Waarom faalt DMARC? DMARC-fout oplossen in 2023
DMARC fail treedt op wanneer een inkomende e-mail de DMARC-verificatiecontroles niet doorstaat. Dit betekent dat de e-mail niet voldoet aan het door de domeineigenaar ingestelde beleid, wat wijst op een mogelijke spoofing- of phishingpoging. Bij een DMARC-fout kan de e-mailserver van de ontvanger verschillende acties ondernemen op basis van het door de domeineigenaar vastgestelde beleid, zoals de e-mail als spam markeren, weigeren of in quarantaine plaatsen. Een DMARC-fout kan gevolgen hebben voor uw e-mailmarketinginspanningen en de deliverability van uw e-mail aanzienlijk verminderen.
Basisbegrippen rond het DMARC-protocol
DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance. Het is een e-mailverificatieprotocol dat een extra beveiligingslaag biedt door spoofing en phishing-aanvallen te helpen voorkomen. DMARC stelt domeineigenaren in staat beleidsregels te publiceren in hun DNS-records, die ontvangende mailservers instrueren hoe zij moeten omgaan met e-mails die beweren van hun domein afkomstig te zijn.
Het stelt domeineigenaren in staat om aan te geven of niet-geautoriseerde e-mails moeten worden geweigerd of in quarantaine geplaatst, zodat er meer controle is over de aflevering van e-mails. DMARC genereert ook rapporten die waardevolle inzichten bieden in mislukte e-mailverificatie, zodat organisaties hun e-mailbeveiligingsmaatregelen kunnen controleren en verbeteren.
In het algemeen helpt DMARC de beveiliging van e-mail te verbeteren door authenticatiecontroles af te dwingen en organisaties in staat te stellen hun merkreputatie en gebruikers te beschermen tegen op e-mail gebaseerde bedreigingen.
Begrijpen waarom DMARC faalt
DMARC kan om verschillende redenen mislukken, waaronder SPF- en DKIM-authenticatiefouten, verkeerde afstemming tussen het "Van"-domein, SPFen DKIMproblemen met doorsturen of diensten van derden die e-mailhandtekeningen wijzigen, verkeerd geconfigureerd DMARC-beleid en pogingen van kwaadwillenden om legitieme domeinen te spoofen.
DMARC falen kan leiden tot problemen met e-mailverificatie, potentiële afleverproblemen en een verhoogd risico op phishingaanvallen. Door deze oorzaken te begrijpen en de juiste configuraties en verificatiemaatregelen te implementeren, kan DMARC-compliance worden verbeterd en kunnen e-mailbeveiliging.
Veel voorkomende redenen voor DMARC-falen
Veel voorkomende redenen waarom DMARC mislukt, zijn onder meer mislukte uitlijning, verkeerde verzending van de bron, problemen met uw DKIM-handtekening, doorgestuurde e-mails, enz. Laten we elk van deze redenen in detail bekijken:
1. DMARC afstemming mislukt
DMARC maakt gebruik van domain alignment om uw e-mails te authenticeren. Dit betekent dat DMARC controleert of het domein dat in het Van-adres (in de zichtbare header) wordt genoemd, authentiek is door het te vergelijken met het domein dat wordt genoemd in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als een van beide een match is, passeert de e-mail DMARC, anders leidt het tot DMARC fail.
Als uw e-mails niet aan DMARC voldoen, kan het dus gaan om een verkeerde afstemming van het domein. Dat wil zeggen dat SPF en DKIM identifiers niet overeenkomen en de e-mail lijkt te zijn verzonden door een niet-geautoriseerde bron. Dit is echter slechts een van de redenen waarom DMARC mislukt.
DMARC Afstemmingsmodus
Uw protocolafstemmingsmodus kan er ook toe leiden dat DMARC mislukt. U kunt kiezen uit de volgende afstemmingsmodi voor SPF-authenticatie:
- Relaxed: Dit betekent dat indien het domein in de Return-path header en het domein in de From header gewoon een organisatorische match is, ook dan zal SPF slagen.
- Streng: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header exact overeenkomen, SPF zal slagen.
U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:
- Relaxed: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon een organisatorische match is, ook dan zal DKIM slagen.
- Streng: Dit betekent dat alleen als het domein in de DKIM handtekening en het domein in de Van header exact overeenkomen, DKIM zal slagen.
Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.
2. Uw DKIM-handtekening niet instellen
Een veel voorkomend geval waarin uw DMARC faalt, is dat u geen DKIM-handtekening voor uw domein hebt opgegeven. In dergelijke gevallen wijst uw e-mail exchange service provider standaard een DKIM handtekening aan uw uitgaande e-mails die niet overeenkomen met het domein in uw Van header. De ontvangende MTA slaagt er niet in de twee domeinen op elkaar af te stemmen, en dus mislukken DKIM en DMARC voor uw bericht (als uw berichten zijn afgestemd op zowel SPF als DKIM).
3. Het niet toevoegen van verzendbronnen aan uw DNS
Het is belangrijk om te weten dat wanneer je DMARC voor je domein instelt, ontvangende MTA's DNS-query's uitvoeren om je verzendbronnen te autoriseren. Dit betekent dat als je niet alle geautoriseerde verzendbronnen in de DNS van je domein hebt staan, je e-mails niet door DMARC komen voor de bronnen die niet in de lijst staan, omdat de ontvanger ze niet kan vinden in je DNS.
Om ervoor te zorgen dat uw legitieme e-mails altijd worden afgeleverd, moet u daarom in uw DNS al uw geautoriseerde externe e-mailleveranciers vermelden die namens uw domein e-mails mogen versturen.
4. In het geval van E-mail forwarding
Tijdens het doorsturen van e-mail gaat de e-mail langs een tussenliggende server voordat hij uiteindelijk wordt afgeleverd bij de ontvangende server. SPF-controle mislukt omdat het IP-adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP-adres wordt meestal niet opgenomen in het SPF-record van de oorspronkelijke server.
Het doorsturen van e-mails heeft daarentegen meestal geen invloed op de DKIM e-mailverificatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.
Om dit probleem op te lossen, moet u onmiddellijk kiezen voor volledige DMARC-compliance in uw organisatie door alle uitgaande berichten af te stemmen en te verifiëren op zowel SPF als DKIM. Wil een e-mail de DMARC-verificatie doorstaan, dan moet de e-mail de SPF- of DKIM-verificatie en afstemming doorstaan.
Gerelateerd gelezen: E-mail doorsturen en DMARC
5. Uw domein wordt gespooft
Als alles aan de implementatiekant goed gaat, kan het zijn dat uw e-mails DMARC niet halen als gevolg van een spoofing-aanval. Dit is wanneer imitators en bedreigers proberen e-mails te verzenden die afkomstig lijken te zijn van uw domein via een kwaadaardig IP-adres.
Uit recente statistieken over e-mailfraude blijkt dat het aantal gevallen van e-mailspoofing toeneemt, wat een grote bedreiging vormt voor de reputatie van uw organisatie. In dergelijke gevallen, als u DMARC hebt geïmplementeerd op een afwijzingsbeleid, zal het falen en zal de gespoofde e-mail niet worden afgeleverd in de inbox van uw ontvanger. Domeinspoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.
Waarom faalt DMARC voor postbusaanbieders van derden?
Als u externe mailbox providers gebruikt om namens u emails te versturen, moet u DMARC, SPF, en/of DKIM voor hen inschakelen. U kunt dit doen door contact met hen op te nemen en hen te vragen de implementatie voor u af te handelen, of u kunt het heft in eigen hand nemen en de protocollen handmatig activeren. Om dit te doen moet u toegang hebben tot uw account portal gehost op elk van deze platforms (als admin).
Het niet activeren van deze protocollen voor uw externe mailboxprovider kan ertoe leiden dat DMARC mislukt.
In het geval van DMARC-falen voor uw Gmail-berichten, ga dan naar het SPF-record van uw domein en controleer of u hebt opgenomen _spf.google.com erin hebt opgenomen. Zo niet, dan kan dit een reden zijn waarom ontvangende servers Gmail niet identificeren als uw geautoriseerde verzendbron. Hetzelfde geldt voor uw e-mails die u verstuurt via MailChimp, SendGrid en anderen.
Hoe berichten detecteren die niet aan DMARC voldoen?
DMARC-fouten voor berichten kunnen gemakkelijk worden gedetecteerd als je rapportage hebt ingeschakeld voor je DMARC-rapporten. Als alternatief kun je een e-mailheaderanalyse uitvoeren of de e-maillogboekzoekfunctie van Gmail gebruiken. Laten we eens kijken hoe:
1. DMARC-rapportage inschakelen voor uw domeinen
Gebruik deze handige functie van uw DMARC-protocol om DMARC fail te detecteren. U kunt rapporten met uw DMARC-gegevens ontvangen van ESP's door simpelweg een "rua"-tag te definiëren in uw DMARC DNS-record. Uw syntaxis zou er als volgt uit kunnen zien:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
De rua-tag moet het e-mailadres bevatten waarop u uw rapporten wilt ontvangen.
PowerDMARC biedt vereenvoudigde en menselijk leesbare rapporten waarmee u DMARC-fouten gemakkelijk kunt opsporen en sneller problemen kunt oplossen:
2. E-mail Headers handmatig analyseren of analyse-instrumenten inzetten
DMARC fail kan ook worden opgespoord door de headers van uw e-mail te analyseren.
a. Handmatige methode
U kunt headers handmatig analyseren, zoals hieronder aangegeven
Als u Gmail gebruikt om e-mails te versturen, kunt u op een bericht klikken, op "meer" klikken (de 3 puntjes in de rechterbovenhoek), en dan op "origineel tonen":
U kunt nu uw DMARC-authenticatieresultaten controleren:
b. Geautomatiseerde analyse-instrumenten
PowerDMARC's e-mail header analyzer is een uitstekend hulpmiddel voor onmiddellijke detectie van DMARC-fouten en het beperken van het DMARC-falen.
Bij ons krijgt u een uitgebreide analyse van de status van DMARC voor uw e-mails, afstemming en andere compliances zoals hieronder weergegeven:
3. Gebruik Google's Email Log Search
U kunt aanvullende informatie vinden over een bepaald bericht waarin DMARC faalt door gebruik te maken van Google's e-mail log search. Dit onthult berichtdetails, Post-delivery berichtdetails, en Ontvanger details. De resultaten worden in tabelvorm weergegeven, zoals hieronder:
Hoe kan DMARC mislukken?
Om een DMARC-fout te verhelpen, raden wij u aan u aan te melden bij onze DMARC Analyzer en begin uw reis van DMARC rapportage en monitoring.
Stap 1: Begin bij niets
Met geen beleid kunt u beginnen met het bewaken van uw domein met DMARC (RUA) verzamelrapporten en uw inkomende en uitgaande e-mails goed in de gaten houden, zodat u kunt reageren op eventuele ongewenste afleveringsproblemen.
Stap 2: Overschakelen op handhaving
Daarna helpen wij u over te stappen op een afgedwongen beleid dat u uiteindelijk helpt immuniteit te verwerven tegen domain spoofing en phishing-aanvallen.
Stap 3: Gebruik onze AI-gestuurde detectie van bedreigingen
Schakel kwaadaardige IP-adressen uit en rapporteer ze rechtstreeks vanuit het PowerDMARC-platform om toekomstige imitatieaanvallen te voorkomen, met behulp van onze Threat Intelligence-engine.
Stap 4: Continue bewaking
Schakel DMARC (RUF) Forensische rapporten in die gedetailleerde informatie opleveren over gevallen waarin uw e-mails niet aan DMARC voldeden, zodat u het probleem bij de wortel kunt aanpakken en sneller kunt verhelpen.
Hoe om te gaan met berichten die DMARC niet doorstaan?
Om berichten aan te pakken die niet aan DMARC voldoen, kunt u kiezen voor een soepeler DMARC-beleidControleer uw DNS-record op eventuele fouten en combineer uw DMARC-implementaties met zowel DKIM als SPF voor maximale beveiliging en minder risico op valse negatieven.
1. Controleer uw DMARC record
Gebruik een DMARC checker om syntactische of andere vormfouten in uw record te vinden, zoals extra spaties, spelfouten, enz.
2. Ga voor een zachter beleid
U kunt altijd kiezen voor een soepeler beleid voor DMARC, zoals "geen". Hierdoor zullen uw berichten uw ontvangers bereiken, zelfs als DMARC voor hen faalt. Dit maakt u echter kwetsbaar voor phishing- en spoofingaanvallen.
3. Gebruik zowel SPF als DKIM Alignment
Het gebruik van DKIM en SPF in combinatie zorgt voor een gelaagde aanpak van e-mailverificatie. DKIM verifieert de integriteit van het bericht en zorgt ervoor dat er niet mee geknoeid is, terwijl SPF de identiteit van de verzendende server verifieert. Samen zorgen zij voor vertrouwen in de bron van de e-mail, waardoor het risico van spoofing, phishing en ongeoorloofde e-mailactiviteiten afneemt.
DMARC mislukt met PowerDMARC
PowerDMARC vermindert DMARC-fouten door een reeks uitgebreide functies en mogelijkheden te bieden. Ten eerste helpt het organisaties bij de juiste inzet van DMARC door stapsgewijze begeleiding en automatiseringstools te bieden. Dit garandeert dat DMARC-records, SPF en DKIM-verificatie correct worden geconfigureerd, waardoor de kans op een succesvolle DMARC-implementatie toeneemt.
Zodra DMARC is ingevoerd, controleert PowerDMARC voortdurend het e-mailverkeer en genereert real-time rapporten en waarschuwingen voor DMARC-fouten. Dankzij deze zichtbaarheid kunnen organisaties snel verificatieproblemen identificeren, zoals SPF- of DKIM-fouten, en corrigerende maatregelen nemen.
Naast bewaking integreert PowerDMARC AI-mogelijkheden voor informatie over bedreigingen. Het maakt gebruik van wereldwijde bedreigingsfeeds om bronnen van phishing-aanvallen en pogingen tot spoofing te identificeren en analyseren. Door inzicht te bieden in verdachte e-mailactiviteiten kunnen organisaties proactief potentiële bedreigingen identificeren en de nodige maatregelen nemen om de risico's te beperken.
Neem contact met ons op om te beginnen!
Conclusie: E-mailbeveiliging op de juiste manier bevorderen
Door een meerlagige aanpak van e-mailbeveiliging kunnen organisaties en particulieren hun verdediging tegen evoluerende cyberdreigingen aanzienlijk verbeteren. Dit omvat de toepassing van robuuste verificatiemechanismen, het gebruik van versleutelingstechnologieën, voorlichting aan gebruikers over phishing-aanvallen en het regelmatig bijwerken van beveiligingsprotocollen.
Bovendien is de integratie van AI-tools ter bevordering van de beveiligingspraktijken van uw e-mail de beste manier om bovenop de geavanceerde aanvallen van cybercriminelen te blijven.
Om DMARC-fouten te voorkomen en andere DMARC-fouten op te lossen, meldt u zich aan om vandaag nog in contact te komen met onze DMARC experts!
- Wat is e-mailversleuteling en wat zijn de verschillende typen? - dinsdag 29 november 2023
- DMARC zwarte vrijdag: Versterk uw e-mails deze feestdagen - 23 november 2023
- Google en Yahoo vernieuwen vereisten voor e-mailverificatie voor 2024 - 15 november 2023