domein beschermd tegen e-mail spoofing? Ontvang uw gratis DMARC proefversie vandaag!

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
NCSC Mail Check Wijzigingen en hun impact op de beveiliging van e-mail in de publieke sector ...DMARC voor PCI DSS: vereisten en aanbevelingen voor versie 4.0