De beveiliging van e-mail is altijd al een uitdaging geweest. Het is niet genoeg om alleen de berichten te versleutelen om te voorkomen dat hackers en spammers er misbruik van maken. Dit is waar het concept van DMARC-evaluatie om de hoek komt kijken. DMARC maakt gebruik van DNS om te specificeren hoe e-mails moeten worden behandeld die er niet in slagen te verifiëren SPF, DKIMof beide.
In deze blog wordt besproken wat DMARC is, waarom u het nodig hebt, en hoe u de foutmelding 521 5.2.1 failed DMARC evaluation kunt oplossen.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting & Conformance, een e-mailverificatieprotocol dat is gebaseerd op SPF- en DKIM-protocollen. Berichten worden van bevoegde servers naar het SPF-record en/of de DKIM-handtekening van het DMARC-conforme domein gestuurd. Als een van de controles slaagt, wordt het bericht afgeleverd. Het bericht wordt echter niet afgeleverd als het niet door beide controles komt, omdat het niet voldoet aan de SPF- of DKIM-vereisten.
Vanaf 2021 is het aantal in gebruik genomen geldige DMARC-beleidsregels met maar liefst 84% gestegen, tot een totaal van bijna 5 miljoen unieke records, vergeleken met 2020.
Wat is SPF
SPF staat voor Senders Policy Framework, een e-mailverificatieprotocol dat spoofing opspoort en beveiligt. e-mail spoofing beveiliging. Hiermee kunt u een DNS TXT record aanmaken waarin u alle IP-adressen opneemt die e-mail mogen versturen via uw domein. SPF helpt ISP's of e-mailservers bij het valideren van berichten van een bepaald domein.
Wat is DKIM?
DKIM staat voor Domainkeys Identified Mail, een protocol waarmee u uw e-mail digitaal kunt ondertekenen. Dat gebeurt aan de hand van een unieke identificatie met behulp van publieke sleutelcryptografie en niet aan de hand van een IP-adres. De ontvangende server vergelijkt dus altijd de private en publieke hashes om te zien of ze overeenkomen.
Als ze overeenkomen, wordt het bericht gevalideerd; anders wordt het gemarkeerd als spam.
Hoe DMARC afhankelijk is van SPF en DKIM?
DMARC is afhankelijk van zowel SPF als DKIM e-mailverificatieprotocollen. Hiermee kunt u beschrijven hoe de ontvangersservers ongeautoriseerde e-mails afkomstig van uw domein moeten beheren. DMARC definieert een ander DNS record waar de publieke sleutel voor het verzendende domein wordt opgeslagen. Met deze records kan de ontvangende e-mailserver het volgende doen:
- Controleer de authenticatie van de afzender om e-mail van het brondomein te verzenden met behulp van SPF.
- Authenticeren van e-mails door verificatie met behulp van de digitale handtekening die DKIM oplevert.
- Bepaal hoe de niet-geauthenticeerde e-mails door de mailserver van de ontvanger moeten worden behandeld.
Hoewel e-mailsysteembeheerders voorzichtig proberen te zijn met niet-geauthenticeerde mail, helpt DMARC hen te bepalen hoe deze kunnen worden behandeld. Dit werkt door een van de drie beleidslijnen in te stellen: geen, afwijzen of in quarantine plaatsen.
U moet uw team echter wel trainen in het voorkomen van phishing en BEC-aanvallen om het risico te beperken.
Hoe DMARC mijn berichten beperkt
Hier zijn enkele berichten die u kunt zien bij een mislukte DMARC-evaluatie.
"521 5.2.1 DMARC-evaluatie mislukt: Dit bericht is niet geslaagd voor DMARC-evaluatie en wordt geweigerd vanwege het verstrekte DMARC-beleid."
"550 5.7.1- Ongeauthenticeerde e-mail van domein.tld wordt niet geaccepteerd vanwege het DMARC-beleid van het domein. Neem contact op met de beheerder van het domein.tld als dit een legitieme mail was. Ga naar https://support.google.com/mail/answer/2451690 voor meer informatie over het DMARC-initiatief. 62si14044909itw.103 - gsmtp" "
U ziet deze berichten als gevolg van DMARC-fouten. Dit gebeurt meestal wanneer de postbusproviders geen berichten accepteren waarvan het Van-domein een van hun adressen is, en het bericht is verzonden van een niet-geautoriseerde maildomeinprovider.
Daarom mogen de accounts van Twilio SendGrid geen berichten versturen met een Van-adres van Gmail, AOL of Yahoo naar een domein dat DMARC vooraf verifieert. Deze complicaties maken het cruciaal om te weten wat DMARC-evaluatie is en hoe een mislukte evaluatie kan worden opgelost.
Als u toch e-mails wilt versturen, moet u uw e-mailadres wijzigen in een ander, niet-beschermd e-mailadres. U kunt het beste uw eigen e-maildomein gebruiken, omdat dat legitiem is. U kunt ook het legitieme e-maildomein van een leverancier gebruiken. Vervolgens kunt u het veld Reply-To instellen als het oorspronkelijke adres dat eerder was ingesteld als het Van-adres.
Opgemerkt zij dat e-mails met een mislukte DMARC-evaluatie kunnen worden verwijderd en gevolgd als Geblokkeerd. Als u deze zonder problemen wilt verzenden, pas dan uw Van-adres aan zoals hierboven vermeld, en probeer dan opnieuw te verzenden vanaf uw kant.
Syntaxisfout
Terwijl u leert wat DMARC evaluatie is, wilt u misschien ook weten over syntaxisfouten in DNS records. Veel voorkomende SMTP-fouten beginnen met de code 554 die de mislukking van de transactie aangeeft. Het is een permanente fout, en de server verstuurt het bericht niet opnieuw.
- Een 554 5.7.5 permanente fout bij de evaluatie van het dmarc-beleid (Protonmail) luidt als volgt;
Het antwoord van de externe server was:
554 5.7.5 permanente fout bij evaluatie van DMARC beleid
- Een 521 5.2.1 fout bij de evaluatie van het dmarc-beleid luidt als volgt:
Dit bericht is niet geslaagd voor DMARC evaluatie en wordt geweigerd vanwege het DMARC beleid.
- Een 550 5.7.1 fout bij de evaluatie van het dmarc-beleid luidt als volgt:
Ongeauthenticeerde e-mail van example.com wordt niet geaccepteerd vanwege het dmarc-beleid van het domein.
Hoe 521 5.2.1 mislukte Dmarc-evaluatiefout op te lossen?
Welke stappen kunt u nemen om de 'dit bericht is niet geslaagd voor DMARC evaluatie' foutmelding?
Om DMARC te gebruiken, moet u SPF en een aangepaste DKIM-handtekening afstemmen. Vervolgens moet u ervoor zorgen dat alle e-mailservers die uw domein gebruiken, worden bijgewerkt. Dit geldt ook voor de servers die uw bedrijf lokaal gebruikt voordat u een DMARC-beleid publiceert. U moet het beleid bijwerken als u een bounce-bericht ontvangt met een bericht dat de DMARC-evaluatie niet heeft doorstaan omdat er geen SPF- of DKIM-afstemming is.
U kunt ons team van DMARC-experts raadplegen voor de juiste begeleiding en configuratie.
