Безопасность электронной почты всегда была сложной задачей. Недостаточно просто зашифровать сообщения, чтобы хакеры и спамеры не смогли воспользоваться ими. Именно здесь вступает в игру концепция оценки DMARC. DMARC использует DNS для определения того, как относиться к электронным письмам, которые не прошли проверку подлинности SPF, DKIMили и то, и другое.

В этом блоге мы обсудим, что такое DMARC, зачем он нужен и как устранить ошибку 521 5.2.1 failed DMARC evaluation.

Что такое ДМАРК?

DMARC сокращение от Domain-based Message Authentication, Reporting & Conformance, протокол аутентификации электронной почты, построенный на протоколах SPF и DKIM. Сообщения отправляются с авторизованных серверов на SPF-запись DMARC-совместимого домена и/или DKIM-подпись. При успешной проверке сообщение доставляется. Однако если сообщение не прошло обе проверки, оно возвращается недоставленным, так как не соответствует требованиям SPF или DKIM.

По состоянию на 2021 год, количество действующих политик DMARC, наблюдаемых в использовании, увеличилось на 84%, до почти 5 миллионов уникальных записей, по сравнению с 2020 годом.

Что такое SPF

SPF - это сокращение от Senders Policy Framework, протокола аутентификации электронной почты, который обнаруживает и обеспечивает защиту от подделки электронной почты. Он позволяет создать запись DNS TXT, в которой перечислены все IP-адреса, которым разрешено отправлять электронную почту с использованием вашего домена. SPF помогает интернет-провайдерам или почтовым серверам проверять сообщения от определенного домена.

Что такое ДКИМ?

DKIM означает Domainkeys Identified Mail - протокол, позволяющий подписывать электронную почту цифровой подписью. Это делается с помощью уникального идентификатора, использующего криптографию с открытым ключом, а не IP-адрес. Таким образом, принимающий сервер всегда сравнивает приватный и публичный хэши, чтобы проверить, совпадают ли они.

Если они совпадают, сообщение подтверждается, в противном случае оно помечается как спам.

Как DMARC зависит от SPF и DKIM?

DMARC зависит от протоколов аутентификации электронной почты SPF и DKIM. Он позволяет вам описать, как серверы получателей должны управлять несанкционированными электронными письмами, приходящими из вашего домена. DMARC определяет еще одну запись DNS где хранится открытый ключ для домена-отправителя. Эти записи позволяют серверу получателя электронной почты делать следующее:

• Проверьте аутентификацию отправителя для отправки электронной почты из исходного домена с помощью SPF.
• Проверка подлинности электронных писем с помощью цифровой подписи, установленной путем создания DKIM.
• Решите, как почтовый сервер получателя должен относиться к неаутентифицированным письмам.

Хотя администраторы почтовых систем стараются с осторожностью относиться к неаутентифицированной почте, DMARC помогает им решить, как с ней обращаться. Это происходит путем установки одной из трех политик: "нет", "отклонить" или "карантин". 

Тем не менее, вы должны обучить свою команду тому, как предотвратить фишинг и BEC-атак чтобы снизить риск.

Как DMARC ограничивает мои сообщения

Вот некоторые сообщения, которые вы можете увидеть при неудачной оценке DMARC.

"521 5.2.1 не прошло оценку DMARC: Это сообщение не прошло оценку DMARC и отклоняется в соответствии с политикой DMARC."

"550 5.7.1- Неаутентифицированное письмо от домена domain.tld не принято из-за политики DMARC домена. Пожалуйста, свяжитесь с администратором домена domain.tld, если это было легитимное письмо. Посетите сайт https://support.google.com/mail/answer/2451690, чтобы узнать об инициативе DMARC. 62si14044909itw.103 - gsmtp"

Вы видите эти сообщения из-за ошибок DMARC. Обычно это происходит, когда поставщики почтовых ящиков не принимают сообщения, в которых домен From является одним из их адресов, а сообщение отправлено от неавторизованного поставщика услуг почтового домена. 

Именно поэтому учетные записи Twilio SendGrid не могут отправлять сообщения с использованием адреса From от Gmail, AOL или Yahoo на любой домен, который предварительно проверяет DMARC. Эти сложности делают крайне важным знать, что такое оценка DMARC и как решить проблему неудачной оценки. 

Если вы по-прежнему хотите отправлять электронные письма, вам придется изменить свой адрес электронной почты на другой незащищенный адрес электронной почты. Лучше всего использовать собственный домен электронной почты, поскольку он является законным. Вы также можете использовать легитимный почтовый домен поставщика. Затем вы можете установить в поле Reply-To исходный адрес, который ранее был установлен в качестве адреса From.  

Следует отметить, что электронные письма с неудачной оценкой DMARC могут быть отброшены и отслежены как Заблокировано. Если вы хотите отправить его без ошибок, скорректируйте адрес From, как указано выше, а затем попробуйте повторить отправку со своей стороны.

Ошибка синтаксиса

Изучая, что такое оценка DMARC, вы, возможно, также захотите узнать о синтаксических ошибках в записях DNS. Обычные ошибки SMTP начинаются с кода 554, указывающего на сбой транзакции. Это постоянная ошибка, и сервер не отправляет сообщение повторно.

• Постоянная ошибка 554 5.7.5 при оценке политики dmarc (Protonmail) выглядит следующим образом; 

Ответ от удаленного сервера был следующим: 

554 5.7.5 постоянная ошибка при оценке политики DMARC

• Ошибка 521 5.2.1 при оценке политики dmarc выглядит следующим образом:

Это сообщение не прошло проверку DMARC и отклоняется в соответствии с политикой DMARC 

• Ошибка 550 5.7.1 при оценке политики dmarc выглядит следующим образом:

Неаутентифицированная электронная почта с example.com не принимается из-за политики dmarc домена

Как устранить ошибку 521 5.2.1 Failed Dmarc Evaluation?

Какие шаги вы можете предпринять для решения проблемы 'это сообщение не прошло проверку DMARC ошибка?

Чтобы использовать DMARC, необходимо согласовать SPF и пользовательскую подпись DKIM. Далее вы должны убедиться, что все почтовые серверы, использующие ваш домен, обновлены. Сюда также входят те, которые ваша компания использует локально, прежде чем публиковать политику DMARC. Вам необходимо обновить политику, если вы получите сообщение об отказе, указывающее на сообщение, которое не прошло проверку DMARC из-за отсутствия согласования SPF или DKIM. 

Вы можете обратиться к нашей команде экспертов DMARC для получения надлежащего руководства и настройки.