dlaczego DMARC zawodzi

Uwierzytelnianie poczty elektronicznej jest kluczowym aspektem pracy dostawcy poczty elektronicznej. Uwierzytelnianie emaili znane również jako SPF i DKIM sprawdza tożsamość dostawcy emaili. DMARC dodaje do procesu weryfikacji emaili sprawdzając czy email został wysłany z legalnej domeny poprzez wyrównanie i określając serwerom odbiorczym jak reagować na wiadomości, które nie przejdą kontroli uwierzytelniania. Dzisiaj zamierzamy omówić różne scenariusze, które odpowiedzą na pytanie dlaczego DMARC zawodzi.

DMARC jest kluczowym elementem polityki uwierzytelniania poczty elektronicznej, który pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość zakończyła się sukcesem, czy nie. Zrozumienie dlaczego wiadomość się nie powiodła jest równie ważne jak to czy się powiodła. Poniższy artykuł wyjaśnia powody, dla których wiadomości nie przechodzą kontroli uwierzytelniania DMARC. Są to najczęstsze powody (niektóre z nich można łatwo naprawić), dla których wiadomości mogą nie przejść kontroli uwierzytelniania DMARC.

Najczęstsze powody, dla których wiadomości mogą nie przejść przez DMARC

Zidentyfikowanie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów, czynników, które przyczyniają się do nich, tak abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.

Błędy w dostosowaniu DMARC

DMARC wykorzystuje wyrównanie domen w celu uwierzytelnienia Twoich emaili. Oznacza to, że DMARC weryfikuje czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli którakolwiek z nich pasuje, email przechodzi DMARC, w przeciwnym razie DMARC nie przejdzie.

Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.

DMARC Alignment Mode 

Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:

  • Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From jest po prostu zgodna organizacyjnie, nawet wtedy SPF przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w nagłówku Return-path i domena w nagłówku From są dokładnie zgodne, tylko wtedy SPF przejdzie.

Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:

  • Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.

Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.  

Nie skonfigurowanie sygnatury DKIM 

Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do Twoich wychodzących emaili, który nie jest zgodny z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla Twojej wiadomości (jeśli Twoje wiadomości są wyrównane zarówno względem SPF jak i DKIM).

Nie dodajesz źródeł wysyłania do swojego DNS 

Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców emaili, którzy są upoważnieni do wysyłania emaili w imieniu twojej domeny, znajdują się w twoim DNS.

W przypadku przekazywania wiadomości e-mail

Podczas przekazywania email i email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Podczas przekazywania emaili sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie zgadza się z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest zawarty w rekordzie SPF serwera oryginalnego. Z drugiej strony, przekazywanie wiadomości e-mail zazwyczaj nie ma wpływu na uwierzytelnianie poczty elektronicznej DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.

Twoja domena jest sfałszowana

Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, to najbardziej prawdopodobnym powodem, dla którego Twoje e-maile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.

Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.

Zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie swojej podróży z raportowaniem i monitorowaniem DMARC.

  • Dzięki braku polityki możesz monitorować swoją domenę za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące e-maile, co pomoże Ci reagować na wszelkie niepożądane problemy z dostawą.
  • Następnie pomożemy Ci przejść na politykę egzekwowania, która ostatecznie pomoże Ci uzyskać odporność na ataki typu domain spoofing i phishing.
  • Dzięki naszemu mechanizmowi Threat Intelligence można zdjąć złośliwe adresy IP i zgłosić je bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się.
  • Raporty PowerDMARC DMARC (RUF) Forensic pomagają uzyskać szczegółowe informacje o przypadkach, w których wiadomości e-mail nie spełniają wymogów DMARC, dzięki czemu można dotrzeć do źródła problemu i go rozwiązać.

Zapobiegaj spoofingowi domen i monitoruj przepływ e-maili z PowerDMARC, już dziś!