为什么DMARC会失败？在2023年修复DMARC失败

当传入的电子邮件未能通过DMARC认证检查时，就会发生DMARC失败。这意味着该邮件不符合域名所有者设置的政策，表明有可能是欺骗或网络钓鱼的企图。在DMARC失败时，收件人的电子邮件服务器可以根据域名所有者定义的策略采取各种行动，如将电子邮件标记为垃圾邮件，拒绝接收，或隔离它。一个DMARC失败的错误会影响你的电子邮件营销工作，并大大降低你的电子邮件交付率。 

围绕DMARC协议的基本概念

DMARC是基于域的消息认证、报告和一致性的缩写。它是一个电子邮件认证协议，通过帮助防止电子邮件欺骗和网络钓鱼攻击，提供一个额外的安全层。DMARC的工作原理是允许域名所有者在他们的DNS记录中发布政策，指示接收邮件服务器如何处理声称来自他们域名的电子邮件。

它使域所有者能够指定是拒绝还是隔离未经授权的电子邮件，从而更好地控制电子邮件的发送。DMARC 还能生成报告，提供有关电子邮件验证失败的宝贵见解，使企业能够监控和改进其电子邮件安全措施。 

总的来说，DMARC通过执行认证检查，使企业能够保护其品牌声誉和用户免受基于电子邮件的威胁，从而有助于增强电子邮件的安全性。

了解DMARC失败的原因

DMARC失败可能是由于各种原因造成的，包括SPF和DKIM认证失败，"来自 "域之间的错位、 SPF和 DKIM签名，转发或第三方服务修改电子邮件签名的问题，DMARC政策的错误配置，以及恶意行为者试图欺骗合法域名。

DMARC失败会导致电子邮件认证问题，潜在的交付问题，以及增加网络钓鱼攻击的风险。了解这些原因并实施适当的配置和认证措施，可以帮助提高DMARC的合规性并增强 电子邮件的安全性.

常见的DMARC失败原因

DMARC失败的常见原因可能包括对齐失败、发送源错误对齐、你的DKIM签名问题、转发的邮件等等。让我们来详细探讨一下其中的每一个问题： 

1.DMARC对接失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头（用于SPF）和DKIM签名头（用于DKIM）中提到的域名相匹配，来验证发件人地址（在可见头中）中提到的域名是否真实。如果两者匹配，电子邮件就能通过DMARC，否则就会导致DMARC失败。 

因此，如果你的电子邮件不能通过DMARC，这可能是一个域名错位的情况。也就是说，SPF和DKIM的标识符都没有对准，邮件看起来是从一个未经授权的来源发出的。然而，这只是DMARC失败的原因之一。 

DMARC对准模式 

你的协议对齐模式也会导致 DMARC 失败。你可以为SPF认证选择以下排列模式：

• 放松的:这意味着如果Return-path头中的域和From头中的域只是简单的组织匹配，即使如此，SPF也会通过。
• 严格的:这表示只有当Return-path头中的域和From头中的域完全匹配时，SPF才会通过。

你可以为DKIM认证选择以下排列模式。

• 放松的:这标志着如果DKIM签名中的域和发件人中的域只是简单的组织匹配，即使这样DKIM也会通过。
• 严格的:这表示只有当DKIM签名中的域和发件人中的域完全匹配时，才会通过DKIM。

请注意，要使电子邮件通过DMARC认证，SPF或DKIM都需要对齐。  

2.没有设置你的DKIM签名 

一个很常见的情况是，你的DMARC可能会失败，因为你没有为你的域名指定一个DKIM签名。在这种情况下，你的电子邮件交换服务提供商会分配一个默认的 DKIM签名给你的出站邮件，而这些邮件与你的发件人标题中的域名不一致。接收的MTA无法对准这两个域，因此，你的邮件的DKIM和DMARC都失败了（如果你的邮件对准了SPF和DKIM）。

3.未向您的DNS添加发送源 

值得注意的是，当您为域名设置 DMARC时，接收 MTA 会执行 DNS 查询以授权您的发送源。这意味着，除非您在域名的 DNS 中列出了所有授权的发送源，否则您的电子邮件将无法通过 DMARC 处理未列出的发送源，因为接收方无法在您的 DNS 中找到它们。 

因此，为了确保你的合法邮件总是被送达，请确保在你的DNS中输入所有授权的第三方电子邮件供应商，他们被授权代表你的域名发送电子邮件。

4.在电子邮件转发的情况下

在电子邮件转发过程中，电子邮件在最终发送到接收服务器之前会经过一个中间服务器。SPF 检查会失败，因为中间服务器的 IP 地址与发送服务器的 IP 地址不一致，而这个新的 IP 地址通常不包含在原始服务器的 SPF 记录中。 

相反，转发邮件通常不影响DKIM邮件认证，除非中介服务器或转发实体对邮件内容进行某些改动。

为了解决这个问题，你应该立即在你的组织中选择全面的DMARC合规性，根据SPF和DKIM对所有发出的邮件进行调整和认证，为了让一封邮件通过DMARC认证，该邮件需要通过SPF或DKIM认证和调整。

相关阅读: 电子邮件转发和DMARC

5.你的域名被欺骗了

如果在实施方面一切顺利，你的电子邮件可能由于欺骗攻击而导致DMARC失败。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是，电子邮件欺骗案件正在上升，对你的组织的声誉构成了很大的威胁。在这种情况下，如果你在拒绝策略上实施了DMARC，它就会失败，被欺骗的邮件就不会被送到收件人的收件箱。因此，域名欺骗可能是大多数情况下DMARC失败的答案。

为什么第三方邮箱供应商的DMARC会失败？

如果你使用外部邮箱供应商代表你发送邮件，你需要为他们启用DMARC、SPF和/或DKIM。你可以通过联系他们并要求他们为你处理实施，或者你可以自己动手，手动激活这些协议。要做到这一点，你需要访问你在这些平台上托管的账户门户（作为管理员）。

如果没有为你的外部邮箱提供商激活这些协议，就会导致DMARC失败。

如果你的Gmail邮件出现DMARC失败，请转到你的域名的SPF记录，并检查你是否包含了 _spf.google.com在里面。如果没有，这可能是接收服务器无法识别Gmail作为你的授权发送源的一个原因。这同样适用于你从MailChimp、SendGrid和其他公司发送的邮件。

如何检测未通过DMARC的邮件？ 

如果为DMARC 报告启用了报告功能，就可以轻松检测到邮件的DMARC 失败。此外，您还可以进行电子邮件标题分析或使用 Gmail 的电子邮件日志搜索。让我们来探讨一下如何操作：

1.为你的域名启用DMARC报告 

要检测DMARC失败，请使用您的DMARC协议提供的这一便利功能。你只需在你的DMARC DNS记录中定义一个 "rua "标签，就可以从ESPs收到包含你的DMARC数据的报告。你的语法可能是这样的： 

v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected]； 

rua标签应包含你希望收到报告的电子邮件地址。 

在PowerDMARC，我们提供简化和人类可读的报告，帮助你轻松检测DMARC故障，并更快地排除故障： 

2.手动分析邮件标题或部署分析工具

DMARC失败也可以通过分析你的电子邮件标题来检测。

a.手工方法 

你可以手动分析标题，如下所示

如果你使用Gmail发送电子邮件，你可以点击一个信息，点击 "更多"（右上角的3个点），然后点击 "显示原文"： 

你现在可以检查你的DMARC认证结果： 

b.自动分析工具

PowerDMARC的 邮件头分析器是一个即时检测DMARC失败错误和缓解DMARC失败问题的优秀工具。

在我们这里，你会得到一份关于你的电子邮件的DMARC状态的全面分析，对齐和其他符合性，如下所示： 

3.使用谷歌的电子邮件日志搜索 

你可以通过使用谷歌的电子邮件日志搜索，找到关于某个特定邮件失败的DMARC的额外信息。这将揭开信息细节，传递后的信息细节和收件人细节。结果以表格的形式呈现，如下图所示：  

图片来源

如何修复DMARC失败？

为了修复DMARC故障，我们建议你注册我们的 DMARC分析器并开始你的DMARC报告和监测之旅。

第1步：从零开始

有了一个无政策，你就可以通过以下方式开始监控你的域名 DMARC (RUA) 汇总报告并密切关注你的入站和出站邮件，这将有助于你应对任何不需要的交付问题。

第2步：转向强制执行

之后，我们帮助你转向一个强制的政策，最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。

第3步：使用我们的AI驱动的威胁检测

在我们的威胁情报引擎的帮助下，拿下恶意的IP地址，并直接从PowerDMARC平台报告，以逃避未来的冒充攻击。

第4步：持续监测

启用DMARC（RUF）鉴证报告，获得关于你的电子邮件未能通过DMARC的案例的详细信息，这样你就可以找到问题的根源并更快地解决它。

如何处理未能通过DMARC的邮件？

为了解决DMARC失败的邮件，你可以选择一个更宽松的 的DMARC政策检查你的DNS记录是否有错误，并将你的DMARC实施与DKIM和SPF结合起来，以获得最大的安全性和减少错误的风险。

1.检查你的DMARC记录

使用一个 DMARC检查器来发现你记录中的句法或其他形式的错误，如多余的空格、拼写错误等。

2.追求柔和的政策 

你总是可以为DMARC选择一个更宽松的政策，如 "无"。这将允许你的信息到达你的收件人，即使DMARC对他们来说是失败的。然而，这使你容易受到网络钓鱼和欺骗性攻击。 

3.同时使用SPF和DKIM的对齐方式 

将DKIM和SPF结合起来使用，为电子邮件认证提供了一个分层的方法。DKIM验证邮件的完整性，确保它没有被篡改过，而SPF验证发送服务器的身份。它们一起帮助建立对电子邮件来源的信任，减少欺骗、网络钓鱼和未经授权的电子邮件活动的风险。

用PowerDMARC修复DMARC失败

PowerDMARC通过提供一系列全面的特性和功能来减轻DMARC的故障。首先，它通过提供分步指导和自动化工具，协助企业正确部署DMARC。这确保了DMARC记录、SPF和DKIM认证的正确配置，增加了成功实施DMARC的机会。

一旦DMARC到位，PowerDMARC将持续监控电子邮件流量，并生成实时报告和DMARC故障警报。这种可见性使企业能够快速识别认证问题，如SPF或DKIM失败，并采取纠正措施。

除了监测，PowerDMARC还整合了AI威胁情报能力。它利用全球威胁源来识别和分析网络钓鱼攻击和欺骗尝试的来源。通过提供对可疑电子邮件活动的洞察力，企业可以主动识别潜在的威胁，并采取必要的措施来减轻风险。

联系我们来开始吧!

总结：以正确的方式推进电子邮件安全

通过采用多层次的电子邮件安全方法，组织和个人可以大大增强他们对不断变化的网络威胁的防御能力。这包括实施强大的认证机制，采用加密技术，教育用户了解网络钓鱼攻击，并定期更新安全协议。 

此外，整合人工智能工具以进一步促进你的电子邮件的安全实践，是保持在网络犯罪分子组织的复杂攻击之上的最佳方式。 

为了防止DMARC失败和排除其他DMARC错误、 注册来与我们的DMARC专家取得联系！