Varför misslyckas DMARC? Åtgärda DMARC-fel i 2023
DMARC-fel inträffar när ett inkommande e-postmeddelande inte klarar DMARC-autentiseringskontrollerna. Det innebär att e-postmeddelandet inte överensstämmer med de policyer som fastställts av domänägaren, vilket indikerar ett potentiellt försök till spoofing eller phishing. Vid DMARC-fel kan mottagarens e-postserver vidta olika åtgärder baserat på de principer som definierats av domänägaren, t.ex. markera e-postmeddelandet som skräppost, avvisa det eller sätta det i karantän. Ett DMARC-fel kan påverka din e-postmarknadsföring och avsevärt minska leveransgraden för din e-post.
Grundläggande begrepp kring DMARC-protokollet
DMARC står för Domain-based Message Authentication, Reporting, and Conformance (domänbaserad autentisering, rapportering och överensstämmelse av meddelanden). Det är ett autentiseringsprotokoll för e-post som ger ytterligare ett lager av säkerhet genom att förhindra förfalskning av e-post och phishing-attacker. DMARC fungerar så att domänägare kan publicera policyer i sina DNS-poster och instruera mottagande e-postservrar om hur de ska hantera e-postmeddelanden som påstår sig komma från deras domän.
Det gör det möjligt för domänägare att ange om obehöriga e-postmeddelanden ska avvisas eller sättas i karantän, vilket ger bättre kontroll över e-postleveransen. DMARC genererar också rapporter som ger värdefulla insikter i autentiseringsfel för e-post, så att organisationer kan övervaka och förbättra sina säkerhetsåtgärder för e-post.
Sammantaget bidrar DMARC till att förbättra e-postsäkerheten genom att genomdriva autentiseringskontroller och göra det möjligt för organisationer att skydda sitt varumärkes rykte och sina användare från e-postbaserade hot
Förstå varför DMARC misslyckas
DMARC-fel kan uppstå på grund av olika orsaker, inklusive SPF och DKIM autentiseringsfel, feljustering mellan "From" -domänen, SPFoch DKIM, problem med vidarebefordran eller tredjepartstjänster som ändrar e-postsignaturer, felkonfigurerade DMARC-policyer och försök från skadliga aktörer att förfalska legitima domäner.
DMARC-fel kan leda till autentiseringsproblem för e-post, potentiella leveransproblem och en ökad risk för nätfiskeattacker. Att förstå dessa orsaker och implementera korrekta konfigurationer och autentiseringsåtgärder kan bidra till att förbättra DMARC-efterlevnaden och förbättra e-postsäkerhet.
Vanliga orsaker till DMARC-fel
Vanliga orsaker till DMARC-fel kan inkludera inriktningsfel, felinriktning av sändningskällan, problem med din DKIM-signatur, vidarebefordrade e-postmeddelanden etc. Låt oss utforska var och en av dessa i detalj:
1. Misslyckanden med DMARC-anpassning
DMARC använder sig av domänanpassning för att autentisera dina e-postmeddelanden. Det innebär att DMARC kontrollerar om den domän som anges i From-adressen (i den synliga rubriken) är autentisk genom att matcha den mot den domän som anges i den dolda Return-path-rubriken (för SPF) och DKIM-signaturrubriken (för DKIM). Om någon av dessa stämmer överens godkänns DMARC för e-postmeddelandet, annars leder det till DMARC-fel.
Om dina e-postmeddelanden misslyckas med DMARC kan det därför vara ett fall av felaktig domäninriktning. Det är varken SPF- eller DKIM-identifierare som anpassas och e-postmeddelandet verkar skickas från en obehörig källa. Detta är dock bara en av anledningarna till DMARC-fel.
DMARC-justeringsläge
Ditt protokolljusteringsläge kan också leda till DMARC-fel. Du kan välja mellan följande anpassningslägen för SPF-autentisering:
- Avslappnad: Detta innebär att om domänen i Return-path-headern och domänen i From-headern helt enkelt är en organisatorisk matchning, även då kommer SPF att godkännas.
- Strikt: Detta innebär att endast om domänen i Return-path-headern och domänen i From-headern är en exakt matchning, endast då kommer SPF att passera.
Du kan välja mellan följande justeringslägen för DKIM-autentisering:
- Avslappnad: Detta innebär att om domänen i DKIM-signaturen och domänen i From-headern helt enkelt är en organisatorisk matchning, även då kommer DKIM att godkännas.
- Strikt: Detta innebär att endast om domänen i DKIM-signaturen och domänen i From-headern är en exakt matchning, endast då kommer DKIM att godkännas.
Observera att för att e-postmeddelanden ska passera DMARC-autentisering måste antingen SPF eller DKIM anpassas.
2. Du har inte ställt in din DKIM-signatur
Ett mycket vanligt fall där din DMARC kan misslyckas är att du inte har angett en DKIM-signatur för din domän. I sådana fall tilldelar din tjänsteleverantör för e-postutbyte en standard DKIM-signatur till dina utgående e-postmeddelanden som inte stämmer överens med domänen i ditt Från-huvud. Den mottagande MTA misslyckas med att anpassa de två domänerna, och därför misslyckas DKIM och DMARC för ditt meddelande (om dina meddelanden anpassas mot både SPF och DKIM).
3. Att inte lägga till sändningskällor i din DNS
Det är viktigt att notera att när du konfigurerar DMARC för din domän utför mottagande MTA DNS-frågor för att auktorisera dina sändande källor. Detta innebär att om du inte har alla dina auktoriserade sändningskällor listade i din domäns DNS, kommer dina e-postmeddelanden att misslyckas DMARC för de källor som inte är listade eftersom mottagaren inte skulle kunna hitta dem i din DNS.
För att säkerställa att dina legitima e-postmeddelanden alltid levereras ska du därför se till att du i din DNS anger alla auktoriserade e-postleverantörer från tredje part som har tillstånd att skicka e-postmeddelanden på uppdrag av din domän.
4. Vid vidarebefordran av e-post
Vid vidarebefordran av e-post passerar e-postmeddelandet via en mellanliggande server innan det slutligen levereras till den mottagande servern. SPF-kontrollen misslyckas eftersom IP-adressen för den mellanliggande servern inte matchar den sändande serverns IP-adress, och denna nya IP-adress vanligtvis inte ingår i den ursprungliga serverns SPF-post.
Däremot påverkar vidarebefordran av e-postmeddelanden vanligtvis inte DKIM-e-postautentisering, såvida inte den mellanliggande servern eller den vidarebefordrande enheten gör vissa ändringar i innehållet i meddelandet.
För att lösa detta problem bör du omedelbart välja full DMARC-efterlevnad i din organisation genom att anpassa och autentisera alla utgående meddelanden mot både SPF och DKIM, för att ett e-postmeddelande ska klara DMARC-autentisering krävs att e-postmeddelandet klarar antingen SPF- eller DKIM-autentisering och anpassning.
Relaterad läsning: Vidarebefordran av e-post och DMARC
5. Din domän är förfalskad
Om allt är bra på implementeringssidan kan dina e-postmeddelanden misslyckas med DMARC som ett resultat av en spoofing-attack. Detta är när imitatörer och hotaktörer försöker skicka e-postmeddelanden som ser ut att komma från din domän med hjälp av en skadlig IP-adress.
Ny statistik över e-postbedrägerier har visat att förfalskningar av e-post ökar och utgör ett stort hot mot din organisations rykte. I sådana fall, om du har DMARC implementerad på en avvisningspolicy, kommer den att misslyckas och den förfalskade e-postmeddelandet kommer inte att levereras till din mottagares inkorg. Därför kan domänförfalskning vara svaret på varför DMARC misslyckas i de flesta fall.
Varför misslyckas DMARC för tredjepartsleverantörer av brevlådor?
Om du använder externa brevlådeleverantörer för att skicka e-post för din räkning måste du aktivera DMARC, SPF och/eller DKIM för dem. Du kan göra det antingen genom att kontakta dem och be dem sköta implementeringen åt dig, eller så kan du ta saken i egna händer och manuellt aktivera protokollen. För att göra detta måste du ha tillgång till din kontoportal som finns på var och en av dessa plattformar (som administratör).
Om du inte aktiverar dessa protokoll för din externa brevlådeoperatör kan det leda till DMARC-fel.
Om DMARC misslyckas för dina Gmail-meddelanden, gå till din domäns SPF-post och kontrollera om du har inkluderat _spf.google.com i den. Om inte, kan detta vara en anledning till att mottagande servrar misslyckas med att identifiera Gmail som din auktoriserade sändningskälla. Detsamma gäller för dina e-postmeddelanden som skickas från MailChimp, SendGrid och andra.
Hur upptäcker jag meddelanden som inte klarar DMARC?
DMARC-fel för meddelanden kan enkelt upptäckas om du har aktiverat rapportering för dina DMARC-rapporter. Alternativt kan du göra en analys av e-posthuvudet eller använda Gmails e-post; loggsökning. Låt oss utforska hur:
1. Aktivera DMARC-rapportering för dina domäner
För att upptäcka DMARC-fel kan du använda den här praktiska funktionen som erbjuds av ditt DMARC-protokoll. Du kan ta emot rapporter som innehåller dina DMARC-data från ESP genom att helt enkelt definiera en "rua"-tagg i din DMARC DNS-post. Din syntax kan vara som följer:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Rua-taggen ska innehålla den e-postadress som du vill få dina rapporter till.
På PowerDMARC tillhandahåller vi förenklade och lättlästa rapporter som hjälper dig att enkelt upptäcka DMARC-fel och felsöka det snabbare:
2. Analysera e-postrubriker manuellt eller använd analysverktyg
DMARC-fel kan också upptäckas genom att analysera dina e-postrubriker.
a. Manuell metod
Du kan antingen analysera rubrikerna manuellt enligt nedan
Om du använder Gmail för att skicka e-post kan du klicka på ett meddelande, klicka på "mer" (de tre punkterna i det övre högra hörnet) och sedan klicka på "visa original":
Du kan inspektera dina DMARC-autentiseringsresultat nu:
b. Automatiserade analysverktyg
PowerDMARC:s analysator för e-posthuvud är ett utmärkt verktyg för omedelbar upptäckt av DMARC-fel och för att mildra problemet med DMARC-fel.
Med oss får du en omfattande analys av statusen för DMARC för dina e-postmeddelanden, anpassningar och andra överensstämmelser som visas nedan:
3. Använd Googles sökning i e-postloggen
Du kan hitta ytterligare information om ett visst meddelande som inte klarar DMARC genom att använda Googles sökning i e-postloggen. Detta kommer att avslöja meddelandedetaljer, meddelandedetaljer efter leverans och mottagardetaljer. Resultaten presenteras i tabellformat enligt nedan:
Hur åtgärdar man DMARC-fel?
För att åtgärda DMARC-fel rekommenderar vi att du registrerar dig med vår DMARC-analysator och börja din resa med DMARC-rapportering och övervakning.
Steg 1: Börja på noll
Med en ingen policy kan du börja med att övervaka din domän med DMARC (RUA) aggregerade rapporter och hålla ett öga på dina inkommande och utgående e-postmeddelanden, detta hjälper dig att svara på eventuella oönskade leveransproblem.
Steg 2: Övergång till verkställighet
Efter det hjälper vi dig att övergå till en policy som i slutändan hjälper dig att få immunitet mot domänförfalskning och phishing-attacker.
Steg 3: Använd vår AI-drivna hotdetektering
Ta bort skadliga IP-adresser och rapportera dem direkt från PowerDMARC-plattformen för att undvika framtida personifieringsattacker, med hjälp av vår Threat Intelligence-motor.
Steg 4: Kontinuerlig övervakning
Aktivera DMARC (RUF) Forensiska rapporter som ger detaljerad information om fall där dina e-postmeddelanden har misslyckats med DMARC så att du kan gå till roten med problemet och åtgärda det snabbare.
Hur hanterar man meddelanden som inte klarar DMARC?
För att hantera meddelanden som misslyckas med DMARC kan du välja en mer avslappnad DMARC-policy, kontrollera din DNS-post för eventuella fel och kombinera dina DMARC-implementeringar med både DKIM och SPF för maximal säkerhet och minskad risk för falska negativa resultat.
1. Kontrollera din DMARC-post
Använd en DMARC-kontroll för att hitta syntaktiska eller andra formativa fel i din post, t.ex. extra mellanslag, stavfel etc.
2. Satsa på en mjukare politik
Du kan alltid välja en mer avslappnad policy för DMARC, t.ex. "ingen". Detta gör att dina meddelanden kan nå dina mottagare även om DMARC misslyckas för dem. Detta gör dig dock sårbar för nätfiske och förfalskningsattacker.
3. Använd både SPF och DKIM Anpassning
Genom att använda både DKIM och SPF tillsammans får man en lagerindelad metod för autentisering av e-post. DKIM verifierar meddelandets integritet och ser till att det inte har manipulerats, medan SPF verifierar den avsändande serverns identitet. Tillsammans bidrar de till att skapa förtroende för e-postens källa, vilket minskar risken för förfalskning, nätfiske och obehörig e-postaktivitet.
Fixa DMARC-fel med PowerDMARC
PowerDMARC motverkar DMARC-misslyckanden genom att erbjuda en rad omfattande funktioner. För det första hjälper det organisationer att korrekt distribuera DMARC genom att tillhandahålla steg-för-steg-vägledning och automatiseringsverktyg. Detta säkerställer att DMARC-poster, SPF och DKIM-autentisering är korrekt konfigurerade, vilket ökar chanserna för framgångsrik DMARC-implementering.
När DMARC är på plats övervakar PowerDMARC kontinuerligt e-posttrafiken och genererar realtidsrapporter och varningar för DMARC-fel. Denna insyn gör det möjligt för organisationer att snabbt identifiera autentiseringsproblem, t.ex. SPF- eller DKIM-fel, och vidta korrigerande åtgärder.
Förutom övervakning integrerar PowerDMARC AI-funktioner för hotinformation. Den utnyttjar globala hotflöden för att identifiera och analysera källor till nätfiskeattacker och förfalskningsförsök. Genom att ge insikter om misstänkt e-postaktivitet kan organisationer proaktivt identifiera potentiella hot och vidta nödvändiga åtgärder för att minska riskerna.
Kontakta oss för att komma igång!
Slutsats: Att främja e-postsäkerhet på rätt sätt
Genom att använda en flerskiktsmetod för e-postsäkerhet kan organisationer och privatpersoner avsevärt förbättra sitt försvar mot nya cyberhot. Detta inkluderar att implementera robusta autentiseringsmekanismer, använda krypteringsteknik, utbilda användare om nätfiskeattacker och regelbundet uppdatera säkerhetsprotokoll.
Att integrera AI-verktyg för att förbättra e-postens säkerhetspraxis är dessutom det bästa sättet att hålla koll på sofistikerade attacker som organiseras av cyberbrottslingar.
För att förhindra DMARC-fel och felsöka andra DMARC-fel, registrera dig för att komma i kontakt med våra DMARC-experter idag!
- Webbsäkerhet 101 - bästa praxis och lösningar - 29 november 2023
- Vad är e-postkryptering och vilka är dess olika typer? - Den 29 november 2023
- DMARC Black Friday: Stärk dina e-postmeddelanden denna semestersäsong - November 23, 2023