Innlegg

Å ha flere DMARC-poster på domenet ditt er et komplett nei-nei, og her er grunnen! Vi vet at implementering av e -postgodkjenningsprotokoller som DMARC er avgjørende for en organisasjons omdømme og datasikkerhet, og for å gjøre det må domeneeiere publisere en TXT -post i DNS. Men et spørsmål som ofte dukker opp igjen og igjen i samfunnet er at "Kan jeg ha flere DMARC -poster på domenet mitt?" Svaret er nei. Flere DMARC -poster på samme domene kan gjøre posten din ugyldig, og derfor fungerer ikke DMARC -autentiseringspolicyen for domenet ditt.

Hvordan behandles en DMARC -post av MTA?

En DMARC -post publisert i domenets DNS ser omtrent slik ut:

TXT mydomain.com v = DMARC1; p = avvise; rua = mailto: [email protected]

Derfor, når et domene som har DMARC konfigurert for det sender en e -post, henter e -posten som mottar MTA alle TXT -poster som begynner med v = DMARC1. MTA spør DNS -en til sendende domene og kan komme over følgende scenarier:

  1. Den finner en eneste gyldig DMARC -post i kildedomenets DNS og behandler e -posten i henhold til DMARC -policyspesifikasjonene
  2. Den finner ingen DMARC -post for sendende domene, og DMARC -behandlingen stopper automatisk, e -posten blir levert uten å bekrefte kilden
  3. Den finner flere DMARC -poster på samme domene, og i dette tilfellet avbrytes også DMARC -behandlingen og den anvendte policyen blir ikke utført

Flere DMARC -poster: Hvordan fikser jeg det?

Når du konfigurerer DMARC for domenet ditt og angir en policy, vil du at MTA skal svare på e -postene dine på en måte som samsvarer med intensjonene dine. Slik kan DMARC beskytte domenet ditt mot etterligning og spoofing. For å hjelpe den konfigurerte protokollen til å fungere effektivt, anbefaler vi følgende trinn:

  • Sørg for at du ikke har publisert flere DMARC -poster for domenet ditt
  • Sørg for at DMARC -posten ikke inneholder syntaksfeil
  • I stedet for å generere DMARC -posten manuelt, bruker du pålitelige verktøy som vår DMREC -registreringsgenerator for å gjøre jobben for deg
  • Aktiver DMARC -rapporter for domenet ditt for å overvåke e -postflyten og godkjenningsresultatene fra tid til annen, slik at du kan spore leveringsproblemer og iverksette tiltak mot ondsinnede sendekilder
  • Sørg for at du holder deg under SPF 10 -oppslagsgrensen for å unngå perrefeilresultat

Et alternativ til de flere trinnene du kan ta for å implementere DMARC riktig for domenet ditt og unngå flere DMARC -poster, er å bare registrere deg med vår DMARC -analysator .

PowerDMARC håndterer det meste av kompleksiteten i bakgrunnen for å automatisere e -postgodkjenningsreisen din og hjelpe deg med å redusere eventuelle konfigurasjonsfeil som kan forårsake problemer med leveringen av e -post.

DMARC-feil for meldingene dine er en grunn til bekymring hvis du er en organisasjon som er sterkt avhengig av e-post for både ekstern og intern kommunikasjon. Det finnes metoder så vel som verktøy du kan bruke online (gratis) for å stoppe DMARC-feil for e-postene dine.

I denne artikkelen vil vi nøye avsløre de 6 viktigste årsakene til DMARC-feil og hvordan du kan redusere dem for forbedret leveringsevne.

Før vi går over til hvorfor DMARC svikter, la oss se hva det er og hvordan det hjelper deg:

DMARC er en nøkkelaktivitet i retningslinjene for e-postautentisering for å forhindre at forfalskede e-poster passerer transaksjonelle spamfiltre. Men det er bare én av pilarene i et overordnet anti-spam-program, og ikke alle DMARC-rapporter er skapt like. Noen vil fortelle deg nøyaktig handlingen e-postmottakere tok på hver melding, og andre vil bare fortelle deg om en melding var vellykket eller ikke. Å forstå hvorfor en melding mislyktes er like viktig som å vite om den gjorde det.

Vanlige årsaker som kan føre til at DMARC mislykkes

Det kan være komplisert å identifisere hvorfor DMARC svikter. Jeg vil imidlertid gå gjennom noen typiske årsaker, og faktorene som bidrar til dem, slik at du som domeneeier kan jobbe for å rette opp problemet raskere.

DMARC Justeringsfeil

DMARC bruker domenejustering for å autentisere e-postene dine. Dette betyr at DMARC verifiserer om domenet nevnt i Fra-adressen (i den synlige overskriften) er autentisk ved å matche det mot domenet nevnt i den skjulte returstioverskriften (for SPF) og DKIM-signaturoverskriften (for DKIM). Hvis en av dem samsvarer, passerer e-posten DMARC, ellers mislykkes DMARC.

Derfor, hvis e -postene dine ikke fungerer som DMARC, kan det være et tilfelle av feiljustering av domenet. Det er verken at SPF- eller DKIM -identifikatorer er på linje, og det ser ut til at e -posten er sendt fra en uautorisert kilde. Dette er imidlertid bare en av grunnene til at DMARC mislykkes.

DMARC justeringsmodus 

Protokolljusteringsmodus spiller også en stor rolle i at meldingene dine sender eller feiler DMARC. Du kan velge mellom følgende justeringsmoduser for SPF -godkjenning:

  • Avslappet : Dette betyr at hvis domenet i Return-path-overskriften og domenet i Fra-overskriften ganske enkelt er en organisasjonsmatch, vil SPF også da passere.
  • Strenge : Dette betyr at bare hvis domenet i returbane-overskriften og domenet i Fra-overskriften er et eksakt samsvar, vil SPF bare passere.

Du kan velge mellom følgende justeringsmoduser for DKIM -godkjenning:

  • Avslappet : Dette betyr at hvis domenet i DKIM-signaturen og domenet i Fra-overskriften ganske enkelt er en organisasjonsmatch, vil selv da DKIM passere.
  • Strengt : Dette betyr at bare hvis domenet i DKIM-signaturen og domenet i Fra-overskriften er et eksakt samsvar, vil DKIM først passere.

Merk at for at e-poster skal bestå DMARC-autentisering, må enten SPF eller DKIM justeres.  

Konfigurerer ikke DKIM -signaturen din 

Et svært vanlig tilfelle der DMARC-en din kan svikte, er at du ikke har spesifisert en DKIM-signatur for domenet ditt. I slike tilfeller tildeler tjenesteleverandøren for e-postutveksling en standard DKIM-signatur til dine utgående e-poster som ikke stemmer overens med domenet i Fra-overskriften. Den mottakende MTA mislykkes i å justere de to domenene, og derfor mislykkes DKIM og DMARC for meldingen din (hvis meldingene dine er justert mot både SPF og DKIM).

Legger ikke til å sende kilder til DNS -en din 

Det er viktig å merke seg at når du setter opp DMARC for domenet ditt, utfører mottakende MTA-er DNS-spørringer for å autorisere sendekildene dine. Dette betyr at med mindre du har alle de autoriserte sendekildene dine oppført i domenets DNS, vil e-postene dine mislykkes i DMARC for de kildene som ikke er oppført siden mottakeren ikke vil kunne finne dem i DNS. Derfor, for å sikre at dine legitime e-poster alltid leveres, må du sørge for å skrive inn på alle dine autoriserte tredjeparts e-postleverandører som er autorisert til å sende e-poster på vegne av domenet ditt, i din DNS.

Ved videresending av e -post

Under videresending av e-post går e-posten gjennom en mellomtjener før den til slutt blir levert til mottakerserveren. Under videresending av e-post mislykkes SPF-kontrollen siden IP-adressen til den mellomliggende serveren ikke samsvarer med den til avsenderserveren, og denne nye IP-adressen er vanligvis ikke inkludert i den opprinnelige serverens SPF-post. Tvert imot, videresending av e-poster påvirker vanligvis ikke DKIM-e-postautentisering, med mindre den mellomliggende serveren eller videresendingsenheten gjør visse endringer i innholdet i meldingen.

Som vi vet at SPF uunngåelig mislykkes under videresending av e -post, hvis sendekilden er DKIM -nøytral og utelukkende er avhengig av SPF for validering, blir den videresendte e -posten uekte under DMARC -godkjenning. For å løse dette problemet, bør du umiddelbart velge full DMARC -samsvar i organisasjonen din ved å justere og autentisere alle utgående meldinger mot både SPF og DKIM. Som en e -post for å passere DMARC -godkjenning, vil e -posten være nødvendig for å passere enten SPF- eller DKIM -godkjenning og justering.

Domenet ditt blir forfalsket

Hvis du har DMARC-, SPF- og DKIM-protokollene riktig konfigurert for domenet ditt, med retningslinjene dine for håndhevelse og gyldige feilfrie poster, og problemet ikke er noen av de ovennevnte tilfellene, er den mest sannsynlige årsaken til at e-poster mislykkes DMARC er at domenet ditt blir forfalsket eller forfalsket. Dette er når etterlignere og trusselaktører prøver å sende e-poster som ser ut til å komme fra domenet ditt ved å bruke en ondsinnet IP-adresse.

Nyere e-postsvindelstatistikker har konkludert med at tilfeller av e-postforfalskning øker i nyere tid og er en veldig stor trussel mot organisasjonens omdømme. I slike tilfeller, hvis du har implementert DMARC på en avvisningspolicy, vil den mislykkes og den falske e-posten vil ikke bli levert til mottakerens innboks. Derfor kan domeneforfalskning være svaret på hvorfor DMARC svikter i de fleste tilfeller.

Hvorfor mislykkes DMARC for tredjeparts postboksleverandører? (Gmail, Mailchimp, Sendgrid, osv.)

Hvis du bruker eksterne postboksleverandører til å sende e-poster på dine vegne, må du aktivere DMARC, SPF og/eller DKIM for dem. Du kan gjøre det ved enten å kontakte dem og be dem håndtere implementeringen for deg, eller du kan ta saken i egne hender og aktivere protokollene manuelt. For å gjøre det må du ha tilgang til kontoportalen din på hver av disse plattformene (som administrator).

Hvis Gmail-meldingene dine mislykkes i DMARC, hold markøren over til domenets SPF-post og kontroller om du har inkludert _spf.google.com i den. Hvis ikke, kan dette være en grunn til at mottaksservere ikke klarer å identifisere Gmail som din autoriserte sendekilde. Det samme gjelder e-postene dine sendt fra Mailchimp, Sendgrid og andre.

Hvordan fikser jeg DMARC-feil?

For å fikse DMARC-feil anbefaler vi at du registrerer deg med vår gratis DMARC Analyzer og starter reisen med DMARC-rapportering og -overvåking.

#Trinn 1 : Med en ingen-policy kan du begynne med å overvåke domenet ditt med DMARC (RUA) Aggregate Reports og følge nøye med på innkommende og utgående e-poster, dette vil hjelpe deg med å svare på eventuelle uønskede leveringsproblemer

#Trinn 2 : Etter det hjelper vi deg å gå over til en håndhevet policy som til slutt vil hjelpe deg med å få immunitet mot domeneforfalskning og phishing-angrep

#Trinn 3 : Fjern ondsinnede IP-adresser og rapporter dem direkte fra PowerDMARC-plattformen for å unngå fremtidige etterligningsangrep, ved hjelp av vår Threat Intelligence-motor

#Trinn 4: Aktiver DMARC (RUF) rettsmedisinske rapporter for å få detaljert informasjon om tilfeller der e-postene dine har mislyktes i DMARC, slik at du kan komme til roten av problemet og fikse det raskere

Hvordan takle meldinger som mislykkes i DMARC?

Vær oppmerksom på at en e-post kan mislykkes i DMARC på grunn av vanlige omstendigheter som en forfalskningstrussel, mislykket justering for a) kun DKIM b) kun SPF c) begge deler. Hvis det mislykkes begge, vil meldingen din nå bli ansett som uautorisert. Du kan konfigurere en passende DMARC-policy for å instruere mottakere om hvordan de skal svare på disse e-postene.

Håper vi kunne løse problemet med hvorfor DMARC svikter for domenet ditt og gi en løsning på hvordan du enkelt kan fikse problemet. For å forhindre domeneforfalskning og overvåke e-postflyten din med PowerDMARC, i dag!