Ważne ostrzeżenie: Google i Yahoo będą wymagać DMARC od kwietnia 2024 r.
PowerDMARC

Czym jest ocena DMARC?

Ocena DMARC

Ocena DMARC

Czas czytania: 4 min

Bezpieczeństwo poczty elektronicznej zawsze było wyzwaniem. Nie wystarczy po prostu zaszyfrować wiadomości, aby uniemożliwić hakerom i spamerom ich wykorzystanie. W tym miejscu pojawia się koncepcja oceny DMARC. DMARC wykorzystuje DNS do określenia sposobu traktowania wiadomości e-mail, które nie przeszły uwierzytelnienia SPF, DKIMlub obu.

Ten blog omówi, czym jest DMARC, dlaczego go potrzebujesz i jak rozwiązać błąd 521 5.2.1 failed DMARC evaluation.

Co to jest DMARC?

DMARC to skrót od Domain-based Message Authentication, Reporting & Conformance, protokołu uwierzytelniania poczty elektronicznej, który jest zbudowany na protokołach SPF i DKIM. Wiadomości są wysyłane z autoryzowanych serwerów do rekordu SPF i/lub podpisu DKIM domeny zgodnej z DMARC. Jeśli któraś z kontroli zakończy się sukcesem, wiadomość zostaje dostarczona. Jednakże, wiadomość zwraca niedostarczoną, jeśli nie przejdzie obu, ponieważ nie spełniła wymagań SPF lub DKIM.

Od 2021 roku liczba obserwowanych w użyciu ważnych polityk DMARC wzrosła aż o 84%, do łącznie prawie 5 milionów unikalnych rekordów, w porównaniu z rokiem 2020.

Co to jest SPF

SPF to skrót od Senders Policy Framework, protokołu uwierzytelniania wiadomości e-mail, który wykrywa i zapewnia bezpieczeństwo spoofingu poczty elektronicznej. Pozwala on na stworzenie rekordu DNS TXT, w którym zapisane są wszystkie adresy IP, które mogą wysyłać wiadomości e-mail przy użyciu Twojej domeny. SPF pomaga dostawcom usług internetowych lub serwerom pocztowym zatwierdzać wiadomości z konkretnej domeny.

Co to jest DKIM?

DKIM to skrót od Domainkeys Identified Mail, protokołu, który pozwala na cyfrowe podpisanie wiadomości e-mail. Odbywa się to za pomocą unikalnego identyfikatora wykorzystującego kryptografię klucza publicznego, a nie adresu IP. Tak więc, serwer odbiorczy zawsze porównuje prywatne i publiczne hashe, aby sprawdzić, czy pasują.

Jeśli się zgadzają, wiadomość jest zatwierdzana; w przeciwnym razie jest oznaczana jako spam.

Jak DMARC zależy od SPF i DKIM?

DMARC zależy od obu protokołów uwierzytelniania poczty elektronicznej SPF i DKIM. Pozwala opisać, jak serwery odbiorców powinny zarządzać nieautoryzowanymi e-mailami pochodzącymi z Twojej domeny. DMARC definiuje kolejny rekord DNS w którym przechowywany jest klucz publiczny dla domeny wysyłającej. Rekordy te pozwalają otrzymującemu serwerowi poczty elektronicznej na wykonanie następujących czynności:

Chociaż administratorzy systemów pocztowych starają się być ostrożni w stosunku do nieuwierzytelnionej poczty, DMARC pomaga im zdecydować, jak mogą być one traktowane. Działa to poprzez ustawienie jednej z trzech polityk; none, reject lub quarantine. 

Należy jednak przeszkolić swój zespół w zakresie zapobiegania atakom phishingowym i ataków BEC aby ograniczyć ryzyko.

Jak DMARC ogranicza moje wiadomości

Oto kilka wiadomości, które możesz zobaczyć przy nieudanej ocenie DMARC.

"521 5.2.1 Ocena DMARC nie powiodła się: Ta wiadomość nie przeszła pomyślnie oceny DMARC i została odrzucona z powodu podanych zasad DMARC."

"550 5.7.1- Nieautentyczna poczta z domeny.tld nie jest akceptowana ze względu na politykę DMARC domeny. Prosimy o kontakt z administratorem domeny domain.tld, jeśli była to legalna poczta. Proszę odwiedzić stronę https://support.google.com/mail/answer/2451690, aby dowiedzieć się o inicjatywie DMARC. 62si14044909itw.103 - gsmtp"

Widzisz te wiadomości z powodu błędów DMARC. Dzieje się tak zazwyczaj, gdy dostawcy skrzynek pocztowych nie akceptują wiadomości, w których domena From jest jednym z ich adresów, a wiadomość jest wysyłana z nieautoryzowanego dostawcy usług domeny pocztowej. 

Dlatego konta Twilio SendGrid nie mogą wysyłać wiadomości z użyciem adresu From z Gmaila, AOL lub Yahoo do żadnej domeny, która wcześniej zweryfikuje DMARC. Te komplikacje sprawiają, że krytycznym jest wiedzieć, co to jest ewaluacja DMARC i jak rozwiązać nieudaną ewaluację. 

Jeśli nadal chcesz wysyłać wiadomości e-mail, będziesz musiał zmienić swój adres e-mail na inny, niezabezpieczony adres e-mail. Najlepiej użyć własnej domeny e-mail, ponieważ jest ona legalna. Możesz również użyć domeny e-mail sprzedawcy, która jest zgodna z prawem. Następnie możesz ustawić pole Reply-To jako oryginalny adres, który był wcześniej ustawiony jako adres From.  

Należy zauważyć, że wiadomości e-mail, które nie przeszły oceny DMARC mogą być odrzucone i oznaczone jako Blocked. Jeśli chcesz wysłać go bez niepowodzenia, dostosuj swój adres Od jak podano powyżej, a następnie spróbuj ponownie wysłać ze swojego końca.

Błąd składni

Ucząc się, czym jest ewaluacja DMARC, warto również poznać błędy składni w rekordach DNS. Typowe błędy SMTP zaczynają się od kodu 554 oznaczającego niepowodzenie transakcji. Jest to błąd trwały, a serwer nie wysyła ponownie wiadomości.

Odpowiedź ze zdalnego serwera brzmiała: 

554 5.7.5 Stały błąd oceny polityki DMARC

Ta wiadomość nie przeszła oceny DMARC i jest odrzucana ze względu na podane zasady DMARC. 

Nieautoryzowany email z example.com nie jest akceptowany ze względu na politykę dmarc domeny

Jak rozwiązać 521 5.2.1 Failed Dmarc Evaluation Error?

Jakie kroki można podjąć, aby rozwiązać problemthis message has failed DMARC evaluation błąd?

Aby użyć DMARC, musisz wyrównać SPF i niestandardowy podpis DKIM. Następnie musisz upewnić się, że wszystkie serwery poczty elektronicznej, które używają twojej domeny, są zaktualizowane. Obejmuje to również te, których Twoja firma używa lokalnie przed opublikowaniem polityki DMARC. Musisz zaktualizować politykę, jeśli otrzymasz wiadomość bounce określającą wiadomość, która nie przeszła oceny DMARC z powodu braku wyrównania SPF lub DKIM. 

Możesz skonsultować się z naszym zespołem ekspertów DMARC, aby uzyskać odpowiednie wskazówki i konfigurację.

Wyjdź z wersji mobilnej