Om dina meddelanden misslyckas med DMARC är det ett bekymmer om du är en organisation som är starkt beroende av e-post för både extern och intern kommunikation. Det finns metoder och verktyg som du kan använda online (gratis) för att stoppa DMARC-fel för din e-post.
I den här artikeln ska vi noggrant debunka de sex främsta orsakerna till DMARC-fel och hur du kan minska dem för att förbättra leveransförmågan.
Innan vi går över till varför DMARC inte fungerar, ska vi se vad det är och hur det hjälper dig:
DMARC är en viktig aktivitet i din policy för autentisering av e-post för att förhindra att förfalskad "spoofed" e-post passerar transaktionsfilter för skräppost. Men det är bara en pelare i ett övergripande antispamprogram och alla DMARC-rapporter är inte lika bra. En del av dem talar om exakt vad e-postmottagarna gjorde med varje meddelande, medan andra bara talar om huruvida ett meddelande var framgångsrikt eller inte. Att förstå varför ett meddelande misslyckades är lika viktigt som att veta om det lyckades.
Vanliga orsaker som kan leda till att DMARC misslyckas
Det kan vara komplicerat att fastställa varför DMARC inte fungerar. Jag kommer dock att gå igenom några typiska orsaker och de faktorer som bidrar till dem, så att du som domänägare kan arbeta för att åtgärda problemet snabbare.
DMARC-justeringsfel
DMARC använder sig av domänanpassning för att autentisera din e-post. Det innebär att DMARC kontrollerar om den domän som nämns i From-adressen (i den synliga rubriken) är autentisk genom att jämföra den med den domän som nämns i den dolda Return-path-rubriken (för SPF) och DKIM-signaturrubriken (för DKIM). Om någon av dem stämmer överens klarar e-postmeddelandet DMARC, annars misslyckas DMARC.
Därför, om dina e-postmeddelanden misslyckas DMARC kan det vara ett fall av domän feljustering. Det är varken SPF- eller DKIM-identifierare som justeras och e-postmeddelandet verkar skickas från en obehörig källa. Detta är dock bara en av anledningarna till att DMARC misslyckas.
DMARC-justeringsläge
Ditt protokolljusteringsläge spelar också en stor roll i dina meddelanden som passerar eller misslyckas DMARC. Du kan välja mellan följande justeringslägen för SPF-autentisering:
- Avslappnad: Detta innebär att om domänen i Return-path-huvudet och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer SPF att godkännas även då.
- Strikt: Detta innebär att SPF endast godkänns om domänen i Return-path-huvudet och domänen i From-huvudet stämmer exakt överens.
Du kan välja mellan följande justeringslägen för DKIM-autentisering:
- Avslappnad: Detta innebär att om domänen i DKIM-signaturen och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer DKIM att godkännas även då.
- Strikt: Detta innebär att DKIM endast godkänns om domänen i DKIM-signaturen och domänen i From-huvudet stämmer exakt överens.
Observera att för att e-postmeddelanden ska passera DMARC-autentisering måste antingen SPF eller DKIM anpassas.
Konfigurera inte din DKIM-signatur
Ett mycket vanligt fall där DMARC kan misslyckas är att du inte har angett en DKIM-signatur för din domän. I sådana fall tilldelar din leverantör av e-postutbytestjänster en standard-DKIM-signatur till utgående e-post som inte överensstämmer med domänen i din From-huvudrubrik. Den mottagande MTA:n misslyckas med att anpassa de två domänerna och därför misslyckas DKIM och DMARC för ditt meddelande (om dina meddelanden anpassas till både SPF och DKIM).
Lägger inte till sändningskällor i dns
Det är viktigt att notera att när du konfigurerar DMARC för din domän utför mottagande MTA:er DNS-förfrågningar för att godkänna dina sändningskällor. Om du inte har listat alla dina godkända sändningskällor i domänens DNS kommer din e-post att misslyckas med DMARC för de källor som inte är listade, eftersom mottagaren inte kan hitta dem i din DNS. För att se till att dina legitima e-postmeddelanden alltid levereras bör du därför se till att alla dina auktoriserade tredjepartsleverantörer av e-postmeddelanden som har tillstånd att skicka e-postmeddelanden för din domäns räkning registreras i din DNS.
Vid vidarebefordran av e-post
Vid vidarebefordran av e-post passerar e-postmeddelandet genom en mellanliggande server innan det slutligen levereras till den mottagande servern. Vid vidarebefordran av e-post misslyckas SPF-kontrollen eftersom IP-adressen på den mellanliggande servern inte stämmer överens med den avsändande serverns IP-adress, och denna nya IP-adress ingår vanligtvis inte i den ursprungliga serverns SPF-post. Tvärtom påverkar vidarebefordran av e-post vanligtvis inte DKIM-autentisering av e-post, såvida inte den förmedlande servern eller den vidarebefordrande enheten gör vissa ändringar i meddelandets innehåll.
Eftersom vi vet att SPF oundvikligen misslyckas under vidarebefordran av e-post, om den sändande källan är DKIM-neutral och enbart förlitar sig på SPF för validering, kommer den vidarebefordrade e-postmeddelandet att göras olagligt under DMARC-autentisering. För att lösa problemet bör du omedelbart välja fullständig DMARC-efterlevnad i din organisation genom att justera och autentisera alla utgående meddelanden mot både SPF och DKIM, eftersom e-postmeddelandet för att skicka DMARC-autentisering skulle krävas för att skicka antingen SPF- eller DKIM-autentisering och justering.
Din domän förfalskas
Om du har konfigurerat dina DMARC-, SPF- och DKIM-protokoll korrekt för din domän, med dina policyer för verkställighet och giltiga felfria poster, och problemet inte är något av de ovan nämnda fallen, är den mest sannolika orsaken till att din e-post inte klarar DMARC att din domän förfalskas eller förfalskas. Detta är när bedragare och hotbildare försöker skicka e-postmeddelanden som ser ut att komma från din domän med hjälp av en illasinnad IP-adress.
Ny statistik över e-postbedrägerier visar att antalet fall av e-postförfalskningar har ökat på senare tid och att de utgör ett mycket stort hot mot din organisations rykte. Om du har DMARC implementerat i en avvisningspolicy kommer den i sådana fall att misslyckas och det förfalskade e-postmeddelandet kommer inte att levereras till mottagarens inkorg. Domänspoofing kan därför vara svaret på varför DMARC misslyckas i de flesta fall.
Varför misslyckas DMARC för tredjepartsleverantörer av brevlådor? (Gmail, Mailchimp, Sendgrid osv.)
Om du använder externa brevlådeleverantörer för att skicka e-post för din räkning måste du aktivera DMARC, SPF och/eller DKIM för dem. Du kan göra det antingen genom att kontakta dem och be dem sköta implementeringen åt dig, eller så kan du ta saken i egna händer och manuellt aktivera protokollen. För att göra detta måste du ha tillgång till din kontoportal som finns på var och en av dessa plattformar (som administratör).
Om dina Gmail-meddelanden misslyckas med DMARC, gå till domänens SPF-post och kontrollera om du har inkluderat _spf.google.com i den. Om inte kan detta vara en orsak till att mottagande servrar inte lyckas identifiera Gmail som din auktoriserade sändningskälla. Samma sak gäller för dina e-postmeddelanden som skickas från Mailchimp, Sendgrid och andra.
Hur åtgärdar man DMARC-fel?
För att åtgärda DMARC-fel rekommenderar vi att du registrerar dig för vår kostnadsfria DMARC Analyzer och börjar din resa med DMARC-rapportering och övervakning.
#Steg 1: Med en policy för ingen kan du börja med att övervaka din domän med DMARC (RUA) Aggregate Reports och hålla ett vakande öga på din inkommande och utgående e-post, så att du kan reagera på eventuella oönskade leveransproblem.
#Steg 2: Därefter hjälper vi dig att byta till en policy som i slutändan hjälper dig att få immunitet mot domänförfalskning och phishing-attacker.
#Steg 3: Ta bort skadliga IP-adresser och rapportera dem direkt från PowerDMARC-plattformen för att undvika framtida personifieringsattacker med hjälp av vår Threat Intelligence-motor.
#Steg 4: Aktivera DMARC (RUF) Forensiska rapporter för att få detaljerad information om fall där din e-post har misslyckats med DMARC så att du kan gå till roten av problemet och åtgärda det snabbare.
Hur hanterar man meddelanden som inte klarar DMARC?
Observera att ett e-postmeddelande kan misslyckas med DMARC på grund av vanliga omständigheter, t.ex. ett hot om förfalskning, och misslyckas med anpassningen för a) endast DKIM b) endast SPF c) båda. Om det misslyckas med båda dessa kriterier anses ditt meddelande vara otillåtet. Du kan konfigurera en lämplig DMARC-policy för att instruera mottagarna om hur de ska reagera på dessa e-postmeddelanden.
Vi hoppas att vi kunde ta itu med frågan varför DMARC inte fungerar för din domän och ge en lösning på hur du enkelt kan åtgärda problemet. För att förhindra domänförfalskning och övervaka ditt e-postflöde med PowerDMARC, idag!