Hvorfor mislykkes DMARC? Fiks DMARC-svikt i 2023
DMARC fail oppstår når en innkommende e-post ikke består DMARC-godkjenningskontrollene. Det betyr at e-posten ikke overholder retningslinjene som er angitt av domeneeieren, noe som indikerer et potensielt forsøk på spoofing eller phishing. Ved DMARC-feil kan mottakerens e-postserver iverksette ulike tiltak basert på retningslinjene som er definert av domeneeieren, for eksempel å merke e-posten som søppelpost, avvise den eller sette den i karantene. En DMARC-feil kan påvirke e-postmarkedsføringen din og redusere leveringsgraden for e-post betydelig.
Grunnleggende begreper rundt DMARC-protokollen
DMARC står for Domain-based Message Authentication, Reporting and Conformance (domenebasert meldingsautentisering, rapportering og samsvar). Det er en protokoll for e-postautentisering som gir et ekstra sikkerhetslag ved å bidra til å forhindre forfalskning av e-post og phishing-angrep. DMARC fungerer ved at domeneeiere kan publisere retningslinjer i DNS-postene sine, og instruere mottakende e-postservere om hvordan de skal håndtere e-poster som utgir seg for å være fra deres domene.
Det gjør det mulig for domeneeiere å angi om uautorisert e-post skal avvises eller settes i karantene, noe som gir bedre kontroll over e-postleveringen. DMARC genererer også rapporter som gir verdifull innsikt i e-postautentiseringsfeil, slik at organisasjoner kan overvåke og forbedre e-postsikkerhetstiltakene sine.
Alt i alt bidrar DMARC til å forbedre e-postsikkerheten ved å håndheve autentiseringskontroller og gjøre det mulig for organisasjoner å beskytte omdømmet til varemerket og brukerne mot e-postbaserte trusler.
Forstå hvorfor DMARC mislykkes
DMARC-fiasko kan oppstå av ulike årsaker, inkludert SPF- og DKIM-godkjenningsfeil, feiljustering mellom "From"-domenet, SPFog DKIMproblemer med videresending eller tredjepartstjenester som endrer e-postsignaturer, feilkonfigurerte DMARC-policyer og forsøk fra ondsinnede aktører på å forfalske legitime domener.
DMARC-svikt kan føre til problemer med e-postautentisering, potensielle leveringsproblemer og økt risiko for phishing-angrep. Å forstå disse årsakene og implementere riktige konfigurasjoner og autentiseringstiltak kan bidra til å forbedre DMARC-samsvaret og forbedre e-postsikkerhet.
Vanlige årsaker til DMARC-feil
Vanlige årsaker til at DMARC mislykkes kan være justeringsfeil, feiljustering av sendekilden, problemer med DKIM-signaturen, videresendte e-poster osv. La oss utforske hver av disse i detalj:
1. Feil i DMARC-tilpasningen
DMARC bruker domenejustering for å autentisere e-postene dine. Dette betyr at DMARC verifiserer om domenet som er nevnt i Fra-adressen (i den synlige overskriften) er autentisk ved å sammenligne det med domenet som er nevnt i den skjulte Return-path-overskriften (for SPF) og DKIM-signaturoverskriften (for DKIM). Hvis noen av disse samsvarer, godkjennes e-posten av DMARC, ellers fører det til at DMARC ikke godkjennes.
Hvis e-posten din mislykkes i DMARC, kan det derfor være et tilfelle av feiljustering av domenet. Det vil si at verken SPF- eller DKIM-identifikatorene stemmer overens, og e-posten ser ut til å være sendt fra en uautorisert kilde. Dette er imidlertid bare én av årsakene til at DMARC mislykkes.
DMARC justeringsmodus
Modusen for protokolljustering kan også føre til at DMARC mislykkes. Du kan velge mellom følgende justeringsmoduser for SPF-godkjenning:
- Avslappet: Dette betyr at hvis domenet i Return-path-headeren og domenet i From-headeren bare er en organisatorisk match, vil SPF bestå.
- Streng: Dette betyr at bare hvis domenet i Return-path-headeren og domenet i From-headeren samsvarer nøyaktig, vil SPF bli godkjent.
Du kan velge mellom følgende justeringsmoduser for DKIM -godkjenning:
- Avslappet: Dette betyr at hvis domenet i DKIM-signaturen og domenet i From-headeren bare er en organisatorisk match, vil DKIM bestå.
- Streng: Dette betyr at bare hvis domenet i DKIM-signaturen og domenet i From-headeren samsvarer nøyaktig, vil DKIM bli godkjent.
Merk at for at e-poster skal bestå DMARC-autentisering, må enten SPF eller DKIM justeres.
2. Du har ikke konfigurert DKIM-signaturen din
Et svært vanlig tilfelle der DMARC kan mislykkes, er at du ikke har angitt en DKIM-signatur for domenet ditt. I slike tilfeller tildeler leverandøren av e-postutvekslingstjenester en standard DKIM-signatur til utgående e-postmeldinger som ikke stemmer overens med domenet i From-headeren. Mottakende MTA klarer ikke å justere de to domenene, og dermed mislykkes DKIM og DMARC for meldingen din (hvis meldingene dine er justert mot både SPF og DKIM).
3. Legger ikke til sendingskilder i DNS-en
Det er viktig å merke seg at når du konfigurerer DMARC for domenet ditt, utfører mottakende MTA-er DNS-spørringer for å autorisere avsenderkildene dine. Dette betyr at med mindre du har alle autoriserte avsenderkilder oppført i domenets DNS, vil e-postene dine mislykkes i DMARC for de kildene som ikke er oppført, siden mottakeren ikke vil kunne finne dem i DNS.
For å sikre at legitim e-post alltid leveres, må du derfor sørge for å legge inn oppføringer i DNS for alle autoriserte tredjeparts e-postleverandører som er autorisert til å sende e-post på vegne av domenet ditt.
4. Ved videresending av e-post
Ved videresending av e-post går e-posten gjennom en mellomliggende server før den til slutt blir levert til mottakerserveren. SPF-sjekken mislykkes siden IP-adressen til den mellomliggende serveren ikke samsvarer med avsenderserverens IP-adresse, og denne nye IP-adressen er vanligvis ikke inkludert i den opprinnelige serverens SPF-post.
Tvert imot påvirker videresending av e-post vanligvis ikke DKIM-e-postautentiseringen, med mindre den mellomliggende serveren eller videresenderen gjør visse endringer i innholdet i meldingen.
For å løse dette problemet bør du umiddelbart velge full DMARC-samsvar i organisasjonen din ved å justere og autentisere alle utgående meldinger mot både SPF og DKIM. For at en e-post skal bestå DMARC-godkjenning, må e-posten bestå enten SPF- eller DKIM-godkjenning og justering.
Relatert lesning: Videresending av e-post og DMARC
5. Domenet ditt blir forfalsket
Hvis alt er i orden på implementeringssiden, kan det hende at e-postene dine mislykkes i DMARC som følge av et spoofing-angrep. Dette skjer når etterlignere og trusselaktører prøver å sende e-poster som ser ut til å komme fra domenet ditt ved hjelp av en ondsinnet IP-adresse.
Nyere statistikk over e-postsvindel har konkludert med at spoofing av e-post øker, noe som utgjør en stor trussel mot organisasjonens omdømme. I slike tilfeller, hvis du har DMARC implementert på en avvisningspolicy, vil den mislykkes, og den forfalskede e-posten vil ikke bli levert til mottakerens innboks. Derfor kan domenespoofing være svaret på hvorfor DMARC mislykkes i de fleste tilfeller.
Hvorfor mislykkes DMARC for tredjeparts postkasseleverandører?
Hvis du bruker eksterne postboksleverandører til å sende e-poster på dine vegne, må du aktivere DMARC, SPF og/eller DKIM for dem. Du kan gjøre det ved enten å kontakte dem og be dem håndtere implementeringen for deg, eller du kan ta saken i egne hender og aktivere protokollene manuelt. For å gjøre det må du ha tilgang til kontoportalen din på hver av disse plattformene (som administrator).
Hvis du ikke aktiverer disse protokollene for den eksterne postkasseleverandøren, kan DMARC mislykkes.
Hvis DMARC mislykkes for Gmail-meldingene dine, går du til domenets SPF-post og sjekker om du har inkludert _spf.google.com i den. Hvis ikke, kan dette være en grunn til at mottakende servere ikke klarer å identifisere Gmail som din autoriserte avsender. Det samme gjelder for e-poster sendt fra MailChimp, SendGrid og andre.
Hvordan oppdage meldinger som ikke oppfyller DMARC?
DMARC-feil for meldinger kan enkelt oppdages hvis du har aktivert rapportering for DMARC-rapportene dine. Alternativt kan du utføre en analyse av e-posthodet eller bruke Gmails e-post; loggsøk. La oss utforske hvordan:
1. Aktiver DMARC-rapportering for domenene dine.
Bruk denne praktiske funksjonen i DMARC-protokollen for å oppdage DMARC-feil. Du kan motta rapporter som inneholder DMARC-dataene dine fra ESP-er ved ganske enkelt å definere en "rua"-tagg i DMARC DNS-posten din. Syntaksen kan være som følger:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Rua-taggen skal inneholde e-postadressen du ønsker å motta rapportene dine på.
Hos PowerDMARC tilbyr vi forenklede og lettleste rapporter som hjelper deg med å oppdage DMARC-feil og feilsøke dem raskere:
2. Analyser e-posthoder manuelt eller bruk analyseverktøy.
DMARC-svikt kan også oppdages ved å analysere e-postoverskriftene.
a. Manuell metode
Du kan enten analysere overskriftene manuelt som vist nedenfor.
Hvis du bruker Gmail til å sende e-post, kan du klikke på en melding, klikke på "mer" (de tre prikkene øverst til høyre) og deretter klikke på "vis original":
Du kan inspisere DMARC-godkjenningsresultatene nå:
b. Automatiserte analyseverktøy
PowerDMARCs e-posthodeanalysator er et utmerket verktøy for umiddelbar oppdagelse av DMARC-feil og for å redusere problemet med DMARC-feil.
Hos oss får du en omfattende analyse av statusen til DMARC for e-postene dine, justeringer og andre samsvar som vist nedenfor:
3. Bruk Googles søk i e-postloggen
Du kan finne mer informasjon om en bestemt melding som ikke oppfyller DMARC ved å bruke Googles e-postloggsøk. Dette vil avdekke meldingsdetaljer, meldingsdetaljer etter levering og mottakerdetaljer. Resultatene presenteres i tabellformat som vist nedenfor:
Hvordan fikser jeg en DMARC-feil?
For å fikse DMARC-feil anbefaler vi at du registrerer deg med vår DMARC Analyzer og starte reisen med DMARC-rapportering og -overvåking.
Trinn 1: Begynn med ingen
Hvis du ikke har noen policy, kan du begynne med å overvåke domenet ditt med DMARC (RUA) Aggregerte rapporter og følge nøye med på innkommende og utgående e-post, slik at du kan reagere på eventuelle uønskede leveringsproblemer.
Trinn 2: Overgang til håndhevelse
Deretter hjelper vi deg med å gå over til en håndhevet policy som til slutt vil hjelpe deg med å oppnå immunitet mot domenespoofing og phishing-angrep.
Trinn 3: Bruk vår AI-drevne trusseldeteksjon
Ta ned ondsinnede IP-adresser og rapporter dem direkte fra PowerDMARC-plattformen for å unngå fremtidige etterligningsangrep ved hjelp av Threat Intelligence-motoren vår.
Trinn 4: Overvåk kontinuerlig
Aktiver DMARC (RUF) Forensic-rapporter som gir deg detaljert informasjon om tilfeller der e-postene dine har mislyktes i DMARC, slik at du kan gå til roten av problemet og løse det raskere.
Hvordan takle meldinger som mislykkes i DMARC?
For å håndtere meldinger som mislykkes i DMARC, kan du velge en mer avslappet DMARC-policysjekke DNS-oppføringen din for eventuelle feil, og kombinere DMARC-implementeringene dine med både DKIM og SPF for maksimal sikkerhet og redusert risiko for falske negativer.
1. Sjekk DMARC-posten din
Bruk en DMARC-sjekker for å finne syntaktiske eller andre formative feil i posten din, som ekstra mellomrom, stavefeil osv.
2. Velg en mykere policy
Du kan alltid velge en mer avslappet policy for DMARC, for eksempel "ingen". Dette gjør at meldingene dine når frem til mottakerne selv om DMARC mislykkes for dem. Dette gjør deg imidlertid sårbar for phishing- og spoofing-angrep.
3. Bruk både SPF- og DKIM-tilpasning
Bruk av både DKIM og SPF sammen gir en lagdelt tilnærming til e-postautentisering. DKIM verifiserer meldingens integritet og sikrer at den ikke er manipulert, mens SPF verifiserer avsenderserverens identitet. Sammen bidrar de til å skape tillit til e-postkilden, noe som reduserer risikoen for spoofing, phishing og uautorisert e-postaktivitet.
Fikse DMARC-fiasko med PowerDMARC
PowerDMARC reduserer DMARC-feil ved å tilby en rekke omfattende funksjoner. For det første hjelper PowerDMARC organisasjoner med å implementere DMARC på riktig måte ved hjelp av trinnvis veiledning og automatiseringsverktøy. Dette sikrer at DMARC-poster, SPF og DKIM-godkjenning er riktig konfigurert, noe som øker sjansene for vellykket DMARC-implementering.
Når DMARC er på plass, overvåker PowerDMARC kontinuerlig e-posttrafikken og genererer sanntidsrapporter og varsler om DMARC-feil. Denne oversikten gjør at organisasjoner raskt kan identifisere autentiseringsproblemer, for eksempel SPF- eller DKIM-feil, og iverksette korrigerende tiltak.
I tillegg til overvåking integrerer PowerDMARC funksjoner for kunstig intelligens. Den utnytter globale trusselstrømmer til å identifisere og analysere kilder til phishing-angrep og spoofing-forsøk. Ved å gi innsikt i mistenkelig e-postaktivitet kan organisasjoner proaktivt identifisere potensielle trusler og iverksette nødvendige tiltak for å redusere risikoen.
Ta kontakt med oss for å komme i gang!
Konklusjon: Fremme e-postsikkerhet på riktig måte
Ved å ta i bruk en flerlagstilnærming til e-postsikkerhet kan organisasjoner og enkeltpersoner forbedre sitt forsvar mot stadig nye cybertrusler. Dette innebærer blant annet å implementere robuste autentiseringsmekanismer, bruke krypteringsteknologi, informere brukerne om phishing-angrep og jevnlig oppdatere sikkerhetsprotokollene.
I tillegg er integrering av AI-verktøy for å forbedre e-postsikkerheten den beste måten å holde seg oppdatert på avanserte angrep fra nettkriminelle på.
For å forhindre DMARC-feil og feilsøke andre DMARC-feil, registrer deg for å komme i kontakt med våre DMARC-eksperter i dag!
- Metoder for å beskytte deg mot identitetstyveri - 29. september 2023
- Betydningen av DNS for e-postsikkerheten - 29. september 2023
- Den nye tidsalderens phishing-trusler og hvordan du planlegger i forkant - 29. september 2023