De beveiliging van e-mail is altijd al een uitdaging geweest. Het is niet genoeg om alleen de berichten te versleutelen om te voorkomen dat hackers en spammers er misbruik van maken. Dit is waar het concept van DMARC-evaluatie om de hoek komt kijken. DMARC maakt gebruik van DNS om te specificeren hoe e-mails moeten worden behandeld die er niet in slagen te verifiëren SPF, DKIMof beide.
In deze blog wordt besproken wat DMARC is, waarom je het nodig hebt en hoe je de foutmelding 521 5.2.1 failed DMARC evaluation kunt oplossen.
Belangrijkste opmerkingen
- DMARC is een e-mailverificatieprotocol dat is gebaseerd op SPF en DKIM om gespoofde e-mails te helpen voorkomen.
- De implementatie van DMARC-beleid is aanzienlijk toegenomen, wat duidt op een groeiend bewustzijn van e-mailbeveiliging.
- Om DMARC correct te laten functioneren, moeten alle e-mailservers die je domein gebruiken worden bijgewerkt en aangepast aan de SPF- en DKIM-instellingen.
- Ontvangende servers beslissen hoe ze niet-geverifieerde e-mails afhandelen op basis van het DMARC-beleid dat voor het domein is ingesteld.
- Veel voorkomende DMARC-evaluatiefouten duiden op problemen met afstemming of verificatie, die vaak kunnen worden opgelost door de e-mailinstellingen aan te passen.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting & Conformance, een e-mailverificatieprotocol dat is gebaseerd op SPF- en DKIM-protocollen. Berichten worden van geautoriseerde servers naar het SPF record en/of de DKIM handtekening van het DMARC compliant domein gestuurd. Als een van de controles succesvol is, wordt het bericht afgeleverd. Het bericht wordt echter niet afgeleverd als het niet door beide controles komt, omdat het niet voldoet aan de SPF- of DKIM-vereisten.
Vanaf 2021 steeg het aantal geldige DMARC-beleidsregels dat in gebruik werd waargenomen met maar liefst 84%, tot een totaal van bijna 5 miljoen unieke records, vergeleken met 2020.
Vereenvoudig DMARC met PowerDMARC!
Wat is SPF
SPF staat voor Senders Policy Framework, een e-mailverificatieprotocol dat spoofing detecteert en beveiligt. beveiliging tegen e-mail spoofing. Hiermee kun je een DNS TXT-record aanmaken waarin je alle IP-adressen opslaat die e-mail mogen versturen via jouw domein. SPF helpt ISP's of e-mailservers bij het valideren van berichten van een bepaald domein.
Wat is DKIM?
DKIM staat voor Domainkeys Identified Mail, een protocol waarmee je je e-mail digitaal kunt ondertekenen. Dit gebeurt aan de hand van een unieke identificatie met behulp van openbare sleutelcryptografie en niet aan de hand van een IP-adres. De ontvangende server vergelijkt dus altijd de private en public hashes om te zien of ze overeenkomen.
Als ze overeenkomen, wordt het bericht gevalideerd; anders wordt het gemarkeerd als spam.
Hoe DMARC afhankelijk is van SPF en DKIM?
DMARC is afhankelijk van zowel SPF als DKIM e-mailverificatieprotocollen. Hiermee kunt u beschrijven hoe de ontvangerservers ongeautoriseerde e-mails afkomstig van uw domein moeten beheren. DMARC definieert een ander DNS-record waar de publieke sleutel voor het verzendende domein wordt opgeslagen. Met deze records kan de ontvangende e-mailserver het volgende doen:
- Controleer de verificatie van de afzender om e-mail te verzenden vanaf het brondomein met SPF.
- Authenticeer e-mails door ze te verifiëren met behulp van de digitale handtekening die is ingesteld door DKIM op te zetten.
- Bepaal hoe de niet-geverifieerde e-mails moeten worden behandeld door de mailserver van de ontvanger.
Hoewel e-mailsysteembeheerders voorzichtig proberen te zijn met niet-geauthenticeerde mail, helpt DMARC hen te bepalen hoe deze kunnen worden behandeld. Dit werkt door een van de drie beleidslijnen in te stellen: geen, afwijzen of in quarantine plaatsen.
U moet uw team echter wel trainen in het voorkomen van phishing en BEC-aanvallen om het risico te beperken.
Hoe DMARC mijn berichten beperkt
Hier zijn enkele berichten die je kunt zien bij een mislukte DMARC-evaluatie.
"521 5.2.1 DMARC-evaluatie mislukt: Dit bericht is niet geslaagd voor DMARC-evaluatie en wordt geweigerd vanwege het verstrekte DMARC-beleid."
"550 5.7.1- Ongeauthenticeerde e-mail van domein.tld wordt niet geaccepteerd vanwege het DMARC-beleid van het domein. Neem contact op met de beheerder van het domein domain.tld als dit een legitieme e-mail was. Ga naar https://support.google.com/mail/answer/2451690 voor meer informatie over het DMARC-initiatief. 62si14044909itw.103 - gsmtp".
Je ziet deze berichten als gevolg van DMARC-fouten. Dit gebeurt meestal wanneer de postbusproviders geen berichten accepteren waarvan het Van-domein een van hun adressen is, en het bericht is verzonden door een niet-geautoriseerde maildomeinprovider.
Daarom mogen de accounts van Twilio SendGrid geen berichten versturen met een Van-adres van Gmail, AOL of Yahoo naar een domein dat DMARC vooraf verifieert. Door deze complicaties is het belangrijk om te weten wat DMARC-evaluatie is en hoe je een mislukte evaluatie kunt oplossen.
Als je nog steeds e-mails wilt versturen, moet je je e-mailadres wijzigen in een ander niet-beschermd e-mailadres. Het is het beste om je eigen e-maildomein te gebruiken, omdat dit legitiem is. Je kunt ook een legitiem e-maildomein van een leverancier gebruiken. Vervolgens kun je het veld Reply-To instellen als het oorspronkelijke adres dat eerder was ingesteld als het Van-adres.
Opgemerkt moet worden dat e-mails met een mislukte DMARC-evaluatie kunnen worden verwijderd en getraceerd als Geblokkeerd. Als je de e-mail zonder problemen wilt verzenden, pas dan je Van-adres aan zoals hierboven vermeld en probeer de e-mail opnieuw te verzenden vanaf jouw kant.
Syntaxisfout
Terwijl je leert wat DMARC-evaluatie is, wil je misschien ook iets weten over syntaxisfouten in DNS-records. Veel voorkomende SMTP-fouten beginnen met de code 554 die aangeeft dat de transactie is mislukt. Het is een permanente fout en de server verstuurt het bericht niet opnieuw.
- Een 554 5.7.5 permanente fout bij het evalueren van dmarc-beleid (Protonmail) leest als volgt;
Het antwoord van de externe server was:
554 5.7.5 permanente fout bij het evalueren van DMARC-beleid
- Een 521 5.2.1 fout bij het evalueren van het dmarc-beleid ziet er als volgt uit:
Dit bericht is niet geslaagd voor DMARC-evaluatie en wordt geweigerd vanwege het DMARC-beleid
- Een 550 5.7.1 fout bij het evalueren van dmarc-beleid ziet er als volgt uit:
Ongeauthenticeerde e-mail van example.com wordt niet geaccepteerd vanwege het dmarc-beleid van het domein
Hoe fout 521 5.2.1 mislukte Dmarc-evaluatie oplossen?
Welke stappen kun je nemen om de melding 'dit bericht is niet geslaagd voor DMARC-evaluatie' foutmelding?
Om DMARC te gebruiken, moet je SPF en een aangepaste DKIM-handtekening afstemmen. Vervolgens moet u ervoor zorgen dat alle e-mailservers die uw domein gebruiken, zijn bijgewerkt. Dit geldt ook voor de servers die je bedrijf lokaal gebruikt voordat je een DMARC-beleid publiceert. Je moet het beleid bijwerken als je een bouncebericht ontvangt met een bericht dat de DMARC-evaluatie niet heeft doorstaan omdat er geen SPF- of DKIM-afstemming is.
Je kunt ons team van DMARC-experts raadplegen voor de juiste begeleiding en configuratie.
- Microsoft vereisten voor afzenders gehandhaafd - Hoe 550 5.7.15 afwijzingen vermijden - 30 april 2025
- Hoe Spyware voorkomen? - 25 april 2025
- SPF, DKIM en DMARC instellen voor Customer.io - 22 april 2025