waarom faalt DMARC? DMARC faalt.

DMARC fail voor uw berichten is een reden tot bezorgdheid als u een organisatie bent die sterk afhankelijk is van e-mails voor zowel externe als interne communicatie. Er zijn methoden en tools die u online (gratis) kunt gebruiken om DMARC fail voor uw emails te stoppen.

In dit artikel zullen we zorgvuldig de top 6 redenen voor DMARC falen ontmaskeren en hoe u ze kunt beperken voor een betere deliverability.

Voor we overgaan tot waarom DMARC faalt, laten we eens kijken wat het is en hoe het je helpt:

DMARC is een belangrijke activiteit in uw e-mail authenticatie beleid om te helpen voorkomen dat vervalste "spoofed" e-mails door transactionele spamfilters komen. Maar het is slechts één pijler van een algeheel antispamprogramma, en niet alle DMARC-rapporten zijn gelijk geschapen. Sommige vertellen u de exacte actie die mail ontvangers ondernamen op elk bericht, en andere vertellen u alleen of een bericht succesvol was of niet. Begrijpen waarom een bericht is mislukt is net zo belangrijk als weten of het is mislukt.

Veel voorkomende redenen die DMARC kunnen doen falen

Bepalen waarom DMARC faalt kan ingewikkeld zijn. Ik zal echter een aantal typische redenen bespreken, en de factoren die daaraan bijdragen, zodat u als domein eigenaar kunt werken aan een snellere oplossing van het probleem.

DMARC Afstemmingsfouten

DMARC maakt gebruik van domain alignment om uw emails te authenticeren. Dit betekent dat DMARC controleert of het domein vermeld in het Van adres (in de zichtbare header) authentiek is door het te vergelijken met het domein vermeld in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als een van beide overeenkomt, passeert de e-mail DMARC, of anders DMARC faalt.

Als uw emails DMARC niet halen, kan het dus een geval zijn van domain misalignment. Dat wil zeggen dat noch SPF noch DKIM identifiers overeenkomen en het lijkt alsof de e-mail van een onbevoegde bron komt. Dit is echter slechts een van de redenen waarom DMARC faalt.

DMARC Afstemmingsmodus 

Uw protocol uitlijningsmode speelt ook een grote rol in het al dan niet slagen van uw berichten voor DMARC. U kunt kiezen uit de volgende uitlijningsmodi voor SPF authenticatie:

  • Relaxed: Dit betekent dat als het domein in de Return-path header en het domein in de From header gewoon een organisatorische match is, ook dan SPF zal slagen.
  • Strict: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header een exacte match is, alleen dan zal SPF slagen.

U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:

  • Relaxed: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon een organisatorische match is, ook dan DKIM doorgaat.
  • Strict: Dit betekent dat alleen als het domein in de DKIM handtekening en het domein in de From header een exacte match is, alleen dan DKIM doorgaat.

Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.  

Het niet instellen van uw DKIM handtekening 

Een veel voorkomend geval waarin uw DMARC kan falen is dat u geen DKIM handtekening voor uw domein heeft opgegeven. In dergelijke gevallen wijst uw email exchange service provider een standaard DKIM handtekening toe aan uw uitgaande emails die niet overeenkomen met het domein in uw From header. De ontvangende MTA slaagt er niet in de twee domeinen op één lijn te krijgen, waardoor DKIM en DMARC voor uw bericht mislukken (als uw berichten zijn uitgelijnd met zowel SPF als DKIM).

Het niet toevoegen van zendbronnen aan uw DNS 

Het is belangrijk op te merken dat wanneer u DMARC instelt voor uw domein, ontvangende MTA's DNS queries uitvoeren om uw verzendende bronnen te autoriseren. Dit betekent dat tenzij u al uw geauthoriseerde verzendbronnen in de DNS van uw domein heeft staan, uw emails DMARC zullen falen voor de bronnen die niet in de lijst staan aangezien de ontvanger ze niet in uw DNS zou kunnen vinden. Om er zeker van te zijn dat uw legitieme e-mails altijd worden afgeleverd, zorg er dus voor dat al uw geautoriseerde derde partij e-mail leveranciers die geautoriseerd zijn om e-mails te versturen namens uw domein, vermeld worden in uw DNS.

In geval van e-mail forwarding

Bij het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat hij uiteindelijk bij de ontvangende server wordt afgeleverd. Tijdens het doorsturen van e-mail mislukt de SPF controle omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres wordt meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen in de inhoud van het bericht aanbrengt.

Zoals bekend faalt SPF onvermijdelijk tijdens het doorsturen van e-mail, als de versturende bron DKIM neutraal is en voor de validatie alleen op SPF vertrouwt, zal de doorgestuurde e-mail bij DMARC verificatie als ongeldig worden aangemerkt. Om dit probleem op te lossen, moet u direct kiezen voor volledige DMARC compliance binnen uw organisatie door alle uitgaande berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM, want om een e-mail door de DMARC verificatie te laten komen, moet de e-mail zowel SPF als DKIM verificatie en afstemming doorstaan.

Uw domein wordt gespoofed

Als u uw DMARC, SPF, en DKIM protocollen goed geconfigureerd heeft voor uw domein, met uw policies op handhaving en geldige error-free records, en het probleem is niet een van de bovengenoemde gevallen, dan is de meest waarschijnlijke reden waarom uw emails DMARC niet halen dat uw domein wordt gespoofed of vervalst. Dit is wanneer imitators en dreigingsacteurs e-mails proberen te versturen die van uw domein afkomstig lijken te zijn met behulp van een kwaadaardig IP-adres.

Uitrecente statistieken over e-mailfraude is gebleken dat het aantal gevallen van e-mailspoofing de laatste tijd toeneemt en een zeer grote bedreiging vormt voor de reputatie van uw organisatie. In dergelijke gevallen, als u DMARC heeft geïmplementeerd op een afkeur beleid, zal het falen en de gespoofde e-mail zal niet worden afgeleverd in de inbox van uw ontvanger. Domein spoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.

Waarom faalt DMARC voor mailbox providers van derden? (Gmail, Mailchimp, Sendgrid, enz)

Als u externe mailbox providers gebruikt om namens u emails te versturen, moet u DMARC, SPF, en/of DKIM voor hen inschakelen. U kunt dit doen door contact met hen op te nemen en hen te vragen de implementatie voor u af te handelen, of u kunt het heft in eigen hand nemen en de protocollen handmatig activeren. Om dit te doen moet u toegang hebben tot uw account portal gehost op elk van deze platforms (als admin).

Als je Gmail berichten DMARC niet halen, ga dan naar het SPF record van je domein en controleer of je _spf.google.com hebt opgenomen in het record. Zo niet, dan kan dit een reden zijn waarom ontvangende servers er niet in slagen Gmail te identificeren als uw geautoriseerde verzendbron. Hetzelfde geldt voor uw e-mails verzonden vanuit Mailchimp, Sendgrid, en anderen.

Hoe kan ik DMARC falen oplossen?

Om DMARC fouten op te lossen, raden wij u aan u aan te melden met onze gratis DMARC Analyzer en uw reis van DMARC rapportering en monitoring te beginnen.

#Stap 1: Met een geen beleid, kunt u beginnen met het monitoren van uw domein met DMARC (RUA) Aggregate Reports en uw inkomende en uitgaande e-mails goed in de gaten te houden, dit zal u helpen te reageren op eventuele ongewenste afleverproblemen

#Stap 2: Daarna helpen wij u over te schakelen op een afgedwongen beleid dat u uiteindelijk zal helpen immuniteit te verkrijgen tegen domein-spoofing en phishing-aanvallen.

#Stap 3: Schadelijke IP-adressen aanpakken en ze rechtstreeks vanuit het PowerDMARC-platform rapporteren om toekomstige impersonatieaanvallen te omzeilen, met behulp van onze Threat Intelligence-engine

#Stap 4: Schakel DMARC (RUF) Forensische rapporten in om gedetailleerde informatie te krijgen over gevallen waarin uw e-mails DMARC niet hebben doorstaan, zodat u het probleem bij de wortel kunt aanpakken en het sneller kunt oplossen

Hoe om te gaan met berichten die DMARC niet doorstaan?

Merk op dat een e-mail DMARC kan falen door gebruikelijke omstandigheden zoals een spoofing dreiging, falende uitlijning voor a) alleen DKIM b) alleen SPF c) beide. Als het voor beide faalt, zal uw bericht nu als ongeauthoriseerd worden beschouwd. U kunt een geschikt DMARC beleid configureren om ontvangers te instrueren hoe ze op deze emails moeten reageren.

We hopen dat we het probleem van waarom DMARC faalt voor uw domein hebben kunnen aanpakken en een oplossing hebben kunnen bieden om het probleem eenvoudig op te lossen. Voorkom domein spoofing en bewaak uw email stroom met PowerDMARC, vandaag nog!