Сбой DMARC для ваших сообщений - это повод для беспокойства, если вы являетесь организацией, в значительной степени зависящей от электронной почты как для внешних, так и для внутренних коммуникаций. Существуют методы и инструменты, которые вы можете использовать в Интернете (бесплатно) для предотвращения сбоев DMARC для вашей электронной почты.
В этой статье мы тщательно разберем 6 основных причин отказа DMARC и расскажем, как их можно устранить для повышения эффективности доставки.
Прежде чем мы перейдем к вопросу о том, почему DMARC не работает, давайте посмотрим, что это такое и как это вам поможет:
DMARC - это ключевое мероприятие в вашей политике аутентификации электронной почты, помогающее предотвратить прохождение поддельных "поддельных" писем через транзакционные спам-фильтры. Но это лишь одна из составляющих общей программы борьбы со спамом, и не все отчеты DMARC одинаковы. Некоторые из них расскажут вам о точных действиях получателей почты в отношении каждого сообщения, а другие - только о том, было ли сообщение успешным или нет. Понять, почему сообщение не прошло, не менее важно, чем узнать, прошло ли оно.
Общие причины, которые могут привести к сбою DMARC
Определить, почему DMARC не работает, может быть непросто. Однако я расскажу о некоторых типичных причинах и факторах, способствующих их возникновению, чтобы вы, как владелец домена, могли работать над устранением проблемы более оперативно.
Неисправности выравнивания DMARC
DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, указанный в адресе From (в видимом заголовке), подлинным, сравнивая его с доменом, указанным в скрытом заголовке Return-path (для SPF) и заголовке подписи DKIM (для DKIM). Если оба домена совпадают, электронная почта проходит DMARC, в противном случае DMARC не проходит.
Следовательно, если ваша электронная почта не работает по DMARC, это может быть случаем несовпадения домена. То есть ни SPF, ни DKIM идентификаторы не выравниваются, и электронная почта, похоже, отправляется из неавторизованного источника. Однако, это лишь одна из причин, по которой DMARC терпит неудачу.
Режим выравнивания DMARC
Ваш режим выравнивания протоколов также играет огромную роль в передаче или отказе DMARC сообщений. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:
- Расслабленный: Это означает, что если домен в заголовке Return-path и домен в заголовке From просто организационно совпадают, то и тогда SPF пройдет.
- Строгий: Это означает, что только если домен в заголовке Return-path и домен в заголовке From точно совпадают, только тогда SPF пройдет.
Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:
- Расслабленный: Это означает, что если домен в подписи DKIM и домен в заголовке From просто организационно совпадают, то и в этом случае DKIM пройдет.
- Строгий: Это означает, что только если домен в подписи DKIM и домен в заголовке From являются точным совпадением, только тогда DKIM пройдет.
Обратите внимание, что для того, чтобы электронная почта прошла проверку подлинности DMARC, необходимо соответствие либо SPF, либо DKIM.
Не Настройка подписи DKIM
Очень распространенный случай, когда DMARC может не сработать, заключается в том, что вы не указали DKIM-подпись для своего домена. В таких случаях поставщик услуг обмена электронной почтой назначает подпись DKIM по умолчанию для ваших исходящих писем, которые не соответствуют домену в заголовке From. Принимающий MTA не может согласовать два домена, и, следовательно, DKIM и DMARC не работают для вашего сообщения (если ваши сообщения согласованы с SPF и DKIM).
Не добавлять источники отправки в DNS
Важно отметить, что при настройке DMARC для вашего домена принимающие MTA выполняют DNS-запросы для авторизации ваших источников отправки. Это означает, что если в DNS вашего домена не указаны все ваши авторизованные источники отправки, ваши письма не пройдут DMARC для тех источников, которые не указаны в списке, поскольку получатель не сможет найти их в вашем DNS. Следовательно, чтобы гарантировать, что ваши законные электронные письма всегда доставляются, убедитесь, что вы внесли в DNS записи обо всех ваших авторизованных сторонних поставщиках электронной почты, которые имеют право отправлять электронные письма от имени вашего домена.
В случае пересылки электронной почты
При пересылке электронной почты письмо проходит через сервер-посредник, прежде чем попасть на сервер-получатель. При пересылке электронной почты проверка SPF не проходит, поскольку IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на аутентификацию электронной почты DKIM, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.
Как мы знаем, SPF неизбежно терпит неудачу во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемая электронная почта будет признана нелегитимной во время DMARC аутентификации. Чтобы решить эту проблему, вы должны немедленно выбрать полное соответствие DMARC в вашей организации путем выравнивания и аутентификации всех исходящих сообщений против SPF и DKIM, так как для того, чтобы электронная почта прошла DMARC аутентификацию, электронная почта должна будет пройти либо SPF, либо DKIM аутентификацию и выравнивание.
Твой дом подделывают...
Если протоколы DMARC, SPF и DKIM правильно настроены для вашего домена, политики соблюдены и записи об отсутствии ошибок действительны, а проблема не связана ни с одним из вышеупомянутых случаев, то наиболее вероятной причиной того, что ваши электронные письма не проходят DMARC, является подмена или подделка вашего домена. Это происходит, когда самозваные агенты и субъекты угроз пытаются отправить электронную почту, которая кажется исходящей от вашего домена, используя вредоносный IP-адрес.
Недавняя статистика мошенничества с электронной почтой показала, что случаи подделки электронной почты в последнее время участились и представляют собой очень большую угрозу для репутации вашей организации. В таких случаях, если DMARC реализован в политике отказа, он не сработает, и поддельное письмо не будет доставлено в почтовый ящик получателя. Таким образом, подмена домена может быть ответом на вопрос, почему DMARC не работает в большинстве случаев.
Почему DMARC не работает для сторонних провайдеров почтовых ящиков? (Gmail, Mailchimp, Sendgrid и т. д.)
Если вы используете внешних поставщиков почтовых ящиков для отправки электронной почты от вашего имени, вам необходимо включить для них DMARC, SPF и/или DKIM. Вы можете сделать это, связавшись с ними и попросив их выполнить эту процедуру за вас, либо взять дело в свои руки и вручную активировать протоколы. Для этого вам необходимо иметь доступ к порталу вашей учетной записи на каждой из этих платформ (в качестве администратора).
Если ваши сообщения Gmail не проходят DMARC, перейдите к SPF-записи вашего домена и проверьте, включили ли вы в нее _spf.google.com. Если нет, это может быть причиной того, что принимающие серверы не могут идентифицировать Gmail как ваш авторизованный источник отправки. То же самое касается писем, отправленных с Mailchimp, Sendgrid и других.
Как исправить ошибку DMARC?
Для устранения сбоев DMARC мы рекомендуем вам подписаться на наш бесплатный DMARC Analyzer и начать свое путешествие по отчетности и мониторингу DMARC.
#Шаг 1: При отсутствии политики вы можете начать с мониторинга вашего домена с помощью агрегированных отчетов DMARC (RUA) и внимательно следить за входящей и исходящей электронной почтой, это поможет вам реагировать на любые нежелательные проблемы с доставкой.
#Этап 2: После этого мы поможем вам перейти к политике принудительного применения, которая в конечном итоге поможет вам получить иммунитет против подмены домена и фишинговых атак.
#Шаг 3: Отлавливайте вредоносные IP-адреса и сообщайте о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак на выдачу себя за другого, с помощью нашего механизма Threat Intelligence.
#Шаг 4: Включить DMARC (RUF) Криминалистические отчеты для получения подробной информации о случаях, когда ваша электронная почта не прошла DMARC, чтобы вы могли быстрее добраться до корня проблемы и устранить ее.
Как бороться с сообщениями, которые не отвечают требованиям DMARC?
Обратите внимание, что письмо может не пройти DMARC из-за обычных обстоятельств, таких как угроза спуфинга, не пройдя согласование а) только DKIM b) только SPF c) и то, и другое. Если оно не прошло оба варианта, ваше сообщение будет считаться неавторизованным. Вы можете настроить соответствующую политику DMARC, чтобы проинструктировать получателей о том, как реагировать на такие письма.
Надеюсь, мы смогли решить вопрос о том, почему DMARC не работает для вашего домена, и предоставить решение о том, как легко устранить проблему. Чтобы предотвратить подмену домена и контролировать поток электронной почты с помощью PowerDMARC, уже сегодня!
- Как проверить подлинность электронной почты? - 28 марта 2023 г.
- Как работает DNS? - 27 марта 2023 г.
- Что такое бесфайловая вредоносная программа? - 27 марта 2023 года
