почему DMARC терпит неудачу

Аутентификация электронной почты - важный аспект работы поставщика услуг электронной почты. Аутентификация электронной почты, также известная как SPF и DKIM, проверяет личность провайдера электронной почты. DMARC добавляет процесс проверки электронной почты, проверяя, было ли письмо отправлено с легитимного домена посредством выравнивания, и указывая принимающим серверам, как реагировать на сообщения, не прошедшие проверку подлинности. Сегодня мы обсудим различные сценарии, которые могли бы ответить на ваш вопрос о том, почему DMARC не работает.

DMARC является ключевым действием в вашей политике аутентификации электронной почты, чтобы помочь предотвратить поддельные "поддельные" письма от прохождения транзакционных спам-фильтров. Но, это всего лишь один из столпов общей программы борьбы со спамом, и не все отчеты DMARC создаются одинаково. Некоторые скажут вам, какие именно действия были предприняты получателями почты по каждому сообщению, а другие скажут вам только, было ли сообщение успешным или нет. Понимание того, почему сообщение было неудачным, так же важно, как и знание того, было ли оно неудачным. Следующая статья объясняет причины, по которым сообщения не прошли проверку подлинности DMARC. Это наиболее распространенные причины (некоторые из которых можно легко исправить), по которым сообщения могут не пройти проверку подлинности DMARC.

Общие причины, по которым сообщения могут давать сбои DMARC

Определить, почему DMARC терпит неудачу, может быть сложно. Однако я рассмотрю некоторые типичные причины, факторы, способствующие их возникновению, чтобы вы, как владелец домена, могли работать над более быстрым устранением проблемы.

Неисправности выравнивания DMARC

DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, упомянутый в адресе From (в видимом заголовке), аутентичным, сопоставляя его с доменом, упомянутым в скрытом заголовке Return-path (для SPF) и заголовке DKIM подписи (для DKIM). Если любое из этих совпадений совпадает, электронная почта передает DMARC, иначе DMARC не работает.

Следовательно, если ваша электронная почта не работает по DMARC, это может быть случаем несовпадения домена. То есть ни SPF, ни DKIM идентификаторы не выравниваются, и электронная почта, похоже, отправляется из неавторизованного источника. Однако, это лишь одна из причин, по которой DMARC терпит неудачу.

Режим выравнивания DMARC 

Ваш режим выравнивания протоколов также играет огромную роль в передаче или отказе DMARC сообщений. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:

  • Расслабленный: Это означает, что если домен в заголовке Return-path и домен в заголовке From просто организационное совпадение, то даже в этом случае SPF пройдет.
  • Строго: Это означает, что только если домен в заголовке Return-path и домен в заголовке From точно совпадают, то только тогда SPF пройдет.

Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:

  • Расслабленный: Это означает, что если домен в подписи DKIM и домен в заголовке From просто организационное совпадение, то даже тогда DKIM пройдет.
  • Строго: Это означает, что только если домен в подписи DKIM и домен в заголовке From точно совпадают, то только тогда DKIM пройдет.

Обратите внимание, что для того, чтобы электронная почта прошла DMARC-аутентификацию, необходимо выровнять либо SPF, либо DKIM.  

Не Настройка подписи DKIM 

Очень распространенный случай, в котором ваш DMARC может не работать, это то, что вы не указали DKIM подпись для вашего домена. В таких случаях поставщик услуг электронной почты назначает DKIM подпись по умолчанию для ваших исходящих сообщений электронной почты, которые не совпадают с доменом в вашем заголовке From. Принимающий MTA не выравнивает два домена, и, следовательно, DKIM и DMARC не работают с вашими сообщениями (если ваши сообщения выравниваются по SPF и DKIM).

Не добавлять источники отправки в DNS 

Важно отметить, что когда вы устанавливаете DMARC для вашего домена, получение MTA выполняет DNS-запросы для авторизации ваших источников отправки. Это означает, что если вы не имеете всех ваших авторизованных посылающих источников, перечисленных в DNS вашего домена, ваша электронная почта не сможет DMARC для тех источников, которые не перечислены, так как получатель не сможет найти их в вашей DNS. Следовательно, чтобы гарантировать, что ваша законная электронная почта всегда доставляется, убедитесь, что все ваши авторизованные сторонние почтовые поставщики, которые уполномочены посылать электронную почту от имени вашего домена, внесены в ваш DNS.

В случае пересылки электронной почты

Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во время пересылки почты проверка SPF не удаётся, так как IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на DKIM аутентификацию электронной почты, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Как мы знаем, SPF неизбежно терпит неудачу во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемая электронная почта будет признана нелегитимной во время DMARC аутентификации. Чтобы решить эту проблему, вы должны немедленно выбрать полное соответствие DMARC в вашей организации путем выравнивания и аутентификации всех исходящих сообщений против SPF и DKIM, так как для того, чтобы электронная почта прошла DMARC аутентификацию, электронная почта должна будет пройти либо SPF, либо DKIM аутентификацию и выравнивание.

Твой дом подделывают...

Если у вас есть протоколы DMARC, SPF и DKIM, правильно настроенные для вашего домена, с вашими политиками по внедрению и действительными безошибочными записями, и проблема не в одном из вышеупомянутых случаев, то наиболее вероятная причина, по которой ваша электронная почта не работает DMARC, заключается в том, что ваш домен подделывается или фальсифицируется. Это происходит, когда подражатели и актеры угроз пытаются посылать сообщения электронной почты, которые, кажется, приходят с вашего домена, используя вредоносный IP адрес.

Последние статистические данные о почтовом мошенничестве пришли к выводу, что случаи почтового подлога в последнее время растут и представляют собой очень большую угрозу для репутации вашей организации. В таких случаях, если DMARC внедрил политику отклонения, она не будет работать, и поддельная электронная почта не будет доставляться в почтовый ящик получателя. Следовательно, подделка домена может быть ответом на вопрос, почему DMARC терпит неудачу в большинстве случаев.

Мы рекомендуем вам зарегистрироваться с нашим бесплатным DMARC Analyzer и начать свой путь DMARC отчетности и мониторинга.

  • При отсутствии политики вы можете контролировать свой домен с помощью отчетов DMARC (RUA) Aggregate Reports и внимательно следить за входящей и исходящей электронной почтой, это поможет вам ответить на любые нежелательные вопросы о доставке.
  • После этого мы поможем вам перейти к принудительной политике, которая, в конечном счете, поможет вам получить иммунитет от подделок домена и фишинговых атак.
  • Вы можете удалять вредоносные IP-адреса и сообщать о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак подражания, с помощью нашего механизма Threat Intelligence.
  • Судебные отчёты DMARC (RUF) PowerDMARC помогут Вам получить подробную информацию о случаях, когда Ваша электронная почта потерпела неудачу DMARC, так что Вы сможете добраться до корня проблемы и исправить её.

Предотвратите подмену домена и отслеживайте электронный поток с помощью PowerDMARC - сегодня!