Сообщения

Наличие нескольких DMARC-записей на вашем домене - это полный отказ, и вот почему! Мы знаем, что внедрение протоколов аутентификации электронной почты, таких как DMARC, необходимо для репутации организации и безопасности данных, и для этого владельцы доменов должны опубликовать TXT-запись в своем DNS. Но в сообществе часто возникает вопрос: "Могу ли я иметь несколько записей DMARC на своем домене?". Ответ - нет. Несколько записей DMARC на одном домене могут сделать вашу запись недействительной и, следовательно, политика DMARC аутентификации, установленная для вашего домена, не будет работать.

Как DMARC-запись обрабатывается MTA?

Запись DMARC, опубликованная в DNS вашего домена, выглядит примерно так:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Поэтому, когда домен, для которого настроен DMARC, отправляет электронное письмо, MTA, принимающий почту, получает все TXT-записи, начинающиеся с v=DMARC1. MTA запрашивает DNS отправляющего домена и может столкнуться со следующими сценариями:

  1. Он находит единственную действительную запись DMARC в DNS домена-источника и обрабатывает электронное письмо в соответствии со спецификациями политики DMARC.
  2. Он не находит записи DMARC для домена отправителя и обработка DMARC автоматически прекращается, письмо доставляется без проверки источника
  3. Он находит несколько записей DMARC на одном домене, и в этом случае обработка DMARC также прекращается, а применяемая политика не выполняется

Множественные записи DMARC: Как это исправить?

Когда вы настраиваете DMARC для своего домена и устанавливаете политику, вы хотите, чтобы MTA отвечали на ваши электронные письма в соответствии с вашими намерениями. Именно так DMARC может защитить ваш домен от самозванства и подделки. Чтобы помочь настроенному протоколу функционировать эффективно, мы рекомендуем выполнить следующие шаги:

  • Убедитесь, что вы не опубликовали несколько записей DMARC для вашего домена
  • Убедитесь, что ваша запись DMARC не содержит синтаксических ошибок
  • Вместо того чтобы генерировать DMARC-запись вручную, используйте надежные инструменты, такие как нашбесплатный генератор DMARC-записей, который сделает эту работу за вас
  • Включите отчеты DMARC для вашего домена, чтобы время от времени отслеживать поток электронной почты и результаты аутентификации, чтобы вы могли отслеживать проблемы с доставкой и принимать меры против вредоносных источников отправки.
  • Убедитесь, что вы не превышаете лимит поиска SPF 10, чтобы избежать пермеррора.

Альтернативой нескольким шагам, которые вы можете предпринять, чтобы правильно реализовать DMARC для вашего домена и избежать многочисленных DMARC-записей, может стать простая регистрация в нашем DMARC-анализаторе.

PowerDMARC обрабатывает большинство сложных задач в фоновом режиме, чтобы автоматизировать процесс аутентификации электронной почты и помочь вам смягчить любые ошибки конфигурации, которые могут вызвать проблемы с доставкой электронной почты.

В этой статье мы тщательно разберем 6 основных причин отказа DMARC и способы их устранения для повышения эффективности доставки. Сбой DMARC для ваших сообщений - это повод для беспокойства, если вы являетесь организацией, сильно зависящей от электронной почты как для внешних, так и для внутренних коммуникаций. Существуют методы и инструменты, которые вы можете использовать онлайн (бесплатно) для предотвращения сбоев DMARC для ваших писем.

Прежде чем мы перейдем к вопросу о том, почему DMARC не работает, давайте посмотрим, что это такое и как это вам поможет:

DMARC - это ключевое мероприятие в вашей политике аутентификации электронной почты, помогающее предотвратить прохождение поддельных "поддельных" писем через транзакционные спам-фильтры. Но это лишь одна из составляющих общей программы борьбы со спамом, и не все отчеты DMARC одинаковы. Некоторые из них расскажут вам о точных действиях получателей почты в отношении каждого сообщения, а другие - только о том, было ли сообщение успешным или нет. Понять, почему сообщение не прошло, не менее важно, чем узнать, прошло ли оно.

Общие причины, которые могут привести к сбою DMARC

Определить, почему DMARC терпит неудачу, может быть сложно. Однако я рассмотрю некоторые типичные причины, факторы, способствующие их возникновению, чтобы вы, как владелец домена, могли работать над более быстрым устранением проблемы.

Неисправности выравнивания DMARC

DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, указанный в адресе From (в видимом заголовке), подлинным, сравнивая его с доменом, указанным в скрытом заголовке Return-path (для SPF) и заголовке подписи DKIM (для DKIM). Если оба домена совпадают, электронная почта проходит DMARC, в противном случае DMARC не проходит.

Следовательно, если ваша электронная почта не работает по DMARC, это может быть случаем несовпадения домена. То есть ни SPF, ни DKIM идентификаторы не выравниваются, и электронная почта, похоже, отправляется из неавторизованного источника. Однако, это лишь одна из причин, по которой DMARC терпит неудачу.

Режим выравнивания DMARC 

Ваш режим выравнивания протоколов также играет огромную роль в передаче или отказе DMARC сообщений. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:

  • Расслабленный: Это означает, что если домен в заголовке Return-path и домен в заголовке From просто организационное совпадение, то даже в этом случае SPF пройдет.
  • Строго: Это означает, что только если домен в заголовке Return-path и домен в заголовке From точно совпадают, то только тогда SPF пройдет.

Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:

  • Расслабленный: Это означает, что если домен в подписи DKIM и домен в заголовке From просто организационно совпадают, то и в этом случае DKIM пройдет.
  • Строго: Это означает, что только если домен в подписи DKIM и домен в заголовке From точно совпадают, то только тогда DKIM пройдет.

Обратите внимание, что для того, чтобы электронная почта прошла проверку подлинности DMARC, необходимо соответствие либо SPF, либо DKIM.  

Не Настройка подписи DKIM 

Очень распространенный случай, когда DMARC может не сработать, заключается в том, что вы не указали DKIM-подпись для своего домена. В таких случаях поставщик услуг обмена электронной почтой назначает подпись DKIM по умолчанию для ваших исходящих писем, которые не соответствуют домену в заголовке From. Принимающий MTA не может согласовать два домена, и, следовательно, DKIM и DMARC не работают для вашего сообщения (если ваши сообщения согласованы с SPF и DKIM).

Не добавлять источники отправки в DNS 

Важно отметить, что при настройке DMARC для вашего домена принимающие MTA выполняют DNS-запросы для авторизации ваших источников отправки. Это означает, что если в DNS вашего домена не указаны все ваши авторизованные источники отправки, ваши письма не пройдут DMARC для тех источников, которые не указаны в списке, поскольку получатель не сможет найти их в вашем DNS. Следовательно, чтобы гарантировать, что ваши законные электронные письма всегда доставляются, убедитесь, что вы внесли в DNS записи обо всех ваших авторизованных сторонних поставщиках электронной почты, которые имеют право отправлять электронные письма от имени вашего домена.

В случае пересылки электронной почты

При пересылке электронной почты письмо проходит через сервер-посредник, прежде чем попасть на сервер-получатель. При пересылке электронной почты проверка SPF не проходит, поскольку IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на аутентификацию электронной почты DKIM, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Как мы знаем, SPF неизбежно терпит неудачу во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемая электронная почта будет признана нелегитимной во время DMARC аутентификации. Чтобы решить эту проблему, вы должны немедленно выбрать полное соответствие DMARC в вашей организации путем выравнивания и аутентификации всех исходящих сообщений против SPF и DKIM, так как для того, чтобы электронная почта прошла DMARC аутентификацию, электронная почта должна будет пройти либо SPF, либо DKIM аутентификацию и выравнивание.

Твой дом подделывают...

Если протоколы DMARC, SPF и DKIM правильно настроены для вашего домена, политики соблюдены и записи об отсутствии ошибок действительны, а проблема не связана ни с одним из вышеупомянутых случаев, то наиболее вероятной причиной того, что ваши электронные письма не проходят DMARC, является подмена или подделка вашего домена. Это происходит, когда самозваные агенты и субъекты угроз пытаются отправить электронную почту, которая кажется исходящей от вашего домена, используя вредоносный IP-адрес.

Недавняя статистика мошенничества с электронной почтой показала, что случаи подделки электронной почты в последнее время участились и представляют собой очень большую угрозу для репутации вашей организации. В таких случаях, если DMARC реализован в политике отказа, он не сработает, и поддельное письмо не будет доставлено в почтовый ящик получателя. Таким образом, подмена домена может быть ответом на вопрос, почему DMARC не работает в большинстве случаев.

Почему DMARC не работает для сторонних провайдеров почтовых ящиков? (Gmail, Mailchimp, Sendgrid и т. д.)

Если вы используете внешних поставщиков почтовых ящиков для отправки электронной почты от вашего имени, вам необходимо включить для них DMARC, SPF и/или DKIM. Вы можете сделать это, связавшись с ними и попросив их выполнить эту процедуру за вас, либо взять дело в свои руки и вручную активировать протоколы. Для этого вам необходимо иметь доступ к порталу вашей учетной записи на каждой из этих платформ (в качестве администратора).

Если ваши сообщения Gmail не проходят DMARC, перейдите к SPF-записи вашего домена и проверьте, включили ли вы в нее _spf.google.com. Если нет, это может быть причиной того, что принимающие серверы не могут идентифицировать Gmail как ваш авторизованный источник отправки. То же самое касается писем, отправленных с Mailchimp, Sendgrid и других.

Как исправить ошибку DMARC?

Для устранения сбоев DMARC мы рекомендуем вам подписаться на наш бесплатный DMARC Analyzer и начать свое путешествие по отчетности и мониторингу DMARC.

#Шаг 1: При отсутствии политики вы можете начать с мониторинга вашего домена с помощью агрегированных отчетов DMARC (RUA) и внимательно следить за входящей и исходящей электронной почтой, это поможет вам реагировать на любые нежелательные проблемы с доставкой.

#Этап 2: После этого мы поможем вам перейти к политике принудительного применения, которая в конечном итоге поможет вам получить иммунитет против подмены домена и фишинговых атак.

#Шаг 3: Отлавливайте вредоносные IP-адреса и сообщайте о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак на выдачу себя за другого, с помощью нашего механизма Threat Intelligence.

#Шаг 4: Включить DMARC (RUF) Криминалистические отчеты для получения подробной информации о случаях, когда ваша электронная почта не прошла DMARC, чтобы вы могли быстрее добраться до корня проблемы и устранить ее.

Надеюсь, мы смогли решить вопрос о том, почему DMARC не работает для вашего домена, и предоставить решение о том, как легко устранить проблему. Чтобы предотвратить подмену домена и контролировать поток электронной почты с помощью PowerDMARC, уже сегодня!