DMARC står på p=reject men spoofing-mailer leveres likevel
Du har satt p=reject og forventer at spoofing-forsøk avvises. Men kunder melder fortsatt at de mottar svindel-e-post som hevder å komme fra deg. Tre årsaker er typisk.
Årsak 1: pct-tag mindre enn 100
Hvis recorden din er v=DMARC1; p=reject; pct=25; betyr det at policyen kun gjelder for 25 % av uautentisert post — resten faller tilbake til neste mildere policy. Sjekk pct-verdien:
v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]pct=100 (eller utelatt — default er 100) er det du vil ha for full beskyttelse.
Årsak 2: Subdomener mangler dekning
DMARC på dittfirma.no dekker ikke automatisk nyhetsbrev.dittfirma.no hvis ikke sp= er satt:
v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]Uten sp=reject arves p= automatisk — men ofte ser man feilen at folk har satt eksplisitt sp=none og åpnet for subdomain-spoofing.
Årsak 3: Cousin-domain spoofing
DMARC stopper kun spoofing av ditt EKSAKTE domene. En angriper kan registrere dittfirrma.no (med to r-er) og sende fra det — DMARC har ingen kontroll over et annet domene.
Beskyttelse: brand-monitoring, registrering av lookalike-domener, og ansatte-trening i å sjekke avsender-domener nøye.
Diagnose-trinn
[email protected] (lookalike) er det ikke et DMARC-problem. Hvis det er [email protected] (ditt eksakte domene), bør DMARC ha stoppet det.
dmarc=pass er problem — da er det enten alignment-feil eller en svakhet i DMARC-policyen din.
Sjekk om dette er fikset på domenet ditt
Gratis. Ingen registrering. Karakter A+ til F på 10 sekunder.
Sjekk eget domene →