如果你是一个严重依赖电子邮件进行外部和内部沟通的组织,你的邮件的DMARC失败是一个值得关注的原因。你可以在网上使用一些方法和工具(免费的)来阻止DMARC对你的邮件的失败。
在这篇文章中,我们将仔细揭开DMARC失败的6大原因,以及你如何缓解这些原因以提高交付能力。
在我们讨论为什么DMARC会失败之前,让我们看看它是什么以及它如何帮助你。
DMARC是你的电子邮件认证政策中的一项关键活动,有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是,它只是整个反垃圾邮件计划的一个支柱,而且不是所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动,而有些报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。
可能导致DMARC失败的常见原因
识别DMARC失败的原因可能很复杂。然而,我将介绍一些典型的原因,以及导致这些原因的因素,以便你作为域名所有者能够更及时地纠正问题。
DMARC对准失败
DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头(用于SPF)和DKIM签名头(用于DKIM)中提到的域名相匹配,来验证发件人地址(在可见的头中)中提到的域名是否真实。如果两者匹配,则电子邮件通过DMARC,否则DMARC失败。
因此,如果你的邮件不能通过DMARC,这可能是一个域名错位的案例。也就是说,SPF和DKIM的标识符都没有对准,邮件看起来是从一个未经授权的来源发出的。然而,这只是DMARC失败的原因之一。
DMARC对准模式
你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。
- 放松:这表示如果Return-path头中的域和From头中的域只是简单的组织匹配,即使这样,SPF也会通过。
- 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时,SPF才会通过。
你可以为DKIM认证选择以下排列模式。
- 宽松:这表示如果DKIM签名中的域和发件人头中的域只是组织上的匹配,即使这样DKIM也会通过。
- 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时,才会通过DKIM。
请注意,要使电子邮件通过DMARC认证,SPF或DKIM都需要对齐。
没有设置你的DKIM签名
一个很常见的情况是,你的DMARC可能会失败,就是你没有为你的域名指定一个DKIM签名。在这种情况下,你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名,而这个签名与你的发件人标题中的域名不一致。接收的MTA无法对准这两个域,因此,你的邮件的DKIM和DMARC都失败了(如果你的邮件对准了SPF和DKIM)。
未在您的DNS中添加发送源
值得注意的是,当你为你的域名设置DMARC时,接收的MTA会进行DNS查询以授权你的发送源。这意味着,除非你在域名的DNS中列出所有授权的发送源,否则对于那些没有列出的发送源,你的邮件将无法通过DMARC,因为接收方将无法在你的DNS中找到它们。因此,为了确保你的合法邮件总是被送达,请确保在你的DNS中列出所有授权的第三方电子邮件供应商,他们被授权代表你的域名发送邮件。
在电子邮件转发的情况下
在电子邮件转发过程中,电子邮件在最终被传递到接收服务器之前,会经过一个中间服务器。在邮件转发过程中,SPF检查会失败,因为中间服务器的IP地址与发送服务器的IP地址不一致,而这个新的IP地址通常不包括在原服务器的SPF记录中。相反,转发电子邮件通常不会影响DKIM电子邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。
我们知道,在电子邮件转发过程中,SPF不可避免地会失效,如果发送源是DKIM中立的,而仅仅依靠SPF进行验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。为了解决这个问题,你应该立即在你的组织中选择完全符合DMARC的标准,根据SPF和DKIM来调整和验证所有发出的邮件,因为要通过DMARC验证,邮件需要通过SPF或DKIM验证和调整。
你的域名被欺骗了
如果你已经为你的域名正确配置了DMARC、SPF和DKIM协议,并执行了你的策略和有效的无误记录,而且问题不是上述两种情况,那么你的邮件不能通过DMARC的最可能的原因是你的域名被欺骗或伪造了。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。
最近的电子邮件欺诈统计得出的结论是,电子邮件欺骗案件在最近一段时间呈上升趋势,对你的组织的声誉是一个非常大的威胁。在这种情况下,如果你在拒绝策略上实施了DMARC,它就会失败,被欺骗的邮件就不会被送到收件人的收件箱。因此,域名欺骗可能是DMARC在大多数情况下失败的答案。
为什么第三方邮箱供应商的DMARC会失败?(Gmail, Mailchimp, Sendgrid, 等)
如果你使用外部邮箱供应商代表你发送邮件,你需要为他们启用DMARC、SPF和/或DKIM。你可以通过联系他们并要求他们为你处理实施,或者你可以自己动手,手动激活这些协议。要做到这一点,你需要访问你在这些平台上托管的账户门户(作为管理员)。
如果你的Gmail邮件未能通过DMARC,请转到你的域名的SPF记录,并检查你是否在其中包括_spf.google.com。如果没有,这可能是接收服务器无法识别Gmail作为你的授权发送源的一个原因。这同样适用于你从Mailchimp、Sendgrid和其他地方发送的邮件。
如何修复DMARC故障?
为了解决DMARC故障,我们建议你注册我们的免费DMARC分析器,开始你的DMARC报告和监测之旅。
#第1步:有了无政策,你可以开始用DMARC(RUA)汇总报告监控你的域名,并密切关注你的入站和出站邮件,这将帮助你应对任何不需要的交付问题
#Step 2: 之后,我们帮助你转向一个强制的政策,最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。
#步骤3:在我们的威胁情报引擎的帮助下,攻下恶意的IP地址,并直接从PowerDMARC平台报告,以规避未来的冒充攻击。
#第4步:启用DMARC(RUF)取证报告,以获得有关你的电子邮件未能通过DMARC的案例的详细信息,这样你就可以更快地找到问题的根源并加以解决。
如何处理未能通过DMARC的邮件?
请注意,一封邮件可能会因为通常的情况而无法通过DMARC,例如欺骗威胁,无法对准a) DKIM only b) SPF only c) both。如果它同时失败,你的邮件现在将被视为未经授权。 你可以配置一个合适的DMARC策略,指示收件人如何回应这些邮件。
希望我们能够解决为什么DMARC对你的域名失效的问题,并提供一个围绕如何轻松解决这个问题的解决方案。今天就用PowerDMARC来防止域名欺骗和监控你的邮件流吧!