Behebung eines DKIM-Fehlers

Blog

DKIM-Fehler in Ihren E-Mails können den Ruf Ihrer Domain schädigen und die Zustellbarkeit Ihrer E-Mails beeinträchtigen. Beheben Sie alle DKIM-Fehler mit dieser einfachen Schritt-für-Schritt-Anleitung.

von Maitham Al Lawati

Lesezeit: 9 min
Behebung eines DKIM-Fehlers
Inhaltsverzeichnis-

Wenn DKIM bei den Nachrichten Ihrer Domäne fehlschlägt, kann das daran liegen, dass der Identifier-Abgleich für das DKIM-Protokoll fehlschlägt oder es Probleme bei der Einrichtung Ihres Datensatzes gibt. Heute werden wir uns damit beschäftigen, wie die DKIM-Spezifikation Ihre Domains authentifiziert, warum DKIM bei Ihren Nachrichten fehlschlägt und wie Sie DKIM mit einer Schritt-für-Schritt-Anleitung leicht beheben können.

Wichtigste Erkenntnisse

  1. DKIM-Fehler entstehen oft durch Unstimmigkeiten zwischen der DKIM-Signaturdomäne und dem From-Header.
  2. Fehler in der Syntax des DKIM-Datensatzes, in der Serverkommunikation und DNS-Ausfallzeiten können zu Problemen bei der DKIM-Authentifizierung führen.
  3. Häufige Ursachen für DKIM-Fehlschläge sind falsch konfigurierte Drittanbieter und Änderungen am E-Mail-Text während der Übertragung.
  4. Die Verwendung zuverlässiger DKIM-Datensatz-Generatoren und die Überwachung der DMARC-Berichte können die Anzahl der DKIM-Fehler erheblich reduzieren.
  5. Die Implementierung von SPF und DMARC zusammen mit DKIM trägt zur Verbesserung der E-Mail-Sicherheit bei und gewährleistet, dass E-Mails ordnungsgemäß authentifiziert werden.

Was bedeutet ein fehlgeschlagenes DKIM?

Wenn Sie DKIM für Ihre ausgehenden E-Mails aktiviert haben, überprüfen die empfangenden Server die Authentizität der E-Mail, indem sie Ihren privaten DKIM-Schlüssel mit dem in Ihrem DNS veröffentlichten öffentlichen Schlüssel abgleichen. Wenn der Schlüssel übereinstimmt, wird DKIM für die Nachricht akzeptiert, andernfalls schlägt DKIM fehl.

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

Vereinfachen Sie DKIM-Fehlschläge mit PowerDMARC!

15-Tage-TestDemo buchen
h2>Häufige Gründe für DKIM-Fehlschläge

1. Fehler in der Syntax des DKIM-Datensatzes

 

Wenn Sie keinen zuverlässigen DKIM-Datensatz-Generator Tool verwenden, um Ihren Eintrag zu generieren, indem Sie versuchen, ihn manuell für Ihre Domäne einzurichten, kann es sein, dass Sie ihn nicht richtig implementieren. Syntaktische Fehler in Ihren DNS-Einträgen können dazu führen, dass die Authentifizierung fehlschlägt.

2. DKIM Prüfung auf Ausrichtungsfehler

Wenn Sie über DMARC für Ihre Domäne zusätzlich zu DKIM eingerichtet haben, wird bei der DKIM-Prüfung der Domänenwert in der Datei d= Feld der DKIM-Signatur in der Kopfzeile der E-Mail mit der in der Absenderadresse gefundenen Domäne übereinstimmen. Dabei kann es sich entweder um einen strikten Abgleich handeln, bei dem die beiden Domänen genau übereinstimmen müssen, oder um einen lockeren Abgleich, der eine organisatorische Übereinstimmung zulässt, um die Prüfung zu bestehen.

Ein DKIM-Fehler kann auftreten, wenn die Domäne im DKIM-Signatur-Header nicht mit der Domäne im From-Header übereinstimmt, was ein typischer Fall von Domain-Spoofing oder Impersonation-Angriffen sein kann. 

3. Sie haben kein DKIM für Ihre E-Mail-Drittanbieter eingerichtet

Wenn Sie mehrere E-Mail-Anbieter nutzen, um E-Mails im Namen Ihres Unternehmens zu versenden, müssen Sie sich mit ihnen in Verbindung setzen, um Anweisungen zur Aktivierung von DKIM für Ihre ausgehenden E-Mails zu erhalten. Wenn Sie Ihre eigenen benutzerdefinierten Domänen oder Subdomänen verwenden, die bei diesem Drittanbieterdienst registriert sind, um E-Mails an Ihre Kunden zu senden, müssen Sie Ihren Anbieter bitten, DKIM für Sie zu übernehmen.

Wenn Ihr Drittanbieter Sie bei der Auslagerung Ihrer E-Mails unterstützt, sollte er idealerweise Ihre Domäne einrichten, indem er einen DKIM-Eintrag in ihrem DNS unter Verwendung eines DKIM-Selektors, der nur für Sie gilt, ohne dass Sie sich einmischen müssen.

OR, 

Sie können ein DKIM-Schlüsselpaar generieren und den privaten Schlüssel an Ihren E-Mail-Anbieter weitergeben, während Sie den öffentlichen Schlüssel in Ihrem eigenen DNS veröffentlichen.

Fehlkonfigurationen können zu DKIM-Fehlern führen, daher müssen Sie mit Ihrem Dienstanbieter offen über Ihre DKIM-Einrichtung kommunizieren. 

Hinweis: Einige Exchange-Server von Drittanbietern fügen formatierte Fußzeilen in den Nachrichtentext ein. Wenn diese Server Zwischenserver in einem E-Mail-Weiterleitungsprozess sind, kann die angehängte Fußzeile zu einem DKIM-Fehler beitragen.

4. Probleme bei der Serverkommunikation

In bestimmten Situationen kann die E-Mail von einem Server gesendet werden, auf dem DKIM deaktiviert ist. In solchen Fällen wird DKIM für diese E-Mail fehlschlagen. Es ist wichtig, sicherzustellen, dass die Kommunikationspartner DKIM ordnungsgemäß aktiviert haben. 

5. Änderungen im Nachrichtentext durch Mail Transfer Agents (MTAs)

Im Gegensatz zu SPF prüft DKIM bei der Überprüfung der Authentizität von Nachrichten nicht die IP-Adresse des Absenders oder den Rückkanal. Stattdessen wird sichergestellt, dass der Inhalt der Nachricht während der Übertragung nicht manipuliert wurde. Manchmal können teilnehmende MTAs und E-Mail-Weiterleitungsagenten den Nachrichtentext während des Zeilenumbruchs oder der Inhaltsformatierung verändern, was dazu führen kann, dass DKIM fehlschlägt. 

Die Formatierung des Inhalts einer E-Mail ist in der Regel ein automatisierter Prozess, um sicherzustellen, dass die Nachricht für jeden Empfänger leicht verständlich ist. 

6. DNS-Ausfall / DNS-Downtime

Dies ist ein häufiger Grund für DKIM-Fehler. DNS-Ausfälle können aus einer Vielzahl von Gründen auftreten, einschließlich Denial-of-Service-Angriffen. Auch routinemäßige Wartungsarbeiten an Ihrem Namensserver können der Grund für eine DNS-Ausfallzeit sein. Während dieser (in der Regel kurzen) Zeitspanne können die Empfängerserver keine DNS-Abfragen durchführen. 

Da wir wissen, dass DKIM in Ihrem DNS als TXT/CNAME-Eintrag vorhanden ist, führt der Client-Server während der Authentifizierung einen Lookup durch, um den öffentlichen Schlüssel im DNS des Absenders zu ermitteln. Bei einem Ausfall wird dies als nicht möglich erachtet und kann daher DKIM zerstören. 

7. Verwendung von OpenDKIM

Eine Open-Source-DKIM-Implementierung mit dem Namen OpenDKIM wird häufig von Mailbox-Anbietern wie Gmail, Outlook, Yahoo usw. verwendet. OpenDKIM stellt während der Überprüfung eine Verbindung mit dem Server über Port 8891 her. Manchmal können Fehler durch die Aktivierung falscher Berechtigungen verursacht werden, aufgrund derer Ihr Server nicht in der Lage ist, sich mit Ihrem Socket zu verbinden. 

Überprüfen Sie Ihr Verzeichnis, um sicherzustellen, dass Sie die Berechtigungen korrekt aktiviert haben, oder ob Sie überhaupt ein Verzeichnis für Ihren Socket eingerichtet haben. 

Unterschiedliche Ergebnisse der fehlgeschlagenen DKIM-Authentifizierung

1. Authentifizierungsergebnis: dkim=neutral (schlechtes Format)

Automatisch erzeugte Zeilenumbrüche in Ihrem DKIM-Datensatz können die Fehlermeldung: dkim=neutral (schlechtes Format) auslösen. Wenn Ihr E-Mail-Validator die aufgebrochenen Ressourcendatensätze während der Überprüfung miteinander verknüpft, ergibt sich ein falscher Wert. Eine mögliche Lösung ist die Verwendung von 1024-Bit-DKIM-Schlüsseln (im Gegensatz zu 2048-Bit-Schlüsseln), um das DNS-Limit von 255 Zeichen einzuhalten. 

2. Authentifizierungsergebnis: dkim=fail (schlechte Signatur)

Das Ergebnis einer fehlgeschlagenen DKIM-Authentifizierung kann darauf zurückzuführen sein, dass der Inhalt des Nachrichtentextes von einem Dritten geändert wurde und der DKIM-Signatur-Header nicht mit dem Text der E-Mail übereinstimmt. 

3. Authentifizierungsergebnis: dkim=fail (DKIM-Signaturkörper-Hash nicht verifiziert)

DKIM-Signaturkörper-Hash nicht verifiziert" oder "DKIM-Signaturkörper-Hash nicht verifiziert" sind zwei alternative Ergebnisse, die vom empfangenden Server für denselben Fehler zurückgegeben werden, der den DKIM-Körper-Hashwert (bh= Tag) während der Übertragung irgendwie verändert wurde. Selbst wenn Ihr DKIM-Schlüsselpaar korrekt eingerichtet ist und Sie einen gültigen öffentlichen Schlüssel in Ihrem DNS veröffentlicht haben, können geringfügige Änderungen im Hash-Wert, wie z. B. das Einfügen von Leer- oder Sonderzeichen, dazu führen, dass die Verifizierung Ihres Body-Hash-Wertes bei DKIM fehlschlägt.

Der Wert des Tags bh= kann aus den folgenden Gründen geändert werden: 

  • Zwischengeschaltete Server, die für die Änderung des E-Mail-Inhalts zuständig sind 
  • Hinzufügen von E-Mail-Fußzeilen durch Ihren E-Mail-Dienstanbieter  

4. Authentifizierungsergebnis: dkim=fail (kein Schlüssel für die Signatur)

Dieser Fehler kann das Ergebnis eines ungültigen oder fehlenden öffentlichen Schlüssels in Ihrem DNS sein. Vergewissern Sie sich unbedingt, dass sowohl Ihr öffentlicher als auch Ihr privater Schlüssel für DKIM übereinstimmen und korrekt eingerichtet sind. Sind Sie sicher, dass Ihr DKIM-DNS-Eintrag veröffentlicht und gültig ist? Prüfen Sie ihn jetzt mit unserem kostenlosen DKIM-Eintrags-Checker. 

Vermeiden Sie DKIM-Fehlschläge mit PowerDMARC!

15-Tage-TestDemo buchen

Wie Sie einen DKIM-Fehler für Ihre Nachrichten verhindern

Es ist nicht möglich, alle oben genannten Probleme zu lösen, da sie nicht alle umgangen werden können. Wir haben jedoch einige nützliche Tipps zusammengestellt, die Sie anwenden können, um die Wahrscheinlichkeit eines DKIM-Fehlschlags zu minimieren. 

Wie kann ich DKIM-Fehler beheben?

  • Generieren Sie Ihren DKIM-Eintrag mit einem vertrauenswürdigen und anerkannten Generator-Tool, um genaue Ergebnisse zu erzielen, und fügen Sie Ihre Werte immer per Copy-Paste ein, um Fehler zu vermeiden.
  • Überprüfen Sie Ihren DKIM-Eintrag auf Lücken und Fehler 
  • Implementieren Sie SPF und DMARC, um eine zusätzliche Sicherheitsebene gegen Domain-Spoofing und Impersonation zu schaffen. DMARC benötigt entweder SPF oder DKIM, damit die Nachrichten die Validierung bestehen. Wenn also DKIM fehlschlägt und SPF besteht, werden Ihre Nachrichten trotzdem DMARC passieren und zugestellt werden.
  • Aktivieren Sie DMARC-Berichte für Ihre Domains 
  • Überwachen Sie Ihre DKIM-Fehlerberichte und Authentifizierungsergebnisse mit einem speziellen DMARC-Leser Dashboard
  • Führen Sie eine ausführliche Diskussion mit Ihren E-Mail-Anbietern über die DKIM-Einrichtung, ob sie das Protokoll unterstützen und wie sie es handhaben 
  • Holen Sie sich fachkundigen Rat zu Ihren E-Mail-Authentifizierungseinstellungen von unserem Team von DMARC-Spezialisten, indem Sie sich für eine kostenlose DMARC-Testversion mit unserem Analysator anmelden.  

Beachten Sie, dass wir einige häufige DKIM-Fehlermeldungen und deren wahrscheinlichen Ursachen behandelt und eine mögliche Lösung für sie. Es kann jedoch sein, dass Fehler aus verschiedenen Gründen auftreten, die spezifisch für Ihre Domäne und Ihre Server sind und die in diesem Artikel nicht behandelt wurden.

Sie müssen sich mit den Authentifizierungsprotokollen ausreichend vertraut machen, bevor Sie sie in Ihrem Unternehmen einführen oder Ihre Richtlinien durchsetzen. Wenn DKIM, SPF oder die DMARC-Validierung fehlschlagen, kann das die Zustellbarkeit Ihrer E-Mails beeinträchtigen.  

Automatische E-Mail-Weiterleitung und DKIM im Vergleich zu SPF

Bei automatisch weitergeleiteten E-Mails werden die E-Mail-Kopfzeilen aufgrund der Beteiligung eines oder mehrerer Zwischenserver geändert. Die weitergeleitete Nachricht nimmt die Header-Informationen dieses Drittanbieters auf, der im SPF-Eintrag des ursprünglichen Absenders als autorisierte Absenderquelle enthalten sein kann oder auch nicht. 

Wenn sie nicht enthalten ist, schlägt SPF für diese Nachricht fehl. 

Da DKIM-Signaturen im E-Mail-Text enthalten sind, hat die Weiterleitung keine Auswirkungen auf DKIM. Aus diesem Grund kann die Einrichtung von DKIM zusätzlich zu Ihrer bestehenden SPF-Richtlinie dazu beitragen, unerwünschte DKIM-Authentifizierungsfehler für Ihre weitergeleiteten Nachrichten zu vermeiden. 

Behebung des Problems ohne DKIM

Die Einrichtung von DKIM zusammen mit SPF ist eine empfohlene empfohlen, ist aber nicht zwingend erforderlich.

  • Wenn Sie kein DKIM für Ihre Domänen einrichten möchten, aber dennoch SPF-Fehler für Ihre weitergeleiteten E-Mails beheben wollen, können Sie eine Methode namens E-Mail-Umleitung verwenden. Bei der Weiterleitung Ihrer E-Mails bleiben die ursprünglichen Kopfzeilen Ihrer Nachrichten erhalten.  
  • Andernfalls können Sie auch sicherstellen, dass Sie die IP-Adressen aller am Weiterleitungsprozess beteiligten Zwischenserver in den SPF-Eintrag Ihrer Domain aufnehmen. 

Was ist DKIM und warum müssen Sie es einrichten?

DKIM ist ein E-Mail-Authentifizierungssystem, das Ihnen hilft, die Legitimität Ihrer Absender zu überprüfen und gleichzeitig sicherzustellen, dass der Inhalt Ihrer E-Mail während des gesamten Zustellungsprozess.

Wenn wir darüber sprechen, warum wir eine DKIM-Einrichtung für unsere E-Mails benötigen, müssen wir darüber sprechen, wie E-Mails zu einem Vektor für die Durchführung betrügerischer Aktivitäten werden können. Über gefälschte E-Mails können Angriffe wie Phishing, Domain-Spoofing und Malware-Infektionen durchgeführt werden. Aus diesem Grund müssen Unternehmen ein Filtersystem zur Authentifizierung von E-Mail-Absendern einrichten. Auf diese Weise schützen sie nicht nur ihren eigenen Ruf, sondern verhindern auch, dass Millionen von Nutzern Opfer von E-Mail-Betrug werden. Ein DKIM-Fehler liegt vor, wenn Ihr privater Schlüssel nicht mit dem öffentlichen Schlüssel übereinstimmt (siehe unten).

DKIM ist ein solches E-Mail-Überprüfungssystem, das einen Hash-Wert (privater Schlüssel) verwendet, um E-Mail-Informationen zu signieren, die mit dem im DNS des Absenders hinterlegten öffentlichen Schlüssel abgeglichen werden. E-Mails, die mit einer DKIM-Signatur digital signiert sind, bieten ein hohes Maß an Schutz gegen jegliche Veränderung durch böswillige Dritte.

FAQs zu DKIM-Fehlern

1. Bei welchen Absendern funktioniert DKIM nicht?

Ein Fehlschlag ist typisch für Absender, die:

  • das Protokoll unsachgemäß konfigurieren
  • 2048-Bit-Schlüssel für nicht unterstützte E-Mail-Anbieter verwenden
  • der Inhalt der E-Mail wurde während der Übertragung durch einen Dritten verändert

2. Kann DMARC funktionieren, wenn DKIM nicht funktioniert?

Ja, vorausgesetzt, SPF wird für die E-Mail akzeptiert. Wenn Sie DMARC konfiguriert und E-Mails sowohl mit SPF- als auch mit DKIM-Mechanismen abgeglichen haben, müssen Sie nur eine der beiden Prüfungen bestehen (entweder SPF oder DKIM), um DMARC zu bestehen. Wenn sich Ihr DMARC-Abgleich jedoch nur auf die DKIM-Authentifizierung stützt, wird DMARC fehlschlagen und DKIM ebenfalls.

Neueste Beiträge von Maitham Al Lawati (alle anzeigen)
Was ist eine DMARC-Richtlinie? Keine, Quarantäne und ZurückweisungRichtlinie dmarcNCSC Mail Check-Änderungen und ihre Auswirkungen auf die E-Mail-Sicherheit im öffentlichen Sektor...