Stanowiska

Posiadanie wielu rekordów DMARC na swojej domenie jest kompletnym nie-nie, a oto dlaczego! Wiemy, że wdrażanie protokołów uwierzytelniania emaili takich jak DMARC jest niezbędne dla reputacji organizacji i bezpieczeństwa danych, i aby to zrobić właściciele domen muszą opublikować rekord TXT w swoim DNS. Ale pytanie, które często powraca w społeczności, brzmi: "Czy mogę mieć wiele rekordów DMARC w mojej domenie?". Odpowiedź brzmi: nie. Wiele rekordów DMARC w tej samej domenie może unieważnić Twój rekord, a tym samym polityka uwierzytelniania DMARC ustawiona dla Twojej domeny nie będzie działać.

Jak rekord DMARC jest przetwarzany przez MTA?

Rekord DMARC opublikowany w DNS Twojej domeny wygląda mniej więcej tak:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Dlatego też, gdy domena, która ma skonfigurowany DMARC wysyła email, MTA odbierający email pobiera wszystkie rekordy TXT, które zaczynają się od v=DMARC1. MTA odpytuje DNS domeny wysyłającej i może natknąć się na następujące scenariusze:

  1. Znajduje pojedynczy prawidłowy rekord DMARC w DNS domeny źródłowej i przetwarza wiadomość e-mail zgodnie ze specyfikacją polityki DMARC.
  2. Nie znajduje żadnego rekordu DMARC dla domeny wysyłającej i przetwarzanie DMARC automatycznie ustaje, email jest dostarczany bez weryfikacji źródła.
  3. Znajduje wiele rekordów DMARC w tej samej domenie i w tym przypadku przetwarzanie DMARC jest również przerywane, a zastosowana polityka nie jest wykonywana

Wiele rekordów DMARC: Jak to naprawić?

Kiedy konfigurujesz DMARC dla swojej domeny i ustawiasz politykę, chcesz, aby MTA odpowiadały na Twoje emaile w sposób, który jest zgodny z Twoimi intencjami. W ten sposób DMARC może chronić Twoją domenę przed podszywaniem się i spoofingiem. Aby skonfigurowany protokół działał efektywnie, zalecamy wykonanie następujących kroków:

  • Upewnij się, że nie opublikowałeś wielu rekordów DMARC dla swojej domeny
  • Upewnij się, że Twój rekord DMARC nie zawiera błędów składniowych
  • Zamiast ręcznie generować swój rekord DMARC, użyj niezawodnych narzędzi, takich jak naszdarmowy generator rekordów DMARC, który wykona pracę za Ciebie.
  • Włącz raporty DMARC dla swojej domeny, aby monitorować przepływ poczty i wyniki uwierzytelniania od czasu do czasu, tak abyś mógł śledzić problemy z dostawą i podejmować działania przeciwko złośliwym źródłom wysyłania.
  • Upewnij się, że nie przekroczyłeś limitu SPF 10 lookup, aby uniknąć permerror rezultatów

Alternatywą do kilku kroków, które możesz podjąć, aby poprawnie wdrożyć DMARC dla swojej domeny i uniknąć wielu rekordów DMARC, byłoby po prostu zarejestrowanie się w naszym analizatorze DMARC.

PowerDMARC zajmuje się większością złożoności w tle, aby zautomatyzować proces uwierzytelniania poczty elektronicznej i pomóc Ci zminimalizować wszelkie błędy w konfiguracji, które mogą powodować problemy z dostarczalnością poczty elektronicznej.

DMARC fail dla twoich wiadomości jest powodem do niepokoju, jeśli jesteś organizacją mocno polegającą na e-mailach zarówno w komunikacji zewnętrznej jak i wewnętrznej. Istnieją metody, jak również narzędzia, których możesz użyć online (za darmo), aby zatrzymać DMARC fail dla twoich wiadomości.

W tym artykule dokładnie obalimy 6 głównych powodów niepowodzenia DMARC i jak można je złagodzić, aby poprawić dostarczalność.

Zanim przejdziemy do tego, dlaczego DMARC zawodzi, zobaczmy, co to jest i jak może pomóc:

DMARC to kluczowe działanie w polityce uwierzytelniania poczty elektronicznej, które pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość została pomyślnie odebrana, czy nie. Zrozumienie, dlaczego wiadomość się nie powiodła, jest równie ważne jak wiedza o tym, czy się powiodła.

Najczęstsze powody, dla których DMARC może zawieść

Ustalenie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów i czynników, które przyczyniają się do nich, abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.

Błędy w dostosowaniu DMARC

DMARC wykorzystuje dopasowanie domen do uwierzytelniania twoich e-maili. Oznacza to, że DMARC sprawdza czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli któraś z nich pasuje, wiadomość przechodzi przez DMARC, w przeciwnym razie DMARC nie przechodzi.

Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.

DMARC Alignment Mode 

Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:

  • Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From są po prostu dopasowane organizacyjnie, nawet wtedy SPF przejdzie.
  • Strict: Oznacza to, że tylko jeśli domena w nagłówku Return-path i domena w nagłówku From są dokładnym dopasowaniem, tylko wtedy SPF przejdzie.

Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:

  • Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
  • Strict: Oznacza to, że tylko jeśli domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.

Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.  

Nie skonfigurowanie sygnatury DKIM 

Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do wychodzących emaili, które nie są zgodne z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla twojej wiadomości (jeśli twoje wiadomości są wyrównane zarówno z SPF jak i DKIM).

Nie dodajesz źródeł wysyłania do swojego DNS 

Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że Twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców poczty elektronicznej, którzy są upoważnieni do wysyłania emaili w imieniu Twojej domeny, znajdują się w DNS.

W przypadku przekazywania wiadomości e-mail

Podczas przekazywania wiadomości e-mail, wiadomość przechodzi przez serwer pośredniczący, zanim zostanie ostatecznie dostarczona do serwera odbierającego. Podczas przesyłania dalej, sprawdzanie SPF nie powiedzie się, ponieważ adres IP serwera pośredniczącego nie pasuje do adresu IP serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniony w rekordzie SPF serwera oryginalnego. Wręcz przeciwnie, przekazywanie emaili zazwyczaj nie ma wpływu na uwierzytelnianie emaili DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.

Twoja domena jest sfałszowana

Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, wtedy najbardziej prawdopodobnym powodem, dla którego Twoje emaile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.

Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.

Dlaczego DMARC nie działa w przypadku zewnętrznych dostawców skrzynek pocztowych? (Gmail, Mailchimp, Sendgrid itp.)

Jeśli korzystasz z zewnętrznych dostawców skrzynek pocztowych do wysyłania e-maili w Twoim imieniu, musisz włączyć dla nich protokoły DMARC, SPF, i/lub DKIM. Możesz to zrobić, kontaktując się z nimi i prosząc o implementację, lub wziąć sprawy w swoje ręce i ręcznie aktywować te protokoły. Aby to zrobić, musisz mieć dostęp do portalu konta hostowanego na każdej z tych platform (jako administrator).

Jeśli wiadomości Gmaila nie przechodzą pomyślnie przez protokół DMARC, przejdź do rekordu SPF swojej domeny i sprawdź, czy uwzględniono w nim _spf.google.com. Jeśli nie, może to być powodem, dla którego serwery odbiorcze nie rozpoznają Gmaila jako Twojego autoryzowanego źródła wysyłania. To samo dotyczy wiadomości wysyłanych za pomocą programów Mailchimp, Sendgrid i innych.

Jak usunąć awarię DMARC?

Aby usunąć awarię DMARC, zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie podróży raportowania i monitorowania DMARC.

#Krok 1: Przy braku polityki, możesz zacząć od monitorowania swojej domeny za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące wiadomości e-mail, to pomoże Ci odpowiedzieć na wszelkie niepożądane problemy z dostawą

#Krok 2: Po tym, pomożemy Ci przejść na wymuszoną politykę, która ostatecznie pomoże Ci w uzyskaniu odporności na ataki typu domain spoofing i phishing

#Krok 3: Usunięcie złośliwych adresów IP i zgłoszenie ich bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się, z pomocą naszego silnika Threat Intelligence

#Krok 4: Włącz raporty DMARC (RUF) Forensic, aby uzyskać szczegółowe informacje o przypadkach, w których Twoje e-maile nie spełniły wymogów DMARC, dzięki czemu możesz dotrzeć do źródła problemu i naprawić go szybciej

Jak radzić sobie z wiadomościami, które nie spełniają wymogów DMARC?

Zauważ, że wiadomość może nie przejść przez DMARC ze względu na zwykłe okoliczności, takie jak zagrożenie spoofingiem, nie przechodząc wyrównania dla a) tylko DKIM b) tylko SPF c) obu. Jeśli nie powiedzie się w obu przypadkach, Twoja wiadomość zostanie uznana za nieautoryzowaną. Możesz skonfigurować odpowiednią politykę DMARC, aby poinstruować odbiorców jak mają reagować na takie wiadomości.

Mamy nadzieję, że udało nam się rozwiązać problem, dlaczego DMARC nie działa dla Twojej domeny i podać rozwiązanie, jak łatwo rozwiązać ten problem. Aby zapobiec spoofingowi domen i monitorować przepływ emaili z PowerDMARC, już dziś!