Inlägg

E-postsäkerhet har alltid varit en utmaning. Det räcker inte att bara kryptera meddelanden för att förhindra att hackare och spammare utnyttjar dem. Det är här begreppet DMARC-utvärdering kommer in i bilden. DMARC använder DNS för att ange hur e-postmeddelanden som inte kan autentiseras ska behandlas. SPF, DKIMeller båda.

I den här bloggen diskuterar vi vad DMARC är, varför du behöver det och hur du löser felet 521 5.2.1 misslyckad DMARC-utvärdering.

Vad är DMARC?

DMARC är en förkortning för Domain-based Message Authentication, Reporting & Conformance, ett protokoll för autentisering av e-post som bygger på protokollen SPF och DKIM. Meddelanden skickas från auktoriserade servrar till den DMARC-kompatibla domänens SPF-post och/eller DKIM-signatur. Om någon av kontrollerna är framgångsrik levereras meddelandet. Meddelandet returneras dock olevererat om det inte klarar båda kontrollerna eftersom det inte uppfyllde SPF- eller DKIM-kraven.

Från och med 2021 har antalet giltiga DMARC-policyer som observerats i användning ökat med så mycket som 84 %, till totalt nästan 5 miljoner unika poster, jämfört med 2020.

Vad är SPF

SPF är en förkortning för Senders Policy Framework, ett protokoll för autentisering av e-post som identifierar och tillhandahåller säkerhet vid e-postförfalskning. Det låter dig skapa en DNS TXT-post där du listar alla IP-adresser som får skicka e-post med din domän. SPF hjälper Internetleverantörer eller e-postservrar att validera meddelanden från en viss domän.

Vad är DKIM?

DKIM står för Domainkeys Identified Mail, ett protokoll som gör att du kan signera ditt e-postmeddelande digitalt. Det görs med hjälp av en unik identifierare som använder kryptografi med offentlig nyckel och inte en IP-adress. Den mottagande servern jämför alltså alltid den privata och den offentliga hashen för att se om de stämmer överens.

Om de stämmer överens valideras meddelandet, annars markeras det som skräppost.

Hur beror DMARC på SPF och DKIM?

DMARC är beroende av både SPF- och DKIM-protokollen för autentisering av e-post. Det gör det möjligt för dig att beskriva hur mottagarservrarna ska hantera obehörig e-post som kommer från din domän. DMARC definierar en annan DNS-post där den offentliga nyckeln för den avsändande domänen lagras. Dessa poster gör det möjligt för den mottagande e-postservern att göra följande:

  • Verifiera avsändarens autentisering för att skicka e-post från källdomänen med SPF.
  • Autentisera e-postmeddelanden genom att verifiera dem med hjälp av den digitala signatur som fastställts genom att upprätta DKIM.
  • Bestäm hur oautentiserad e-post ska behandlas av mottagarens e-postserver.

Även om administratörer av e-postsystem försöker vara försiktiga med oautentiserad e-post hjälper DMARC dem att bestämma hur denna kan behandlas. Detta fungerar genom att ställa in en av de tre strategierna: ingen, avvisa eller karantän. 

Du bör dock utbilda ditt team i hur man förhindrar nätfiske och BEC-attacker för att minska risken.

Hur DMARC begränsar mina meddelanden

Här är några meddelanden som du kan få se vid misslyckad DMARC-utvärdering.

"521 5.2.1 misslyckades med DMARC-utvärderingen: Det här meddelandet misslyckades med DMARC-utvärderingen och avvisas på grund av den angivna DMARC-policyn."

"550 5.7.1- Oautentiserat e-postmeddelande från domain.tld accepteras inte på grund av domänens DMARC-policy. Kontakta administratören för domän.tld-domänen om detta var ett legitimt e-postmeddelande. Besök https://support.google.com/mail/answer/2451690 för att få mer information om DMARC-initiativet. 62si14044909itw.103 - gsmtp"

Dessa meddelanden visas på grund av DMARC-fel. Detta händer vanligtvis när brevlådeleverantörerna inte accepterar meddelanden där From-domänen är en av deras adresser, och meddelandet skickas från en obehörig leverantör av e-postdomäntjänster. 

Det är därför Twilio SendGrid-konton inte får skicka meddelanden med en From-adress från Gmail, AOL eller Yahoo till någon domän som verifierar DMARC i förväg. Dessa komplikationer gör det viktigt att veta vad DMARC-utvärdering är och hur man löser misslyckade utvärderingar. 

Om du fortfarande vill skicka e-post måste du ändra din e-postadress till en annan oskyddad e-postadress. Det är bäst att använda din egen e-postdomän eftersom den är legitim. Du kan också använda en försäljares legitima e-postdomän. Sedan kan du ställa in fältet Svar till som den ursprungliga adressen som tidigare ställdes in som Från-adress.  

Det bör noteras att e-postmeddelanden med misslyckad DMARC-utvärdering kan kasseras och spåras som Blockerad. Om du vill skicka det utan att misslyckas, justera din Från-adress enligt ovan och försök sedan skicka det på nytt från din sida.

Syntaxfel

Samtidigt som du lär dig vad DMARC-utvärdering är, kanske du också vill veta mer om syntaxfel i DNS-poster. Vanliga SMTP-fel börjar med koden 554 som anger att transaktionen misslyckats. Det är ett permanent fel och servern skickar inte meddelandet på nytt.

  • Ett 554 5.7.5 permanent fel som utvärderar dmarc-policy (Protonmail) lyder så här; 

Svaret från fjärrservern var: 

554 5.7.5 Permanent fel vid utvärdering av DMARC-policy

  • Ett 521 5.2.1 fel som utvärderar dmarc-policyn lyder så här:

Det här meddelandet misslyckades med DMARC-utvärderingen och avvisas på grund av den angivna DMARC-policyn. 

  • Ett 550 5.7.1-fel som utvärderar dmarc-policyn lyder så här:

Oautentiserat e-postmeddelande från example.com accepteras inte på grund av domänens dmarc-policy.

Hur löser man felet 521 5.2.1 Failed Dmarc Evaluation Error?

Vilka åtgärder kan du vidta för att lösa problemet 'det här meddelandet har misslyckats med DMARC-utvärderingen". felet?

För att använda DMARC måste du anpassa SPF och en anpassad DKIM-signatur. Därefter måste du se till att alla e-postservrar som använder din domän är uppdaterade. Detta inkluderar även de servrar som ditt företag använder lokalt innan du publicerar en DMARC-policy. Du måste uppdatera policyn om du får ett avvisningsmeddelande som specificerar ett meddelande som inte klarade DMARC-utvärderingen på grund av att det inte fanns någon SPF- eller DKIM-anpassning. 

Du kan kontakta vårt team av DMARC-experter för att få rätt vägledning och konfiguration.