Page Shape Page Shape Page Shape Page Shape Page Shape

554 5.7.5 评估DMARC策略时出现永久性错误 [已解决] 。

域名所有者可能会遇到 "554 5.7.5 永久错误正在评估 DMARC 策略"错误,原因如下:

  1. 不正确的 SPF、DKIM 或 DMARC 记录语法 
  2. DNS 记录中的冗余或缺失字符 
  3. 不支持 SPF 对齐电子邮件 
  4. DKIM 签名域不匹配

评估 554 5.7.5 永久错误 DMARC策略评估永久错误 "是一个常见错误,它会停止 SMTP端口无法接受来自您域名的电子邮件的常见错误。该问题通常是由于 SPF 记录中的组合设置造成的、 DMARC 记录或电子邮件服务中的设置。

在本指南中,我们将介绍如何快速和容易地解决这个问题。

为什么会收到 "554 5.7.5 评估 DMARC 策略时出现永久错误 "的错误信息?

如果你面临 "554 5.7.5评估DMARC策略的永久错误",这里有一些这个错误背后的常见原因。

1.DMARC 记录设置不完整或不正确

评估 dmarc 政策的永久性错误

不完整的 DMARC 记录会导致 DMARC 策略评估出错。例如,缺少 p= 标记。如果您的 DMARC 记录如下所示 

v=DMARC1; pct=100;

这是一个不完整的示例 DMARC 设置缺少策略标签。这是一条错误记录。当您设置 DMARC时,可以选择使用 p=none 或 p=quarantine/reject。

同样,记录中的语法错误(如多余字符或空格)也会触发 554 5.7.5 永久错误评估 DMARC 策略错误。 

v=DMARC1; p:none; pct=100; rua=mailto:reporting@example.com; 

在本例中,": "是一个错误字符,因为所有机制后面都有一个等号(=),然后是值。 

DMARC 记录的正确顺序

  • 您的 DMARC 记录应以版本名称 v=DMARC1 开始 
  • 策略标签也是强制性的,其值应为无/拒绝/隔离 
  • 所有 DMARC 标记后必须有"=[值]",并以分号 (;) 结尾 
  • 各个机制或标记之间应有一个空格 
  • 例如:p=none; 

2.不正确的 DKIM 对齐

DKIM是DomainKeys Identified Mail的缩写。它是一种验证电子邮件发件人真实性的方法,可以防止恶意行为者冒充电子邮件发件人的域名。

有时你可能会面临DKIM认证的问题。如果DKIM签名中的 "d="标签与发送域不匹配,将导致DMARC评估失败。

例如,如果你改变了你的域名,但没有在DKIM记录中更新它,那么它也将无法通过DMARC政策评估。

3.不正确的SPF记录

SPF是发件人政策框架的缩写。它是一种电子邮件认证技术,用于验证电子邮件是否来自有效的发件人服务器。

DMARC 通过检查 SPF 记录来验证它们是否有效。您必须确保 SPF 记录配置正确,并与您的域名配合使用,以避免出现此错误。使用 SPF 时应避免以下几种情况: 

  • 您的 SPF 记录必须以失效机制(-all 或 ~all)结束 
  • 避免使用中立政策进行 SPF 评估 
  • 避免超出 SPF DNS 和无效查询限制 

4.ESP 不支持 SPF 对齐的电子邮件

有时,如果您收到 "554 5.7.5 永久错误评估 DMARC 策略 "错误,可能是您的电子邮件服务提供商方面出了问题。并非所有电子邮件服务提供商都支持 SPF 对齐电子邮件。有些服务提供商甚至在内部处理 SPF 策略,如果您的域名已启用 SPF,这可能会导致错误。 

用 5 个步骤修复 "554 5.7.5 评估 DMARC 策略永久错误 "问题

您可以按照以下步骤解决 "554 5.7.5 评估 DMARC 策略永久错误 "错误。但不能保证一定能解决。如果按照这些步骤仍不能解决错误 请联系我们免费域名安全评估。

1.删除记录中的多余字符

评估 DMARC 政策的 5.7.5 永久错误可能源于各种因素,但主要原因通常包括:

  • 误用引号
  • 记录中多余的字符或符号
  • 缺少一个分号来结束记录。

下面是一个出现这种错误的记录的例子。

v=DMARC1; p=none; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s.

这条记录在你看来可能很好,但在测试时,我们得到了 "5.7.5永久错误评估DMARC政策 "的消息。

当我们再次检查时,我们发现在记录的末尾多了一个点--如果你仔细看上面的同一条记录,你可以看到在末尾有一个句号(点)(。 

一旦我们去掉那个点并再次进行测试,它就能完美地工作。

下面是同一记录在没有错误的情况下的样子。

v=DMARC1; p=none; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s

2.将你的SPF记录从中性修改为非中性

如果你在试图发送邮件时收到一条错误信息,说 "5.7.5永久错误评估DMARC策略",这可能是因为你的SPF记录被设置为中立。

SPF是发件人政策框架的缩写,它有助于确保发送电子邮件的邮件服务器是合法的。仅仅有一个发送电子邮件的服务器是不够的;需要有一些验证来证明这个服务器是合法的。这就是SPF的作用:它验证了你的邮件服务器有正确的证书。

为什么你的SPF记录不能是中性的? 

如果允许通过中立服务器发送信息,骗子就可以使用你的域名发送虚假电子邮件,这意味着人们可能会以为这些电子邮件是真的,而实际上不是--最终点击了不该点击的链接或下载了不该下载的文件。

因此,在实施 DMARC 时,至少应将 SPF 记录更改为 softfail ~all 或 hardfail -all,以便人们知道来自您域名的信息可能是安全的。

3.检查您的电子邮件服务提供商是否支持 SPF 对齐电子邮件

收到这个错误的最常见原因之一是,你的电子邮件服务提供商不支持SPF对齐的电子邮件。

像MailChimp和ProtonMail这样的电子邮件提供商有他们自己的SPF记录,当你通过他们发送电子邮件时,他们不会发送SFP对齐的电子邮件。因此,你必须检查你的电子邮件服务提供商的SPF处置类型,看它是否支持SPF对齐的电子邮件。

如果是这样,那么您的 DKIM 签名将在发送过程中被修改,以便发件人地址与您自己的域(而不是 MailChimp 的域)保持一致,并确保您通过 DMARC 策略评估。

如果没有,那么你就需要使用一个不同的电子邮件服务提供商(或者改变你现有提供商的设置),这样你就可以发送SPF对齐的电子邮件。

4.DMARC 改用 p=none 政策

如果你得到一个 "554 5.7.5永久错误评估DMARC政策 "的错误,这意味着你的域名上的DMARC政策阻止你发送你的邮件。要解决这个问题,你只需要在你的DNS提供商那里改变你的DMARC记录,使其具有p=none策略。

DMARC 策略告诉电子邮件提供商如何处理未通过SPF 和 DKIM检查的电子邮件:拒收或隔离。如果您想在这些检查未通过的情况下发送电子邮件,可以在 DNS 设置中将其设置为 p=none,从而暂时放宽策略。

DMARC 无被称为 "宽松、无行动或仅监控政策",因此不建议用于防止电子邮件欺骗.但将 DMARC 策略更改为 p=none 将允许您向收件箱发送电子邮件,而不会受到 DMARC 错误的影响。

例如,你可以改变这个记录。

_dmarc.yourdomain.com TXT v=DMARC1; p=reject; rua=mailto:reporting@example.com;

到这一点。

_dmarc.yourdomain.com TXT v=DMARC1; p=none; rua=mailto:reporting@example.com;

这对您意味着什么?即使未通过 DMARC,您也可以发送电子邮件。不过,您最终还是要恢复 p=reject 或 p=quarantine 策略,以防止在您的域名上出现电子邮件欺骗。

5.设置域名密钥识别邮件(DKIM)认证

如果您遇到错误代码 "554 5.7.5 评估 DMARC 策略的永久错误",这表明您的域尚未激活 DomainKeys Identified Mail (DKIM) 电子邮件验证--因此,要通过 DMARC,您必须设置 DKIM 电子邮件验证记录(如果您还没有 SPF)。

以下是您的操作步骤:

  • 在 PowerDMARC 上注册,然后从我们的 "强大工具箱 "中选择 DKIM 记录生成器。 
  • 输入域名,为记录定义一个选择器(如 selector1),然后点击生成按钮。 
  • 我们的工具将自动生成您的 DKIM 公钥和私钥对。 
  • 复制生成的 TXT 记录名称和 TXT 记录值(公钥值),并通过访问 DNS 管理控制台将其发布到 DNS 上。 

DMARC政策的格式要求

DMARC是一个电子邮件认证协议,它允许收件人验证声称来自你的域名的电子邮件是否真的来自你的域名。本指南将概述首次设置DMARC时的一些重要格式要求。

  •  首先,你的DMARC记录必须以 "v=DMARC1 "开头。这让电子邮件提供商知道,该记录是根据目前使用的DMARC版本(即1)进行格式化。 
  •  接下来,指定您的策略。策略必须是 p=无、p=隔离或 p=拒绝。这将告诉电子邮件提供商在电子邮件未能通过身份验证检查时该如何处理。 
  • DMARC 记录中的策略字段是 v= 版本字段之后的必填字段。策略可以有三种:p=无、p=隔离或 p=拒绝。"无 "表示当电子邮件提供商看到来自你的域的可疑电子邮件时,你希望它什么也不做--它不会理睬它,甚至可能会发送它。"隔离 "表示您希望将来自您域名的可疑邮件作为垃圾邮件发送,而不是作为正常邮件发送。最后,"拒收 "意味着您希望来自您域名的可疑电子邮件被拒收,根本不会被送达。
  •  使用冒号作为数值之间的分隔符--使用冒号而不是分号是一个好主意。分号会引起问题,特别是当在一行中指定多个值时。
  •  不要使用多余的字符或不好的引号。行末多余的空白将被视为记录的一部分,这可能导致问题。

下面是一个好的DMARC记录的例子。

v=DMARC1; p=reject; rua=mailto:55ysaox6s3@rua.powerdmarc.com,mailto:reporting@example.com; ruf=mailto:55ysaox6s3@ruf.powerdmarc.com; pct=100;

如何查找DMARC记录策略中的错误

拥有DMARC记录是保护你的电子邮件通信安全的一个好步骤。然而,如果其中有任何错误,整个系统将是无效的。这就是为什么发现任何错误并尽快解决它们很重要。

做到这一点的最好方法是使用 检索的工具。该工具检查你的记录是否有效,并向你显示任何潜在的错误。

你是否担心你的商业电子邮件的安全问题?

这确实令人担忧。事实上,许多网络攻击都是从电子邮件开始的。Verizon 的 2019 DBIR 报告指出 94%的数据泄露事件都是从通过电子邮件针对人们的攻击开始的。

但这并不意味着您必须放弃通过电子邮件接触客户!

相反,用SecurityGateway的电子邮件认证服务来保护你所有的商业电子邮件。这将帮助你获得客户的信任,并保护你的品牌免受黑客和其他不良行为者的网络钓鱼企图。

有了 SecurityGateway,您就可以确保来自贵公司的任何电子邮件不仅能让客户安全地打开,而且还能通过在邮件上加盖贵公司的印章,让客户很容易地识别出这是来自贵公司品牌的合法通信。

我们知道,保护你的公司名称和形象的完整性对你很重要,我们希望你能以一种对双方都有意义的方式来做这件事--这就是为什么我们以可承受的价格提供这项服务,同时仍然让我们的客户获得我们在电子邮件认证技术方面的所有专业知识。

最新博客