DKIM-Fehler bei der Domänenzuordnung - RFC 5322 behebt sie
von
Zuletzt aktualisiert: 6 Lesezeit: 2 Minuten
Ein RFC 5322-Abgleichsfehler tritt auf, wenn die Domäne im "From:"-Header (für die Benutzer sichtbar) nicht mit der DKIM d=-Domäne (in der Signatur) übereinstimmt. DMARC erfordert, dass die Domäne im "From:"-Header mit der Domäne übereinstimmt, die entweder durch SPF oder DKIM authentifiziert wurde.
DKIM hilft zu prüfen, ob eine E-Mail während der Übertragung manipuliert wurde. Für DMARC-Zwecke authentifiziert DKIM auch die Identität der Domäne, die behauptet, die E-Mail zu senden (über d=). DMARC prüft, ob die "Von:"-Adresse in einer E-Mail-Nachricht mit den durch SPF und DKIM authentifizierten Domänen übereinstimmt.
Wichtigste Erkenntnisse
- Ein RFC 5322-Abgleichfehler tritt auf, wenn die Domäne im "From:"-Header nicht mit der in der DKIM-Signatur (d=-Tag) angegebenen Domäne übereinstimmt.
- Der DKIM-Domänenabgleich ist notwendig, um DMARC zu bestehen, wenn der SPF-Abgleich fehlschlägt oder nicht vorhanden ist.
- Bei DMARC gibt es zwei Ausrichtungsmodi: streng und entspannt.
- Die Verwendung von E-Mail-Marketing-Tools und die Weiterleitung von E-Mails kann zu RFC 5322 DKIM-Abgleichfehlern führen.
- Stimmen Sie immer DKIM- und "Von:"-Domänen ab, stellen Sie den entsprechenden Ausrichtungsmodus ein, behalten Sie den ursprünglichen "Von:"-Header bei und fügen Sie DKIM-Schlüssel für Unterdomänen hinzu.
Was ist RFC 5322?
RFC 5322 definiert die Syntax für Internet-E-Mail-Kopfzeilen, einschließlich der "From:"-Kopfzeile. DKIM und DMARC stützen sich bei der Authentifizierung auf diese Kopfzeilen. SPF hingegen überprüft den Absender des Umschlags (MAIL FROM) gemäß RFC 5321. RFC 5322 wurde im Oktober 2008 veröffentlicht und ist nun ein Standard für die Formatierung von E-Mail-Kopfzeilen und -Körpern.
Ohne Ausrichtungsanforderungen hätten Angreifer einfach gültige SPF - oder DKIM-Einträge einer Domain verwenden und gleichzeitig die Absenderadresse einer anderen Domain vortäuschen. Mit der Alignment-Anforderung wird die Aufgabe der Hacker wesentlich schwieriger: Wenn die Domains nicht übereinstimmen, schlägt die DMARC-Authentifizierung fehl und die E-Mail wird entweder als Spam markiert oder direkt abgelehnt.
Was ist DKIM Domain Alignment?
Um am besten zu verstehen, was DKIM-Domänenabgleich ist, ist es sinnvoll, zunächst zu verstehen, wie DKIM funktioniert.
Was ist DKIM und wie funktioniert es?
DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsprotokoll, das es einer Einzelperson oder einer Organisation ermöglicht, die Verantwortung für die Übertragung einer E-Mail zu übernehmen. Es fügt eine digitale Signatur hinzu, die von Postfachanbietern überprüft werden kann, um sicherzustellen, dass die E-Mail während der Übertragung nicht manipuliert wurde.
Beim Versand einer E-Mail signiert die sendende Domäne ausgehende Nachrichten mit einem privaten Schlüssel. Anschließend überprüft der empfangende Server die Signatur mit Hilfe eines öffentlichen Schlüssels, der im DNS der Domäne veröffentlicht ist.
Das "d="-Tag, eine Schlüsselkomponente der DKIM-Signatur, gibt die Domäne an, die für das Signieren der Nachricht verantwortlich ist. Diese Domain ist im DKIM-Header enthalten und wird von den empfangenden Servern verwendet, um den öffentlichen Schlüssel zu überprüfen.
Der Unterschied zwischen entspannten und strengen Ausrichtungsmodi bei DMARC
DMARC-Abgleich trägt dazu bei, dass die Domäne in der Kopfzeile "Von:" mit der durch SPF oder DKIM authentifizierten Domäne übereinstimmt. Es gibt zwei Ausrichtungsmodi bei DMARC: entspannt oder streng.
- Entspannte Ausrichtung: Die Domäne im "From:"-Header muss nur mit der Organisationsdomäne übereinstimmen, die bei der SPF- oder DKIM-Authentifizierung verwendet wird. Dies ist ein "nachsichtiger" und flexibler Modus, der besonders bei der Verwendung von Subdomänen oder E-Mail-Diensten von Drittanbietern nützlich ist.
- Strenge Ausrichtung: Im Falle der strikten Ausrichtung muss die Domäne im "From:"-Header genau mit der Domäne übereinstimmen, die bei der SPF- oder DKIM-Authentifizierung verwendet wird.
| Ausrichtungsmodus | Von: Kopfzeile Beispiel | DKIM d= Beispiel | DMARC-Ergebnis |
|---|---|---|---|
| Streng | [email protected] | d=example.com | ✅ Pass |
| Streng | [email protected] | d=example.com | ❌ Versagen |
| Entspannt | [email protected] | d=example.com | ✅ Pass |
| Entspannt | [email protected] | d=mail.example.com | Pass (gleicher organisatorischer Bereich, basierend auf der öffentlichen Suffixliste) |
Warum DKIM und RFC 5322-Abgleich wichtig sind
Das Hauptziel der Abgleichsanforderung von DKIM und RFC 5322 ist die Verhinderung von unberechtigtem Zugriff.
Kernproblem: Die DMARC-Anpassungsanforderung
DMARC verlangt, dass die Domäne in der Absenderkopfzeile der E-Mail zumindest teilweise mit der im Feld "d=" der DKIM-Signatur angegebenen Domäne übereinstimmt. Bei der strikten Ausrichtung müssen die Domänen genau übereinstimmen. Bei der lockeren Ausrichtung sollten sie zumindest dieselbe Organisationsdomäne haben.
Häufige Mismatch-Szenarien
Hier sind einige der häufigsten Inkongruenzszenarien:
Einsatz von Marketinginstrumenten
Marketing-Tools senden häufig E-Mails von Adressen wie [email protected], signieren sie aber mit einer DKIM-Domäne "d=example.com". Wenn in einer solchen Situation die DKIM-Ausrichtung auf strikte Ausrichtung (adkim=s) eingestellt ist, ist es wahrscheinlich, dass die Ausrichtung der DKIM-Signatur fehlschlägt.
E-Mail-Weiterleitung
Während das Weiterleiten in der Regel SPF stärker beeinträchtigt als DKIM, kann DKIM beim Weiterleiten ebenfalls fehlschlagen, jedoch nur, wenn die Nachricht verändert wird (z. B. durch Mailinglisten). Beachten Sie, dass der „From:”-Header von Weiterleitern selten geändert wird.
Hier ist ein Beispiel für eine Fehlausrichtung:
- Von: [email protected] (RFC 5322 Header)
- DKIM-Signatur: d=example.com (falsch zugeordnete Domäne und DMARC schlägt fehl)
Häufige Ursachen von Ausrichtungsproblemen
Zu den häufigsten Ursachen von Ausrichtungsfehlern gehören:
Nutzung von Drittanbieterdiensten
Wenn Sie E-Mails über externe Drittanbieter versenden, die den Domänenabgleich nicht ordnungsgemäß konfigurieren, ist es wahrscheinlich, dass der DKIM-Domänenabgleich nach RFC 5322 fehlschlägt.
DKIM-Datensatz-Fehlkonfiguration
Wenn Ihre DKIM-Datensätze oder Selektoren nicht korrekt eingerichtet sind, kann es zu einer Fehlanpassung kommen. Selbst ein kleiner Fehler bei der Einrichtung kann zu großen Fehlern führen, die sich auf die Zustellbarkeit Ihrer E-Mails auswirken.
Unstimmigkeiten im Bereich
Wenn Sie in der DKIM-Signatur und im "From:"-Header unterschiedliche Domänen verwenden, sollte es nicht überraschen, wenn eine RFC 5322 From-Header-Fehlanpassung auftritt. Unabhängig davon, ob die Inkonsistenz der Domänen auf ein Versehen und eine Fehlkonfiguration zurückzuführen ist oder ob sie absichtlich Teil Ihrer Einrichtung ist, sind in beiden Fällen eine Fehlanpassung und nachfolgende Probleme sehr wahrscheinlich.
Diagnose von RFC 5322-Ausrichtungsfehlern
Mit den folgenden zwei Schritten können Sie das Problem der RFC 5322-Ausrichtung schnell diagnostizieren.
- Wenn Sie RFC 5322-Abgleichsfehler diagnostizieren möchten, überprüfen Sie zunächst sorgfältig Ihre DMARC-Berichte auf Einträge mit dem Grund "dkim alignment failed".
- Als Nächstes können Sie Tools zur E-Mail-Authentifizierung verwenden, z. B. einen DKIM-Prüfer oder den Befehl dig verwenden, um Ihre DNS-Einträge zu überprüfen. Auf diese Weise können Sie bestätigen, dass die DKIM-Signaturen ordnungsgemäß veröffentlicht wurden und mit Ihrer Versanddomäne übereinstimmen.
Behebung von DKIM-RFC 5322-Abweichungen
Hier sind einige einfach umzusetzende Schritte, um die DKIM-RFC 5322-Fehlanpassung zu beheben.
1. DKIM und Von-Domänen abgleichen
Stellen Sie sicher, dass die DKIM-Signatur immer dieselbe Domäne verwendet wie die "Von:" Kopfzeile. Dies ist am besten für E-Mails, die direkt von Ihrer Domäne gesendet werden.
2. Ausrichtungsmodus einstellen
Stellen Sie sicher, dass Sie den Ausrichtungsmodus einstellen, der Ihren Präferenzen und Bedürfnissen am besten entspricht. Verwenden Sie in Ihrer DMARC-Richtlinie adkim=s für eine strikte Ausrichtung (wenn eine exakte Übereinstimmung erforderlich ist) oder adkim=r für eine entspannte Ausrichtung (um auch Subdomains zuzulassen).
3. Subdomain DKIM-Schlüssel hinzufügen
Wenn Sie Subdomänen in Ihrer "Von:"-Adresse verwenden, stellen Sie sicher, dass DKIM so konfiguriert ist, dass Nachrichten mit genau dieser Subdomäne signiert werden, oder passen Sie Ihren DMARC-Ausrichtungsmodus entsprechend an.
4. Die ursprüngliche "Von:"-Kopfzeile beibehalten
Sie sollten Ihre E-Mail-Dienste so konfigurieren, dass die ursprüngliche "Von:"-Domäne in der Kopfzeile der Nachricht erhalten bleibt. Bei der Weiterleitung von E-Mails kann es vorkommen, dass Vermittler unbeabsichtigt den "Von:"-Header oder andere Teile der Nachricht ändern, wodurch die DKIM-Anpassung unterbrochen und DMARC-Fehler verursacht werden könnten. Die Beibehaltung des ursprünglichen "From:"-Headers hilft, die Domänenausrichtung beizubehalten, und in Kombination mit ARC (Authenticated Received Chain)(Authenticated Received Chain) zusätzlichen Authentifizierungskontext liefern, der dem Empfängerserver hilft, die Legitimität der Nachricht trotz zwischengeschalteter Änderungen zu bewerten.
5. Testen und validieren
Das Testen und Validieren ist ein oft übersehener, aber wichtiger Schritt in diesem Prozess. Es gibt viele frei zugängliche Tools, mit denen Sie den Domänenabgleich und die DKIM-Einrichtung überprüfen können. Mithilfe solcher Tools können Sie sicherstellen, dass die DMARC-Authentifizierung erfolgreich ist und Ihre Nachricht an den vorgesehenen Empfänger zugestellt wird.
Profi-Tipps
Hier finden Sie weitere Tipps für eine fehlerfreie Ausrichtung.
SPF + DKIM-Abgleich
DMARC vergleicht die Domäne im RFC 5322.From-Header mit Domänen, die durch SPF (MAIL FROM) und DKIM (d=) authentifiziert wurden.
Vermeiden Sie das Brechen von Kopfzeilen durch Tools von Drittanbietern
Versuchen Sie, keine E-Mail-Dienstleister (ESPs) von Drittanbietern zu verwenden, die Kopfzeilen unterbrechen oder verändern. Sie können ESPs auf ihre Konformität testen, bevor Sie sie vollständig einführen. So können Sie Probleme bei der Zustellung vermeiden und gleichzeitig die Einhaltung der Vorschriften sicherstellen.
Resümee
Ein RFC 5322-Abgleichfehler kann in verschiedenen Situationen auftreten, insbesondere bei der Verwendung von E-Mail-Marketing-Tools oder bei der Weiterleitung von E-Mails. Zu den häufigsten Ursachen gehören die Verwendung von Diensten Dritter, die falsche Konfiguration von DKIM-Einträgen und Domain-Inkonsistenzen.
Sie können RFC 5322-Abgleichsfehler mit einem DMARC-Berichtsanalysator leicht diagnostizieren, der Ihnen hilft, Authentifizierungsprobleme anhand visueller, von Menschen lesbarer DMARC-Daten schnell zu erkennen und zu identifizieren.
PowerDMARC kann Ihnen helfen, Ihre Reise zu einer fehlerfreien E-Mail-Authentifizierung zu beginnen und Abgleichfehler zu vermeiden. Um loszulegen, nutzen Sie Ihre 15-tägige kostenlose Testversion noch heute!
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
