Met meer dan 4,48 miljard e-mailgebruikers die dagelijks talloze berichten versturen, worden DMARC-fouten een groot probleem. DMARC, kort voor Domain-based Message Authentication, Reporting, and Conformance, is een beveiligingsprotocol dat je e-mails beschermt tegen imitatie en phishing-aanvallen. Soms faalt DMARC echter en kan het de e-mailaflevering verstoren.
DMARC-fouten kunnen frustrerend zijn, vooral als je zakelijk afhankelijk bent van e-mail. Het kan zelfs voorkomen dat je e-mails de beoogde ontvangers bereiken. DMARC vereist dat SPF of DKIM doorkomen als beide zijn geïmplementeerd. Als DMARC echter alleen op SPF of DKIM vertrouwt, zal falen van een van de protocollen ertoe leiden dat de DMARC-verificatie mislukt.
Veel voorkomende redenen waarom DMARC faalt zijn:
- DMARC afstemmingsfouten
- DKIM handtekening komt niet overeen
- Zendende bron impersonatie
- Domein spoofing
Kortom, als DMARC faalt, komt je e-mail niet door de DMARC-verificatie. Een DMARC-fout kan gevolgen hebben voor je e-mailmarketinginspanningen en de deliverabilitypercentages van je e-mails aanzienlijk verlagen.
In dit artikel leer je het volgende:
- Waarom het belangrijk is om DMARC-fouten te voorkomen
- Veel voorkomende reden waarom DMARC faalt
- Hoe DMARC-fouten oplossen
Een overzicht van DMARC
DMARC staat voor Domain-based Message Authentication, Reporting en Conformance. Het is een e-mailverificatieprotocol dat een extra beveiligingslaag biedt door e-mailspoofing en phishingaanvallen te helpen voorkomen. DMARC stelt domeineigenaren in staat om beleidsregels te publiceren in hun DNS-records. Deze beleidsregels instrueren ontvangende mailservers hoe ze moeten omgaan met e-mails die beweren van hun domein afkomstig te zijn.
Je kunt DMARC gebruiken om onbevoegde e-mails te weigeren of in quarantaine te plaatsen, waardoor je een betere controle hebt over de aflevering van e-mails. DMARC genereert ook rapporten die waardevolle inzichten bieden in mislukte e-mailverificatie.
Hier zijn enkele recente statistieken over DMARC in verschillende sectoren:
- De DMARC-industrie zag een groei van 85% in 2019
- In 2021 steeg het aantal geldige DMARC-beleidsregels met 84%.
- In 2021 zijn er 5 miljoen nieuwe DMARC-records toegevoegd ten opzichte van 2020
- De wereldwijde DMARC softwaremarkt zal naar verwachting bijna 800 miljoen dollar bereiken in 2030.
In het algemeen helpt DMARC de beveiliging van e-mail te verbeteren door authenticatiecontroles af te dwingen en organisaties in staat te stellen hun merkreputatie en gebruikers te beschermen tegen op e-mail gebaseerde bedreigingen.
Waarom faalt DMARC?
DMARC falen kan verschillende oorzaken hebben, waaronder SPF en DKIM authenticatie fouten, verkeerde afstemming tussen het "Van" domein, SPFen DKIMproblemen met doorsturen of services van derden die e-mailhandtekeningen wijzigen, verkeerd geconfigureerd DMARC-beleid en pogingen van kwaadwillenden om legitieme domeinen te spoofen.
DMARC-fouten kunnen leiden tot problemen met de verificatie van e-mail, mogelijke leveringsproblemen en een verhoogd risico op phishingaanvallen. Inzicht in deze oorzaken en implementatie van de juiste configuraties en verificatiemaatregelen kunnen helpen de DMARC-naleving te verbeteren en de e-mailbeveiliging.
Veel voorkomende redenen waarom DMARC mislukt, zijn onder meer mislukte uitlijning, verkeerde verzending van de bron, problemen met uw DKIM-handtekening, doorgestuurde e-mails, enz. Laten we elk van deze redenen in detail bekijken:
1. DMARC afstemming mislukt
DMARC maakt gebruik van domain alignment om uw e-mails te authenticeren. Dit betekent dat DMARC controleert of het domein dat in het Van-adres (in de zichtbare header) wordt genoemd, authentiek is door het te vergelijken met het domein dat wordt genoemd in de verborgen Return-path header (voor SPF) en DKIM signature header (voor DKIM). Als een van beide een match is, passeert de e-mail DMARC, anders leidt het tot DMARC fail.
Als je e-mails niet door DMARC komen, kan het dus een geval zijn van domeinscheiding. Dat wil zeggen dat de SPF- en DKIM-identifiers niet overeenkomen en de e-mail lijkt te zijn verzonden door een niet-geautoriseerde bron. Dit is echter slechts een van de redenen waarom DMARC mislukt.
DMARC Afstemmingsmodus
De afstemmingsmodus van je protocol kan ook leiden tot het falen van DMARC. Je kunt kiezen uit de volgende uitlijningsmodi voor SPF-authenticatie:
- Ontspannen: Dit betekent dat als het domein in de Return-path header en het domein in de From header gewoon overeenkomen, SPF ook dan zal slagen.
- Strikt: Dit betekent dat alleen als het domein in de Return-path header en het domein in de From header exact overeenkomen, SPF zal slagen.
U kunt kiezen uit de volgende uitlijningsmodi voor DKIM authenticatie:
- Ontspannen: Dit betekent dat als het domein in de DKIM handtekening en het domein in de From header gewoon overeenkomen, DKIM ook dan zal slagen.
- Strikt: Dit betekent dat DKIM alleen wordt geaccepteerd als het domein in de DKIM handtekening en het domein in de Van header exact overeenkomen.
Merk op dat voor emails om door DMARC authenticatie te komen, SPF of DKIM moeten overeenkomen.
2. DKIM-handtekening is niet ingesteld
Een veelvoorkomend geval waarin DMARC mislukt, is als je geen DKIM-handtekening voor je domein hebt opgegeven. In dergelijke gevallen wijst de serviceprovider van uw e-mailuitwisseling standaard een DKIM-handtekening toe aan uw uitgaande e-mails die niet overeenkomen met het domein in uw Van header. De ontvangende MTA slaagt er niet in om de twee domeinen op elkaar af te stemmen en dus mislukken DKIM en DMARC voor uw bericht.
3. Bronnen verzenden die niet zijn toegevoegd aan uw DNS
Het is belangrijk op te merken dat wanneer je DMARC instelt voor je domein met SPF, ontvangende MTA's DNS-query's uitvoeren om je versturende bronnen te autoriseren. Dit betekent dat, tenzij je al je geautoriseerde verzendbronnen hebt vermeld in de DNS van je domein, je e-mails SPF en vervolgens DMARC zullen missen voor de bronnen die niet zijn vermeld, omdat de ontvanger ze niet kan vinden in je DNS.
Om ervoor te zorgen dat uw legitieme e-mails altijd worden afgeleverd, moet u daarom in uw SPF DNS-record alle geautoriseerde externe e-maildienstverleners vermelden die namens uw domein e-mails mogen verzenden.
4. E-mail die wordt doorgestuurd via tussenliggende servers
Tijdens het doorsturen van e-mail gaat de e-mail langs een tussenliggende server voordat hij uiteindelijk wordt afgeleverd bij de ontvangende server. SPF-controle mislukt omdat het IP-adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP-adres wordt meestal niet opgenomen in het SPF-record van de oorspronkelijke server.
Het doorsturen van e-mails heeft daarentegen meestal geen invloed op de DKIM e-mailverificatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.
Om dit probleem op te lossen, moet u onmiddellijk kiezen voor volledige DMARC-compliance in uw organisatie door alle uitgaande berichten af te stemmen en te verifiëren op zowel SPF als DKIM. Wil een e-mail de DMARC-verificatie doorstaan, dan moet de e-mail de SPF- of DKIM-verificatie en afstemming doorstaan.
Gerelateerd lezen: E-mail doorsturen en DMARC
5. Uw domein wordt gespooft
Als alles aan de implementatiekant goed gaat, kan het zijn dat uw e-mails DMARC niet halen als gevolg van een spoofing-aanval. Dit is wanneer imitators en bedreigers proberen e-mails te verzenden die afkomstig lijken te zijn van uw domein via een kwaadaardig IP-adres.
Uit recente statistieken over e-mailfraude blijkt dat het aantal gevallen van e-mailspoofing toeneemt, wat een grote bedreiging vormt voor de reputatie van uw organisatie. In dergelijke gevallen, als u DMARC hebt geïmplementeerd op een afwijzingsbeleid, zal het falen en zal de gespoofde e-mail niet worden afgeleverd in de inbox van uw ontvanger. Domeinspoofing kan dus het antwoord zijn op de vraag waarom DMARC in de meeste gevallen faalt.
Waarom faalt DMARC voor postbusaanbieders van derden?
Als u externe mailbox providers gebruikt om namens u emails te versturen, moet u DMARC, SPF, en/of DKIM voor hen inschakelen. U kunt dit doen door contact met hen op te nemen en hen te vragen de implementatie voor u af te handelen, of u kunt het heft in eigen hand nemen en de protocollen handmatig activeren. Om dit te doen moet u toegang hebben tot uw account portal gehost op elk van deze platforms (als admin).
Het niet activeren van deze protocollen voor uw externe mailboxprovider kan ertoe leiden dat DMARC mislukt.
Als DMARC voor je Gmail-berichten mislukt, ga dan naar het SPF-record van je domein en controleer of je het volgende hebt opgenomen _spf.google.com hebt opgenomen. Als dit niet het geval is, kan dit een reden zijn waarom ontvangende servers Gmail niet herkennen als uw geautoriseerde verzendbron. Hetzelfde geldt voor e-mails die je verstuurt via MailChimp, SendGrid en anderen.
Hoe berichten detecteren die niet aan DMARC voldoen?
DMARC-fouten voor berichten kunnen gemakkelijk worden gedetecteerd als je rapportage hebt ingeschakeld voor je DMARC-rapporten. Als alternatief kun je een e-mailheaderanalyse uitvoeren of de e-maillogboekzoekfunctie van Gmail gebruiken. Laten we eens kijken hoe:
1. DMARC-rapportage inschakelen voor uw domeinen
Gebruik deze handige functie van uw DMARC-protocol om DMARC fail te detecteren. U kunt rapporten met uw DMARC-gegevens ontvangen van ESP's door simpelweg een "rua"-tag te definiëren in uw DMARC DNS-record. Uw syntaxis zou er als volgt uit kunnen zien:
v=DMARC1; ptc=100; p=reject; rua=mailto:email1@powerdmarc.com;
De rua-tag moet het e-mailadres bevatten waarop u uw rapporten wilt ontvangen.
PowerDMARC biedt vereenvoudigde en menselijk leesbare rapporten waarmee u DMARC-fouten gemakkelijk kunt opsporen en sneller problemen kunt oplossen:
2. E-mail Headers handmatig analyseren of analyse-instrumenten inzetten
DMARC fail kan ook worden opgespoord door de headers van uw e-mail te analyseren.
a. Handmatige methode
U kunt headers handmatig analyseren, zoals hieronder aangegeven
Als u Gmail gebruikt om e-mails te versturen, kunt u op een bericht klikken, op "meer" klikken (de 3 puntjes in de rechterbovenhoek), en dan op "origineel tonen":
U kunt nu uw DMARC-authenticatieresultaten controleren:
b. Geautomatiseerde analyse-instrumenten
PowerDMARC's e-mail header analyzer is een uitstekend hulpmiddel voor onmiddellijke detectie van DMARC-fouten en het beperken van het DMARC-falen.
Bij ons krijgt u een uitgebreide analyse van de status van DMARC voor uw e-mails, afstemming en andere compliances zoals hieronder weergegeven:
3. Gebruik Google's Email Log Search
U kunt aanvullende informatie vinden over een bepaald bericht waarin DMARC faalt door gebruik te maken van Google's e-mail log search. Dit onthult berichtdetails, Post-delivery berichtdetails, en Ontvanger details. De resultaten worden in tabelvorm weergegeven, zoals hieronder:
4 stappen om DMARC te laten mislukken
Om een DMARC-fout te verhelpen, raden wij u aan u aan te melden bij onze DMARC Analyzer en begin uw reis van DMARC rapportage en monitoring.
Stap 1: Begin bij niets
Met geen beleid kunt u beginnen met het bewaken van uw domein met DMARC (RUA) verzamelrapporten en uw inkomende en uitgaande e-mails goed in de gaten houden, zodat u kunt reageren op eventuele ongewenste afleveringsproblemen.
Stap 2: Overschakelen op handhaving
Daarna helpen wij u over te stappen op een afgedwongen beleid dat u uiteindelijk helpt immuniteit te verwerven tegen domain spoofing en phishing-aanvallen.
Stap 3: Gebruik onze AI-gestuurde detectie van bedreigingen
Schakel kwaadaardige IP-adressen uit en rapporteer ze rechtstreeks vanuit het PowerDMARC-platform om toekomstige imitatieaanvallen te voorkomen, met behulp van onze Threat Intelligence-engine.
Stap 4: Continue bewaking
Schakel DMARC (RUF) Forensische rapporten in die gedetailleerde informatie opleveren over gevallen waarin uw e-mails niet aan DMARC voldeden, zodat u het probleem bij de wortel kunt aanpakken en sneller kunt verhelpen.
Hoe om te gaan met berichten die DMARC niet doorstaan?
Om berichten aan te pakken die niet aan DMARC voldoen, kunt u kiezen voor een soepeler DMARC-beleidControleer uw DNS-record op eventuele fouten en combineer uw DMARC-implementaties met zowel DKIM als SPF voor maximale beveiliging en minder risico op valse negatieven.
1. Controleer uw DMARC record
Gebruik een DMARC checker om syntactische of andere vormfouten in uw record te vinden, zoals extra spaties, spelfouten, enz.
2. Ga voor een zachter beleid
U kunt altijd kiezen voor een soepeler beleid voor DMARC, zoals "geen". Hierdoor zullen uw berichten uw ontvangers bereiken, zelfs als DMARC voor hen faalt. Dit maakt u echter kwetsbaar voor phishing- en spoofingaanvallen.
3. Gebruik zowel SPF als DKIM Alignment
Het gebruik van DKIM en SPF in combinatie zorgt voor een gelaagde aanpak van e-mailverificatie. DKIM verifieert de integriteit van het bericht en zorgt ervoor dat er niet mee geknoeid is, terwijl SPF de identiteit van de verzendende server verifieert. Samen zorgen zij voor vertrouwen in de bron van de e-mail, waardoor het risico van spoofing, phishing en ongeoorloofde e-mailactiviteiten afneemt.
DMARC mislukt met PowerDMARC
PowerDMARC vermindert DMARC-fouten door een reeks uitgebreide functies en mogelijkheden te bieden. Ten eerste helpt het organisaties bij de juiste inzet van DMARC door stapsgewijze begeleiding en automatiseringstools te bieden. Dit garandeert dat DMARC-records, SPF en DKIM-verificatie correct worden geconfigureerd, waardoor de kans op een succesvolle DMARC-implementatie toeneemt.
Zodra DMARC is ingevoerd, controleert PowerDMARC voortdurend het e-mailverkeer en genereert real-time rapporten en waarschuwingen voor DMARC-fouten. Dankzij deze zichtbaarheid kunnen organisaties snel verificatieproblemen identificeren, zoals SPF- of DKIM-fouten, en corrigerende maatregelen nemen.
Naast bewaking integreert PowerDMARC AI-mogelijkheden voor informatie over bedreigingen. Het maakt gebruik van wereldwijde bedreigingsfeeds om bronnen van phishing-aanvallen en pogingen tot spoofing te identificeren en analyseren. Door inzicht te bieden in verdachte e-mailactiviteiten kunnen organisaties proactief potentiële bedreigingen identificeren en de nodige maatregelen nemen om de risico's te beperken.
Neem contact met ons op om te beginnen!
Conclusie: E-mailbeveiliging op de juiste manier bevorderen
Door een meerlagige aanpak van e-mailbeveiliging kunnen organisaties en particulieren hun verdediging tegen evoluerende cyberdreigingen aanzienlijk verbeteren. Dit omvat de toepassing van robuuste verificatiemechanismen, het gebruik van versleutelingstechnologieën, voorlichting aan gebruikers over phishing-aanvallen en het regelmatig bijwerken van beveiligingsprotocollen.
Daarnaast is het integreren van AI-tools om de beveiligingspraktijken van je e-mail te verbeteren de beste manier om bovenop de geavanceerde aanvallen van cybercriminelen te blijven.
DMARC-fouten voorkomen en andere DMARC-fouten oplossen, aanmelden om vandaag nog in contact te komen met onze DMARC-experts!
Proces voor inhoudelijke beoordeling en feitencontrole
Dit artikel is samengesteld door een cyberbeveiligingsexpert. De methoden en praktijken in dit artikel zijn realistische strategieën die we voor onze klanten hebben ingezet om DMARC te omzeilen. Als deze methoden niet voor u werken, neem dan contact met ons op voor gratis advies van een DMARC-expert.
Sinds we PowerDMARC voor al onze klanten hebben geïmplementeerd, is het proces veel eenvoudiger geworden voor onboarding, monitoring en het doorvoeren van wijzigingen, zelfs als we geen controle hebben over de DNS-services.
Joe Burns, medeoprichter en CEO van Reformed IT
- SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet - 26 april 2024
- Hoe publiceer je een DMARC Record in 3 stappen? - 2 april 2024
- Waarom faalt DMARC? DMARC-falen oplossen in 2024 - 2 april 2024