Сбой DMARC происходит, когда письмо, отправленное с вашего домена, не проходит проверку подлинности почты, установленную DMARC. Когда письмо не проходит проверку подлинности DMARC, оно может быть заблокировано, что приведет к снижению эффективности доставки и ухудшит репутацию вашего отправителя.
Сбои DMARC создают серьезные проблемы для компаний, которые зависят от электронной почты в деловом общении. Решение этих проблем имеет решающее значение для поддержания бесперебойной связи, защиты вашего домена и обеспечения того, чтобы ваши электронные письма всегда доходили до адресатов.
Ключевые выводы
- Сбои DMARC могут негативно повлиять на доставку электронной почты и подвергнуть домены рискам безопасности.
- К распространенным причинам неудач DMARC относятся проблемы с выравниванием SPF или DKIM, неправильно настроенные подписи DKIM, отсутствие записей DNS для авторизованных отправителей, сложности с переадресацией почты и атаки на подмену домена.
- Для устранения сбоев DMARC можно начать со смягченной политики DMARC (p=none), обеспечить правильное согласование SPF и DKIM и обновить записи DNS для всех авторизованных источников.
- Постоянный мониторинг с помощью отчетов DMARC очень важен для поддержания соответствия и выявления проблем.
- Такие инструменты, как PowerDMARC, упрощают внедрение и повышают безопасность электронной почты за счет автоматизации обнаружения и устранения угроз.
Почему DMARC не работает? 5 распространенных причин
К распространенным причинам отказа DMARC можно отнести сбои в выравнивании, несоответствие источника отправки, проблемы с DKIM-подписью, переадресованные письма и т. д. Давайте рассмотрим их по отдельности:
1. Сбои в согласовании DMARC
DMARC использует выравнивание доменов для аутентификации ваших писем. Это означает, что DMARC проверяет подлинность домена, указанного в адресе From (в видимом заголовке), сопоставляя его с доменом, указанным в скрытом заголовке Return-path (для SPF) и заголовке подписи DKIM (для DKIM). Если оба домена совпадают, письмо проходит DMARC, в противном случае возникает ошибка проверки DMARC.
Таким образом, если ваши письма не проходят DMARC, это может быть связано с несоответствием домена. То есть идентификаторы SPF и DKIM не совпадают, и письмо кажется отправленным из неавторизованного источника. Однако это лишь одна из причин отказа DMARC.
Режим выравнивания DMARC
Режим выравнивания протокола также может привести к сбою DMARC. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:
- Расслабленный: Означает, что если домен в заголовке Return-path и домен в заголовке From просто организационно совпадают, то и в этом случае SPF пройдет.
- Строгий: Означает, что только если домен в заголовке Return-path и домен в заголовке From полностью совпадают, только тогда SPF пройдет.
Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:
- Расслабленный: Это означает, что если домен в подписи DKIM и домен в заголовке From просто организационно совпадают, то DKIM пройдет.
- Строгий: Означает, что только если домен в подписи DKIM и домен в заголовке From полностью совпадают, только тогда DKIM пройдет.
Обратите внимание, что для того, чтобы электронная почта прошла проверку подлинности DMARC, необходимо соответствие либо SPF, либо DKIM.
2. Подпись DKIM не настроена
Очень распространенный случай, когда DMARC может не работать, заключается в том, что вы не указали DKIM-подпись для своего домена. В таких случаях поставщик услуг обмена электронной почтой назначает по умолчанию DKIM-подпись для ваших исходящих писем, которые не соответствуют домену в заголовке From. В таких случаях принимающий MTA не может согласовать два домена и обнаруживает несоответствие. Это приводит к отказу DKIM и DMARC для вашего сообщения.
3. Отправка источников, не добавленных в ваш DNS
Важно отметить, что когда вы настраиваете DMARC для вашего домена с помощью SPF, принимающие MTA выполняют DNS-запросы для авторизации ваших источников отправки. Это означает, что если в DNS вашего домена не указаны все авторизованные источники отправки, ваши письма не пройдут проверку SPF и, соответственно, DMARC для тех источников, которые не указаны в списке, поскольку получатель не сможет найти их в вашем DNS.
Поэтому, чтобы гарантировать, что ваши законные электронные письма всегда будут доставлены, убедитесь, что в записи SPF DNS внесены данные обо всех авторизованных сторонних поставщиках электронной почты, которые имеют право отправлять электронные письма от имени вашего домена.
4. Электронная почта, пересылаемая через серверы-посредники
В типичном сценарии пересылки электронной почты между двумя взаимодействующими основными серверами находятся дополнительные серверы. Они называются промежуточными серверами. Ваше письмо может пройти через один или несколько таких серверов-посредников, прежде чем попасть на основной сервер назначения или получателя. Проверка SPF не удается, поскольку IP-адрес промежуточного сервера не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись исходного сервера.
К счастью, пересылка почты обычно не влияет на результаты проверки подлинности DKIM. В некоторых редких случаях сервер-посредник может внести некоторые изменения в содержимое, например добавить или изменить нижние колонтитулы сообщения, что может привести к ошибке. Однако такие сценарии встречаются не так часто.
Чтобы решить эту проблему, вы должны немедленно обеспечить полное соответствие DMARC в своей организации, согласовав и проверив подлинность всех исходящих сообщений по SPF и DKIM. DMARC пройдет для сообщения, если SPF или DKIM пройдут для электронной почты.
Связанное чтение: Переадресация электронной почты и DMARC
5. Ваш домен подделывают
Если со стороны реализации все в порядке, ваши электронные письма могут не пройти DMARC в результате атаки спуфинга. Это когда злоумышленники и субъекты угроз пытаются отправить электронную почту, которая кажется исходящей из вашего домена, используя вредоносный IP-адрес.
Последние статистические данные о мошенничестве с электронной почтой свидетельствуют о росте случаев подмены электронной почты, что представляет большую угрозу для репутации вашей организации. В таких случаях, если в DMARC реализована политика отказа, она не сработает, и поддельное письмо не будет доставлено в почтовый ящик получателя. Таким образом, подмена домена может быть ответом на вопрос, почему DMARC не работает в большинстве случаев.
Устраняйте сбои DMARC как профессионал с помощью PowerDMARC!
Как исправить сбой DMARC за 5 Шаги ?
Чтобы исправить ошибку DMARC, мы рекомендуем вам зарегистрироваться в нашем DMARC Analyzer и начать свое путешествие по отчетности и мониторингу DMARC.
Шаг 1: Начните с ослабленной политики DMARC (p=none)
При отсутствии политики вы можете начать с мониторинга своего домена с помощью Агрегатные отчеты DMARC (RUA) и внимательно следите за входящими и исходящими сообщениями, это поможет вам реагировать на любые проблемы с нежелательной доставкой. Это позволит вашим сообщениям дойти до получателей, даже если DMARC для них не работает. Однако это делает вас уязвимыми для фишинговых и поддельных атак.
Шаг 2: Обеспечьте правильное согласование SPF и DKIM
Проверьте свои DNS-записи на наличие ошибок и объедините реализацию DMARC с DKIM и SPF для максимальной безопасности и снижения риска ложных срабатываний.
Вы можете использовать бесплатный DMARC checker чтобы найти ошибки в синтаксисе DMARC или формации DNS-записей. Это могут быть лишние пробелы, орфографические ошибки и т. д.
Используйте выравнивание по SPF и DKIM
Совместное использование DKIM и SPF обеспечивает многоуровневый подход к аутентификации электронной почты. DKIM проверяет целостность сообщения, гарантируя, что оно не было подделано, а SPF проверяет личность сервера-отправителя. Вместе они помогают установить доверие к источнику электронной почты, снижая риск спуфинга, фишинга и несанкционированных действий с электронной почтой.
Шаг 3: Укрепите свою защиту с помощью принудительных мер
После этого мы поможем вам перейти к политике принудительного применения, которая в конечном итоге поможет вам получить иммунитет против подмены домена и фишинговых атак.
Шаг 4: Защита с помощью обнаружения угроз на основе искусственного интеллекта
Отлавливайте вредоносные IP-адреса и сообщайте о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак с целью выдать себя за другого, с помощью нашего механизма Threat Intelligence.
Шаг 5: Постоянная оптимизация с помощью отчетов о результатах экспертизы
Включить DMARC (RUF) Криминалистические отчеты, получающие подробную информацию о случаях, когда ваша электронная почта не прошла DMARC, чтобы вы могли добраться до корня проблемы и быстрее ее устранить.
Почему DMARC не работает для сторонних поставщиков почтовых ящиков?
Если вы используете внешних поставщиков почтовых ящиков для отправки электронной почты от вашего имени, вам необходимо включить для них DMARC, SPF и/или DKIM. Вы можете сделать это, связавшись с ними и попросив их выполнить эту процедуру за вас, либо взять дело в свои руки и вручную активировать протоколы. Для этого вам необходимо иметь доступ к порталу вашей учетной записи на каждой из этих платформ (в качестве администратора).
Отсутствие активации этих протоколов для провайдера внешнего почтового ящика может привести к сбою DMARC.
В случае отказа DMARC для ваших сообщений Gmail перейдите к SPF-записи вашего домена и проверьте, включили ли вы в нее _spf.google.com в ней. Если нет, это может быть причиной того, что серверы-получатели не могут определить Gmail как ваш авторизованный источник отправки. То же самое относится и к письмам, отправленным с MailChimp, SendGrid и других сервисов.
Как выглядит отказ DMARC для популярных поставщиков электронной почты
Когда письмо не проходит проверку DMARC, основные провайдеры электронной почты возвращают специальные сообщения об отказе, указывающие на эту неудачу. Эти отказы обычно указывают на проблему с аутентификацией электронной почты и поясняют, что политика DMARC отправителя была нарушена. Вот как это проявляется на разных почтовых платформах:
- Gmail: Неудачная проверка DMARC для письма, отправленного в почтовый ящик Gmail, может привести к появлению сообщения об отказе с текстом "550-5.7.26 Это письмо было заблокировано, поскольку отправитель не прошел проверку подлинности". В сообщении может содержаться ссылка на страницу поддержки Google для получения дополнительной информации о проблемах DMARC.
- Outlook: Если письмо не проходит проверку DMARC в Outlook, вы можете увидеть ответ, указывающий на отказ в доставке, поскольку домен отправителя не прошел проверку DMARC, с политикой, установленной на отклонение. Уникальный идентификатор может быть включен в эти ответы, чтобы помочь в устранении неполадок.
- Yahoo: В случае несоблюдения DMARC в сообщении Yahoo может быть указано, что письмо не было принято по политическим причинам. Обычно в нем содержится ссылка на дополнительные ресурсы или коды ошибок для получения более подробной информации.
Эти сообщения, хотя и различаются по формулировкам, в целом указывают на несоответствие между конфигурацией электронной почты домена и его политикой DMARC. Для решения этих проблем необходимо внести изменения в настройки почтовой службы.
Как обнаружить, что сообщения не проходят DMARC?
Отказ DMARC для сообщений может быть легко обнаружен, если у вас включены отчеты для ваших отчёты DMARC. В качестве альтернативы можно провести анализ заголовков писем или воспользоваться поиском в журнале Gmail. Давайте рассмотрим, как это сделать:
1. Включите отчетность DMARC для ваших доменов
Чтобы обнаружить сбой DMARC, используйте эту удобную функцию, предлагаемую вашим протоколом DMARC. Вы можете получать отчеты, содержащие ваши данные DMARC, от ESP, просто определив тег "rua" в вашей записи DMARC DNS. Ваш синтаксис может быть следующим:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Тег rua должен содержать адрес электронной почты, на который вы хотите получать отчеты.
В PowerDMARC мы предоставляем упрощенные и понятные человеку отчеты, которые помогут вам легко обнаружить сбой DMARC и быстрее устранить неполадки:
2. Анализируйте заголовки электронной почты вручную или используйте инструменты анализа
Сбой DMARC также можно обнаружить, проанализировав заголовки вашей электронной почты.
a. Ручной метод
Вы можете либо проанализировать заголовки вручную, как показано ниже
Если вы пользуетесь почтой Gmail для отправки писем, вы можете щелкнуть на сообщении, нажать "еще" (3 точки в правом верхнем углу), а затем нажать "показать оригинал":
Теперь вы можете проверить результаты DMARC-аутентификации:
b. Автоматизированные инструменты анализа
PowerDMARC анализатор заголовков электронной почты это отличный инструмент для мгновенного обнаружения ошибок DMARC fail и смягчения проблемы DMARC fail.
С нами вы получите полный анализ состояния DMARC для ваших электронных писем, согласований и других требований, как показано ниже:
3. Используйте поиск журнала электронной почты Google
Дополнительную информацию о конкретном сообщении, не прошедшем DMARC, можно найти с помощью поиска по журналу электронной почты Google. Это позволит узнать детали сообщения, детали сообщения после доставки и детали получателя. Результаты представлены в табличном формате, как показано ниже:
Устранение сбоя DMARC с помощью PowerDMARC
PowerDMARC снижает вероятность сбоев DMARC, предлагая ряд комплексных возможностей и функций. Во-первых, он помогает организациям правильно развернуть DMARC, предоставляя пошаговое руководство и средства автоматизации. Это гарантирует правильную настройку DMARC-записей, SPF- и DKIM-аутентификации, что повышает шансы на успешное внедрение DMARC.
После внедрения DMARC PowerDMARC непрерывно отслеживает почтовый трафик и генерирует отчеты и предупреждения о сбоях DMARC в режиме реального времени. Такая видимость позволяет организациям быстро выявлять проблемы с аутентификацией, такие как сбои SPF или DKIM, и принимать меры по их устранению.
В дополнение к мониторингу PowerDMARC интегрирует возможности интеллектуального анализа угроз. Он использует глобальные каналы угроз для выявления и анализа источников фишинговых атак и попыток подмены. Получая сведения о подозрительной активности электронной почты, организации могут проактивно выявлять потенциальные угрозы и принимать необходимые меры для снижения рисков.
Свяжитесь с нами чтобы начать!
Заключение: Обеспечение безопасности электронной почты правильным способом
Применяя многоуровневый подход к обеспечению безопасности электронной почты, организации и частные лица могут значительно усилить свою защиту от развивающихся киберугроз. Это включает в себя внедрение надежных механизмов аутентификации, использование технологий шифрования, обучение пользователей фишинговым атакам и регулярное обновление протоколов безопасности.
Кроме того, интеграция инструменты искусственного интеллекта для повышения уровня безопасности вашей электронной почты - лучший способ оставаться на вершине изощренных атак, организуемых киберпреступниками.
Для предотвращения сбоев DMARC и легкого решения ошибок DMARC, зарегистрироваться чтобы связаться с командой экспертов PowerDMARC по DMARC уже сегодня!
Обзор содержания и процесс проверки фактов
Эта статья была подготовлена экспертом по кибербезопасности. Методы и практики, представленные в этой статье, являются реальными стратегиями, которые мы развернули для наших клиентов и которые помогли им преодолеть сбой DMARC. Если эти методы не работают для вас, свяжитесь с нами для получения бесплатного руководства от эксперта по DMARC.
- Что такое MTA-STS? Настройте правильную политику MTA STS - 15 января 2025 г.
- Как исправить ошибку DKIM - 9 января 2025 г.
- Что такое политика DMARC? Нет, карантин и отклонение - 9 января 2025 г.