DMARC fail dla twoich wiadomości jest powodem do niepokoju, jeśli jesteś organizacją mocno polegającą na e-mailach zarówno w komunikacji zewnętrznej jak i wewnętrznej. Istnieją metody, jak również narzędzia, których możesz użyć online (za darmo), aby zatrzymać DMARC fail dla twoich wiadomości.
W tym artykule dokładnie obalimy 6 głównych powodów niepowodzenia DMARC i jak można je złagodzić, aby poprawić dostarczalność.
Zanim przejdziemy do tego, dlaczego DMARC zawodzi, zobaczmy, co to jest i jak może pomóc:
DMARC to kluczowe działanie w polityce uwierzytelniania poczty elektronicznej, które pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość została pomyślnie odebrana, czy nie. Zrozumienie, dlaczego wiadomość się nie powiodła, jest równie ważne jak wiedza o tym, czy się powiodła.
Najczęstsze powody, dla których DMARC może zawieść
Ustalenie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów i czynników, które przyczyniają się do nich, abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.
Błędy w dostosowaniu DMARC
DMARC wykorzystuje dopasowanie domen do uwierzytelniania twoich e-maili. Oznacza to, że DMARC sprawdza czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli któraś z nich pasuje, wiadomość przechodzi przez DMARC, w przeciwnym razie DMARC nie przechodzi.
Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.
DMARC Alignment Mode
Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:
- Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From są po prostu dopasowane organizacyjnie, nawet wtedy SPF przejdzie.
- Strict: Oznacza to, że tylko jeśli domena w nagłówku Return-path i domena w nagłówku From są dokładnym dopasowaniem, tylko wtedy SPF przejdzie.
Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:
- Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
- Strict: Oznacza to, że tylko jeśli domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.
Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.
Nie skonfigurowanie sygnatury DKIM
Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do wychodzących emaili, które nie są zgodne z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla twojej wiadomości (jeśli twoje wiadomości są wyrównane zarówno z SPF jak i DKIM).
Nie dodajesz źródeł wysyłania do swojego DNS
Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że Twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców poczty elektronicznej, którzy są upoważnieni do wysyłania emaili w imieniu Twojej domeny, znajdują się w DNS.
W przypadku przekazywania wiadomości e-mail
Podczas przekazywania wiadomości e-mail, wiadomość przechodzi przez serwer pośredniczący, zanim zostanie ostatecznie dostarczona do serwera odbierającego. Podczas przesyłania dalej, sprawdzanie SPF nie powiedzie się, ponieważ adres IP serwera pośredniczącego nie pasuje do adresu IP serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniony w rekordzie SPF serwera oryginalnego. Wręcz przeciwnie, przekazywanie emaili zazwyczaj nie ma wpływu na uwierzytelnianie emaili DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.
Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.
Twoja domena jest sfałszowana
Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, wtedy najbardziej prawdopodobnym powodem, dla którego Twoje emaile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.
Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.
Dlaczego DMARC nie działa w przypadku zewnętrznych dostawców skrzynek pocztowych? (Gmail, Mailchimp, Sendgrid itp.)
Jeśli korzystasz z zewnętrznych dostawców skrzynek pocztowych do wysyłania e-maili w Twoim imieniu, musisz włączyć dla nich protokoły DMARC, SPF, i/lub DKIM. Możesz to zrobić, kontaktując się z nimi i prosząc o implementację, lub wziąć sprawy w swoje ręce i ręcznie aktywować te protokoły. Aby to zrobić, musisz mieć dostęp do portalu konta hostowanego na każdej z tych platform (jako administrator).
Jeśli wiadomości Gmaila nie przechodzą pomyślnie przez protokół DMARC, przejdź do rekordu SPF swojej domeny i sprawdź, czy uwzględniono w nim _spf.google.com. Jeśli nie, może to być powodem, dla którego serwery odbiorcze nie rozpoznają Gmaila jako Twojego autoryzowanego źródła wysyłania. To samo dotyczy wiadomości wysyłanych za pomocą programów Mailchimp, Sendgrid i innych.
Jak usunąć awarię DMARC?
Aby usunąć awarię DMARC, zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie podróży raportowania i monitorowania DMARC.
#Krok 1: Przy braku polityki, możesz zacząć od monitorowania swojej domeny za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące wiadomości e-mail, to pomoże Ci odpowiedzieć na wszelkie niepożądane problemy z dostawą
#Krok 2: Po tym, pomożemy Ci przejść na wymuszoną politykę, która ostatecznie pomoże Ci w uzyskaniu odporności na ataki typu domain spoofing i phishing
#Krok 3: Usunięcie złośliwych adresów IP i zgłoszenie ich bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się, z pomocą naszego silnika Threat Intelligence
#Krok 4: Włącz raporty DMARC (RUF) Forensic, aby uzyskać szczegółowe informacje o przypadkach, w których Twoje e-maile nie spełniły wymogów DMARC, dzięki czemu możesz dotrzeć do źródła problemu i naprawić go szybciej
Jak radzić sobie z wiadomościami, które nie spełniają wymogów DMARC?
Zauważ, że wiadomość może nie przejść przez DMARC ze względu na zwykłe okoliczności, takie jak zagrożenie spoofingiem, nie przechodząc wyrównania dla a) tylko DKIM b) tylko SPF c) obu. Jeśli nie powiedzie się w obu przypadkach, Twoja wiadomość zostanie uznana za nieautoryzowaną. Możesz skonfigurować odpowiednią politykę DMARC, aby poinstruować odbiorców jak mają reagować na takie wiadomości.
Mamy nadzieję, że udało nam się rozwiązać problem, dlaczego DMARC nie działa dla Twojej domeny i podać rozwiązanie, jak łatwo rozwiązać ten problem. Aby zapobiec spoofingowi domen i monitorować przepływ emaili z PowerDMARC, już dziś!