DMARC 为什么会失败？在 2024 年修复 DMARC 故障

阅读时间 10 分钟

拥有超过 44.8 亿电子邮件用户全球每天有超过 44.8 亿名电子邮件用户发送无数邮件，DMARC失败错误已成为一个大问题。DMARC 是基于域的消息验证、报告和一致性的简称，是一种安全协议，可保护您的电子邮件免受冒充和网络钓鱼攻击。但是，DMARC 有时会出现故障，可能会中断电子邮件的发送。

DMARC 失败可能会令人沮丧，尤其是当您依赖电子邮件开展业务时。它们甚至会使您的电子邮件无法送达预定收件人。请注意，DMARC 要求 SPF 或 DKIM 同时实施时才能通过。但是，如果 DMARC 仅依赖于 SPF 或 DKIM，则任一协议的失败都会导致 DMARC 验证失败。 

DMARC 失败的常见原因是

• DMARC 对齐失败
• DKIM 签名不匹配
• 发送源假冒
• 域名欺骗

简而言之，如果 DMARC 失败，您的电子邮件就无法通过 DMARC 验证。DMARC 失败错误会影响您的电子邮件营销工作，并大大降低您的电子邮件送达率。 

在本文中，您将了解到

• 为什么必须防止 DMARC 故障？
• DMARC 失败的常见原因
• 如何修复 DMARC 失败错误

DMARC 概述

DMARC 是基于域的信息验证、报告和一致性的缩写。它是一种电子邮件验证协议，通过帮助防止电子邮件欺骗和网络钓鱼攻击，提供额外的安全保护。DMARC 的工作原理是允许域名所有者在其 DNS 记录中发布策略，这些策略指示接收邮件服务器如何处理声称来自其域名的电子邮件。

您可以使用 DMARC 拒绝或隔离未经授权的电子邮件，从而更好地控制电子邮件的发送。DMARC 还能生成报告，提供有关电子邮件验证失败的宝贵见解。

以下是一些 最新统计数据各行业 DMARC 的最新统计数据：

1. DMARC 行业在 2019 年实现了 85% 的增长
2. 2021 年，有效 DMARC 策略的数量增加了 84 
3. 与 2020 年相比，2021 年新增了 500 万条 DMARC 记录
4. 预计到 2030 年，全球DMARC 软件市场规模将达到近 8 亿美元

总的来说，DMARC通过执行认证检查，使企业能够保护其品牌声誉和用户免受基于电子邮件的威胁，从而有助于增强电子邮件的安全性。

DMARC 为什么会失败？ 

导致 DMARC 失败的原因有很多，包括 SPF 和 DKIM 验证失败、"发件人 "域之间不一致、 SPF和 DKIM转发或第三方服务修改电子邮件签名的问题、DMARC 策略配置错误以及恶意行为者试图欺骗合法域。

DMARC失败会导致电子邮件认证问题，潜在的交付问题，以及增加网络钓鱼攻击的风险。了解这些原因并实施适当的配置和认证措施，可以帮助提高DMARC的合规性并增强 电子邮件的安全性.

DMARC失败的常见原因可能包括对齐失败、发送源错误对齐、你的DKIM签名问题、转发的邮件等等。让我们来详细探讨一下其中的每一个问题： 

1.DMARC对接失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头（用于SPF）和DKIM签名头（用于DKIM）中提到的域名相匹配，来验证发件人地址（在可见头中）中提到的域名是否真实。如果两者匹配，电子邮件就能通过DMARC，否则就会导致DMARC失败。 

因此，如果您的电子邮件未能通过 DMARC，可能是域名不对齐。也就是说，SPF 和 DKIM 标识都没有对齐，电子邮件似乎是从未经授权的来源发送的。不过，这只是 DMARC 失败的原因之一。 

DMARC对准模式

协议排列模式也会导致 DMARC 失败。您可以为 SPF 身份验证选择以下对齐模式：

• 放松:这表示，如果 Return-path 标头中的域和 From 标头中的域只是组织匹配，那么 SPF 也会通过。
• 严格:这表示只有当 Return-path 标头中的域和 From 标头中的域完全匹配时，SPF 才会通过。

你可以为DKIM认证选择以下排列模式。

• 放松:这表示如果 DKIM 签名中的域和 From 头信息中的域只是组织匹配，那么 DKIM 也会通过。
• 严格:这表示只有当 DKIM 签名中的域和 From 头信息中的域完全匹配时，DKIM 才能通过。

请注意，要使电子邮件通过DMARC认证，SPF或DKIM都需要对齐。  

2.未设置 DKIM 签名

DMARC 失败的一个常见原因是您没有为您的域名指定 DKIM 签名。在这种情况下，电子邮件交换服务提供商会分配一个默认的 DKIM 签名与您的 "发件人 "标题中的域不一致。接收 MTA 无法对齐这两个域，因此您的邮件的 DKIM 和 DMARC 失败。

3.未添加到 DNS 的发送源 

值得注意的是，当您使用 SPF 为域名设置 DMARC时，接收 MTA 会执行 DNS 查询以授权您的发送源。这意味着，除非您在域名的 DNS 中列出了所有授权的发送源，否则您的电子邮件将无法通过 SPF，随后也无法通过 DMARC 来处理未列出的发送源，因为接收方无法在您的 DNS 中找到它们。 

因此，为确保您的合法电子邮件始终能够送达，请务必在 SPF DNS 记录中输入所有经授权代表您的域名发送电子邮件的授权第三方电子邮件供应商。

4.通过中介服务器转发的电子邮件

在电子邮件转发过程中，电子邮件在最终发送到接收服务器之前会经过一个中间服务器。SPF 检查会失败，因为中间服务器的 IP 地址与发送服务器的 IP 地址不一致，而这个新的 IP 地址通常不包含在原始服务器的 SPF 记录中。 

相反，转发邮件通常不影响DKIM邮件认证，除非中介服务器或转发实体对邮件内容进行某些改动。

为了解决这个问题，你应该立即在你的组织中选择全面的DMARC合规性，根据SPF和DKIM对所有发出的邮件进行调整和认证，为了让一封邮件通过DMARC认证，该邮件需要通过SPF或DKIM认证和调整。

相关阅读 电子邮件转发和 DMARC

5.你的域名被欺骗了

如果在实施方面一切顺利，你的电子邮件可能由于欺骗攻击而导致DMARC失败。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是，电子邮件欺骗案件正在上升，对你的组织的声誉构成了很大的威胁。在这种情况下，如果你在拒绝策略上实施了DMARC，它就会失败，被欺骗的邮件就不会被送到收件人的收件箱。因此，域名欺骗可能是大多数情况下DMARC失败的答案。

为什么第三方邮箱供应商的DMARC会失败？

如果你使用外部邮箱供应商代表你发送邮件，你需要为他们启用DMARC、SPF和/或DKIM。你可以通过联系他们并要求他们为你处理实施，或者你可以自己动手，手动激活这些协议。要做到这一点，你需要访问你在这些平台上托管的账户门户（作为管理员）。

如果没有为你的外部邮箱提供商激活这些协议，就会导致DMARC失败。

如果 Gmail 邮件的 DMARC 失败，请查看您的域名 SPF 记录，检查是否包含了 _spf.google.com。如果没有，这可能是接收服务器无法将 Gmail 识别为授权发送源的原因。这同样适用于从 MailChimp、SendGrid 和其他公司发送的电子邮件。

如何检测未通过DMARC的邮件？ 

如果为DMARC 报告启用了报告功能，就可以轻松检测到邮件的DMARC 失败。此外，您还可以进行电子邮件标题分析或使用 Gmail 的电子邮件日志搜索。让我们来探讨一下如何操作：

1.为你的域名启用DMARC报告 

要检测DMARC失败，请使用您的DMARC协议提供的这一便利功能。你只需在你的DMARC DNS记录中定义一个 "rua "标签，就可以从ESPs收到包含你的DMARC数据的报告。你的语法可能是这样的： 

v=DMARC1; ptc=100; p=reject; rua=mailto:email1@powerdmarc.com； 

rua标签应包含你希望收到报告的电子邮件地址。 

在PowerDMARC，我们提供简化和人类可读的报告，帮助你轻松检测DMARC故障，并更快地排除故障：

2.手动分析邮件标题或部署分析工具

DMARC失败也可以通过分析你的电子邮件标题来检测。

a.手工方法

你可以手动分析标题，如下所示

如果你使用Gmail发送电子邮件，你可以点击一个信息，点击 "更多"（右上角的3个点），然后点击 "显示原文"： 

你现在可以检查你的DMARC认证结果：

b.自动分析工具

PowerDMARC的 邮件头分析器是一个即时检测DMARC失败错误和缓解DMARC失败问题的优秀工具。

在我们这里，你会得到一份关于你的电子邮件的DMARC状态的全面分析，对齐和其他符合性，如下所示：

3.使用谷歌的电子邮件日志搜索 

你可以通过使用谷歌的电子邮件日志搜索，找到关于某个特定邮件失败的DMARC的额外信息。这将揭开信息细节，传递后的信息细节和收件人细节。结果以表格的形式呈现，如下图所示：

图片来源

修复 DMARC 失败的 4 个步骤

为了修复DMARC故障，我们建议你注册我们的 DMARC分析器并开始你的DMARC报告和监测之旅。

第1步：从零开始

有了一个无政策，你就可以通过以下方式开始监控你的域名 DMARC (RUA) 汇总报告并密切关注你的入站和出站邮件，这将有助于你应对任何不需要的交付问题。

第2步：转向强制执行

之后，我们帮助你转向一个强制的政策，最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。

第3步：使用我们的AI驱动的威胁检测

在我们的威胁情报引擎的帮助下，拿下恶意的IP地址，并直接从PowerDMARC平台报告，以逃避未来的冒充攻击。

第4步：持续监测

启用DMARC（RUF）鉴证报告，获得关于你的电子邮件未能通过DMARC的案例的详细信息，这样你就可以找到问题的根源并更快地解决它。

如何处理未能通过DMARC的邮件？

为了解决DMARC失败的邮件，你可以选择一个更宽松的 的DMARC政策检查你的DNS记录是否有错误，并将你的DMARC实施与DKIM和SPF结合起来，以获得最大的安全性和减少错误的风险。

1.检查你的DMARC记录

使用一个 DMARC检查器来发现你记录中的句法或其他形式的错误，如多余的空格、拼写错误等。

2.追求柔和的政策

你总是可以为DMARC选择一个更宽松的政策，如 "无"。这将允许你的信息到达你的收件人，即使DMARC对他们来说是失败的。然而，这使你容易受到网络钓鱼和欺骗性攻击。 

3.同时使用SPF和DKIM的对齐方式 

将DKIM和SPF结合起来使用，为电子邮件认证提供了一个分层的方法。DKIM验证邮件的完整性，确保它没有被篡改过，而SPF验证发送服务器的身份。它们一起帮助建立对电子邮件来源的信任，减少欺骗、网络钓鱼和未经授权的电子邮件活动的风险。

用PowerDMARC修复DMARC失败

PowerDMARC通过提供一系列全面的特性和功能来减轻DMARC的故障。首先，它通过提供分步指导和自动化工具，协助企业正确部署DMARC。这确保了DMARC记录、SPF和DKIM认证的正确配置，增加了成功实施DMARC的机会。

一旦DMARC到位，PowerDMARC将持续监控电子邮件流量，并生成实时报告和DMARC故障警报。这种可见性使企业能够快速识别认证问题，如SPF或DKIM失败，并采取纠正措施。

除了监测，PowerDMARC还整合了AI威胁情报能力。它利用全球威胁源来识别和分析网络钓鱼攻击和欺骗尝试的来源。通过提供对可疑电子邮件活动的洞察力，企业可以主动识别潜在的威胁，并采取必要的措施来减轻风险。

联系我们开始工作！

总结：以正确的方式推进电子邮件安全

通过采用多层次的电子邮件安全方法，组织和个人可以大大增强他们对不断变化的网络威胁的防御能力。这包括实施强大的认证机制，采用加密技术，教育用户了解网络钓鱼攻击，并定期更新安全协议。 

此外，集成人工智能工具以进一步提高电子邮件的安全性能，是应对网络犯罪分子组织的复杂攻击的最佳方法。 

防止 DMARC 失败并排除其他 DMARC 错误、 注册立即与我们的 DMARC 专家取得联系！

内容审查和事实核查流程

本文由网络安全专家撰写。本文所传达的方法和实践是我们为客户部署的真实策略，帮助他们克服了 DMARC 故障。如果这些方法对您不起作用，请联系我们、 联系我们获取 DMARC 专家的免费指导。

 

自从为我们的所有客户实施了 PowerDMARC 后，即使我们无法控制 DNS 服务，也能更轻松地完成入职、监控和更改流程。

乔-伯恩斯，Reformed IT 联合创始人兼首席执行官