E-mail marketing kan een krachtig hulpmiddel voor je bedrijf zijn. Maar je campagnes kunnen sterk aan effectiviteit inboeten als je contacten je berichten niet (goed) ontvangen. Als je een groot aantal teruggestuurde e-mails krijgt, is het wellicht tijd om te leren hoe je de DMARC Fail fout kunt verhelpen.

DMARC is een e-mailauthenticatie proces dat ontworpen is om spam en spoofberichten te helpen bestrijden. Als je de melding “DMARC Fail” ziet, betekent dit dus dat deze laag van de beveiligingscontrole niet succesvol was. Gelukkig zijn er stappen die je kunt nemen om het probleem te verhelpen.

In deze post leggen we uit wat DMARC is, hoe het werkt, en enkele mogelijke oorzaken voor de foutmelding. Daarna doorlopen we drie methoden die je kunt gebruiken om het probleem op te lossen. Laten we meteen beginnen!

Bekijk onze videohandleiding voor het oplossen van de DMARC Fail fout

Een inleiding tot DMARC

Domain-Based Message Authentication, Reporting & Conformance (DMARC) is een vorm van e-mail authenticatie die zich houdt aan de Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) normen. DMARC helpt te verzekeren dat de persoon die berichten vanuit je e-maildomein verstuurt valide is en in werkelijkheid geen phisher of andere oplichter is.

Eenvoudig gezegd betekent de DMARC Fail foutmelding dat je e-mail het DMARC verificatieproces niet doorstaan heeft. Dit proces wordt door de meeste e-mailmarketingsoftware en dienstverleners gebruikt.

Een DMARC beleid is een reeks regels die voorschrijven hoe ontvangers moeten omgaan met e-mails die DMARC authenticatie niet doorstaan. De drie mogelijke acties zijn:

  1. Afgewezen: E-mails worden zonder meer geweigerd en niet bij de ontvanger afgeleverd.
  2. Quarantaine: E-mails worden in de spammap afgeleverd.
  3. Geen: Er wordt geen actie ondernomen, en de e-mail wordt in de inbox van de ontvanger afgeleverd.

Wanneer een e-mail DMARC authenticatie niet doorstaat, betekent dit dat het adres van de afzender niet overeenkomt met het domein van de vermeende afzender. Dit kan om een aantal redenen gebeuren, maar de meest voorkomende oorzaak is dat de e-mail verzonden werd van een vervalst of gespoofed IP adres.

Vervalste e-mails zijn een groot probleem omdat ze gebruikt kunnen worden om gevoelige informatie te stelen of malware te verspreiden. Ze kunnen ook gebruikt worden om mensen te verleiden op kwaadaardige links te klikken of bijlagen te openen die hun computer kunnen beschadigen.

Vervalste e-mails kunnen ook voorkomen als iemand je e-mailadres gebruikt zonder je toestemming. Dit kan gebeuren als je adres bij een gegevensinbraak in gevaar komt of als iemand simpelweg je wachtwoord raadt.

Mogelijke oorzaken voor een DMARC Fail

Er zijn een paar redenen waarom een e-mail de DMARC authenticatie zou kunnen mislukken. Zoals we eerder al zeiden is de meest voorkomende dat de e-mail van een gespoofed adres afkomstig is. Er zijn echter nog andere mogelijke oorzaken voor DMARC Fail, zoals:

  • DMARC alignment fout: Het “Van” adres in de e-mail komt niet overeen met het domein dat de e-mail verstuurt, wat kan gebeuren als je een externe dienst zoals Gmail, Outlook of de standaard transactionele e-mailservice van Kinsta gebruikt om e-mail te versturen namens je domein.
  • Onjuiste DMARC alignment modus: De “Van” adressen komen overeen, maar DMARC is niet juist ingesteld.
  • Ontbrekende DKIM handtekening: De DKIM handtekening is een digitale handtekening die gebruikt wordt om te verifiëren dat een e-mail verzonden werd van het domein waarvan hij beweert afkomstig te zijn. Als die ontbreekt of ongeldig is, kan dat het DMARC Fail bericht tot gevolg hebben.

Het is ook mogelijk dat de fout te wijten is aan ontbrekende DNS TXT records. TXT records worden gebruikt om tekst-gebaseerde gegevens op te slaan in Domain Name Systems (DNSs). Zoals we vermeldden, gebruikt het DMARC beleid twee TXT records: SPF en DKIM.

De DMARC records worden ingesteld in het TXT record _dmarc.yourdomain.com en vereisen dat SPF of DKIM – of beter, beide – zijn ingesteld en door de verificatie zijn gekomen, inclusief een juiste domeinafstemming met de verzendende server.

Hoe weten of je e-mail DMARC niet heeft doorstaan

Er zijn twee belangrijke manieren waarop je kunt nagaan of je e-mail DMARC niet heeft doorstaan.

De e-mail headers controleren

Email headers zijn de stukjes informatie die aan een e-mail worden toegevoegd als hij verzonden wordt. Ze bevatten zaken als het IP adres van de afzender, de datum en tijd waarop de e-mail verzonden werd, en andere informatie.

Om de e-mail headers te zien, met Gmail als voorbeeld, klik je op de drie verticale stippen naast Reply in de rechter bovenhoek van een e-mail. Kies dan Show original:

De 'Toon origineel' optie in Gmail
De ‘Toon origineel’ optie in Gmail

In het venster dat opent kun je informatie over het oorspronkelijke bericht bekijken, waaronder of het een DMARC ‘pass’ of ‘fail’ was:

Het bekijken van een originele e-mail header voor een DMARC Fail bericht
Het bekijken van een originele e-mail header voor een DMARC Fail bericht

In het bovenstaande voorbeeld is de e-mailauthenticatie geslaagd. Als je echter DMARC Authentication-Results: fail ziet, betekent dit dat de e-mail niet slaagde voor het authenticatieproces.

Als je Outlook gebruikt, kun je de headers bekijken door op View Message Details te klikken in de rechterbovenhoek van een e-mail. Nogmaals, scroll naar beneden om te zien of er een authentication-fail bericht staat.

DMARC analyse- en rapportagetools gebruiken

Om dit proces te vergemakkelijken kun je het Google Admin Toolbox Messageheader tool gebruiken:

De tool Google Admin Toolbox Messageheader
De tool Google Admin Toolbox Messageheader

Je kunt eenvoudig een e-mailheaders in het tekstvak invoeren en dan klikken op Analyze the Header Above. Het controleert op SPF, DKIM, en DMARC authenticatie.

Als alternatief kun je controleren op DMARC Fail door de DMARC rapportanalyse van je e-mail dienst te gebruiken. Een rapport wordt verstuurd wanneer een e-mail DMARC authenticatie niet doorstaat en bevat informatie zoals de afzender, de ontvanger, en de reden van het falen.

Deze gegevens kunnen gebruikt worden om problemen op te lossen en de bezorgbaarheid van je e-mail te verbeteren. Gewoonlijk worden de rapporten eenmaal per dag naar een inbox gestuurd die je instelde toen je je DMARC record definieerde.

Je kunt een DMARC storingsrapport krijgen door een TXT record aan je DNS instellingen toe te voegen. Voor meer gedetailleerde richtlijnen over het aanmaken van de nodige DNS records, raden we je aan contact op te nemen met je specifieke provider.

ActiveCampaign bijvoorbeeld biedt een DMARC DNS Verification Tool:

De ActiveCampaign DMARC DNS Verification Tool
De ActiveCampaign DMARC DNS Verification Tool

Als je het record met succes hebt toegevoegd, beginnen e-mailontvangers de storingsrapporten te sturen naar het adres dat je hebt opgegeven. Je kunt deze vervolgens gebruiken om problemen met de aflevering op te lossen.

Zo herstel je DMARC Fail fout (3 methoden)

Nu je meer begrijpt over wat een DMARC Fail is en wat het kan veroorzaken, laten we de oplossingen onderzoeken. Hier zijn drie methoden om een DMARC Fail fout te verhelpen.

1. Schakel SPF en DKIM authenticatie in

Het is belangrijk om SPF en DKIM in te stellen vóór DMARC om problemen met de aflevering van e-mail te voorkomen. Tenzij je een DKIM handtekening voor je domein opgeeft, wijst je e-mailserviceprovider meestal een standaard handtekening toe aan uitgaande e-mails, zoals “d=domain.gappssmtp.com” voor Gmail.

Dit betekent dat je e-mails niet zullen overeenkomen met het domein in de Van headers van je e-mails. Om ervoor te zorgen dat je DKIM en SPF records goed overeenkomen met de vermeldingen van je DNS provider, kun je het volgende TXT record aan je DNS instellingen toevoegen:

SPF: "v=spf1 include:_spf.google.com ~all"
DKIM: "v=DKIM1; k=rsa; p=[public key]"

Als je deze records hebt toegevoegd, kun je daarna DMARC instellen door het volgende TXT record aan je DNS instellingen toe te voegen:

DMARC: "v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]"

Je zult “voorbeeld.com” moeten vervangen door je eigenlijke domeinnaam. Nogmaals, je kunt bij je DNS provider nagaan waar je deze records kunt vinden en bewerken.

Als je Kinsta DNS gebruikt, kun je DNS records toevoegen via je MyKinsta dashboard. Ons speciaal gebouwde controlepaneel geeft je toegang tot een breed scala aan features en oplossingen om problemen te beheren en op te lossen, waaronder onze Application Performance Monitoring (APM) tool.

Nadat je je site hebt geselecteerd, kun je klikken op het menu-item Kinsta DNS:

Een DNS record toevoegen in MyKinsta
Een DNS record toevoegen in MyKinsta

Hier kun je in de kolom Type zoeken naar een TXT record. Als je een SPF TXT record moet toevoegen, kun je dat doen door MailChannels te gebruiken. Let op dat we geen aparte records voor DKIM hebben (alleen CNAME TXT records).

2. Wijzig je DMARC beleid

Misschien herinner je het nog, maar er zijn drie mogelijke acties als een e-mail DMARC niet doorstaat: afwijzen, in quarantaine plaatsen, of geen. Als het policy (p) record in “none” veranderd wordt, wordt de e-mail toch in de inbox van de ontvanger afgeleverd, ook al “zakt” deze voor DMARC. In de andere twee gevallen komt de e-mail ofwel in de spamfolder van de ontvanger terecht, ofwel wordt hij naar jou teruggestuurd.

De volgende oplossing zou dus zijn om je DMARC policyrecord te wijzigen in “p=none”. Je kunt dit doen door het volgende TXT record aan je DNS instellingen toe te voegen:

DMARC: "v=DMARC1; p=none; sp=quarantine; rua=mailto:[email protected]"

Nogmaals, vergeet niet de placeholder URL te vervangen door je domeinnaam. Merk op dat het “none” beleid niet de meest veilige optie is, dus je kunt dit alleen als een tijdelijke oplossing gebruiken.

3. Authenticeer je domein

Als je marketing- en transactiemails verstuurt met een externe dienstverlener, zoals Mailchimp, zul je je DNS records moeten aanpassen om de dienstverlener toe te staan emails van je domein te versturen. Door je DNS vermeldingen naar je DNS provider te verwijzen worden de opgegeven servers geauthenticeerd en gemachtigd.

Om te beginnen moet je eerst je domein verifiëren. De authenticatie kan ook alleen succesvol zijn bij een derde partij als het domein van jou (of je bedrijf) is en niet van een openbare dienst zoals Google.

Als je de records van je domein opgespoord hebt, kun je de informatie van Mailchimp (of welke provider je ook gebruikt) kopiëren en plakken naar de CNAME records van je domein. Raadpleeg je e-mailsoftware of dienstverlener voor gedetailleerde aanwijzingen, want de informatie die je nodig hebt en de specifieke instructies kunnen verschillen.

Je kunt je domeinrecords bekijken door in te loggen op het configuratiescherm van je domeinregistrar. Dit kan cPanel of Plesk zijn. Als je een Kinsta gebruiker bent, kun je naar je MyKinsta dashboard gaan en dan navigeren naar Kinsta DNS:

DNS records in MyKinsta
DNS records in MyKinsta

Als je deze informatie hebt, kun je terugkeren naar Mailchimp en de instructies volgen voor het toevoegen van CNAME records en het verifiëren van je domein. Nadat de e-mailserviceprovider bevestigd heeft dat de records juist zijn, zou je een succes- of bevestigingsmail moeten ontvangen.

Andere manieren om je mailverzendpraktijken te verbeteren

Als er niets mis lijkt te zijn met DMARC, SPF, of DKIM, kunnen er andere redenen zijn waarom je e-mails naar spam gestuurd worden. Gelukkig zijn er aanvullende strategieën die je kunt gebruiken om te zorgen dat je e-mails goed worden afgeleverd en om je algemene praktijken bij het verzenden van mail te verbeteren.

Dit omvat:

Als je problemen blijft houden met DMARC Fail, vooral voor bepaalde ontvangers, kun je proberen rechtstreeks contact op te nemen met die gebruikers. Je kunt ze eenvoudig vragen je e-mailadressen aan hun toestaanlijsten toe te voegen.

Samenvatting

Nu zoveel cyberaanvallen en phishingscams het internet teisteren, is het van essentieel belang dat je je aan bepaalde beveiligingspraktijken houdt. DMARC is een e-mailauthenticatiestandaard die ontvangers helpt te beschermen tegen phishing en andere e-mailoplichterij, maar het is geen perfecte oplossing.

Als je herhaaldelijk de foutmelding DMARC Fail tegenkomt, is er geen reden tot paniek. Er zijn een handvol methoden die je kunt gebruiken om dit op te lossen en te voorkomen. Het inschakelen van SPF en SKIM authenticatie en het veranderen van je DMARC beleid kunnen helpen om je e-mails beter af te leveren en je berichten uit de spammappen te houden.

Wil je overstappen op hosting die je kan helpen je website- en e-mailcampagnes beter te beheren en te monitoren? Bekijk onze Kinsta hostingpakketten en gratis WordPress migraties om meer te weten te komen!