• Waarom e-mailaliassen niet werken bij DMARC (en hoe ze te repareren)

Waarom e-mailaliassen niet werken bij DMARC (en hoe ze te repareren)

Blog

Problemen met DMARC alias mislukkingen? Leer waarom je alias-e-mails worden geblokkeerd en hoe je SPF&DKIM-uitlijning kunt corrigeren voor betere deliverability.

door Milena Baghdasaryan

Leestijd: 5 min
Waarom e-mailaliassen niet werken bij DMARC (en hoe ze te repareren)
Inhoudsopgave-

Een e-mailalias is een alternatief e-mailadres dat berichten doorstuurt naar een primair e-mailpostvak. Een alias heeft geen eigen postvak en is gewoon verantwoordelijk voor het doorsturen van berichten naar een of meer aangewezen e-mailadressen. 

DMARC kan mislukken voor e-mailaliassen, afhankelijk van hoe het bericht wordt gewijzigd tijdens het doorsturen. In deze blog bespreken we de verschillende scenario's die van invloed zijn op DMARC verificatie voor e-mailaliassen.

Belangrijkste punten

  • E-mailaliassen doorbreken DMARC vaak door SPF- en DKIM-domeinen verkeerd af te stemmen tijdens het doorsturen.
  • SPF mislukt omdat de doorsturende server niet geautoriseerd is in het SPF record van de originele afzender.
  • DKIM kan overleven, maar kan mislukken als de inhoud van het bericht wordt gewijzigd (bijvoorbeeld toegevoegde voetteksten).
  • ARC behoudt de originele verificatieresultaten, waardoor legitieme doorgestuurde e-mails door DMARC komen.
  • Voor een soepele installatie begint u met DMARC p=none, controleert u rapporten en dwingt u geleidelijk een strenger beleid af.
  • PowerDMARC helpt DMARC-fouten te omzeilen door praktische, snelle menselijke ondersteuning en beheerde services te bieden.

Redenen voor DMARC-falen voor e-mailaliassen

DMARC kan mislukken voor e-mailaliassen, afhankelijk van hoe de alias is geconfigureerd en hoe het doorstuurproces het oorspronkelijke bericht wijzigt. Of je nu gepersonaliseerde e-mails verstuurt die volkomen legitiem zijn, de volgende scenario's kunnen de verificatie beïnvloeden:  

1. Doorsturen kan SPF verbreken

SPF controleert of een verzendend IP geautoriseerd is om e-mails te versturen namens een domein. Wanneer een e-mail alias een e-mail doorstuurt, wordt de doorsturende server de "afzender" die mogelijk niet voorkomt in het SPF record van het verzendende domein. Hierdoor mislukt SPF.

Bijvoorbeeld:

DMARC controleert of het domein in het zichtbare "Van" adres overeenkomt met de domeinen die worden gebruikt voor verificatie (SPF of DKIM). In dit geval, als je DMARC beleid alleen vertrouwt op SPF authenticatie, zal DMARC ook falen. 

2. DKIM kan overleven, maar niet altijd

DKIM kan doorstuurscenario's overleven omdat authenticatie afhankelijk is van de berichtinhoud. Wanneer een alias een e-mail doorstuurt, blijft de inhoud van het bericht vaak intact, met wijzigingen in de header. Dit is echter niet altijd het geval. Sommige doorstuurders wijzigen ook de berichtinhoud en voegen extra voetteksten toe, waardoor DKIM kan falen.

In dergelijke gevallen, zelfs als je DMARC-beleid ook op DKIM vertrouwt, zal DMARC onvermijdelijk falen voor het bericht. 

Hoe DMARC Alias mislukkingen diagnosticeren

Hier zijn twee eenvoudige stappen om DMARC alias fouten te diagnosticeren. 

Handmatige methode: DMARC-rapporten controleren op afstemmingsfouten

Bekijk je DMARC-aggregaat- of faalrapporten voor berichten die zijn verzonden vanaf aliasdomeinen.

Look for alignment failures in DMARC aggregate reports under the <policy_evaluated> section, where you’ll see <spf>fail</spf> or <dkim>fail</dkim>.

Voorbeeld van een storingsmelding:

"reden": "spf fail",
 "header_from": "[email protected]",
 "disposition": "reject".

Dit betekent dat de e-mail van je alias niet door de SPF-afstemming is gekomen. Het heeft uw DMARC-beleid geactiveerd en veroorzaakt afwijzing.

Geautomatiseerde methode: Een DMARC-rapportanalyser gebruiken 

Je kunt PowerDMARC's DMARC-rapportanalyser gebruiken om complexe DMARC XML-rapporten om te zetten in overzichtelijke grafieken en diagrammen. Het helpt u:

  • Voortdurend uw e-mailverkeer controleren
  • Problemen met deliverability en authenticatiefouten opsporen
  • Authenticatiegegevens eenvoudig en effectief interpreteren 
  • On-demand PDF-rapporten plannen die kunnen worden geëxporteerd in PDF- of CSV-indeling

Gain-Granular-Visibility-on-DMARC-Failures

Oplossingen voor DMARC Alias-problemen 

Bespreek deze wijzigingen altijd met je technische team voordat je een van de onderstaande fixes uitvoert. 

1. SPF-uitlijning voor aliassen

Voeg de verzendende IP's of include-mechanismen van de doorstuurservice of service van derden toe aan het SPF-record van het aliasdomein.

Voorbeeld:

v=spf1 include:_spf.google.com include:helpscout.com ~all

Dit zorgt ervoor dat de doorsturende servers geautoriseerd zijn in SPF, vergelijkbaar met het whitelisten van vertrouwde afzenders. Dit zorgt ervoor dat de uitsmijter (SPF) ze binnenlaat zonder conflicten of problemen.

2. DKIM ondertekening voor aliassen domein

Configureer je mailsysteem of provider om uitgaande e-mails te ondertekenen met DKIM door het aliasdomein te gebruiken, niet alleen het doorstuuradres.

Het is alsof je je familiewapen(DKIM-handtekening) stempelt op elke brief die je vanuit je huis (aliasdomein) verstuurt. Op deze manier weet iedereen precies waar de brief vandaan komt, zelfs als iemand anders hem bezorgt.

3. ARC inschakelen voor uw domein

Authentiek ontvangen keten (ARC) behoudt de oorspronkelijke verificatieresultaten van een bericht (SPF, DKIM en DMARC) terwijl de e-mail langs tussenliggende servers gaat. Tot slot stelt het de uiteindelijke ontvangende server (bijv. Gmail, Outlook) in staat om de oorspronkelijke authenticatie te vertrouwen, zelfs als deze onderweg wordt verbroken. Het is echter belangrijk op te merken dat niet alle e-mailproviders ARC honoreren (sommige providers weigeren bijvoorbeeld nog steeds doorgestuurde e-mails).

4. Subdomein Strategie

Maak in plaats van aliassen speciale subdomeinen aan voor verschillende doeleinden (bijvoorbeeld [email protected]).

Om dit beter te begrijpen, kun je denken aan het bouwen van aparte mailboxen voor elk gezinslid (subdomeinen) in plaats van er één te delen. Op deze manier krijgt iedereen zijn eigen sleutels en adres, waardoor het veel gemakkelijker wordt om de mail te beheren en te beveiligen.

DMARC-beleidsaanbevelingen voor aliassen

Volg de onderstaande DMARC-aanbevelingen die van toepassing zijn op aliassen, maar ook op andere gebruikssituaties.

Begin met p=none

Begin met p=none om DMARC-activiteit te controleren zonder de e-mailaflevering te beïnvloeden. Dit helpt bij het identificeren van alias-gerelateerde uitlijningsproblemen zonder de e-mailaflevering in gevaar te brengen. Het is alsof je beveiligingscamera's installeert voordat je de deuren op slot doet. Het stelt je in staat om eerst te kijken wat er gebeurt, zodat je precies weet waar de problemen zitten.

Geleidelijke handhaving

Ga pas over op p=quarantaine nadat je problemen met SPF/DKIM-uitlijning voor je aliassen hebt opgelost. Dit filtert verdachte e-mails terwijl het de impact op legitieme berichten minimaliseert. Zie het als het plaatsen van verdachte e-mail in een wachtruimte (quarantaine) in plaats van het weg te gooien, totdat u zeker weet dat het veilig is.

Ga voorzichtig naar p=afwijzen

Gebruik p=verwerpen alleen als je weet dat alle aliassen volledig geverifieerd en uitgelijnd zijn. Strikte afwijzing kan legitieme e-mails blokkeren als aliassen niet goed zijn geconfigureerd. Voortijdig afwijzen kan legitieme berichten blokkeren, wat kan leiden tot problemen met de bezorgbaarheid van e-mail. 

Pro tips om problemen in de toekomst te voorkomen

Hier zijn enkele pro-tips om problemen met aliassen in de toekomst te voorkomen.

DMARC-analysers gebruiken

Traceer altijd alias-specifieke DMARC-fouten met behulp van DMARC analyse- en monitoringtools zoals PowerDMARC. Deze kunnen je helpen bij het snel opsporen en oplossen van problemen met doorgestuurde of alias-e-mails.

Testen voordat je uitrolt

De kleinste fouten kunnen problemen veroorzaken met de authenticatie en deliverability. Gebruik online tools zoals de SPF-, DKIM- en DMARC-checkers van PowerDMARC om uw DNS-configuraties voor e-mailverificatie te controleren. 

Documentatie

Houd ten slotte altijd gedetailleerde gegevens bij van alle SPF- en DKIM-wijzigingen. Met goede documentatie wordt het oplossen van problemen veel eenvoudiger. Het is ook erg handig voor audits of bij het bijwerken van je e-mailinstellingen.

Samenvattend 

DMARC alias mislukkingen komen vaak voor doordat headers niet overeenkomen. Dit kan worden opgelost met regelmatige controle, het autoriseren van bekende tussenpersonen en het gebruik van authenticatieprotocollen zoals ARC. Beginnen met het DMARC p=none beleid en dan geleidelijk overgaan op p=quarantine en/of p=reject kan je helpen om effectieve DMARC handhaving te bereiken en tegelijkertijd deliverability fouten te voorkomen. 

Als je deskundige hulp nodig hebt om aan de slag te gaan met e-mailverificatie, kunnen wij je helpen! Plan een gratis demo vandaag nog in om de voordelen van de beheerde e-mailverificatieservices van PowerDMARC te verkennen!

CTA

Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
MSP Praktijkstudie: Hoe PowerDMARC een Game-Changer werd voor HispaColex Tech Co...Wat is e-mail spoofing?