554 5.7.5 Stały błąd oceny polityki DMARC

Czy otrzymywałeś komunikat "554 5.7.5 permanent error evaluating polityki DMARC" podczas wysyłania wiadomości e-mail z Twojej domeny? Błąd "554 5.7.5 permanent error evaluating DMARC policy" jest częstym błędem, który zatrzymuje porty SMTP przed akceptacją wiadomości e-mail z Twojej domeny. Problem ten zazwyczaj występuje z powodu kombinacji ustawień w rekordzie SPF, rekordzie DMARC lub usłudze poczty elektronicznej.

W tej instrukcji opiszemy, jak szybko i łatwo rozwiązać ten problem.

Przyczyny 554 5.7.5 Stały błąd oceny polityki DMARC

Jeśli masz do czynienia z komunikatem "554 5.7.5 permanent error evaluating DMARC policy", oto kilka najczęstszych przyczyn tego błędu:

1. Niekompletne ustawienia DMARC

Kiedy ustawiasz DMARC, możesz wybrać opcję p=none lub p=quarantine/reject. Jeśli używasz polityki p=none, upewnij się, że SPF i DKIM przechodzą przez wiadomość. W przeciwnym razie nie przejdzie ona oceny zasad DMARC.

2. Nieprawidłowy rekord uwierzytelniania wiadomości e-mail DKIM

DKIM to skrót od DomainKeys Identified Mail. Jest to metoda weryfikacji autentyczności nadawcy wiadomości e-mail, która zapobiega podszywaniu się złośliwych podmiotów pod nazwę domeny nadawcy wiadomości.

Czasami mogą wystąpić problemy z uwierzytelnianiem DKIM. Niezgodność między znacznikiem "d=" w podpisie DKIM a domeną wysyłającą spowoduje, że ocena DMARC nie powiedzie się.

Na przykład, jeśli nazwa domeny została zmieniona i nie została zaktualizowana w rekordach DKIM, to również nie przejdzie oceny zasad DMARC.

3. Nieprawidłowy rekord SPF

SPF to skrót od Sender Policy Framework. Jest to technika uwierzytelniania wiadomości e-mail używana do sprawdzania, czy wiadomość e-mail pochodzi z serwera ważnego nadawcy, czy nie.

DMARC działa poprzez sprawdzanie rekordów SPF, aby zweryfikować, czy są one ważne, czy nie. Aby uniknąć tego błędu, należy upewnić się, że rekordy SPF są poprawnie skonfigurowane i działają z nazwą domeny.

4. Błędna ocena polityki po stronie odbiorcy

Jeśli serwer odbiorczy nieprawidłowo ocenia ustawienia zasad DMARC, może to również prowadzić do tego błędu. Oznacza to, że serwer odbiorcy odrzuca wiadomości e-mail z powodu własnych zasad, a nie z powodu jakichkolwiek błędów w ustawieniach DMARC.

Aby uniknąć tego problemu, należy upewnić się, że wszystkie wyżej wymienione punkty są prawidłowo skonfigurowane, aby przejść ocenę zasad po stronie odbiorcy.

Następnie należy porozmawiać z odbiorcą i poprosić go o ocenę własnego DMARC.

Jak naprawić 554 5.7.5 Permanent Error Evaluating DMARC Policy?

1. Usuń dodatkowe znaki z rekordu

Błąd 5.7.5 permanent error evaluating DMARC policy może być spowodowany wieloma różnymi przyczynami, jednak najczęstsze z nich to: 

  • nieprawidłowy cudzysłów
  • dodatkowe znaki lub symbole w zapisie
  • brakujący średnik na końcu zapisu

Oto przykład rekordu, w którym wystąpił ten błąd:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1:d:s.

Ten rekord może na początku wyglądać dobrze, ale podczas testowania go otrzymaliśmy komunikat "5.7.5 permanent error evaluating DMARC policy".

Po ponownym sprawdzeniu okazało się, że na końcu rekordu znajduje się dodatkowa kropka - jeśli przyjrzeć się temu samemu rekordowi powyżej, można zauważyć, że na końcu znajduje się kropka (.). 

Po usunięciu tej kropki i ponownym przeprowadzeniu testu wszystko działało bez zarzutu.

Oto jak wygląda ten sam rekord bez błędów:

v=DMARC1; p=brak; rua=mailto:[email protected]; ruf=mailto:Dema[email protected]; fo=1:d:s

2. Zmień swój rekord SPF z neutralnego

Jeśli otrzymujesz komunikat o błędzie "5.7.5 permanent error evaluating DMARC policy" podczas próby wysłania wiadomości e-mail, to prawdopodobnie rekord SPF jest ustawiony na Neutral.

SPF to skrót od Sender Policy Framework, który pomaga upewnić się, że serwer pocztowy, z którego wysyłane są wiadomości e-mail, jest legalny. Nie wystarczy mieć tylko serwer, który wysyła e-maile; musi być jakaś weryfikacja, że ten serwer jest legalny. To właśnie robi SPF: weryfikuje, czy Twój serwer pocztowy ma właściwe referencje.

Dlaczego Twój rekord SPF nie może być neutralny? 

Jeśli wiadomości będą mogły być wysyłane przez neutralny serwer, oszuści mogą wysyłać fałszywe wiadomości e-mail z nazwą domeny, co oznacza, że ludzie mogą myśleć, że są one prawdziwe, podczas gdy nie są - i w efekcie klikać łącza lub pobierać pliki, których nie powinni.

Dlatego powinieneś przynajmniej zmienić swój rekord SPF na softfail ~all lub hardfail -all po wdrożeniu DMARC - aby ludzie wiedzieli, że wiadomość z Twojej domeny jest prawdopodobnie bezpieczna.

3. Sprawdź, czy Twój dostawca usług poczty elektronicznej obsługuje wiadomości e-mail z wyrównaniem SPF

Jednym z najczęstszych powodów otrzymania tego błędu jest fakt, że Twój dostawca usług poczty elektronicznej nie obsługuje wiadomości e-mail z przypisanym SPF.

Dostawcy poczty elektronicznej, tacy jak MailChimp i ProtonMail, mają własne rekordy SPF i kiedy wysyłasz przez nich wiadomości, nie wysyłają one wiadomości z wyrównaniem do SFP. W związku z tym ważne jest, aby sprawdzić typ dyspozycji SPF swojego dostawcy usług email, aby sprawdzić, czy obsługuje on emaile z wyrównaniem SPF.

Jeśli tak, to Twój podpis DKIM zostanie zmodyfikowany podczas procesu wysyłania, tak aby adres Od był zgodny z Twoją własną domeną (a nie z domeną MailChimp) i abyś przeszedł pozytywnie ocenę zasad DMARC.

Jeśli tak nie jest, trzeba będzie skorzystać z usług innego dostawcy poczty elektronicznej (lub zmienić ustawienia dotychczasowego dostawcy), aby można było wysyłać wiadomości z oznaczeniem SPF.

4. Zmień politykę p=none dla DMARC

Jeśli otrzymujesz błąd "554 5.7.5 permanent error evaluating DMARC policy", oznacza to, że polityka DMARC w Twojej domenie uniemożliwia wysyłanie wiadomości e-mail. Aby to naprawić, musisz po prostu zmienić rekord DMARC u dostawcy DNS, tak aby miał on politykę p=none.

Zasady DMARC mówią dostawcom poczty, co zrobić z wiadomościami, które nie przejdą kontroli SPF i DKIM: odrzucić je lub poddać kwarantannie. Jeśli chcesz wysyłać e-maile nawet jeśli te kontrole nie przejdą pomyślnie, możesz tymczasowo rozluźnić swoją politykę DMARC ustawiając ją na p=none w ustawieniach DNS.

Jest to tak zwana "zrelaksowana polityka", więc nie jest zalecana do zapobiegania spoofingowi poczty elektronicznej. Jednak zmiana polityki DMARC na p=none pozwoli na tymczasowe wysyłanie wiadomości e-mail bez otrzymywania błędów DMARC.

Można na przykład zmienić ten zapis:

_dmarc.yourdomain.com TXT "v=DMARC1; p=reject; fo=1

do tego:

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; fo=1

Co to oznacza dla Ciebie? Możesz wysyłać pocztę, nawet jeśli nie spełnia ona wymogów DMARC. Jednakże, będziesz chciał powrócić do polityki p=reject lub p=quarantine, aby zapobiec spoofingowi emaili w Twojej domenie.

5. Skonfiguruj uwierzytelnianie poczty identyfikowanej za pomocą kluczy domenowych (DKIM)

Jeśli otrzymujesz komunikat o błędzie "554 5.7.5 permanent error evaluating DMARC policy", oznacza to, że nie włączyłeś w swojej domenie uwierzytelniania poczty elektronicznej DomainKeys Identified Mail (DKIM) - aby przejść przez DMARC, musisz mieć skonfigurowany rekord uwierzytelniania poczty elektronicznej DKIM.

Aby to zrobić, należy postępować następująco:

  • Na stronie Ustawienia konta wybierz opcję "Będę zarządzać uwierzytelnianiem mojej poczty e-mail".
  • Wprowadź nazwę domeny w polu DKIM i kliknij przycisk Zapisz.
  • Skopiuj wygenerowaną nazwę rekordu TXT i wartość rekordu TXT do rekordów DNS swojego hosta internetowego

Wymagania dotyczące formatowania zasad DMARC

DMARC to protokół uwierzytelniania wiadomości e-mail, który umożliwia odbiorcom sprawdzenie, czy wiadomości e-mail rzekomo pochodzące z Twojej domeny rzeczywiście zostały wysłane z Twojej domeny. W tym przewodniku przedstawiono niektóre z ważnych wymagań dotyczących formatowania podczas konfigurowania DMARC po raz pierwszy.

  •  Po pierwsze, Twój rekord DMARC musi zaczynać się od "v=DMARC1". Dzięki temu dostawcy poczty elektronicznej wiedzą, że rekord jest sformatowany zgodnie z aktualnie używaną wersją protokołu DMARC (czyli 1). 
  •  Następnie należy określić swoją politykę. Polityka musi mieć postać p=none lub p=quarantine lub p=reject. W ten sposób określa się, co należy zrobić, gdy wiadomość e-mail nie przejdzie pomyślnie kontroli uwierzytelniania. 
  • Polityka powinna być drugą wartością w rekordzie. Polityka może mieć jedną z trzech postaci: p=none, p=quarantine lub p=reject. Wartość "None" oznacza, że chcesz, aby dostawca poczty nie robił nic, gdy zobaczy podejrzaną wiadomość z Twojej domeny - po prostu pozostawi ją w spokoju, a nawet dostarczy. "Kwarantanna" oznacza, że chcesz, aby podejrzane wiadomości z Twojej domeny były dostarczane jako spam lub wiadomości-śmieci, zamiast jako normalna poczta. Wreszcie, "odrzuć" oznacza, że chcesz, aby podejrzane wiadomości z Twojej domeny były odrzucane i w ogóle nie były dostarczane.
  •  Używaj dwukropków jako separatorów między wartościami - dobrym pomysłem jest używanie dwukropków, a nie średników. Średniki mogą powodować problemy, zwłaszcza gdy w jednym wierszu podano wiele wartości.
  •  Nie należy używać dodatkowych znaków ani złych cudzysłowów. Nadmiar białych znaków na końcu wierszy będzie traktowany jako część rekordu, co może powodować problemy.

Oto przykład dobrego rekordu DMARC:

v=DMARC1; pct=100; p=reject; rua=mailto:[email protected]; mailto:[email protected]; aspf=s

Jak znaleźć błędy w polityce rekordów DMARC

Posiadanie rekordu DMARC to dobry krok w kierunku zabezpieczenia komunikacji e-mailowej. Jeśli jednak wystąpią w nim jakieś błędy, cały system będzie nieskuteczny. Dlatego tak ważne jest znalezienie błędów i jak najszybsze ich usunięcie.

Najlepszym sposobem na to jest użycie DMARC lookup przez PowerDMARC. Narzędzie to sprawdza, czy Twój rekord jest ważny i pokazuje ewentualne błędy. Z narzędzia można korzystać bezpłatnie, wykonując poniższe kroki:

  1. Odwiedź narzędzie DMARC Lookup Tool firmy PowerDMARC.
  2. W puste pole wpisz nazwę domeny.
  3. Po sprawdzeniu rekordu narzędzie wyświetli przegląd całej bazy danych. 
  4. Jeśli wystąpią jakieś błędy, zostaną one zaznaczone na stronie. 
  5. Gdy już wiesz, skąd pochodzą błędy, możesz je łatwo usunąć, korzystając z instrukcji dołączonych do każdego komunikatu o błędzie.

Czy martwisz się o bezpieczeństwo swoich służbowych wiadomości e-mail?

To poważny problem. W rzeczywistości wiele cyberataków zaczyna się od wiadomości e-mail. Nie oznacza to jednak, że musisz zrezygnować z docierania do swoich klientów za pośrednictwem poczty elektronicznej!

Zamiast tego zabezpiecz wszystkie służbowe wiadomości e-mail za pomocą usług uwierzytelniania poczty elektronicznej firmy PowerDMARC. Pomoże Ci to zdobyć zaufanie klientów i ochroni Twoją markę przed próbami wyłudzenia danych przez hakerów i innych złych aktorów.

Dzięki PowerDMARC możesz mieć pewność, że wszystkie wiadomości e-mail pochodzące z Twojej firmy są nie tylko bezpieczne dla klientów, ale także łatwe do zidentyfikowania przez nich jako uzasadnione wiadomości od Twojej marki dzięki umieszczeniu na nich pieczęci Twojej firmy.

Wiemy, że ochrona integralności nazwy i wizerunku Twojej firmy jest dla Ciebie ważna i chcemy, abyś mógł to zrobić w sposób, który ma sens dla obu zaangażowanych stron - dlatego oferujemy tę usługę w przystępnej cenie, a jednocześnie zapewniamy naszym klientom dostęp do całej naszej wiedzy na temat technik uwierzytelniania wiadomości e-mail.

Czy Twoja domena jest zabezpieczona przed spoofingiem poczty elektronicznej? Pobierz bezpłatny DMARC tutaj.