Bezpieczeństwo poczty elektronicznej zawsze było wyzwaniem. Nie wystarczy po prostu zaszyfrować wiadomości, aby uniemożliwić hakerom i spamerom ich wykorzystanie. W tym miejscu pojawia się koncepcja oceny DMARC. DMARC wykorzystuje DNS do określenia sposobu traktowania wiadomości e-mail, które nie przeszły uwierzytelnienia SPF, DKIMlub obu.
Ten blog omówi, czym jest DMARC, dlaczego go potrzebujesz i jak rozwiązać błąd 521 5.2.1 failed DMARC evaluation.
Co to jest DMARC?
DMARC DMARC to skrót od Domain-based Message Authentication, Reporting & Conformance, protokołu uwierzytelniania wiadomości e-mail opartego na protokołach SPF i DKIM. Wiadomości są wysyłane z autoryzowanych serwerów do rekordu SPF i/lub podpisu DKIM domeny zgodnej z DMARC. Jeśli którakolwiek z kontroli zakończy się powodzeniem, wiadomość jest dostarczana. Jednakże, wiadomość powraca niedostarczona, jeśli nie przejdzie obu testów, ponieważ nie spełnia wymagań SPF lub DKIM.
Od 2021 roku liczba obserwowanych w użyciu ważnych polityk DMARC wzrosła aż o 84%, do łącznie prawie 5 milionów unikalnych rekordów, w porównaniu z rokiem 2020.
Co to jest SPF
SPF to skrót od Senders Policy Framework, protokołu uwierzytelniania wiadomości e-mail, który wykrywa i zapewnia bezpieczeństwo spoofingu poczty elektronicznej. Pozwala on na stworzenie rekordu DNS TXT, w którym zapisane są wszystkie adresy IP, które mogą wysyłać wiadomości e-mail przy użyciu Twojej domeny. SPF pomaga dostawcom usług internetowych lub serwerom pocztowym zatwierdzać wiadomości z konkretnej domeny.
Co to jest DKIM?
DKIM to skrót od Domainkeys Identified Mail, protokołu, który pozwala na cyfrowe podpisanie wiadomości e-mail. Odbywa się to za pomocą unikalnego identyfikatora wykorzystującego kryptografię klucza publicznego, a nie adresu IP. Tak więc, serwer odbiorczy zawsze porównuje prywatne i publiczne hashe, aby sprawdzić, czy pasują.
Jeśli się zgadzają, wiadomość jest zatwierdzana; w przeciwnym razie jest oznaczana jako spam.
Jak DMARC zależy od SPF i DKIM?
DMARC zależy od obu protokołów uwierzytelniania poczty elektronicznej SPF i DKIM. Pozwala opisać, jak serwery odbiorców powinny zarządzać nieautoryzowanymi e-mailami pochodzącymi z Twojej domeny. DMARC definiuje kolejny rekord DNS w którym przechowywany jest klucz publiczny dla domeny wysyłającej. Rekordy te pozwalają otrzymującemu serwerowi poczty elektronicznej na wykonanie następujących czynności:
- Weryfikacja uwierzytelnienia nadawcy w celu wysłania wiadomości e-mail z domeny źródłowej przy użyciu SPF.
- Uwierzytelniaj e-maile poprzez weryfikację przy użyciu podpisu cyfrowego ustawionego przez ustanowienie DKIM.
- Zdecyduj, jak nieuwierzytelnione e-maile powinny być traktowane przez serwer pocztowy odbiorcy.
Chociaż administratorzy systemów pocztowych starają się być ostrożni w stosunku do nieuwierzytelnionej poczty, DMARC pomaga im zdecydować, jak mogą być one traktowane. Działa to poprzez ustawienie jednej z trzech polityk; none, reject lub quarantine.
Należy jednak przeszkolić swój zespół w zakresie zapobiegania atakom phishingowym i ataków BEC aby ograniczyć ryzyko.
Jak DMARC ogranicza moje wiadomości
Oto kilka wiadomości, które możesz zobaczyć przy nieudanej ocenie DMARC.
"521 5.2.1 Ocena DMARC nie powiodła się: Ta wiadomość nie przeszła pomyślnie oceny DMARC i została odrzucona z powodu podanych zasad DMARC."
"550 5.7.1- Nieautentyczna poczta z domeny.tld nie jest akceptowana ze względu na politykę DMARC domeny. Prosimy o kontakt z administratorem domeny domain.tld, jeśli była to legalna poczta. Proszę odwiedzić stronę https://support.google.com/mail/answer/2451690, aby dowiedzieć się o inicjatywie DMARC. 62si14044909itw.103 - gsmtp"
Widzisz te wiadomości z powodu błędów DMARC. Dzieje się tak zazwyczaj, gdy dostawcy skrzynek pocztowych nie akceptują wiadomości, w których domena From jest jednym z ich adresów, a wiadomość jest wysyłana z nieautoryzowanego dostawcy usług domeny pocztowej.
Dlatego konta Twilio SendGrid nie mogą wysyłać wiadomości z użyciem adresu From z Gmaila, AOL lub Yahoo do żadnej domeny, która wcześniej zweryfikuje DMARC. Te komplikacje sprawiają, że krytycznym jest wiedzieć, co to jest ewaluacja DMARC i jak rozwiązać nieudaną ewaluację.
Jeśli nadal chcesz wysyłać wiadomości e-mail, będziesz musiał zmienić swój adres e-mail na inny, niezabezpieczony adres e-mail. Najlepiej użyć własnej domeny e-mail, ponieważ jest ona legalna. Możesz również użyć domeny e-mail sprzedawcy, która jest zgodna z prawem. Następnie możesz ustawić pole Reply-To jako oryginalny adres, który był wcześniej ustawiony jako adres From.
Należy zauważyć, że wiadomości e-mail, które nie przeszły oceny DMARC mogą być odrzucone i oznaczone jako Blocked. Jeśli chcesz wysłać go bez niepowodzenia, dostosuj swój adres Od jak podano powyżej, a następnie spróbuj ponownie wysłać ze swojego końca.
Błąd składni
Ucząc się, czym jest ewaluacja DMARC, warto również poznać błędy składni w rekordach DNS. Typowe błędy SMTP zaczynają się od kodu 554 oznaczającego niepowodzenie transakcji. Jest to błąd trwały, a serwer nie wysyła ponownie wiadomości.
- Stały błąd 554 5.7.5 oceniający politykę dmarc (Protonmail) brzmi następująco;
Odpowiedź ze zdalnego serwera brzmiała:
554 5.7.5 Stały błąd oceny polityki DMARC
- A 521 5.2.1 błąd oceniający politykę dmarc brzmi tak:
Ta wiadomość nie przeszła oceny DMARC i jest odrzucana ze względu na podane zasady DMARC.
- Błąd 550 5.7.1 oceniający politykę dmarc brzmi tak:
Nieautoryzowany email z example.com nie jest akceptowany ze względu na politykę dmarc domeny
Jak rozwiązać 521 5.2.1 Failed Dmarc Evaluation Error?
Jakie kroki można podjąć, aby rozwiązać problemthis message has failed DMARC evaluation błąd?
Aby użyć DMARC, musisz wyrównać SPF i niestandardowy podpis DKIM. Następnie musisz upewnić się, że wszystkie serwery poczty elektronicznej, które używają twojej domeny, są zaktualizowane. Obejmuje to również te, których Twoja firma używa lokalnie przed opublikowaniem polityki DMARC. Musisz zaktualizować politykę, jeśli otrzymasz wiadomość bounce określającą wiadomość, która nie przeszła oceny DMARC z powodu braku wyrównania SPF lub DKIM.
Możesz skonsultować się z naszym zespołem ekspertów DMARC, aby uzyskać odpowiednie wskazówki i konfigurację.
- Jak długo trwa propagacja rekordów SPF i DMARC? - 12 lutego 2025 r.
- Jak zautomatyzowane narzędzia Pentest rewolucjonizują pocztę e-mail i cyberbezpieczeństwo - 3 lutego 2025 r.
- Studium przypadku MSP: Hubelia upraszcza zarządzanie bezpieczeństwem domeny klienta dzięki PowerDMARC - 31 stycznia 2025 r.