Berichten

E-mailverificatie is een cruciaal aspect van de taak van een e-mailprovider. E-mailverificatie, ook bekend als SPF en DKIM, controleert de identiteit van een e-mailprovider. DMARC voegt aan het proces van het verifiëren van een e-mail toe door te controleren of een e-mail is verzonden vanaf een legitiem domein door middel van uitlijning, en door aan ontvangende servers te specificeren hoe te reageren op berichten die de verificatiecontroles niet doorstaan. Vandaag gaan we de verschillende scenario's bespreken die uw vraag zouden beantwoorden waarom DMARC faalt.

DMARC is een belangrijke activiteit in uw e-mailverificatiebeleid om te helpen voorkomen dat vervalste "spoofed" e-mails door transactionele spamfilters komen. Maar het is slechts één pijler van een algeheel antispamprogramma en niet alle DMARC-rapporten zijn gelijk. Sommige vertellen u de exacte actie die mail ontvangers ondernamen op elk bericht, en andere vertellen u alleen of een bericht succesvol was of niet. Begrijpen waarom een bericht mislukte is net zo belangrijk als weten of het dat deed. Het volgende artikel legt redenen uit waarom berichten DMARC authenticatie controles niet doorstaan. Dit zijn de meest voorkomende redenen (waarvan sommige eenvoudig kunnen worden verholpen) waarom berichten kunnen falen bij DMARC authenticatie controles.

Veel voorkomende redenen waarom berichten DMARC kunnen weigeren

Bepalen waarom DMARC faalt kan ingewikkeld zijn. Ik zal echter enkele typische redenen bespreken, de factoren die eraan bijdragen, zodat u als domeineigenaar kunt werken aan een snellere oplossing van het probleem.

DMARC Afstemmingsfouten

DMARC maakt gebruik van domain alignment om uw emails te authenticeren. Dit betekent dat DMARC controleert of het domein vermeld in het Van adres (in de zichtbare header) authentiek is door het te vergelijken met het domein vermeld in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als een van beide overeenkomt, passeert de e-mail DMARC, of anders DMARC faalt.

Als uw emails DMARC niet halen, kan het dus een geval zijn van domain misalignment. Dat wil zeggen dat noch SPF noch DKIM identifiers overeenkomen en het lijkt alsof de e-mail van een onbevoegde bron komt. Dit is echter slechts een van de redenen waarom DMARC faalt.

DMARC Afstemmingsmodus 

Uw protocol uitlijningsmode speelt ook een grote rol in het al dan niet slagen van uw berichten voor DMARC. U kunt kiezen uit de volgende uitlijningsmodi voor SPF authenticatie:

  • Relaxed: Dit betekent dat als het domein in de Return-path header en het domein in de From header gewoon een organisatorische match is, ook dan SPF zal slagen.
  • Strict: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header een exacte match is, alleen dan zal SPF slagen.

U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:

  • Relaxed: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon een organisatorische match is, ook dan DKIM doorgaat.
  • Strict: Dit betekent dat alleen als het domein in de DKIM handtekening en het domein in de From header een exacte match is, alleen dan DKIM doorgaat.

Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.  

Het niet instellen van uw DKIM handtekening 

Een veel voorkomend geval waarin uw DMARC kan falen is dat u geen DKIM handtekening voor uw domein heeft opgegeven. In dergelijke gevallen wijst uw email exchange service provider een standaard DKIM handtekening toe aan uw uitgaande emails die niet overeenkomt met het domein in uw From header. De ontvangende MTA slaagt er niet in de twee domeinen op elkaar af te stemmen, waardoor DKIM en DMARC voor uw bericht mislukken (als uw berichten zijn afgestemd op zowel SPF als DKIM).

Het niet toevoegen van zendbronnen aan uw DNS 

Het is belangrijk op te merken dat wanneer u DMARC instelt voor uw domein, ontvangende MTA's DNS queries uitvoeren om uw verzendende bronnen te autoriseren. Dit betekent dat tenzij u al uw geautoriseerde verzendbronnen in de DNS van uw domein heeft staan, uw emails DMARC zullen falen voor die bronnen die niet in de lijst staan, aangezien de ontvanger ze niet in uw DNS kan vinden. Om er zeker van te zijn dat uw legitieme e-mails altijd worden afgeleverd, moet u dus al uw geautoriseerde externe e-mailleveranciers die namens uw domein e-mails mogen verzenden, in uw DNS vermelden.

In geval van e-mail forwarding

Tijdens het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat het uiteindelijk bij de ontvangende server wordt afgeleverd. Tijdens het doorsturen van e-mail mislukt de SPF controle omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres is meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.

Zoals bekend faalt SPF onvermijdelijk tijdens het doorsturen van e-mail, als de versturende bron DKIM neutraal is en voor de validatie alleen op SPF vertrouwt, zal de doorgestuurde e-mail bij DMARC verificatie als ongeldig worden aangemerkt. Om dit probleem op te lossen, moet u direct kiezen voor volledige DMARC compliance binnen uw organisatie door alle uitgaande berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM, want om een e-mail door de DMARC verificatie te laten komen, moet de e-mail zowel SPF als DKIM verificatie en afstemming doorstaan.

Uw domein wordt gespoofed

Als u uw DMARC, SPF en DKIM protocollen goed geconfigureerd heeft voor uw domein, met uw policies op handhaving en geldige error-free records, en het probleem is niet een van de bovengenoemde gevallen, dan is de meest waarschijnlijke reden waarom uw emails DMARC niet halen dat uw domein wordt gespoofed of vervalst. Dit is wanneer imitators en dreigingsacteurs e-mails proberen te versturen die van uw domein afkomstig lijken te zijn met behulp van een kwaadaardig IP-adres.

Recente statistieken over e-mailfraude hebben aangetoond dat het aantal gevallen van e-mailspoofing de laatste tijd toeneemt en een grote bedreiging vormt voor de reputatie van uw organisatie. In zulke gevallen, als DMARC geïmplementeerd is op een reject policy, zal het falen en de gespoofde email zal niet worden afgeleverd in de inbox van de ontvanger. Domein spoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.

Wij raden u aan u aan te melden met onze gratis DMARC Analyzer en uw reis van DMARC rapportering en monitoring te beginnen.

  • Met een none policy kunt u uw domein monitoren met DMARC (RUA) Aggregate Reports en uw inkomende en uitgaande e-mails nauwlettend in de gaten houden, dit zal u helpen te reageren op eventuele ongewenste afleverproblemen
  • Daarna helpen wij u over te schakelen op een afgedwongen beleid dat u uiteindelijk zou helpen immuniteit te verkrijgen tegen domein-spoofing en phishing-aanvallen
  • Met behulp van onze Threat Intelligence-engine kunt u kwaadaardige IP-adressen uitschakelen en rechtstreeks vanuit het PowerDMARC-platform rapporteren om toekomstige impersonatieaanvallen te voorkomen.
  • PowerDMARC's DMARC (RUF) Forensische rapporten helpen u gedetailleerde informatie te verkrijgen over gevallen waarin uw e-mails DMARC niet hebben doorstaan, zodat u het probleem bij de wortel kunt aanpakken en oplossen

Voorkom domein spoofing en bewaak uw e-mail stroom met PowerDMARC, vandaag nog!

Wanneer een e-mail van de verzendende server rechtstreeks naar de ontvangende server wordt gestuurd, authenticeren SPF en DKIM (als ze correct zijn ingesteld) de e-mail normaal gesproken en valideren ze gewoonlijk effectief of de e-mail legitiem of ongeautoriseerd is. Dat is echter niet het geval als de e-mail via een tussenliggende mailserver passeert voordat deze bij de ontvanger wordt afgeleverd, zoals in het geval van doorgestuurde berichten. Deze blog is bedoeld om u mee te nemen door de impact van e-mail forwarding op DMARC authenticatie-resultaten.

Zoals we al weten, maakt DMARC gebruik van twee standaard e-mail authenticatie protocollen, namelijk SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), om inkomende berichten te valideren. Laten we ze in het kort bespreken om een beter begrip te krijgen van hoe ze werken voordat we verder gaan met hoe forwarding ze kan beïnvloeden.

Beleidskader afzender

SPF is in uw DNS aanwezig als een TXT record, dat alle geldige bronnen weergeeft die geautoriseerd zijn om emails van uw domein te versturen. Elke e-mail die uw domein verlaat, heeft een IP-adres dat uw server en de door uw domein gebruikte e-mail service provider identificeert en dat in uw DNS is opgenomen als een SPF record. De mailserver van de ontvanger valideert de e-mail aan de hand van uw SPF record om deze te verifiëren en markeert de e-mail als SPF pass of fail.

DomainKeys Geïdentificeerde Mail

DKIM is een standaard e-mailauthenticatieprotocol dat een cryptografische handtekening, gemaakt met een privésleutel, toekent om e-mails in de ontvangende server te valideren, waarbij de ontvanger de publieke sleutel kan opvragen bij de DNS van de afzender om de berichten te authenticeren. Net als SPF bestaat ook de DKIM publieke sleutel als een TXT record in de DNS van de domeineigenaar.

De impact van e-mail doorsturen op uw DMARC-authenticatieresultaten

Bij het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat hij uiteindelijk bij de ontvangende server wordt afgeleverd. Ten eerste is het belangrijk te beseffen dat e-mail doorsturen op twee manieren kan gebeuren: e-mail kan handmatig worden doorgestuurd, wat geen invloed heeft op de verificatieresultaten, of het kan automatisch worden doorgestuurd, in welk geval de verificatieprocedure wel een klap krijgt als het domein het record voor de intermediaire verzendende bron niet in hun SPF heeft staan.

Uiteraard mislukt de SPF controle meestal tijdens het doorsturen van emails omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres wordt meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.

Om DMARC authenticatie te doorstaan, moet een e-mail voldoen aan SPF of DKIM authenticatie en uitlijning. Aangezien wij weten dat SPF onvermijdelijk faalt bij het doorsturen van e-mail, zal in het geval dat de verzendende bron DKIM neutraal is en alleen op SPF vertrouwt voor validatie, de doorgestuurde e-mail bij DMARC verificatie als onwettig worden beschouwd.

De oplossing? Simpel. U dient onmiddellijk te kiezen voor volledige DMARC compliance binnen uw organisatie door alle inkomende berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM!

DMARC-naleving bereiken met PowerDMARC

Het is belangrijk op te merken dat om DMARC compliance te bereiken, emails geauthenticeerd moeten worden tegen SPF of DKIM of beide. Echter, tenzij de doorgestuurde berichten worden gevalideerd tegen DKIM, en alleen vertrouwen op SPF voor authenticatie, zal DMARC onvermijdelijk falen zoals besproken in onze vorige paragraaf. Daarom helpt PowerDMARC u volledige DMARC compliance te bereiken door e-mails effectief af te stemmen op en te authenticeren tegen zowel SPF als DKIM authenticatieprotocollen. Op deze manier, zelfs als authentieke doorgestuurde berichten SPF niet halen, kan de DKIM handtekening worden gebruikt om het als legitiem te valideren en de e-mail passeert de DMARC verificatie en belandt vervolgens in de inbox van de ontvanger.

Uitzonderlijke gevallen: DKIM mislukt en hoe op te lossen?

In bepaalde gevallen kan de doorsturende entiteit de mailbody wijzigen door aanpassingen in MIME-grenzen, implementatie van anti-virusprogramma's of hercodering van het bericht. In dergelijke gevallen faalt zowel de SPF als de DKIM authenticatie en worden legitieme emails niet afgeleverd.

In het geval dat SPF en DKIM beide falen, kan PowerDMARC dit identificeren en weergeven in onze gedetailleerde overzichten. Protocollen zoals Authenticated Received Chain kunnen door mailservers worden gebruikt om dergelijke e-mails te authenticeren. In ARC kan de header Authentication-Results worden doorgegeven aan de volgende 'hop' in de lijn van de berichtaflevering, om authenticatieproblemen tijdens het doorsturen van e-mail effectief te beperken.

In het geval van een doorgestuurd bericht probeert de e-mailserver van de ontvanger, wanneer hij een bericht ontvangt dat DMARC-authenticatie niet heeft doorstaan, de e-mail een tweede keer te valideren tegen de verstrekte Authenticated Received Chain voor de e-mail door de ARC Authentication-Results van de eerste "hop" te extraheren, om na te gaan of het bericht als legitiem werd gevalideerd voordat de tussenliggende server het naar de ontvangende server doorstuurde.

Meld u dus vandaag nog aan bij PowerDMARC, en bereik DMARC compliance bij uw organisatie!