Что такое оценка DMARC?
Время чтения: 5 мин
Безопасность электронной почты всегда была сложной задачей. Недостаточно просто зашифровать сообщения, чтобы хакеры и спамеры не смогли их использовать. Именно здесь в игру вступает концепция оценки DMARC. DMARC использует DNS для определения того, как обрабатывать электронные письма, не прошедшие проверку подлинности SPF, DKIMили и то, и другое.
В этом блоге мы обсудим, что такое DMARC, зачем он нужен и как устранить ошибку 521 5.2.1 failed DMARC evaluation.
Ключевые выводы
- DMARC - это протокол аутентификации электронной почты, построенный на основе SPF и DKIM для предотвращения поддельных писем.
- Применение политик DMARC значительно увеличилось, что свидетельствует о растущей осведомленности о безопасности электронной почты.
- Чтобы обеспечить правильную работу DMARC, все почтовые серверы, использующие ваш домен, должны быть обновлены и приведены в соответствие с настройками SPF и DKIM.
- Серверы-получатели решают, как обрабатывать неаутентифицированные сообщения электронной почты, основываясь на политике DMARC, установленной для домена.
- Распространенные ошибки оценки DMARC указывают на проблемы с выравниванием или аутентификацией, которые часто можно устранить, изменив настройки электронной почты.
Что такое ДМАРК?
DMARC сокращение от Domain-based Message Authentication, Reporting & Conformance - протокол аутентификации электронной почты, построенный на основе протоколов SPF и DKIM. Сообщения отправляются с авторизованных серверов на SPF-запись и/или DKIM-подпись DMARC-совместимого домена. При успешной проверке сообщение доставляется. Однако если сообщение не прошло обе проверки, оно возвращается недоставленным, так как не соответствует требованиям SPF или DKIM.
По состоянию на 2021 год, количество действующих политик DMARC, наблюдаемых в использовании, увеличилось на 84%, до почти 5 миллионов уникальных записей, по сравнению с 2020 годом.
Упростите DMARC с помощью PowerDMARC!
Что такое SPF
SPF - это сокращение от Senders Policy Framework, протокола аутентификации электронной почты, который обнаруживает и обеспечивает защиту от подделки электронной почты. Он позволяет создать TXT-запись DNS, в которой перечислены все IP-адреса, с которых разрешено отправлять электронную почту, используя ваш домен. SPF помогает интернет-провайдерам или почтовым серверам проверять сообщения с определенного домена.
Что такое ДКИМ?
DKIM означает Domainkeys Identified Mail - протокол, позволяющий подписывать электронную почту цифровой подписью. Это делается с помощью уникального идентификатора, использующего криптографию с открытым ключом, а не IP-адрес. Таким образом, принимающий сервер всегда сравнивает приватный и публичный хэши, чтобы проверить, совпадают ли они.
Если они совпадают, сообщение подтверждается, в противном случае оно помечается как спам.
Как DMARC зависит от SPF и DKIM?
DMARC зависит от протоколов аутентификации электронной почты SPF и DKIM. Он позволяет вам описать, как серверы получателей должны управлять несанкционированными электронными письмами, приходящими из вашего домена. DMARC определяет еще одну запись DNS где хранится открытый ключ для домена-отправителя. Эти записи позволяют серверу получателя электронной почты делать следующее:
- Проверьте аутентификацию отправителя для отправки электронной почты из исходного домена с помощью SPF.
- Проверка подлинности электронных писем с помощью цифровой подписи, установленной путем создания DKIM.
- Решите, как почтовый сервер получателя должен относиться к неаутентифицированным письмам.
Хотя администраторы почтовых систем стараются с осторожностью относиться к неаутентифицированной почте, DMARC помогает им решить, как с ней обращаться. Это происходит путем установки одной из трех политик: "нет", "отклонить" или "карантин".
Тем не менее, вы должны обучить свою команду тому, как предотвратить фишинг и BEC-атак чтобы снизить риск.
Как DMARC ограничивает мои сообщения
Вот некоторые сообщения, которые вы можете увидеть при неудачной оценке DMARC.
"521 5.2.1 не прошло оценку DMARC: Это сообщение не прошло оценку DMARC и отклоняется в соответствии с предоставленной политикой DMARC."
"550 5.7.1- Неаутентифицированное письмо от домена domain.tld не принято из-за политики DMARC домена. Пожалуйста, свяжитесь с администратором домена domain.tld, если это было легитимное письмо. Посетите сайт https://support.google.com/mail/answer/2451690, чтобы узнать об инициативе DMARC. 62si14044909itw.103 - gsmtp"
Вы видите эти сообщения из-за ошибок DMARC. Обычно это происходит, когда поставщики почтовых ящиков не принимают сообщения, в которых домен From является одним из их адресов, а сообщение отправлено от неавторизованного поставщика услуг почтового домена.
Именно поэтому учетные записи Twilio SendGrid не могут отправлять сообщения с использованием адреса From от Gmail, AOL или Yahoo на любой домен, который предварительно проверяет DMARC. Эти сложности делают крайне важным знать, что такое оценка DMARC и как решить проблему неудачной оценки.
Если вы по-прежнему хотите отправлять электронные письма, вам придется изменить свой адрес электронной почты на другой незащищенный адрес электронной почты. Лучше всего использовать собственный домен электронной почты, поскольку он является законным. Вы также можете использовать легитимный почтовый домен поставщика. Затем вы можете установить в поле Reply-To исходный адрес, который ранее был установлен в качестве адреса From.
Следует отметить, что электронные письма с неудачной оценкой DMARC могут быть отброшены и отслежены как Заблокировано. Если вы хотите отправить его без ошибок, скорректируйте адрес From, как указано выше, а затем попробуйте повторить отправку со своей стороны.
Ошибка синтаксиса
Изучая, что такое оценка DMARC, вы, возможно, также захотите узнать о синтаксических ошибках в записях DNS. Обычные ошибки SMTP начинаются с кода 554, указывающего на сбой транзакции. Это постоянная ошибка, и сервер не отправляет сообщение повторно.
- Постоянная ошибка 554 5.7.5 при оценке политики dmarc (Protonmail) выглядит следующим образом;
Ответ от удаленного сервера был следующим:
554 5.7.5 постоянная ошибка при оценке политики DMARC
- Ошибка 521 5.2.1 при оценке политики dmarc выглядит следующим образом:
Это сообщение не прошло проверку DMARC и отклоняется в соответствии с политикой DMARC
- Ошибка 550 5.7.1 при оценке политики dmarc выглядит следующим образом:
Неаутентифицированная электронная почта с example.com не принимается из-за политики dmarc домена
Как устранить ошибку 521 5.2.1 Failed Dmarc Evaluation?
Какие шаги вы можете предпринять для решения проблемы 'это сообщение не прошло проверку DMARC ошибка?
Чтобы использовать DMARC, необходимо согласовать SPF и пользовательскую подпись DKIM. Далее вы должны убедиться, что все почтовые серверы, использующие ваш домен, обновлены. Сюда также входят те, которые ваша компания использует локально, прежде чем публиковать политику DMARC. Вам необходимо обновить политику, если вы получите сообщение об отказе, указывающее на сообщение, которое не прошло проверку DMARC из-за отсутствия согласования SPF или DKIM.
Вы можете обратиться к нашей команде экспертов DMARC для получения надлежащего руководства и настройки.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Пример из практики DMARC MSP: ImpactQuill повышает безопасность и прозрачность электронной почты для клиентов с помощью PowerDMARC - 23 мая 2025 г.
- DMARC MSP Case Study: 1-MSP повышает безопасность клиентов и узнаваемость бренда с помощью PowerDMARC - 19 мая 2025 г.
- Требования Microsoft к отправителям - как избежать отказов 550 5.7.15 - 30 апреля 2025 г.
