Hvorfor fejler DKIM?

DKIM fejler

DKIM-fejl for dit domænes meddelelser kan være et resultat af fejl i identifikatortilpasningen for DKIM-protokollen eller problemer i din opsætning af posten. I dag vil vi dykke ned i, hvordan DKIM-specifikationen autentificerer dine domæner, hvorfor DKIM måske fejler for dine meddelelser, og hvordan du nemt kan rette DKIM-fejl med et par tips og tricks.

Hvad er DKIM, og hvorfor skal du oprette det?

DKIM er et system til autentificering af e-mail, der hjælper dig med at verificere legitimiteten af dine afsenderkilder og samtidig sikre, at indholdet af din e-mail er uændret i hele processen. leveringsprocessen.

Hvis vi skal tale om, hvorfor vi har brug for en DKIM-opsætning for vores e-mails, skal vi tale om, hvordan e-mail kan blive en vektor for udførelse af svigagtige aktiviteter. Imiteringsangreb, der spænder fra phishing til domænespoofing, samt malware-infektioner kan udføres via falske e-mails. Derfor skal virksomhederne oprette et filtreringssystem til at autentificere e-mailafsendere. Ved at gøre dette beskytter de ikke kun deres eget omdømme, men forhindrer også millioner af brugere i at blive ofre for e-mailsvindel.  

DKIM er et sådant system til verifikation af e-mail, der bruger en hash-værdi (privat nøgle) til at signere e-mailoplysninger, som sammenlignes med den offentlige nøgle, der er gemt i afsenderens DNS. E-mails, der er digitalt signeret med en DKIM-signatur, er i høj grad beskyttet mod enhver ændring foretaget af en ondsindet tredjepart.

Automatisk videresendelse af e-mail og DKIM i forhold til SPF

I automatisk videresendte e-mails ændres e-mail-hovedlinjerne på grund af inddragelse af en eller flere mellemliggende servere. Den videresendte meddelelse indeholder headeroplysningerne fra denne tredjeparts mellemliggende server, som måske eller måske ikke er medtaget som en autoriseret afsenderkilde i den oprindelige afsenders SPF-registrering. 

Hvis den ikke er med, vil SPF fejle for den pågældende meddelelse. 

Da DKIM-signaturer er inkluderet i e-mail-teksten, har videresendelse ingen effekt på DKIM. Derfor kan du ved at opsætte DKIM oven på din eksisterende SPF-politik undgå uønskede godkendelsesfejl for dine videresendte meddelelser. 

Løsning af problemet uden DKIM

Opsætning af DKIM sammen med SPF er en anbefales praksis, men det er ikke obligatorisk.

  • Hvis du ikke ønsker at oprette DKIM for dine domæner, men alligevel ønsker at løse SPF-fejl for dine videresendte e-mails, kan du bruge en metode, der kaldes e-mailomdirigering. Ved at omdirigere dine e-mails bevares de oprindelige overskrifter for dine meddelelser.  
  • Ellers kan du også sørge for at medtage IP-adresserne på alle de mellemliggende servere, der deltager i videresendelsesprocessen, i dit domænes SPF-post. 

DKIM-fejl Betydning

Hvis du har DKIM aktiveret for dine udgående e-mails, kontrollerer modtagende servere e-mailens ægthed ved at matche din private DKIM-nøgle med den offentlige nøgle, der er offentliggjort på din DNS. Hvis der er et match, godkendes DKIM for meddelelsen, ellers mislykkes DKIM.

Hvad betyder DKIM Fail?

DKIM-fejl henviser til den fejlslagne status for din DKIM-godkendelseskontrol på grund af manglende overensstemmelse mellem de domæner, der er angivet i DKIM-signaturhovedet og From-hovedet, og uoverensstemmelser mellem nøgleparværdierne.

Testcases for DKIM mislykkes

1. Fejl i DKIM-record syntaks

 

Hvis du ikke bruger en pålidelig DKIM-recordgenerator værktøj til at generere din post ved at forsøge at oprette den manuelt for dit domæne, kan du implementere den forkert. Syntaktiske fejl i dine DNS-poster kan føre til fejl i godkendelsen, og i dette tilfælde mislykkes DKIM.

2. Fejl i DKIM-identifikatortilpasning

Hvis du har DMARC er oprettet for dit domæne ud over DKIM, vil domæneværdien i d= feltet i DKIM-signaturen i e-mailhovedet skal stemme overens med det domæne, der findes i fra-adressen. Det kan enten være en streng tilpasning, hvor de to domæner skal være nøjagtigt ens, eller en afslappet tilpasning, hvor et organisatorisk match er tilladt for at bestå kontrollen.

En DKIM-fejl kan opstå, hvis DKIM-signaturhoveddomænet ikke stemmer overens med domænet i From-hovedet, hvilket kan være et typisk tilfælde af domænespoofing eller et angreb med personificering. 

3. Du har ikke konfigureret DKIM for dine tredjepartsleverandører af e-mail

Hvis du bruger flere tredjepartsleverandører til at sende e-mails på vegne af din organisation, skal du kontakte dem for at få instruktioner om, hvordan du aktiverer DKIM for dine udgående e-mails. Hvis du bruger dine egne brugerdefinerede domæner eller underdomæner, der er registreret på denne tredjepartstjeneste, til at sende e-mails til dine kunder, skal du sørge for at anmode din leverandør om at håndtere DKIM for dig.

Hvis din tredjepartsleverandør hjælper dig med at outsource dine e-mails, vil han/hun ideelt set oprette dit domæne ved at offentliggøre en DKIM-post på deres DNS ved hjælp af en DKIM-selektor, der er unik for dig, uden at du behøver at gribe ind.

ELLER, 

Du kan generere et DKIM-nøglepar og overdrage den private nøgle til din e-mail-leverandør, mens du offentliggør den offentlige nøgle på din egen DNS.

Fejlkonfigurationer i samme kan føre til DKIM-fejl, så det er vigtigt, at du kommunikerer åbent med din tjenesteudbyder om din DKIM-opsætning. 

Bemærk: Nogle udvekslingsservere fra tredjeparter indfører formaterede sidefødder i meddelelseskroppen. Hvis disse servere er mellemservere i en e-mail-videresendelsesproces, kan den sammenkoblede sidefod være en medvirkende faktor til DKIM-fejl.

4. Problemer i forbindelse med serverkommunikation

I visse situationer kan e-mailen blive sendt fra en server, hvor DKIM er deaktiveret. I sådanne tilfælde vil DKIM mislykkes for denne e-mail. Det er vigtigt at sikre, at de kommunikerende parter har DKIM korrekt aktiveret. 

5. Ændringer i meddelelsesteksten foretaget af mailoverførselsagenter (MTA'er)

I modsætning til SPF kontrollerer DKIM ikke afsenderens IP-adresse eller returvej, mens den kontrollerer meddelelsernes autenticitet. I stedet sikrer den, at meddelelsens indhold ikke er blevet manipuleret under transporten. Nogle gange kan deltagende MTA'er og e-mailspeditorer ændre meddelelsesteksten under linjeindpakning eller indholdsformatering, hvilket kan føre til, at DKIM ikke lykkes. 

Formatering af indholdet af en e-mail er normalt en automatiseret proces for at sikre, at meddelelsen er let forståelig for hver enkelt modtager. 

6. DNS-nedbrud / DNS-nedtid

Dette er en almindelig årsag til fejl i godkendelsen, herunder DKIM-fejl. DNS-nedbrud kan opstå af forskellige årsager, herunder Denial of Service-angreb. Rutinemæssig vedligeholdelse af din navneserver kan også være årsagen til et DNS-nedbrud. I denne (normalt korte) periode kan modtagerservere ikke udføre DNS-forespørgsler i denne periode. 

Da vi ved, at DKIM findes i din DNS som en TXT/CNAME-post, udfører klient-serveren et opslag for at spørge afsenderens DNS efter den offentlige nøgle under autentificeringen. Under en afbrydelse anses dette ikke for muligt, og derfor kan DKIM blive brudt. 

7. Brug af OpenDKIM

En open source DKIM-implementering kendt som OpenDKIM anvendes almindeligvis af postkasseudbydere som Gmail, Outlook, Yahoo osv. OpenDKIM opretter forbindelse til serveren via port 8891 under verifikationen. Nogle gange kan der opstå fejl ved at aktivere forkerte tilladelser, som gør at serveren ikke kan binde sig til din socket. 

Kontroller din mappe for at sikre, at du har aktiveret tilladelser korrekt, eller om du overhovedet har oprettet en mappe til din socket. 

Fejl i DKIM-godkendelsesresultatet

1. Autentificeringsresultat: dkim=neutral (dårligt format)

Automatisk genererede linjeskift i din DKIM-record kan medføre fejlmeddelelsen: dkim=neutral (dårligt format). Når din e-mail-validator sammenkæder de afbrudte ressourceposter under verifikationen, giver den en forkert værdi. En mulig løsning er at bruge 1024 bit DKIM-nøgler (i modsætning til 2048 bit), så de passer inden for DNS-grænsen på 255 tegn. 

2. Autentificeringsresultat: dkim=fail (dårlig signatur)

Dette kan være et muligt resultat af, at en tredjepart har ændret indholdet i meddelelsens brødtekst, og at DKIM-signaturhovedet derfor ikke har passet til e-mailens brødtekst. 

3. Autentificeringsresultat: dkim=fail (DKIM-signaturens hash-koder er ikke verificeret)

"DKIM-signature body hash not verified" eller "DKIM signature body hash did not verify" er to alternative resultater, der returneres af den modtagende server for den samme fejl, som indebærer DKIM body hash-værdien (bh= tag) på en eller anden måde er blevet ændret under transporten. Selv hvis dit DKIM-nøglepar er oprettet korrekt, og du har en gyldig offentlig nøgle offentliggjort på din DNS, kan mindre ændringer i hash-værdien, f.eks. indføjelse af mellemrum eller specialtegn, få din kropshash-verifikation til at mislykkes i DKIM.

Værdien af bh=-mærket kan ændres af følgende årsager: 

  • Mellemservere, der er ansvarlige for at ændre postindholdet 
  • Tilføjelse af sidefødder til e-mails af din e-mail-udbyder  

4. Autentificeringsresultat: dkim=fail (ingen nøgle til signatur)

Denne fejl kan skyldes en ugyldig eller manglende offentlig nøgle i din DNS. Det er vigtigt, at du sørger for, at både din offentlige og private nøgle til DKIM passer til hinanden og er korrekt konfigureret. Er du sikker på, at din DKIM DNS-post er offentliggjort og gyldig? Tjek det nu ved hjælp af vores gratis DKIM-record-checker. 

Hvordan stopper du DKIM-fejl for dine meddelelser?

Det er ikke muligt at løse alle de ovennævnte problemer, simpelthen fordi de ikke alle kan omgås. Vi har dog samlet nogle nyttige tips, som du kan anvende for at minimere dine chancer for at DKIM fejler. 

Hvordan løser jeg DKIM-problemer?

  • Generer din DKIM-record ved hjælp af et pålideligt og anerkendt generatorværktøj for at opnå nøjagtige resultater, og kopier altid dine værdier for at undgå fejl
  • Kontroller din DKIM-post for huller og fejl 
  • Implementer SPF og DMARC for at opnå et ekstra sikkerhedslag mod domænespoofing og efterligning. DMARC kræver, at enten SPF eller DKIM er godkendt for at få meddelelser godkendt, og hvis DKIM ikke godkendes, men SPF godkendes, vil dine meddelelser stadig bestå DMARC og blive leveret.
  • Aktiver DMARC-rapportering for dine domæner 
  • Overvåg dine rapporter om DKIM-fejl og godkendelsesresultater på en dedikeret DMARC-rapportanalysator dashboard
  • Tag en detaljeret diskussion med dine e-mail-leverandører om DKIM-opsætning, om de understøtter protokollen, og hvordan de håndterer den 
  • Få ekspertrådgivning om din e-mail-autentificeringskonfiguration fra vores team af DMARC-specialister ved at tilmelde dig en gratis DMARC-testversion med vores analysator  

Bemærk, at vi har dækket nogle almindelige DKIM-fejlmeddelelser og deres sandsynlige årsager, samtidig med at vi har givet en mulig løsning omkring dem. Der kan dog opstå fejl på grund af forskellige underliggende årsager, som er specifikke for dit domæne og dine servere, og som ikke er dækket i denne artikel.

Det er vigtigt, at du opbygger tilstrækkelig viden om autentificeringsprotokoller, før du implementerer dem i din organisation eller håndhæver dine politikker. DKIM-fejl eller fejl i SPF- eller DMARC-validering kan påvirke din e-mails leveringsmuligheder.  

Ofte stillede spørgsmål om DKIM-fejl

1. Hvilke afsendere fejler med DKIM?

DKIM-fejl er typisk for afsendere, som:

  • konfigurere protokollen forkert
  • bruge 2048-bit nøgler til ikke-understøttede e-mail-udbydere
  • indholdet af e-mailen blev ændret af en tredjepartsmellemled under overførslen af meddelelsen

2. Kan DMARC godkendes, hvis DKIM fejler?

Ja, forudsat at SPF godkendes for e-mailen. Hvis du har konfigureret DMARC og afstemt e-mails efter både SPF- og DKIM-mekanismerne, skal du kun bestå en af kontrollerne (enten SPF eller DKIM) for at bestå DMARC. Hvis din DMARC-tilpasning imidlertid kun er baseret på DKIM-godkendelse, vil DMARC mislykkes, når DKIM mislykkes.

Nyeste indlæg af Syuzanna Papazyan (se alle)
/af