waarom faalt DMARC

E-mailverificatie is een cruciaal aspect van de taak van een e-mailprovider. E-mailverificatie, ook bekend als SPF en DKIM, controleert de identiteit van een e-mailprovider. DMARC voegt aan het proces van het verifiëren van een e-mail toe door te controleren of een e-mail is verzonden vanaf een legitiem domein door middel van uitlijning, en door aan ontvangende servers te specificeren hoe te reageren op berichten die de verificatiecontroles niet doorstaan. Vandaag gaan we de verschillende scenario's bespreken die uw vraag zouden beantwoorden waarom DMARC faalt.

DMARC is een belangrijke activiteit in uw e-mailverificatiebeleid om te helpen voorkomen dat vervalste "spoofed" e-mails door transactionele spamfilters komen. Maar het is slechts één pijler van een algeheel antispamprogramma en niet alle DMARC-rapporten zijn gelijk. Sommige vertellen u de exacte actie die mail ontvangers ondernamen op elk bericht, en andere vertellen u alleen of een bericht succesvol was of niet. Begrijpen waarom een bericht mislukte is net zo belangrijk als weten of het dat deed. Het volgende artikel legt redenen uit waarom berichten DMARC authenticatie controles niet doorstaan. Dit zijn de meest voorkomende redenen (waarvan sommige eenvoudig kunnen worden verholpen) waarom berichten kunnen falen bij DMARC authenticatie controles.

Veel voorkomende redenen waarom berichten DMARC kunnen weigeren

Bepalen waarom DMARC faalt kan ingewikkeld zijn. Ik zal echter enkele typische redenen bespreken, de factoren die eraan bijdragen, zodat u als domeineigenaar kunt werken aan een snellere oplossing van het probleem.

DMARC Afstemmingsfouten

DMARC maakt gebruik van domain alignment om uw emails te authenticeren. Dit betekent dat DMARC controleert of het domein vermeld in het Van adres (in de zichtbare header) authentiek is door het te vergelijken met het domein vermeld in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als een van beide overeenkomt, passeert de e-mail DMARC, of anders DMARC faalt.

Als uw emails DMARC niet halen, kan het dus een geval zijn van domain misalignment. Dat wil zeggen dat noch SPF noch DKIM identifiers overeenkomen en het lijkt alsof de e-mail van een onbevoegde bron komt. Dit is echter slechts een van de redenen waarom DMARC faalt.

DMARC Afstemmingsmodus 

Uw protocol uitlijningsmode speelt ook een grote rol in het al dan niet slagen van uw berichten voor DMARC. U kunt kiezen uit de volgende uitlijningsmodi voor SPF authenticatie:

  • Relaxed: Dit betekent dat als het domein in de Return-path header en het domein in de From header gewoon een organisatorische match is, ook dan SPF zal slagen.
  • Strict: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header een exacte match is, alleen dan zal SPF slagen.

U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:

  • Relaxed: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon een organisatorische match is, ook dan DKIM doorgaat.
  • Strict: Dit betekent dat alleen als het domein in de DKIM handtekening en het domein in de From header een exacte match is, alleen dan DKIM doorgaat.

Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.  

Het niet instellen van uw DKIM handtekening 

Een veel voorkomend geval waarin uw DMARC kan falen is dat u geen DKIM handtekening voor uw domein heeft opgegeven. In dergelijke gevallen wijst uw email exchange service provider een standaard DKIM handtekening toe aan uw uitgaande emails die niet overeenkomt met het domein in uw From header. De ontvangende MTA slaagt er niet in de twee domeinen op elkaar af te stemmen, waardoor DKIM en DMARC voor uw bericht mislukken (als uw berichten zijn afgestemd op zowel SPF als DKIM).

Het niet toevoegen van zendbronnen aan uw DNS 

Het is belangrijk op te merken dat wanneer u DMARC instelt voor uw domein, ontvangende MTA's DNS queries uitvoeren om uw verzendende bronnen te autoriseren. Dit betekent dat tenzij u al uw geautoriseerde verzendbronnen in de DNS van uw domein heeft staan, uw emails DMARC zullen falen voor die bronnen die niet in de lijst staan, aangezien de ontvanger ze niet in uw DNS kan vinden. Om er zeker van te zijn dat uw legitieme e-mails altijd worden afgeleverd, moet u dus al uw geautoriseerde externe e-mailleveranciers die namens uw domein e-mails mogen verzenden, in uw DNS vermelden.

In geval van e-mail forwarding

Tijdens het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat het uiteindelijk bij de ontvangende server wordt afgeleverd. Tijdens het doorsturen van e-mail mislukt de SPF controle omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres is meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.

Zoals bekend faalt SPF onvermijdelijk tijdens het doorsturen van e-mail, als de versturende bron DKIM neutraal is en voor de validatie alleen op SPF vertrouwt, zal de doorgestuurde e-mail bij DMARC verificatie als ongeldig worden aangemerkt. Om dit probleem op te lossen, moet u direct kiezen voor volledige DMARC compliance binnen uw organisatie door alle uitgaande berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM, want om een e-mail door de DMARC verificatie te laten komen, moet de e-mail zowel SPF als DKIM verificatie en afstemming doorstaan.

Uw domein wordt gespoofed

Als u uw DMARC, SPF en DKIM protocollen goed geconfigureerd heeft voor uw domein, met uw policies op handhaving en geldige error-free records, en het probleem is niet een van de bovengenoemde gevallen, dan is de meest waarschijnlijke reden waarom uw emails DMARC niet halen dat uw domein wordt gespoofed of vervalst. Dit is wanneer imitators en dreigingsacteurs e-mails proberen te versturen die van uw domein afkomstig lijken te zijn met behulp van een kwaadaardig IP-adres.

Recente statistieken over e-mailfraude hebben aangetoond dat het aantal gevallen van e-mailspoofing de laatste tijd toeneemt en een grote bedreiging vormt voor de reputatie van uw organisatie. In zulke gevallen, als DMARC geïmplementeerd is op een reject policy, zal het falen en de gespoofde email zal niet worden afgeleverd in de inbox van de ontvanger. Domein spoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.

Wij raden u aan u aan te melden met onze gratis DMARC Analyzer en uw reis van DMARC rapportering en monitoring te beginnen.

  • Met een none policy kunt u uw domein monitoren met DMARC (RUA) Aggregate Reports en uw inkomende en uitgaande e-mails nauwlettend in de gaten houden, dit zal u helpen te reageren op eventuele ongewenste afleverproblemen
  • Daarna helpen wij u over te schakelen op een afgedwongen beleid dat u uiteindelijk zou helpen immuniteit te verkrijgen tegen domein-spoofing en phishing-aanvallen
  • Met behulp van onze Threat Intelligence-engine kunt u kwaadaardige IP-adressen uitschakelen en rechtstreeks vanuit het PowerDMARC-platform rapporteren om toekomstige impersonatieaanvallen te voorkomen.
  • PowerDMARC's DMARC (RUF) Forensische rapporten helpen u gedetailleerde informatie te verkrijgen over gevallen waarin uw e-mails DMARC niet hebben doorstaan, zodat u het probleem bij de wortel kunt aanpakken en oplossen

Voorkom domein spoofing en bewaak uw e-mail stroom met PowerDMARC, vandaag nog!