DMARC fout-positieven: Oorzaken, oplossingen en preventiegids

Blog

Worden legitieme e-mails niet gecontroleerd met DMARC? Ontdek de belangrijkste oorzaken van DMARC false positives en hoe u deze kunt verhelpen en voorkomen om de deliverability van e-mails te beschermen.

door Ahona Rudra

Leestijd: 6 min
DMARC fout-positieven: Oorzaken, oplossingen en preventiegids
Inhoudsopgave-

DMARC is een e-mailverificatieprotocol dat voortbouwt op SPF en DKIM. Het helpt domeineigenaren om aan te geven hoe ontvangende mailservers moeten omgaan met e-mails die de verificatie niet doorstaan. De belangrijkste DMARC beleidsregels zijn geen, quarantaine of afwijzen. Hiermee kunt u bepalen of niet-geverifieerde e-mails moeten worden afgeleverd, naar spam moeten worden gestuurd of helemaal moeten worden geblokkeerd.

Een DMARC false positive treedt op wanneer een legitieme e-mail ten onrechte als "fail" wordt gemarkeerd. Dit kan het gevolg zijn van verkeerde configuraties en gaten in SPF-, DKIM- of DMARC-instellingen. Veelvoorkomende oorzaken zijn verkeerd ingestelde domeinen, ontbrekende DKIM-handtekeningen of een te streng beleid dat wordt toegepast zonder goede controle. Door deze hiaten kunnen zakelijke e-mails verloren gaan of worden omgeleid naar spam. Dit kan grote gevolgen hebben voor uw bedrijfsvoering, de effectiviteit van de communicatie en uw merkimago.

Belangrijkste opmerkingen

  • DMARC false positives zijn wanneer legitieme e-mails de DMARC-controles niet doorstaan door verkeerde configuraties of uitlijningsproblemen.
  • Deze fouten kunnen leiden tot problemen met de aflevering en bezorgbaarheid van e-mails, reputatieschade, verminderde ROI, enz. 
  • Veel voorkomende oorzaken van DMARC false positives zijn SPF of DKIM verkeerd uitgelijnd, e-mail doorsturen, verlopen DKIM sleutelsen onbevoegde afzenders van derden.
  • Tekenen van fout-positieven kunnen verschijnen in DMARC-failancerapporten, bounce logs of door onverwachte afwijzing van interne e-mails of e-mails van partners. 
  • Je kunt valse positieven verminderen of elimineren door DMARC-beleidsregels te controleren en aan te passen, services van derden te autoriseren en het doorsturen van e-mail af te handelen.

Waarom komen DMARC fout-positieven voor?

DMARC vals-positieven kunnen het gevolg zijn van een groot aantal factoren.

Slecht beheer van DNS-records

DNS-records fungeren als instructies die e-mailontvangers helpen SPF-, DKIM- en DMARC-verificatie te valideren. Ze stellen DMARC in staat de juiste adressen te vinden om de authenticiteit en legitimiteit van e-mailafzenders te controleren. Als u uw SPF-, DKIM- en DMARC DNS-records goed beheert, kunnen ontvangende servers uw e-mails correct verifiëren. Zonder een DMARC-record passen e-mailontvangers het DMARC-beleid niet toe, waardoor uw domein kwetsbaar wordt voor spoofing.

SPF/DKIM Uitlijnfout

DMARC vereist dat het domein in de "Van" header overeenkomt met de domeinen die worden gebruikt in SPF- en DKIM-verificatie. Als je afstemmingsbeleid te streng is, kan dit ertoe leiden dat legitieme e-mails mislukken als deze domeinen verschillen. Meer specifiek, als het SPF-geauthenticeerde domein (meestal van het Return-Path) of het DKIM-ondertekeningsdomein niet overeenkomt met het 'Van'-adres, kan dit ertoe leiden dat DMARC mislukt. 

E-mail doorsturen

Doorgestuurde e-mails passeren vaak tussenliggende servers die niet in het SPF-record van de afzender staan. Hierdoor kan SPF mislukken. Doorsturen verbreekt SPF, maar DKIM handtekeningen overleven het meestal, tenzij de doorstuurder of mailinglijst het bericht wijzigt (zoals voetteksten of headers toevoegen). De gaten in SPF of DKIM kunnen ertoe leiden dat DMARC mislukt. 

Mailinglijsten

Bij mailinglijsten worden e-mails soms aangepast door voetteksten of kopteksten toe te voegen. Ze kunnen zelfs het "Van" adres helemaal herschrijven. Deze wijzigingen verbreken DKIM-handtekeningen en veroorzaken SPF-afwijkingen. Dit komt omdat het bounce-adres van de mailinglijst verschilt van de oorspronkelijke afzender, waardoor DMARC faalt.

Verlopen of geroteerde DKIM-sleutels

DKIM sleutels verlopen niet automatisch, maar moeten regelmatig worden geroteerd. Sommige DKIM handtekeningen kunnen een x= tag bevatten die een vervaltijd voor de handtekening instelt, hoewel dit optioneel is en niet algemeen wordt afgedwongen. Zorgvuldig beheer is nodig tijdens het roteren van sleutels om ervoor te zorgen dat publieke sleutels gepubliceerd blijven totdat alle e-mails die met de oude sleutel zijn ondertekend, zijn afgeleverd.

Gebruik van dynamisch IP-adres 

Het is helemaal niet verrassend dat DMARC het beste presteert met stabiele IP-adressen. Dynamische IP-adressen verschuiven vaak en maken het moeilijk om de beoogde bestemming te bereiken. Daarom is de kans groter dat een dynamisch IP-adres wordt geblokkeerd door e-mailreputatieservices. Bovendien heeft een dynamisch IP-adres waarschijnlijk inconsistente reverse DNS-records. Dit maakt ze op zijn beurt problematischer en geeft de voorkeur aan stabiele IP-adressen. 

Onbevoegde afzenders van derden

E-mails die zijn verzonden door derden die niet zijn opgenomen in SPF- of DKIM-records van het domein, zullen waarschijnlijk niet worden geverifieerd. Hierdoor kan DMARC mislukken en kunnen valse positieven ontstaan, zelfs als deze afzenders legitiem zijn; als ze niet goed zijn geautoriseerd, is legitiem zijn niet genoeg. 

DMARC fout-positieven detecteren

Hier zijn enkele manieren waarop je DMARC vals-positieven kunt detecteren. 

Verzamelde DMARC-rapporten (RUA)

Wanneer je je DMARC-aggregaat (RUA) rapporten bekijktkunt u eenvoudig de trends voor pass en fail in uw e-mailcommunicatie zien en controleren. Deze op XML gebaseerde rapporten worden elke dag verzonden naar het adres dat je in je DMARC-record hebt vermeld. Ze bevatten een samenvatting van je verificatieresultaten voor zowel SPF als DKIM, zodat je een ongebruikelijke stijging van het aantal mislukkingen kunt detecteren. Zo'n onverwachte stijging kan een goede indicator zijn voor fout-positieven.

Forensische rapporten (RUF)

Als je forensische DMARC-rapporten (RUF) inschakelt, krijg je gedetailleerde, realtime diagnoses over alle e-mails die niet door de DMARC-controles komen. De rapporten zijn vrij uitgebreid en bevatten informatie op berichtniveau. Ze kunnen afzendergegevens, onderwerp en verificatieresultaten bevatten. Door de diepte van de gegevens die in deze e-mails worden gevonden, wordt het veel eenvoudiger om te bepalen welke legitieme e-mails naar spam worden gestuurd of worden geweigerd.

E-mail stuiterlogboeken

Het controleren van de bounce- of afwijzingslogboeken van je mailserver is een andere goede methode om valse positieven te herkennen. Als bounces herhaaldelijk voorkomen of als interne e-mails of e-mails van partners vaak worden geweigerd, kan het zijn dat je e-mailecosysteem last heeft van DMARC false positives.

Veel voorkomende symptomen

Verdwijnen of worden legitieme interne e-mails of e-mails van partners zonder reden geweigerd? Als je nog steeds afleveringsproblemen hebt, zelfs als je SPF-, DKIM- en DMARC-records correct hebt geconfigureerd, dan is dit nog een teken van fout-positieven.

Hoe DMARC fout-positieven repareren en voorkomen

Er zijn verschillende effectieve methoden om fout-positieven te voorkomen en/of op te lossen. 

Ervoor zorgen dat SPF/DKIM op elkaar zijn afgestemd

Voor SPF moet u ervoor zorgen dat het Return-Path (MAIL FROM)-domein overeenkomt met het zichtbare Van-adres. Voor DKIM moet u ervoor zorgen dat het d= domein overeenkomt met het zichtbare Van adres. Als alternatief kunt u overwegen om over te schakelen van strikte uitlijning naar ontspannen als u een eenvoudige oplossing nodig hebt voor het probleem van valse positieven.

Services van derden autoriseren

Een andere goede methode is het bijwerken van je SPF-records om alle legitieme afzenders van derden op te nemen. Je kunt dit doen door het include-mechanisme te gebruiken of door hun verzendende IP's te vermelden. Zorg ervoor dat deze leveranciers DKIM-sleutels voor je domein of subdomein genereren en de openbare sleutels in je DNS publiceren. 

Zorg ervoor dat uw DNS-records goed worden beheerd 

Om je DNS-records goed te beheren, kun je altijd een DNS-opzoektool om de beschikbaarheid van een DMARC-record te controleren. Het moet een TXT-record zijn met je eigenlijke domeinnaam.

Het is ook nuttig om de syntaxis van je DMARC-record te controleren, zodat alle directives correct zijn geformatteerd en de juiste interpunctie gebruiken (d.w.z. puntkomma's). 

E-mail doorsturen afhandelen

We hebben al geleerd dat doorsturen SPF en DKIM kan verbreken. Om dit probleem te vermijden, zou je ARC(Authenticated Received Chain) moeten implementeren. Dit kan helpen om authenticatieresultaten te behouden tijdens het doorsturen van hops. Je kunt ook doorstuurservices configureren om DKIM-handtekeningen toe te voegenDit kan helpen om valse positieven te voorkomen tijdens het doorsturen.

Gebruik maken van goed subdomeinbeheer 

Een goede DMARC-implementatie omvat niet alleen het domein, maar ook de afhandeling van subdomeinen. Dit betekent dat je SPF-, DKIM- en DMARC-records moet configureren voor elk subdomein en het bijbehorende DMARC-beleid duidelijk moet specificeren. 

Beleid bewaken en aanpassen

Tot slot is het belangrijk om te weten wat het DMARC-beleid u gebruikt in een bepaald stadium van uw reis naar de DMARC-implementatie. Hoewel een strikt DMARC-beleid (bijvoorbeeld p=afwijzen) nodig kan zijn in de latere stadia, is het bijvoorbeeld aan te raden om te beginnen met een ontspannen DMARC-beleid zoals p=geen. Beginnen met het ontspannen beleid kan u helpen gegevens te verzamelen en valse positieven te identificeren.

Zodra je de benodigde informatie hebt, kun je geleidelijk overgaan tot quarantaine en uiteindelijk afwijzen. Maar doe dit alleen als je er zeker van bent dat alle legitieme bronnen correct zijn geverifieerd.

Beste praktijken om fout-positieven te verminderen

Hier is een snelle checklist die je kunt gebruiken om fout-positieven te verminderen of zelfs te elimineren:

  1. Ga niet direct over op p=reject als je nog niet voldoende hebt gecontroleerd en getest. Geduldige, geleidelijke DMARC-handhaving kan u helpen de hoofdpijn te voorkomen die gepaard gaat met legitieme e-mails die in spam terechtkomen. 
  2. Controleer en update regelmatig je DNS-records voor SPF, DKIM en DMARC. Dit zorgt ervoor dat alle legitieme afzenders worden gedekt. 
  3. Test je configuratie altijd met DMARC-checkers voordat je een strikt beleid zoals p=reject oplegt. Naast het gebruik van online checkers, moet je ook de rapporten zorgvuldig bestuderen om eventuele fouten of hiaten op te sporen.
  4. Vermijd dynamische IP-adressen (je weet al waarom!). 
  5. Samenwerken met externe leveranciers (zoals CRM's en ESP's) om ervoor te zorgen dat hun verzendpraktijken DMARC-conform en geautoriseerd zijn voor je domein.

Samenvattend 

Valse meldingen kunnen heel vervelend zijn, maar in werkelijkheid zijn ze eenvoudiger te verhelpen dan je je ooit kunt voorstellen. Met de juiste afstemming, zorgvuldige bewaking en geleidelijke handhaving van DMARC-beleid kun je ze op tijd detecteren en voorkomen. Vergeet ook niet uw DMARC-rapporten te controleren en configuraties aan te passen voor een probleemloze DMARC-implementatie en e-mailaflevering of -bezorging. 

Gebruik PowerDMARC's gratis DMARC Analyzer vandaag nog om al uw e-mailverificatieprotocollen onder één dak te controleren en af te rekenen met valse positieven!

CTA

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Nieuw-Zeelandse overheid verplicht DMARC onder nieuw veilig e-mailraamwerkBeveiligde e-mail van de overheidPraktijkstudie DMARC MSP: Hoe PrimaryTech Client Domain Security vereenvoudigde met...