Inlägg

Att ha flera DMARC-poster på din domän är ett fullständigt nej, och här är varför! Vi vet att implementering av e-postautentiseringsprotokoll som DMARC är avgörande för en organisations rykte och datasäkerhet, och för att göra det måste domänägare publicera en TXT-post i sin DNS. Men en fråga som ofta dyker upp om och om igen i samhället är att " Kan jag ha flera DMARC-poster på min domän?" Svaret är nej. Flera DMARC-poster på samma domän kan ogiltigförklara din post och därför fungerar inte DMARC-autentiseringsprincipen för din domän.

Hur bearbetas en DMARC-post av MTA?

En DMARC-post som publiceras i domänens DNS ser ut ungefär så här:

TXT mydomain.com v=DMARC1; p=avvisa; rua=mailto:[email protected]

När en domän som har DMARC konfigurerad för skickar ett e-postmeddelande hämtar e-postmeddelandet som tar emot MTA därför alla TXT-poster som börjar med v=DMARC1. MTA frågar DNS för den sändande domänen och kan stöta på följande scenarier:

  1. Den hittar en enda giltig DMARC-post i DNS för källdomänen och bearbetar e-postmeddelandet enligt DMARC-principspecifikationerna
  2. Den hittar ingen DMARC-post för den sändande domänen och DMARC-bearbetningen upphör automatiskt, e-postmeddelandet levereras utan att verifiera källan
  3. Den hittar flera DMARC-poster på samma domän och i det här fallet avbryts även DMARC-bearbetningen och den tillämpade principen kan inte köras

Flera DMARC-poster: Hur fixar jag det?

När du konfigurerar DMARC för din domän och anger en princip vill du att MTA ska svara på dina e-postmeddelanden på ett sätt som överensstämmer med dina avsikter. Så här kan DMARC skydda din domän mot personifiering och förfalskning. För att hjälpa den konfigurerade protokollfunktionen effektivt rekommenderar vi följande steg:

  • Kontrollera att du inte har publicerat flera DMARC-poster för din domän
  • Kontrollera att DMARC-posten inte innehåller syntaxfel
  • Istället för att manuellt generera din DMARC-post, använd pålitliga verktyg som vår free DMARC-postgenerator för att göra jobbet åt dig
  • Aktivera DMARC-rapporter för din domän för att övervaka ditt e-postflöde och autentiseringsresultat då och då, så att du kan spåra leveransproblem och vidta åtgärder mot skadliga sändningskällor
  • Se till att du håller dig under SPF 10-uppslagsgränsen för att undvika permerrorresultat

Ett alternativ till de flera steg du kan vidta för att implementera DMARC korrekt för din domän och undvika flera DMARC-poster skulle vara att helt enkelt registrera dig med vår DMARC-analysator.

PowerDMARC hanterar de flesta komplexiteterna i bakgrunden för att automatisera din e-postautentiseringsresa och hjälper dig att minska eventuella konfigurationsfel som kan orsaka problem i e-posthanteringen.

Om dina meddelanden misslyckas med DMARC är det ett bekymmer om du är en organisation som är starkt beroende av e-post för både extern och intern kommunikation. Det finns metoder och verktyg som du kan använda online (gratis) för att stoppa DMARC-fel för din e-post.

I den här artikeln ska vi noggrant debunka de sex främsta orsakerna till DMARC-fel och hur du kan minska dem för att förbättra leveransförmågan.

Innan vi går över till varför DMARC inte fungerar, ska vi se vad det är och hur det hjälper dig:

DMARC är en viktig aktivitet i din policy för autentisering av e-post för att förhindra att förfalskad "spoofed" e-post passerar transaktionsfilter för skräppost. Men det är bara en pelare i ett övergripande antispamprogram och alla DMARC-rapporter är inte lika bra. En del av dem talar om exakt vad e-postmottagarna gjorde med varje meddelande, medan andra bara talar om huruvida ett meddelande var framgångsrikt eller inte. Att förstå varför ett meddelande misslyckades är lika viktigt som att veta om det lyckades.

Vanliga orsaker som kan leda till att DMARC misslyckas

Det kan vara komplicerat att fastställa varför DMARC inte fungerar. Jag kommer dock att gå igenom några typiska orsaker och de faktorer som bidrar till dem, så att du som domänägare kan arbeta för att åtgärda problemet snabbare.

DMARC-justeringsfel

DMARC använder sig av domänanpassning för att autentisera din e-post. Det innebär att DMARC kontrollerar om den domän som nämns i From-adressen (i den synliga rubriken) är autentisk genom att jämföra den med den domän som nämns i den dolda Return-path-rubriken (för SPF) och DKIM-signaturrubriken (för DKIM). Om någon av dem stämmer överens klarar e-postmeddelandet DMARC, annars misslyckas DMARC.

Därför, om dina e-postmeddelanden misslyckas DMARC kan det vara ett fall av domän feljustering. Det är varken SPF- eller DKIM-identifierare som justeras och e-postmeddelandet verkar skickas från en obehörig källa. Detta är dock bara en av anledningarna till att DMARC misslyckas.

DMARC-justeringsläge 

Ditt protokolljusteringsläge spelar också en stor roll i dina meddelanden som passerar eller misslyckas DMARC. Du kan välja mellan följande justeringslägen för SPF-autentisering:

  • Avslappnad: Detta innebär att om domänen i Return-path-huvudet och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer SPF att godkännas även då.
  • Strikt: Detta innebär att SPF endast godkänns om domänen i Return-path-huvudet och domänen i From-huvudet stämmer exakt överens.

Du kan välja mellan följande justeringslägen för DKIM-autentisering:

  • Avslappnad: Detta innebär att om domänen i DKIM-signaturen och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer DKIM att godkännas även då.
  • Strikt: Detta innebär att DKIM endast godkänns om domänen i DKIM-signaturen och domänen i From-huvudet stämmer exakt överens.

Observera att för att e-postmeddelanden ska passera DMARC-autentisering måste antingen SPF eller DKIM anpassas.  

Konfigurera inte din DKIM-signatur 

Ett mycket vanligt fall där DMARC kan misslyckas är att du inte har angett en DKIM-signatur för din domän. I sådana fall tilldelar din leverantör av e-postutbytestjänster en standard-DKIM-signatur till utgående e-post som inte överensstämmer med domänen i din From-huvudrubrik. Den mottagande MTA:n misslyckas med att anpassa de två domänerna och därför misslyckas DKIM och DMARC för ditt meddelande (om dina meddelanden anpassas till både SPF och DKIM).

Lägger inte till sändningskällor i dns 

Det är viktigt att notera att när du konfigurerar DMARC för din domän utför mottagande MTA:er DNS-förfrågningar för att godkänna dina sändningskällor. Om du inte har listat alla dina godkända sändningskällor i domänens DNS kommer din e-post att misslyckas med DMARC för de källor som inte är listade, eftersom mottagaren inte kan hitta dem i din DNS. För att se till att dina legitima e-postmeddelanden alltid levereras bör du därför se till att alla dina auktoriserade tredjepartsleverantörer av e-postmeddelanden som har tillstånd att skicka e-postmeddelanden för din domäns räkning registreras i din DNS.

Vid vidarebefordran av e-post

Vid vidarebefordran av e-post passerar e-postmeddelandet genom en mellanliggande server innan det slutligen levereras till den mottagande servern. Vid vidarebefordran av e-post misslyckas SPF-kontrollen eftersom IP-adressen på den mellanliggande servern inte stämmer överens med den avsändande serverns IP-adress, och denna nya IP-adress ingår vanligtvis inte i den ursprungliga serverns SPF-post. Tvärtom påverkar vidarebefordran av e-post vanligtvis inte DKIM-autentisering av e-post, såvida inte den förmedlande servern eller den vidarebefordrande enheten gör vissa ändringar i meddelandets innehåll.

Eftersom vi vet att SPF oundvikligen misslyckas under vidarebefordran av e-post, om den sändande källan är DKIM-neutral och enbart förlitar sig på SPF för validering, kommer den vidarebefordrade e-postmeddelandet att göras olagligt under DMARC-autentisering. För att lösa problemet bör du omedelbart välja fullständig DMARC-efterlevnad i din organisation genom att justera och autentisera alla utgående meddelanden mot både SPF och DKIM, eftersom e-postmeddelandet för att skicka DMARC-autentisering skulle krävas för att skicka antingen SPF- eller DKIM-autentisering och justering.

Din domän förfalskas

Om du har konfigurerat dina DMARC-, SPF- och DKIM-protokoll korrekt för din domän, med dina policyer för verkställighet och giltiga felfria poster, och problemet inte är något av de ovan nämnda fallen, är den mest sannolika orsaken till att din e-post inte klarar DMARC att din domän förfalskas eller förfalskas. Detta är när bedragare och hotbildare försöker skicka e-postmeddelanden som ser ut att komma från din domän med hjälp av en illasinnad IP-adress.

Ny statistik över e-postbedrägerier visar att antalet fall av e-postförfalskningar har ökat på senare tid och att de utgör ett mycket stort hot mot din organisations rykte. Om du har DMARC implementerat i en avvisningspolicy kommer den i sådana fall att misslyckas och det förfalskade e-postmeddelandet kommer inte att levereras till mottagarens inkorg. Domänspoofing kan därför vara svaret på varför DMARC misslyckas i de flesta fall.

Varför misslyckas DMARC för tredjepartsleverantörer av brevlådor? (Gmail, Mailchimp, Sendgrid osv.)

Om du använder externa brevlådeleverantörer för att skicka e-post för din räkning måste du aktivera DMARC, SPF och/eller DKIM för dem. Du kan göra det antingen genom att kontakta dem och be dem sköta implementeringen åt dig, eller så kan du ta saken i egna händer och manuellt aktivera protokollen. För att göra detta måste du ha tillgång till din kontoportal som finns på var och en av dessa plattformar (som administratör).

Om dina Gmail-meddelanden misslyckas med DMARC, gå till domänens SPF-post och kontrollera om du har inkluderat _spf.google.com i den. Om inte kan detta vara en orsak till att mottagande servrar inte lyckas identifiera Gmail som din auktoriserade sändningskälla. Samma sak gäller för dina e-postmeddelanden som skickas från Mailchimp, Sendgrid och andra.

Hur åtgärdar man DMARC-fel?

För att åtgärda DMARC-fel rekommenderar vi att du registrerar dig för vår kostnadsfria DMARC Analyzer och börjar din resa med DMARC-rapportering och övervakning.

#Steg 1: Med en policy för ingen kan du börja med att övervaka din domän med DMARC (RUA) Aggregate Reports och hålla ett vakande öga på din inkommande och utgående e-post, så att du kan reagera på eventuella oönskade leveransproblem.

#Steg 2: Därefter hjälper vi dig att byta till en policy som i slutändan hjälper dig att få immunitet mot domänförfalskning och phishing-attacker.

#Steg 3: Ta bort skadliga IP-adresser och rapportera dem direkt från PowerDMARC-plattformen för att undvika framtida personifieringsattacker med hjälp av vår Threat Intelligence-motor.

#Steg 4: Aktivera DMARC (RUF) Forensiska rapporter för att få detaljerad information om fall där din e-post har misslyckats med DMARC så att du kan gå till roten av problemet och åtgärda det snabbare.

Hur hanterar man meddelanden som inte klarar DMARC?

Observera att ett e-postmeddelande kan misslyckas med DMARC på grund av vanliga omständigheter, t.ex. ett hot om förfalskning, och misslyckas med anpassningen för a) endast DKIM b) endast SPF c) båda. Om det misslyckas med båda dessa kriterier anses ditt meddelande vara otillåtet. Du kan konfigurera en lämplig DMARC-policy för att instruera mottagarna om hur de ska reagera på dessa e-postmeddelanden.

Vi hoppas att vi kunde ta itu med frågan varför DMARC inte fungerar för din domän och ge en lösning på hur du enkelt kan åtgärda problemet. För att förhindra domänförfalskning och övervaka ditt e-postflöde med PowerDMARC, idag!