Wenn DKIM bei den Nachrichten Ihrer Domäne fehlschlägt, kann das an einer fehlerhaften Ausrichtung der Bezeichner für das DKIM-Protokoll oder an Problemen bei der Einrichtung Ihrer Datensätze liegen. Heute werden wir uns damit beschäftigen, wie die DKIM-Spezifikation Ihre Domains authentifiziert, warum DKIM bei Ihren Nachrichten fehlschlägt und wie Sie den DKIM-Fehler mit ein paar Tipps und Tricks beheben können.
Was ist DKIM und warum müssen Sie es einrichten?
DKIM ist ein E-Mail-Authentifizierungssystem, das Ihnen hilft, die Legitimität Ihrer Absender zu überprüfen und gleichzeitig sicherzustellen, dass der Inhalt Ihrer E-Mail während des gesamten Zustellungsprozess.
Wenn wir darüber sprechen, warum wir eine DKIM-Einrichtung für unsere E-Mails benötigen, müssen wir darüber sprechen, wie E-Mails zu einem Vektor für die Durchführung betrügerischer Aktivitäten werden können. Über gefälschte E-Mails können Angriffe wie Phishing, Domain-Spoofing und Malware-Infektionen durchgeführt werden. Aus diesem Grund müssen Unternehmen ein Filtersystem zur Authentifizierung von E-Mail-Absendern einrichten. Auf diese Weise schützen sie nicht nur ihren eigenen Ruf, sondern verhindern auch, dass Millionen von Nutzern Opfer von E-Mail-Betrug werden.
DKIM ist ein solches E-Mail-Überprüfungssystem, das einen Hash-Wert (privater Schlüssel) verwendet, um E-Mail-Informationen zu signieren, die mit dem im DNS des Absenders hinterlegten öffentlichen Schlüssel abgeglichen werden. E-Mails, die mit einer DKIM-Signatur digital signiert sind, bieten ein hohes Maß an Schutz gegen jegliche Veränderung durch böswillige Dritte.
Automatische E-Mail-Weiterleitung und DKIM im Vergleich zu SPF
Bei automatisch weitergeleiteten E-Mails werden die E-Mail-Kopfzeilen aufgrund der Beteiligung eines oder mehrerer Zwischenserver geändert. Die weitergeleitete Nachricht nimmt die Header-Informationen dieses Drittanbieters auf, der im SPF-Eintrag des ursprünglichen Absenders als autorisierte Absenderquelle enthalten sein kann oder auch nicht.
Wenn sie nicht enthalten ist, schlägt SPF für diese Nachricht fehl.
Da DKIM-Signaturen im E-Mail-Text enthalten sind, hat die Weiterleitung keine Auswirkungen auf DKIM. Aus diesem Grund kann die Einrichtung von DKIM zusätzlich zu Ihrer bestehenden SPF-Richtlinie dazu beitragen, unerwünschte Authentifizierungsfehler für Ihre weitergeleiteten Nachrichten zu vermeiden.
Behebung des Problems ohne DKIM
Die Einrichtung von DKIM zusammen mit SPF ist eine empfohlene empfohlen, ist aber nicht zwingend erforderlich.
- Wenn Sie kein DKIM für Ihre Domänen einrichten möchten, aber dennoch SPF-Fehler für Ihre weitergeleiteten E-Mails beheben wollen, können Sie eine Methode namens E-Mail-Umleitung verwenden. Bei der Weiterleitung Ihrer E-Mails bleiben die ursprünglichen Kopfzeilen Ihrer Nachrichten erhalten.
- Andernfalls können Sie auch sicherstellen, dass Sie die IP-Adressen aller am Weiterleitungsprozess beteiligten Zwischenserver in den SPF-Eintrag Ihrer Domain aufnehmen.
DKIM-Fehler Bedeutung
Wenn Sie DKIM für Ihre ausgehenden E-Mails aktiviert haben, überprüfen die empfangenden Server die Authentizität der E-Mail, indem sie Ihren privaten DKIM-Schlüssel mit dem in Ihrem DNS veröffentlichten öffentlichen Schlüssel abgleichen. Wenn der Schlüssel übereinstimmt, wird DKIM für die Nachricht akzeptiert, andernfalls schlägt DKIM fehl.
Was bedeutet DKIM Fail?
DKIM-Fehler bezieht sich auf den fehlgeschlagenen Status Ihrer DKIM-Authentifizierungsprüfung aufgrund einer Nichtübereinstimmung der im DKIM-Signatur-Header und im From-Header angegebenen Domänen sowie aufgrund von Inkonsistenzen bei den Schlüsselpaarwerten.
Testfälle für DKIM schlagen fehl
1. Fehler in der Syntax des DKIM-Datensatzes
Wenn Sie nicht einen zuverlässigen DKIM-Datensatz-Generator Tool verwenden, um Ihren Eintrag zu generieren, indem Sie versuchen, ihn manuell für Ihre Domäne einzurichten, können Sie ihn falsch implementieren. Syntaktische Fehler in Ihren DNS-Einträgen können dazu führen, dass die Authentifizierung fehlschlägt, und in diesem Fall schlägt auch DKIM fehl.
2. DKIM-Kennungsabgleich fehlgeschlagen
Wenn Sie über DMARC für Ihre Domain zusätzlich zu DKIM eingerichtet haben, wird bei der DKIM-Verifizierung der Domainwert in der d= Feld der DKIM-Signatur in der Kopfzeile der E-Mail mit der in der Absenderadresse gefundenen Domäne übereinstimmen. Dabei kann es sich entweder um einen strikten Abgleich handeln, bei dem die beiden Domänen genau übereinstimmen müssen, oder um einen lockeren Abgleich, der eine organisatorische Übereinstimmung zulässt, um die Prüfung zu bestehen.
Ein DKIM-Fehler kann auftreten, wenn die Domäne des DKIM-Signatur-Headers nicht mit der Domäne im From-Header übereinstimmt, was ein typischer Fall von Domain-Spoofing oder Impersonation-Angriffen sein kann.
3. Sie haben kein DKIM für Ihre E-Mail-Drittanbieter eingerichtet
Wenn Sie mehrere E-Mail-Anbieter nutzen, um E-Mails im Namen Ihres Unternehmens zu versenden, müssen Sie sich mit ihnen in Verbindung setzen, um Anweisungen zur Aktivierung von DKIM für Ihre ausgehenden E-Mails zu erhalten. Wenn Sie Ihre eigenen benutzerdefinierten Domänen oder Subdomänen verwenden, die bei diesem Drittanbieterdienst registriert sind, um E-Mails an Ihre Kunden zu senden, müssen Sie Ihren Anbieter bitten, DKIM für Sie zu übernehmen.
Wenn Ihr Drittanbieter Sie bei der Auslagerung Ihrer E-Mails unterstützt, sollte er idealerweise Ihre Domäne einrichten, indem er einen DKIM-Eintrag in ihrem DNS unter Verwendung eines DKIM-Selektors, der nur für Sie gilt, ohne dass Sie sich einmischen müssen.
OR,
Sie können ein DKIM-Schlüsselpaar generieren und den privaten Schlüssel an Ihren E-Mail-Anbieter weitergeben, während Sie den öffentlichen Schlüssel in Ihrem eigenen DNS veröffentlichen.
Fehlkonfigurationen können zu DKIM-Fehlern führen. Daher ist es unerlässlich, dass Sie mit Ihrem Dienstanbieter offen über Ihre DKIM-Einrichtung kommunizieren.
Hinweis: Einige Exchange-Server von Drittanbietern fügen formatierte Fußzeilen in den Nachrichtentext ein. Wenn diese Server Zwischenserver in einem E-Mail-Weiterleitungsprozess sind, kann die angehängte Fußzeile zu einem DKIM-Fehler beitragen.
4. Probleme bei der Serverkommunikation
In bestimmten Situationen kann die E-Mail von einem Server gesendet werden, auf dem DKIM deaktiviert ist. In solchen Fällen wird DKIM für diese E-Mail fehlschlagen. Es ist wichtig, sicherzustellen, dass die Kommunikationspartner DKIM ordnungsgemäß aktiviert haben.
5. Änderungen im Nachrichtentext durch Mail Transfer Agents (MTAs)
Im Gegensatz zu SPF prüft DKIM bei der Überprüfung der Authentizität von Nachrichten nicht die IP-Adresse des Absenders oder den Rückkanal. Stattdessen wird sichergestellt, dass der Inhalt der Nachricht während der Übertragung nicht manipuliert wurde. Manchmal können teilnehmende MTAs und E-Mail-Weiterleitungsagenten den Nachrichtentext während des Zeilenumbruchs oder der Inhaltsformatierung verändern, was dazu führen kann, dass DKIM fehlschlägt.
Die Formatierung des Inhalts einer E-Mail ist in der Regel ein automatisierter Prozess, um sicherzustellen, dass die Nachricht für jeden Empfänger leicht verständlich ist.
6. DNS-Ausfall / DNS-Downtime
Dies ist ein häufiger Grund für fehlgeschlagene Authentifizierungen, einschließlich DKIM. DNS-Ausfälle können aus einer Vielzahl von Gründen auftreten, einschließlich Denial-of-Service-Angriffen. Auch routinemäßige Wartungsarbeiten an Ihrem Namensserver können der Grund für eine DNS-Ausfallzeit sein. Während dieser (in der Regel kurzen) Zeitspanne können die Empfängerserver keine DNS-Abfragen durchführen.
Da wir wissen, dass DKIM in Ihrem DNS als TXT/CNAME-Eintrag vorhanden ist, führt der Client-Server während der Authentifizierung einen Lookup durch, um den öffentlichen Schlüssel im DNS des Absenders zu ermitteln. Bei einem Ausfall wird dies als nicht möglich erachtet und kann daher DKIM zerstören.
7. Verwendung von OpenDKIM
Eine Open-Source-DKIM-Implementierung mit dem Namen OpenDKIM wird häufig von Mailbox-Anbietern wie Gmail, Outlook, Yahoo usw. verwendet. OpenDKIM stellt während der Überprüfung eine Verbindung mit dem Server über Port 8891 her. Manchmal können Fehler durch die Aktivierung falscher Berechtigungen verursacht werden, aufgrund derer Ihr Server nicht in der Lage ist, sich mit Ihrem Socket zu verbinden.
Überprüfen Sie Ihr Verzeichnis, um sicherzustellen, dass Sie die Berechtigungen korrekt aktiviert haben, oder ob Sie überhaupt ein Verzeichnis für Ihren Socket eingerichtet haben.
DKIM-Authentifizierungsergebnisse sind fehlgeschlagen
1. Authentifizierungsergebnis: dkim=neutral (schlechtes Format)
Automatisch erzeugte Zeilenumbrüche in Ihrem DKIM-Datensatz können die Fehlermeldung: dkim=neutral (schlechtes Format) auslösen. Wenn Ihr E-Mail-Validator die aufgebrochenen Ressourcendatensätze während der Überprüfung miteinander verknüpft, ergibt sich ein falscher Wert. Eine mögliche Lösung ist die Verwendung von 1024-Bit-DKIM-Schlüsseln (im Gegensatz zu 2048-Bit-Schlüsseln), um das DNS-Limit von 255 Zeichen einzuhalten.
2. Authentifizierungsergebnis: dkim=fail (schlechte Signatur)
Dies kann eine mögliche Folge von Inhaltsänderungen innerhalb des Nachrichtentextes durch einen Dritten sein, wodurch der DKIM-Signatur-Header nicht mit dem Text der E-Mail übereinstimmt.
3. Authentifizierungsergebnis: dkim=fail (DKIM-Signaturkörper-Hash nicht verifiziert)
DKIM-Signaturkörper-Hash nicht verifiziert" oder "DKIM-Signaturkörper-Hash nicht verifiziert" sind zwei alternative Ergebnisse, die vom empfangenden Server für denselben Fehler zurückgegeben werden, der den DKIM-Körper-Hashwert (bh= Tag) während der Übertragung irgendwie verändert wurde. Selbst wenn Ihr DKIM-Schlüsselpaar korrekt eingerichtet ist und Sie einen gültigen öffentlichen Schlüssel in Ihrem DNS veröffentlicht haben, können geringfügige Änderungen im Hash-Wert, wie z. B. das Einfügen von Leer- oder Sonderzeichen, dazu führen, dass die Verifizierung Ihres Body-Hash-Wertes bei DKIM fehlschlägt.
Der Wert des Tags bh= kann aus den folgenden Gründen geändert werden:
- Zwischengeschaltete Server, die für die Änderung des E-Mail-Inhalts zuständig sind
- Hinzufügen von E-Mail-Fußzeilen durch Ihren E-Mail-Dienstanbieter
4. Authentifizierungsergebnis: dkim=fail (kein Schlüssel für die Signatur)
Dieser Fehler kann das Ergebnis eines ungültigen oder fehlenden öffentlichen Schlüssels in Ihrem DNS sein. Vergewissern Sie sich unbedingt, dass sowohl Ihr öffentlicher als auch Ihr privater Schlüssel für DKIM übereinstimmen und korrekt eingerichtet sind. Sind Sie sicher, dass Ihr DKIM-DNS-Eintrag veröffentlicht und gültig ist? Prüfen Sie ihn jetzt mit unserem kostenlosen DKIM-Eintrags-Checker.
Wie kann man verhindern, dass DKIM bei Ihren Nachrichten fehlschlägt?
Es ist nicht möglich, alle oben genannten Probleme zu lösen, da sie nicht alle umgangen werden können. Wir haben jedoch einige nützliche Tipps zusammengestellt, die Sie anwenden können, um die Wahrscheinlichkeit eines DKIM-Fehlschlags zu minimieren.
Wie kann ich DKIM-Probleme beheben?
- Generieren Sie Ihren DKIM-Eintrag mit einem vertrauenswürdigen und namhaften Generator-Tool, um genaue Ergebnisse zu erzielen, und fügen Sie Ihre Werte immer per Copy-Paste ein, um Fehler zu vermeiden.
- Überprüfen Sie Ihren DKIM-Eintrag auf Lücken und Fehler
- Implementieren Sie SPF und DMARC, um eine zusätzliche Sicherheitsebene gegen Domain-Spoofing und Impersonation zu schaffen. DMARC benötigt entweder SPF oder DKIM, damit die Nachrichten die Validierung bestehen. Wenn also DKIM fehlschlägt und SPF besteht, werden Ihre Nachrichten trotzdem DMARC passieren und zugestellt werden.
- Aktivieren Sie DMARC-Berichte für Ihre Domains
- Überwachen Sie Ihre DKIM-Fehlerberichte und Authentifizierungsergebnisse mit einem speziellen DMARC-Bericht-Analysator Dashboard
- Führen Sie eine ausführliche Diskussion mit Ihren E-Mail-Anbietern über die DKIM-Einrichtung, ob sie das Protokoll unterstützen und wie sie es handhaben
- Holen Sie sich fachkundigen Rat zu Ihren E-Mail-Authentifizierungseinstellungen von unserem Team von DMARC-Spezialisten, indem Sie sich für eine kostenlose DMARC-Testversion mit unserem Analysator anmelden.
Beachten Sie, dass wir einige häufige DKIM-Fehlermeldungen und deren wahrscheinlichen Ursachen behandelt und eine mögliche Lösung für sie. Es kann jedoch sein, dass Fehler aus verschiedenen Gründen auftreten, die spezifisch für Ihre Domäne und Ihre Server sind und die in diesem Artikel nicht behandelt wurden.
Es ist unbedingt erforderlich, dass Sie Ihr Wissen über Authentifizierungsprotokolle ausreichend erweitern, bevor Sie sie in Ihrem Unternehmen einführen oder Ihre Richtlinien durchsetzen. Wenn DKIM, SPF oder die DMARC-Validierung fehlschlagen, kann dies die Zustellbarkeit Ihrer E-Mails beeinträchtigen.
DKIM Fail FAQs
1. Bei welchen Absendern funktioniert DKIM nicht?
DKIM-Fehler sind typisch für Absender, die:
- das Protokoll unsachgemäß konfigurieren
- 2048-Bit-Schlüssel für nicht unterstützte E-Mail-Anbieter verwenden
- der Inhalt der E-Mail wurde während der Übertragung durch einen Dritten verändert
2. Kann DMARC funktionieren, wenn DKIM fehlschlägt?
Ja, vorausgesetzt, SPF wird für die E-Mail akzeptiert. Wenn Sie DMARC konfiguriert und E-Mails sowohl mit SPF- als auch mit DKIM-Mechanismen abgeglichen haben, müssen Sie nur eine der beiden Prüfungen bestehen (entweder SPF oder DKIM), um DMARC zu bestehen. Wenn sich Ihr DMARC-Abgleich jedoch nur auf die DKIM-Authentifizierung stützt, schlägt DMARC fehl, wenn DKIM fehlschlägt.
- SPF-Perror beheben: Überwindung der SPF-Grenze für zu viele DNS-Lookups - April 26, 2024
- Wie veröffentlicht man einen DMARC-Datensatz in 3 Schritten? - 2. April 2024
- Warum funktioniert DMARC nicht? Behebung von DMARC-Fehlern im Jahr 2024 - 2. April 2024