Berichten

Het hebben van meerdere DMARC records op uw domein is een complete no-no, en hier is waarom! We weten dat het implementeren van e-mail authenticatie protocollen zoals DMARC essentieel is voor de reputatie van een organisatie en de beveiliging van gegevens, en om dat te doen moeten domeineigenaren een TXT record in hun DNS publiceren. Maar een vraag die vaak weer opduikt in de community is: " Kan ik meerdere DMARC records op mijn domein hebben?" Het antwoord is nee. Meerdere DMARC records op hetzelfde domein kunnen uw record ongeldig maken en daardoor kan de DMARC authenticatie policy die voor uw domein is ingesteld niet werken.

Hoe wordt een DMARC Record door MTA's verwerkt?

Een DMARC record gepubliceerd in de DNS van uw domein ziet er ongeveer zo uit:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Daarom, wanneer een domein waarvoor DMARC geconfigureerd is een e-mail verstuurt, haalt de e-mail ontvangende MTA alle TXT records op die beginnen met v=DMARC1. De MTA bevraagt de DNS van het verzendende domein en kan de volgende scenario's tegenkomen:

  1. Het vindt een enkel geldig DMARC record in de DNS van het brondomein en verwerkt de e-mail volgens de DMARC beleidsspecificaties
  2. Het vindt geen DMARC record voor het verzendende domein en DMARC verwerking stopt automatisch, de e-mail wordt afgeleverd zonder verificatie van de bron
  3. Het vindt meerdere DMARC records op hetzelfde domein en in dit geval wordt de DMARC verwerking ook stopgezet en de toegepaste policy wordt niet uitgevoerd

Meerdere DMARC Records: Hoe het te repareren?

Wanneer u DMARC voor uw domein configureert en een beleid instelt, wilt u dat MTA's op uw e-mails reageren op een manier die overeenkomt met uw bedoelingen. Dit is hoe DMARC uw domein kan beschermen tegen impersonatie en spoofing. Om het geconfigureerde protocol effectief te laten functioneren, raden wij de volgende stappen aan:

  • Zorg ervoor dat u niet meerdere DMARC records voor uw domein heeft gepubliceerd
  • Zorg ervoor dat uw DMARC record geen syntax fouten bevat
  • In plaats van het handmatig genereren van uw DMARC record, gebruik betrouwbare tools zoals onzegratis DMARC record generator om het werk voor u te doen
  • Schakel DMARC-rapporten in voor uw domein om uw e-mailstroom en verificatieresultaten van tijd tot tijd te controleren, zodat u afleveringsproblemen kunt opsporen en actie kunt ondernemen tegen kwaadwillende verzendbronnen
  • Zorg ervoor dat u onder de SPF 10 lookup limiet blijft om een fout resultaat te voorkomen

Een alternatief voor de verschillende stappen die u kunt nemen om DMARC correct te implementeren voor uw domein en meerdere DMARC records te vermijden, zou zijn om u simpelweg aan te melden bij onze DMARC analyzer.

PowerDMARC zorgt op de achtergrond voor het grootste deel van de complexiteit om uw e-mailverificatie te automatiseren en u te helpen eventuele configuratiefouten te beperken die problemen kunnen veroorzaken bij de bezorgbaarheid van e-mail.

In dit artikel zullen we zorgvuldig de top 6 redenen voor DMARC failure ontmaskeren en hoe u deze kunt beperken voor een betere deliverability. DMARC failure voor uw berichten is een reden tot bezorgdheid als u een organisatie bent die sterk afhankelijk is van emails voor zowel externe als interne communicatie. Er zijn methoden en tools die u online (gratis) kunt gebruiken om DMARC fail voor uw e-mails te stoppen.

Voor we overgaan tot waarom DMARC faalt, laten we eens kijken wat het is en hoe het je helpt:

DMARC is een belangrijke activiteit in uw e-mail authenticatie beleid om te helpen voorkomen dat vervalste "spoofed" e-mails door transactionele spamfilters komen. Maar het is slechts één pijler van een algeheel antispamprogramma, en niet alle DMARC-rapporten zijn gelijk geschapen. Sommige vertellen u de exacte actie die mail ontvangers ondernamen op elk bericht, en andere vertellen u alleen of een bericht succesvol was of niet. Begrijpen waarom een bericht is mislukt is net zo belangrijk als weten of het is mislukt.

Veel voorkomende redenen die DMARC kunnen doen falen

Bepalen waarom DMARC faalt kan ingewikkeld zijn. Ik zal echter enkele typische redenen bespreken, de factoren die eraan bijdragen, zodat u als domeineigenaar kunt werken aan een snellere oplossing van het probleem.

DMARC Afstemmingsfouten

DMARC maakt gebruik van domain alignment om uw emails te authenticeren. Dit betekent dat DMARC controleert of het domein vermeld in het Van adres (in de zichtbare header) authentiek is door het te vergelijken met het domein vermeld in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als beide overeenkomen, passeert de e-mail DMARC, of anders DMARC faalt.

Als uw emails DMARC niet halen, kan het dus een geval zijn van domain misalignment. Dat wil zeggen dat noch SPF noch DKIM identifiers overeenkomen en het lijkt alsof de e-mail van een onbevoegde bron komt. Dit is echter slechts een van de redenen waarom DMARC faalt.

DMARC Afstemmingsmodus 

Uw protocol uitlijningsmode speelt ook een grote rol in het al dan niet slagen van uw berichten voor DMARC. U kunt kiezen uit de volgende uitlijningsmodi voor SPF authenticatie:

  • Relaxed: Dit betekent dat als het domein in de Return-path header en het domein in de From header gewoon een organisatorische match is, ook dan SPF zal slagen.
  • Strict: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header een exacte match is, alleen dan zal SPF slagen.

U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:

  • Relaxed: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon een organisatorische match is, ook dan DKIM doorgaat.
  • Strict: Dit betekent dat alleen als het domein in de DKIM handtekening en het domein in de From header een exacte match is, alleen dan DKIM doorgaat.

Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.  

Het niet instellen van uw DKIM handtekening 

Een veel voorkomend geval waarin uw DMARC kan falen is dat u geen DKIM handtekening voor uw domein heeft opgegeven. In dergelijke gevallen wijst uw email exchange service provider een standaard DKIM handtekening toe aan uw uitgaande emails die niet overeenkomen met het domein in uw From header. De ontvangende MTA slaagt er niet in de twee domeinen op één lijn te krijgen, waardoor DKIM en DMARC voor uw bericht mislukken (als uw berichten zijn uitgelijnd met zowel SPF als DKIM).

Het niet toevoegen van zendbronnen aan uw DNS 

Het is belangrijk op te merken dat wanneer u DMARC instelt voor uw domein, ontvangende MTA's DNS queries uitvoeren om uw verzendende bronnen te autoriseren. Dit betekent dat tenzij u al uw geauthoriseerde verzendbronnen in de DNS van uw domein heeft staan, uw emails DMARC zullen falen voor de bronnen die niet in de lijst staan aangezien de ontvanger ze niet in uw DNS zou kunnen vinden. Om er zeker van te zijn dat uw legitieme e-mails altijd worden afgeleverd, zorg er dus voor dat al uw geautoriseerde derde partij e-mail leveranciers die geautoriseerd zijn om e-mails te versturen namens uw domein, vermeld worden in uw DNS.

In geval van e-mail forwarding

Bij het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat hij uiteindelijk bij de ontvangende server wordt afgeleverd. Tijdens het doorsturen van e-mail mislukt de SPF controle omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres wordt meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen in de inhoud van het bericht aanbrengt.

Zoals bekend faalt SPF onvermijdelijk tijdens het doorsturen van e-mail, als de versturende bron DKIM neutraal is en voor de validatie alleen op SPF vertrouwt, zal de doorgestuurde e-mail bij DMARC verificatie als ongeldig worden aangemerkt. Om dit probleem op te lossen, moet u direct kiezen voor volledige DMARC compliance binnen uw organisatie door alle uitgaande berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM, want om een e-mail door de DMARC verificatie te laten komen, moet de e-mail zowel SPF als DKIM verificatie en afstemming doorstaan.

Uw domein wordt gespoofed

Als u uw DMARC, SPF, en DKIM protocollen goed geconfigureerd heeft voor uw domein, met uw policies op handhaving en geldige error-free records, en het probleem is niet een van de bovengenoemde gevallen, dan is de meest waarschijnlijke reden waarom uw emails DMARC niet halen dat uw domein wordt gespoofed of vervalst. Dit is wanneer imitators en dreigingsacteurs e-mails proberen te versturen die van uw domein afkomstig lijken te zijn met behulp van een kwaadaardig IP-adres.

Uitrecente statistieken over e-mailfraude is gebleken dat het aantal gevallen van e-mailspoofing de laatste tijd toeneemt en een zeer grote bedreiging vormt voor de reputatie van uw organisatie. In dergelijke gevallen, als u DMARC heeft geïmplementeerd op een afkeur beleid, zal het falen en de gespoofde e-mail zal niet worden afgeleverd in de inbox van uw ontvanger. Domein spoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.

Waarom faalt DMARC voor mailbox providers van derden? (Gmail, Mailchimp, Sendgrid, enz)

Als u externe mailbox providers gebruikt om namens u emails te versturen, moet u DMARC, SPF, en/of DKIM voor hen inschakelen. U kunt dit doen door contact met hen op te nemen en hen te vragen de implementatie voor u af te handelen, of u kunt het heft in eigen hand nemen en de protocollen handmatig activeren. Om dit te doen moet u toegang hebben tot uw account portal gehost op elk van deze platforms (als admin).

Als je Gmail berichten DMARC niet halen, ga dan naar het SPF record van je domein en controleer of je _spf.google.com hebt opgenomen in het record. Zo niet, dan kan dit een reden zijn waarom ontvangende servers er niet in slagen Gmail te identificeren als uw geautoriseerde verzendbron. Hetzelfde geldt voor uw e-mails verzonden vanuit Mailchimp, Sendgrid, en anderen.

Hoe kan ik DMARC falen oplossen?

Om DMARC fouten op te lossen, raden wij u aan u aan te melden met onze gratis DMARC Analyzer en uw reis van DMARC rapportering en monitoring te beginnen.

#Stap 1: Met een geen beleid, kunt u beginnen met het monitoren van uw domein met DMARC (RUA) Aggregate Reports en uw inkomende en uitgaande e-mails goed in de gaten te houden, dit zal u helpen te reageren op eventuele ongewenste afleverproblemen

#Stap 2: Daarna helpen wij u over te schakelen op een afgedwongen beleid dat u uiteindelijk zal helpen immuniteit te verkrijgen tegen domein-spoofing en phishing-aanvallen.

#Stap 3: Schadelijke IP-adressen aanpakken en ze rechtstreeks vanuit het PowerDMARC-platform rapporteren om toekomstige impersonatieaanvallen te omzeilen, met behulp van onze Threat Intelligence-engine

#Stap 4: Schakel DMARC (RUF) Forensische rapporten in om gedetailleerde informatie te krijgen over gevallen waarin uw e-mails DMARC niet hebben doorstaan, zodat u het probleem bij de wortel kunt aanpakken en het sneller kunt oplossen

We hopen dat we het probleem van waarom DMARC faalt voor uw domein hebben kunnen aanpakken en een oplossing hebben kunnen bieden om het probleem eenvoudig op te lossen. Voorkom domein spoofing en bewaak uw email stroom met PowerDMARC, vandaag nog!