varför misslyckas DMARC

E-postautentisering är en viktig aspekt av en e-postleverantörs jobb. E-postautentisering som också kallas SPF och DKIM kontrollerar en e-postleverantörs identitet. DMARC lägger till processen att verifiera ett e-postmeddelande genom att kontrollera om ett e-postmeddelande har skickats från en legitim domän genom justering och ange för att ta emot servrar hur man svarar på meddelanden som inte fungerar autentiseringskontroller. Idag kommer vi att diskutera de olika scenarierna som skulle svara på din fråga om varför DMARC misslyckas.

DMARC är en viktig aktivitet i din e-postautentiseringspolicy för att förhindra förfalskade "förfalskade" e-postmeddelanden från att skicka transaktionella skräppostfilter. Men det är bara en pelare i ett övergripande anti-spam-program och inte alla DMARC-rapporter skapas lika. Vissa kommer att berätta exakt vilken åtgärd e-postmottagare tog på varje meddelande, och andra kommer bara att berätta om ett meddelande lyckades eller inte. Att förstå varför ett meddelande misslyckades är lika viktigt som att veta om det gjorde det. I följande artikel förklaras orsakerna till vilka meddelanden som misslyckas med DMARC-autentiseringskontroller. Detta är de vanligaste orsakerna (av vilka några enkelt kan åtgärdas) för vilka meddelanden kan misslyckas DMARC-autentiseringskontroller.

Vanliga orsaker till att meddelanden kan misslyckas DMARC

Att identifiera varför DMARC misslyckas kan vara komplicerat. Men jag kommer att gå igenom några typiska skäl, de faktorer som bidrar till dem, så att du som domänägare kan arbeta för att åtgärda problemet snabbare.

DMARC-justeringsfel

DMARC använder domänjustering för att autentisera dina e-postmeddelanden. Detta innebär att DMARC verifierar om domänen som nämns i från-adressen (i det synliga huvudet) är äkta genom att matcha den mot domänen som nämns i det dolda retursökvägshuvudet (för SPF) och DKIM-signaturhuvudet (för DKIM). Om något av dem matchar passerar e-postmeddelandet DMARC, annars misslyckas DMARC.

Därför, om dina e-postmeddelanden misslyckas DMARC kan det vara ett fall av domän feljustering. Det är varken SPF- eller DKIM-identifierare som justeras och e-postmeddelandet verkar skickas från en obehörig källa. Detta är dock bara en av anledningarna till att DMARC misslyckas.

DMARC-justeringsläge 

Ditt protokolljusteringsläge spelar också en stor roll i dina meddelanden som passerar eller misslyckas DMARC. Du kan välja mellan följande justeringslägen för SPF-autentisering:

  • Avslappnad: Detta innebär att om domänen i retursökvägshuvudet och domänen i från-huvudet helt enkelt är en organisationsmatchning, även då kommer SPF att passera.
  • Strikt: Detta innebär att endast om domänen i retursökvägshuvudet och domänen i från-huvudet är en exakt matchning, kommer SPF bara att passera.

Du kan välja mellan följande justeringslägen för DKIM-autentisering:

  • Avslappnad: Detta innebär att om domänen i DKIM-signaturen och domänen i Från-huvudet helt enkelt är en organisatorisk matchning, även då kommer DKIM att passera.
  • Strikt: Detta innebär att endast om domänen i DKIM-signaturen och domänen i Från-huvudet är en exakt matchning, kommer DKIM bara att passera.

Observera att för att e-postmeddelanden ska kunna skicka DMARC-autentisering måste antingen SPF eller DKIM justeras.  

Konfigurera inte din DKIM-signatur 

Ett mycket vanligt fall där DMARC kanske misslyckas är att du inte har angett en DKIM-signatur för din domän. I sådana fall tilldelar din leverantör av e-postutbytestjänster en standard DKIM-signatur till dina utgående e-postmeddelanden som inte överensstämmer med domänen i ditt Från-huvud. Det mottagande MTA kan inte justera de två domänerna, och därför misslyckas DKIM och DMARC för ditt meddelande (om dina meddelanden är justerade mot både SPF och DKIM).

Lägger inte till sändningskällor i dns 

Det är viktigt att notera att när du konfigurerar DMARC för din domän utför MTA DNS-frågor för att auktorisera dina sändande källor. Detta innebär att om du inte har alla dina auktoriserade sändningskällor listade i din domäns DNS, kommer dina e-postmeddelanden att misslyckas DMARC för de källor som inte finns listade, eftersom mottagaren inte skulle kunna hitta dem i din DNS. För att säkerställa att dina legitima e-postmeddelanden alltid levereras, se därför till att göra poster på alla dina auktoriserade e-postleverantörer från tredje part som har behörighet att skicka e-post för din domäns räkning, i din DNS.

Vid vidarebefordran av e-post

Under vidarebefordran av e-post skickas e-postmeddelandet via en mellanliggande server innan det slutligen levereras till den mottagande servern. Under SPF-kontrollen för vidarebefordran av e-post misslyckas SPF-kontrollen eftersom IP-adressen för mellanhandsservern inte matchar den sändande serverns, och den nya IP-adressen ingår vanligtvis inte i den ursprungliga serverns SPF-post. Tvärtom påverkar vidarebefordran av e-postmeddelanden vanligtvis inte DKIM-e-postautentisering, såvida inte mellanhandsservern eller vidarespedyrenheten gör vissa ändringar i meddelandets innehåll.

Eftersom vi vet att SPF oundvikligen misslyckas under vidarebefordran av e-post, om den sändande källan är DKIM-neutral och enbart förlitar sig på SPF för validering, kommer den vidarebefordrade e-postmeddelandet att göras olagligt under DMARC-autentisering. För att lösa problemet bör du omedelbart välja fullständig DMARC-efterlevnad i din organisation genom att justera och autentisera alla utgående meddelanden mot både SPF och DKIM, eftersom e-postmeddelandet för att skicka DMARC-autentisering skulle krävas för att skicka antingen SPF- eller DKIM-autentisering och justering.

Din domän förfalskas

Om du har dina DMARC-, SPF- och DKIM-protokoll korrekt konfigurerade för din domän, med dina policyer vid tvingande och giltiga felfria poster, och problemet inte är något av de ovan nämnda fallen, är den mest sannolika orsaken till att dina e-postmeddelanden misslyckas DMARC att din domän förfalskas eller förfalskas. Detta är när personifierare och hotaktörer försöker skicka e-postmeddelanden som verkar komma från din domän med en skadlig IP-adress.

Den senaste statistiken över e-postbedrägerier har dragit slutsatsen att e-postförfalskningsfall ökar på senare tid och är ett mycket stort hot mot din organisations rykte. I sådana fall om du har DMARC implementerat på en avvisningspolicy kommer det att misslyckas och det förfalskade e-postmeddelandet kommer inte att levereras till mottagarens inkorg. Därför kan domänförfalskning vara svaret på varför DMARC misslyckas i de flesta fall.

Vi rekommenderar att du registrerar dig med vår kostnadsfria DMARC Analyzer och påbörjar din resa med DMARC-rapportering och övervakning.

  • Med en ingen policy kan du övervaka din domän med DMARC (RUA) aggregerade rapporter och hålla ett öga på dina inkommande och utgående e-postmeddelanden, detta hjälper dig att svara på oönskade leveransproblem
  • Efter det hjälper vi dig att övergå till en påtvingad policy som i slutändan skulle hjälpa dig att få immunitet mot domänförfalskning och phishing-attacker
  • Du kan ta bort skadliga IP-adresser och rapportera dem direkt från PowerDMARC-plattformen för att undvika framtida personifieringsattacker, med hjälp av vår Threat Intelligence-motor
  • PowerDMARC: s DMARC (RUF) Kriminaltekniska rapporter hjälper dig att få detaljerad information om fall där dina e-postmeddelanden har misslyckats DMARC så att du kan komma till roten av problemet och fixa det

Förhindra domänförfalskning och övervaka ditt e-postflöde med PowerDMARC idag!