Важное предупреждение: Google и Yahoo будут требовать DMARC с апреля 2024 года.
PowerDMARC

Почему DMARC не работает? Устранение сбоя DMARC в 2024 году

Сбой DMARC

Почему Дмарк не справляется

Время чтения: 10 мин

С более чем 4,48 миллиарда пользователей электронной почты по всему миру ежедневно отправляют бесчисленное количество сообщений, ошибки DMARC становятся большой проблемой. DMARC, сокращение от Domain-based Message Authentication, Reporting, and Conformance, - это протокол безопасности, который защищает ваши электронные письма от самозванства и фишинговых атак. Однако иногда DMARC дает сбой и потенциально нарушает доставку электронной почты.

Сбои DMARC могут быть неприятны, особенно если вы полагаетесь на электронную почту в бизнесе. Они могут даже помешать вашим письмам дойти до адресатов. Обратите внимание, что DMARC требует прохождения либо SPF, либо DKIM, если они оба реализованы. Однако если DMARC опирается только на SPF или DKIM, отказ одного из протоколов приведет к сбою аутентификации DMARC. 

Распространенными причинами сбоев в работе DMARC являются:

Короче говоря, если DMARC не работает, ваше письмо не проходит проверку подлинности DMARC. Ошибка DMARC fail может повлиять на ваши маркетинговые усилия в области электронной почты и значительно снизить показатели доставляемости писем. 

В этой статье вы узнаете:

Обзор DMARC

DMARC расшифровывается как Domain-based Message Authentication, Reporting, and Conformance. Это протокол аутентификации электронной почты, который обеспечивает дополнительный уровень безопасности, помогая предотвратить подделку электронной почты и фишинговые атаки. DMARC работает, позволяя владельцам доменов публиковать политики в своих записях DNS. Эти политики указывают принимающим почтовым серверам, как обрабатывать письма, которые утверждают, что они принадлежат их домену.

Вы можете использовать DMARC для отклонения или помещения в карантин неавторизованных писем, обеспечивая лучший контроль над доставкой электронной почты. DMARC также генерирует отчеты, которые предоставляют ценные сведения о сбоях аутентификации электронной почты.

Вот некоторые недавняя статистика по DMARC в разных отраслях:

  1. Рост индустрии DMARC в 2019 году составил 85%.
  2. В 2021 году количество действующих политик DMARC увеличилось на 84 %. 
  3. В 2021 году было добавлено 5 миллионов новых записей DMARC по сравнению с 2020 годом
  4. Глобальный рынок программного обеспечения DMARC, как ожидается, достигнет почти $800 миллионов к 2030 году

В целом, DMARC помогает повысить безопасность электронной почты, обеспечивая проверку подлинности и позволяя организациям защитить репутацию своего бренда и пользователей от угроз, связанных с электронной почтой.

Почему DMARC не работает? 

Сбой DMARC может произойти по разным причинам, включая сбои аутентификации SPF и DKIM, несоответствие между доменами "From", SPFи DKIM, проблемы с пересылкой или сторонними службами, изменяющими почтовые подписи, неправильно настроенные политики DMARC, а также попытки злоумышленников подделать легитимные домены.

Сбой DMARC может привести к проблемам аутентификации электронной почты, потенциальным проблемам с доставкой и повышенному риску фишинговых атак. Понимание этих причин и внедрение надлежащих конфигураций и мер аутентификации может помочь улучшить соответствие DMARC и усилить безопасность электронной почты.

Распространенными причинами неудач DMARC могут быть сбои выравнивания, несоответствие источника отправки, проблемы с вашей DKIM-подписью, переадресованные электронные письма и т.д. Давайте рассмотрим каждую из них подробнее: 

1. Сбои в согласовании DMARC

DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, указанный в адресе From (в видимом заголовке), подлинным, сравнивая его с доменом, указанным в скрытом заголовке Return-path (для SPF) и заголовке подписи DKIM (для DKIM). Если оба домена совпадают, электронное письмо проходит DMARC, в противном случае это приводит к DMARC fail. 

Таким образом, если ваши письма не проходят DMARC, это может быть связано с несоответствием домена. То есть идентификаторы SPF и DKIM не совпадают, и письмо кажется отправленным из неавторизованного источника. Однако это лишь одна из причин отказа DMARC. 

Режим выравнивания DMARC

Режим выравнивания протокола также может привести к сбою DMARC. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:

Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:

Обратите внимание, что для того, чтобы электронная почта прошла проверку подлинности DMARC, необходимо соответствие либо SPF, либо DKIM.  

2. Подпись DKIM не настроена

Очень распространенный случай, когда DMARC может не работать, заключается в том, что вы не указали DKIM-подпись для своего домена. В таких случаях поставщик услуг обмена электронной почтой назначает по умолчанию DKIM-подпись для ваших исходящих писем, которые не соответствуют домену в заголовке From. Получающий MTA не может согласовать два домена, и, следовательно, DKIM и DMARC не работают для вашего сообщения.

3. Отправка источников, не добавленных в ваш DNS 

Важно отметить, что когда вы настраиваете DMARC для своего домена с помощью SPF, принимающие MTA выполняют DNS-запросы для авторизации ваших источников отправки. Это означает, что если в DNS вашего домена не указаны все авторизованные источники отправки, ваши письма не пройдут проверку SPF и, соответственно, DMARC для тех источников, которые не указаны в списке, поскольку получатель не сможет найти их в вашем DNS. 

Поэтому, чтобы гарантировать, что ваши законные электронные письма всегда будут доставлены, убедитесь, что в записи SPF DNS внесены данные обо всех авторизованных сторонних поставщиках электронной почты, которые имеют право отправлять электронные письма от имени вашего домена.

4. Электронная почта, пересылаемая через серверы-посредники

При пересылке электронная почта проходит через сервер-посредник, прежде чем попасть на сервер-получатель. Проверка SPF не проходит, поскольку IP-адрес промежуточного сервера не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись исходного сервера. 

Напротив, пересылка электронной почты обычно не влияет на аутентификацию электронной почты DKIM, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Чтобы решить эту проблему, вы должны немедленно принять решение о полном соответствии DMARC в вашей организации путем согласования и проверки подлинности всех исходящих сообщений по SPF и DKIM. Для того чтобы письмо прошло проверку подлинности DMARC, оно должно пройти проверку подлинности и согласование по SPF или DKIM.

Связанное чтение: Переадресация электронной почты и DMARC

5. Ваш домен подделывают

Если со стороны реализации все в порядке, ваши электронные письма могут не пройти DMARC в результате атаки спуфинга. Это когда злоумышленники и субъекты угроз пытаются отправить электронную почту, которая кажется исходящей из вашего домена, используя вредоносный IP-адрес.

Недавняя статистика мошенничества с электронной почтой показала, что случаи подделки электронной почты растут, представляя большую угрозу для репутации вашей организации. В таких случаях, если DMARC реализован в политике отказа, он не сработает, и поддельное письмо не будет доставлено в почтовый ящик получателя. Таким образом, подмена домена может быть ответом на вопрос, почему DMARC не работает в большинстве случаев.

Почему DMARC не работает для сторонних поставщиков почтовых ящиков?

Если вы используете внешних поставщиков почтовых ящиков для отправки электронной почты от вашего имени, вам необходимо включить для них DMARC, SPF и/или DKIM. Вы можете сделать это, связавшись с ними и попросив их выполнить эту процедуру за вас, либо взять дело в свои руки и вручную активировать протоколы. Для этого вам необходимо иметь доступ к порталу вашей учетной записи на каждой из этих платформ (в качестве администратора).

Отсутствие активации этих протоколов для провайдера внешнего почтового ящика может привести к сбою DMARC.

В случае отказа DMARC для ваших сообщений Gmail перейдите к SPF-записи вашего домена и проверьте, включили ли вы в нее _spf.google.com в ней. Если нет, это может быть причиной того, что серверы-получатели не могут определить Gmail как ваш авторизованный источник отправки. То же самое относится и к письмам, отправленным с MailChimp, SendGrid и других сервисов.

Как обнаружить сообщения, не прошедшие проверку DMARC? 

Сбой DMARC в сообщениях можно легко обнаружить, если у вас включены отчеты по DMARC. В качестве альтернативы можно провести анализ заголовков писем или воспользоваться поиском в журнале Gmail. Давайте рассмотрим, как это сделать:

1. Включите отчетность DMARC для ваших доменов 

Чтобы обнаружить сбой DMARC, используйте эту удобную функцию, предлагаемую вашим протоколом DMARC. Вы можете получать отчеты, содержащие ваши данные DMARC, от ESP, просто определив тег "rua" в вашей записи DMARC DNS. Ваш синтаксис может быть следующим: 

v=DMARC1; ptc=100; p=reject; rua=mailto:email1@powerdmarc.com; 

Тег rua должен содержать адрес электронной почты, на который вы хотите получать отчеты. 

В PowerDMARC мы предоставляем упрощенные и понятные человеку отчеты, которые помогут вам легко обнаружить сбой DMARC и быстрее устранить неполадки:

2. Анализируйте заголовки электронной почты вручную или используйте инструменты анализа

Сбой DMARC также можно обнаружить, проанализировав заголовки вашей электронной почты.

a. Ручной метод

Вы можете либо проанализировать заголовки вручную, как показано ниже

Если вы пользуетесь почтой Gmail для отправки писем, вы можете щелкнуть на сообщении, нажать "еще" (3 точки в правом верхнем углу), а затем нажать "показать оригинал": 

Теперь вы можете проверить результаты DMARC-аутентификации:

b. Автоматизированные инструменты анализа

PowerDMARC анализатор заголовков электронной почты это отличный инструмент для мгновенного обнаружения ошибок DMARC fail и смягчения проблемы DMARC fail.

С нами вы получите полный анализ состояния DMARC для ваших электронных писем, согласований и других требований, как показано ниже:

3. Используйте поиск журнала электронной почты Google 

Дополнительную информацию о конкретном сообщении, не прошедшем DMARC, можно найти с помощью поиска по журналу электронной почты Google. Это позволит узнать детали сообщения, детали сообщения после доставки и детали получателя. Результаты представлены в табличном формате, как показано ниже:

Источник изображения

4 шага для устранения сбоя DMARC

Чтобы исправить ошибку DMARC, мы рекомендуем вам зарегистрироваться в нашем DMARC Analyzer и начать свое путешествие по отчетности и мониторингу DMARC.

Шаг 1: Начните с нуля

При отсутствии политики вы можете начать с мониторинга вашего домена с помощью Совокупные отчеты DMARC (RUA) и внимательно следить за входящей и исходящей электронной почтой, это поможет вам реагировать на любые нежелательные проблемы с доставкой.

Шаг 2: Переход к правоприменению

После этого мы поможем вам перейти к политике принудительного применения, которая в конечном итоге поможет вам получить иммунитет против подмены домена и фишинговых атак.

Шаг 3: Используйте наше обнаружение угроз на основе искусственного интеллекта

Отлавливайте вредоносные IP-адреса и сообщайте о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак с целью выдать себя за другого, с помощью нашего механизма Threat Intelligence.

Шаг 4: Постоянный мониторинг

Включить DMARC (RUF) Криминалистические отчеты, получающие подробную информацию о случаях, когда ваша электронная почта не прошла DMARC, чтобы вы могли добраться до корня проблемы и быстрее ее устранить.

Как бороться с сообщениями, которые не отвечают требованиям DMARC?

Для борьбы с сообщениями, которые не проходят DMARC, вы можете выбрать более мягкий вариант политика DMARC, проверить запись DNS на наличие ошибок и объединить реализацию DMARC с DKIM и SPF для обеспечения максимальной безопасности и снижения риска ложных срабатываний.

1. Проверьте свою запись DMARC

Используйте DMARC checker чтобы найти синтаксические или другие формативные ошибки в вашей записи, такие как лишние пробелы, орфографические ошибки и т.д.

2. Выбирайте более мягкую политику

Вы всегда можете выбрать более мягкую политику DMARC, например, "none". Это позволит вашим сообщениям дойти до получателей, даже если DMARC не сработает для них. Однако это сделает вас уязвимыми для фишинговых и поддельных атак. 

3. Используйте выравнивание по SPF и DKIM 

Совместное использование DKIM и SPF обеспечивает многоуровневый подход к аутентификации электронной почты. DKIM проверяет целостность сообщения, гарантируя, что оно не было подделано, а SPF проверяет личность сервера-отправителя. Вместе они помогают установить доверие к источнику электронной почты, снижая риск спуфинга, фишинга и несанкционированных действий с электронной почтой.

Устранение сбоя DMARC с помощью PowerDMARC

PowerDMARC смягчает последствия сбоев DMARC, предлагая ряд комплексных характеристик и функциональных возможностей. Во-первых, он помогает организациям правильно развернуть DMARC, предоставляя пошаговое руководство и средства автоматизации. Это гарантирует, что записи DMARC, аутентификация SPF и DKIM настроены правильно, что повышает шансы на успешное внедрение DMARC.

После внедрения DMARC PowerDMARC постоянно отслеживает почтовый трафик и в режиме реального времени создает отчеты и предупреждения о сбоях DMARC. Такая видимость позволяет организациям быстро выявлять проблемы с аутентификацией, например, сбои SPF или DKIM, и принимать меры по их устранению.

В дополнение к мониторингу PowerDMARC интегрирует возможности интеллектуального анализа угроз. Он использует глобальные каналы угроз для выявления и анализа источников фишинговых атак и попыток подмены. Получая сведения о подозрительной активности электронной почты, организации могут проактивно выявлять потенциальные угрозы и принимать необходимые меры для снижения рисков.

Свяжитесь с нами чтобы начать!

Заключение: Обеспечение безопасности электронной почты правильным способом

Применяя многоуровневый подход к обеспечению безопасности электронной почты, организации и частные лица могут значительно усилить свою защиту от развивающихся киберугроз. Это включает в себя внедрение надежных механизмов аутентификации, использование технологий шифрования, обучение пользователей фишинговым атакам и регулярное обновление протоколов безопасности. 

Кроме того, интеграция инструментов искусственного интеллекта для повышения уровня безопасности вашей электронной почты - лучший способ оставаться на вершине изощренных атак, организуемых киберпреступниками. 

Для предотвращения сбоев DMARC и устранения других ошибок DMARC, зарегистрироваться чтобы связаться с нашими экспертами по DMARC сегодня!

Обзор содержания и процесс проверки фактов

Эта статья была подготовлена экспертом по кибербезопасности. Методы и практики, представленные в этой статье, являются реальными стратегиями, которые мы развернули для наших клиентов и которые помогли им преодолеть сбой DMARC. Если эти методы не работают для вас, свяжитесь с нами для получения бесплатного руководства от эксперта по DMARC.

 

После внедрения PowerDMARC для всех наших клиентов это значительно упростило процесс регистрации, мониторинга и внесения изменений, даже если мы не контролируем службы DNS.

Джо Бернс, сооснователь и генеральный директор компании Reformed IT

Выход из мобильной версии