In dit artikel wordt in detail uitgelegd wat DMARC policy overrides zijn, hoe ze werken, wat het verschil is tussen een DMARC policy override en een DMARC policy failure en of het overriden van DMARC records legitiem is of niet.
DMARC-beleid overschrijven: Uitgelegd
DMARC policy override vindt plaats wanneer de ontvangende e-mailserver de DMARC record dat door de afzender is ingesteld, overschrijft. Dit gebeurt wanneer de afzender heeft aangegeven dat hij wil dat zijn e-mail wordt geweigerd als deze niet overeenstemt met het beleid van een inkomende mailserver, maar de ontvangende mailserver besluit dat dit niet past in zijn eigen beleid.
Bijvoorbeeld als de afzender een strikt beleid heeft opgegeven (zoals "p=verwerp alle mail zonder SPF of DKIM") en de ontvangende e-mailserver een ontspannen of los beleid heeft (zoals "accepteer alle mail zonder SPF of DKIM"). In deze situatie kan de ontvangende server het ingestelde DMARC-beleid van de afzender opheffen met zijn eigen lokale beleid en het bericht afleveren in het postvak van de ontvanger, zelfs als de DMARC-controles mislukken.
Inzicht in het mechanisme voor het opheffen van DMARC-beleid
DMARC wordt gebruikt om beleidsinstellingen door te geven die e-mailontvangers kunnen gebruiken om af te dwingen tegen e-mails die vanuit uw domein worden verzonden.
U kunt bijvoorbeeld een beleid voor DMARC gebruiken om de e-mailserver van de ontvanger te vertellen wat hij moet doen (p=afwijzen of p=geen of p=quarantine) als een SPF- of DKIM-controle mislukt in e-mails die vanaf uw domein worden verzonden.
Dit vat de kracht van DMARC goed samen, toch?
Maar wat als de ontvangende mailserver zijn eigen lokale beleid heeft om ontvangen e-mails te behandelen? Zal hij zich houden aan het DMARC-beleid van de afzender OF zal hij het beleid van de afzender opheffen met zijn eigen lokale beleid?
Nou...
Volgens de DMARC-specificatie moeten e-mailontvangers te goeder trouw proberen het gepubliceerde DMARC-beleid van de domeineigenaars te respecteren. Dus als een test van de SPF-, DKIM- en From-header van de afzender mislukt op een bericht, moet dat leiden tot wat in het DMARC-beleid van de afzender is bepaald (p), zoals quarantine, afwijzing of GEEN.
Laten we aannemen dat de situatie als volgt is:
Uw domein (mypersonaldomain.org) heeft DMARC beleid (p=none).
De e-mailserver van de ontvanger (theirdomain.org) weigert alle e-mailberichten die niet voldoen aan de SPF-controle. Dit betekent dat als een e-mail verstuurd naar (theirdomain.org) niet voldoet aan de SPF-controle, deze wordt geweigerd. Toch?
Maar...
Wat gebeurt er als een e-mail van uw domein (mypersonaldomain.org) met DMARC policy p=none wordt ontvangen op somedomain.org en niet door de SPF controle komt?
In dit geval hangt het van de ontvangende mailserver af (hoe die is geconfigureerd) of hij instemt met het door de afzender ingestelde DMARC-beleid OF de e-mail afwijst door het beleid van de afzender op te heffen met in zijn lokaal beleid gedefinieerde regels van p=afwijzen bij mislukte SPF-controle.
Microsoft 365 is hier een realistisch voorbeeld van, omdat het alle p=afgewezen e-mails naar de junk/spam-map van de gebruiker stuurt in plaats van ze af te wijzen. Dit komt omdat O365 het prima vindt dat de ontvanger de uiteindelijke beslissing over de uiteindelijke dispositie neemt.
De vijf waarden van DMARC Policy Overrides
doorgestuurd - De e-mail is waarschijnlijk doorgestuurd, gebaseerd op lokale algoritmen die doorstuurpatronen identificeren. Authenticatie zal naar verwachting mislukken.
lokaal_beleid - het lokale beleid van de Mail Receiver heeft de e-mail vrijgesteld van de door de Domeineigenaar gevraagde actie. Wanneer het gevraagde beleid bijvoorbeeld is ingesteld op "afwijzen", maar de ARC-controle is geslaagd, kan een mailontvanger die beslissing opheffen en ervoor kiezen een e-mail niet af te wijzen.
| Wat is ARC?
ARC staat voor Authenticated Received Chain (ARC). Met ARC worden de DKIM- en SPF-protocollen van een e-mail niet langer doorbroken door forwarding of mailinglijsten. ARC bewaart namelijk de resultaten van de e-mailverificatie over routers, tussenpersonen en andere systemen ("hops") die een bericht kunnen wijzigen terwijl het van het ene knooppunt op het internet naar het andere gaat. Dus als een ARC-keten aanwezig is, kan de ontvangende mailserver, die anders de berichten zou verwerpen, ervoor kiezen de testresultaten te evalueren en een uitzondering te maken, waardoor legitieme berichten van deze indirecte mailflows hun bestemming kunnen bereiken. |
mailinglijst - De e-mail werd verzonden vanaf een mailinglijst, dus besloot het filterprogramma dat het waarschijnlijk niet legitiem was.
bemonsterd_uit - Het bericht was niet van toepassing op het beleid omdat de instelling "pct" was ingesteld in het DMARC-record.
vertrouwde_forwardder - Het falen werd voorzien door bewijs dat de e-mail koppelde aan een lokaal bijgehouden lijst van vertrouwde doorstuurders.
andere - Sommige polissen bevatten uitzonderingen die niet door de andere vermeldingen in de lijst werden behandeld.
DMARC Policy Overriding: Is het toegestaan?
Deel 6 van RFC 7489 stelt dat mailservers berichten moeten honoreren en behandelen in overeenstemming met het beleid van de afzender. Hoewel opheffingen tegen de geest van DMARC zijn, behouden postbusleveranciers zich het recht voor het beleid van de afzender op te heffen. Het is dus inderdaad toegestaan dat de ontvangende server het DMARC-beleid overschrijft met zijn lokale beleid.
Dit betekent dat een e-mailserver nog steeds een vervalst bericht kan afleveren, ook al zegt het beleid dat hij geacht werd te volgen, iets anders.
Moet u rapporten over DMARC Policy Override versturen?
DMARC Policy Overrides vinden meestal plaats wanneer:
- De heuristiek van de ontvanger identificeert een bericht dat de authenticatie niet heeft doorstaan, maar dat door een bevoegde bron zou kunnen zijn verzonden.
- een mailbox provider heeft een bericht dat DMARC niet gelukt is vanwege e-mail doorsturen maar voldoende vertrouwen heeft in de legitimiteit ervan, kan hij het beleid terzijde schuiven en het bericht toch afleveren.
Hoewel DMARC Policy Overrides zijn toegestaan, staat in de punten 6 en 7.2 van RFC 7489 dat wanneer een ontvanger ervoor kiest af te wijken van het gepubliceerde beleid van de domeineigenaar, hij dat feit en de redenen daarvoor (met behulp van een geaggregeerd feedbackrapportageformaat) moet rapporteren aan de domeineigenaar.
Hoe is DMARC Policy Overrides toegestaan?
DMARC bestaat uit twee delen:
DMARC-beleid - Dit wordt ingesteld door de verzendende organisatie (op de publiekelijk toegankelijke DNS van de verzendende organisatie, samen met SPF en DKIM) en bepaalt hoe de ontvangende partij berichten moet behandelen die niet voldoen aan haar beleid.
DMARC Verificatie - Deze wordt gebruikt door de ontvangende organisatie (op de e-mailbeveiligingsgateway van de ontvangende organisatie) en controleert elk bericht dat wordt ontvangen van een bepaalde organisatie op de beleidsregels die zijn opgenomen in de DMARC-records van dat bedrijf. De mogelijkheid om de handhaving van het DMARC-beleid van een verzendende organisatie op te heffen, geldt echter ook voor ontvangende organisaties.
Een DMARC beleid is een "VERZOEK, GEEN VERPLICHTING"Het betekent in wezen dat je 'verzoekt' mailservers om aan te geven hoe zij de e-mailberichten moeten behandelen die van uw domein worden verzonden of zich als zodanig voordoen.
Ontvangers van e-mail zijn echter niet verplicht een strikte reeks richtsnoeren te volgen bij de verwerking van inkomende e-mails. Zij kunnen hun eigen beleid ontwikkelen met betrekking tot de berichten die zij aanvaarden of weigeren en deze normen dienovereenkomstig toepassen.
Bijvoorbeeld als de ontvanger van de e-mail het bericht als geldig beschouwt. Dus als een e-mail een DMARC-controle niet doorstaat, kan de ontvanger nog steeds zijn lokale beleid toepassen en het bericht in inboxen afleveren. Bovendien kan het beleid van de e-mailontvanger het beleid van de domeineigenaar opheffen.
Hoe kan een ontvangende organisatie mijn DMARC-beleid opheffen?
Andere organisaties kunnen de configuratie van uw DMARC-beleid overschrijven met hun eigen DMARC-verificatietools en hun eigen beleid bepalen voor de behandeling van inkomende berichten. Afhankelijk van het systeem kan een gebruiker met beheerdersrechten alle domeinen of alleen bepaalde domeinen opheffen.
Er zij op gewezen dat het DMARC-beleid wordt ingesteld door de domeineigenaar, en elk beleid geldt alleen voor de domeinen van die organisatie. Een DMARC-beleid kan dus geen invloed hebben op de adressen of berichten van andere organisaties.
DMARC Policy Failure vs DMARC Policy Overrides: Wat is het verschil?
DMARC falen Wanneer een mailserver DMARC niet correct implementeert, leidt dit tot een mislukte SPF- en DKIM-verificatie bij de ontvanger. Het onvermogen om uw legitimiteit te verifiëren kan ertoe leiden dat inboxen u als spam markeren of uw berichten weigeren. Hier respecteert de ontvangende mailserver het beleid van de afzender en overschrijft dit niet met zijn lokale beleid.
DMARC-beleid wordt overschreven wanneer de ontvangende mailserver het beleid van de afzender niet respecteert. In plaats daarvan overschrijft hij het DMARC-beleid van de afzender met zijn lokale beleid. Dit betekent dat als het bericht van de afzender een strikt beleid heeft van p=afwijzen zonder SPF- of DKIM-verificatie, de ontvangende mail het beleid terzijde schuift en het bericht toch in de inbox aflevert.
Houd DMARC Policy Overrides goed bij met PowerDMARC
Op de hoogte blijven van DMARC policy overrides is een cruciaal onderdeel van het voorkomen van e-mail spoofing en impersonatie. De meeste organisaties hebben echter niet de tijd of de middelen om hun DMARC-beleid bij te houden.
Je kunt DMARC-beleidsoverschrijdingen niet stoppen, maar je kunt ze wel bijhouden met onze DMARC-service. We voorzien je van volledige rapporten over welke organisaties je beleidsmodus overschrijven en welk type berichten van welke en welke e-mails werden toegestaan aan de kant van de ontvanger. Dit helpt de verzender om bij te blijven en de nodige actie te ondernemen als spoofing of imitatie wordt geconstateerd.
Meld u aan voor onze Gratis DMARC proefversie vandaag nog en test het zelf!
- Hoe DMARC instellen in Office 365? Stap voor stap handleiding - 6 mei 2024
- SMTP Yahoo foutcodes uitgelegd - 1 mei 2024
- SPF Softfail Vs Hardfail: Wat is het verschil? - 26 april 2024