Come risolvere il fallimento del DKIM

Blog

Comprendere le conseguenze di un errore DKIM, gli errori comuni e la procedura dettagliata di risoluzione dei problemi per correggere i problemi di autenticazione DKIM e proteggere la deliverability delle e-mail.

di Maitham Al Lawati

Ultimo aggiornamento:
10 10 minuti di lettura
Come risolvere il fallimento del DKIM
Indice dei contenuti-

Un errore DKIM per le vostre e-mail può danneggiare la reputazione del vostro dominio e influire sulla deliverability delle vostre e-mail. Risolvete tutti i guasti DKIM con questo semplice tutorial passo dopo passo.

Indice dei contenuti

I punti chiave da prendere in considerazione

  1. Gli errori DKIM spesso derivano da discrepanze tra la dominio della firma DKIM e l'intestazione From.
  2. Errori nella sintassi dei record DKIM, nella comunicazione con il server e nei tempi di inattività del DNS possono causare problemi di autenticazione DKIM.
  3. Tra le cause più comuni di fallimento del DKIM vi sono fornitori di terze parti non correttamente configurati e modifiche al corpo dell'e-mail durante il transito.
  4. L'utilizzo di generatori di record DKIM affidabili e il monitoraggio dei rapporti DMARC possono ridurre significativamente i casi di fallimento DKIM.
  5. Implementazione di SPF e DMARC insieme a DKIM contribuisce a migliorare la sicurezza delle e-mail e garantisce che le e-mail siano autenticate correttamente.
  6. L'autenticazione DKIM non riuscita può comportare l'invio delle e-mail alle cartelle spam, il loro rifiuto o il loro rimbalzo, a seconda delle politiche del server del destinatario.

Gli errori DKIM possono compromettere il posizionamento nella posta in arrivo perché indicano ai server di ricezione che le tue e-mail non possono essere autenticate in modo affidabile. Se visualizzi il messaggio "Autenticazione DKIM non riuscita", "dkim=fail"o messaggi di errore come "550 Convalida DKIM non riuscita", di solito si riduce a tre cause: la chiave DKIM è mancante o malformata nel DNS, il messaggio è stato modificato dopo la firma (inoltro, gateway, piè di pagina) o il dominio di firma DKIM non è allineato con il visibile Da sotto DMARC.

Questa guida spiega cosa significa un errore DKIM, come risolverlo passo dopo passo utilizzando le intestazioni delle e-mail e i controlli DNS e come prevenire il ripetersi degli errori con una corretta configurazione del fornitore e la segnalazione DMARC.

Che cosa significa il fallimento del DKIM?

L'errore DKIM (DomainKeys Identified Mail) si verifica quando un server di posta in arrivo non è in grado di convalidare la firma DKIM su un messaggio. In termini pratici, il server controlla l'intestazione DKIM-Signature, recupera la chiave pubblica del mittente dal DNS utilizzando il selettore (il tag s= ) e verifica se la firma corrisponde a ciò che è stato firmato (intestazioni e hash del corpo). Se corrisponde, DKIM passa per il messaggio, altrimenti DKIM fallisce.

Il fallimento DKIM si riferisce allo stato di fallimento del controllo di autenticazione DKIM, dovuto a una mancata corrispondenza tra i domini specificati nell'intestazione della firma DKIM e nell'intestazione From e a incongruenze tra i valori della coppia di chiavi.

Cosa succede quando DKIM fallisce?

Quando DKIM non funziona, l'impatto sulla consegna delle e-mail dipende dalle politiche di filtraggio dei destinatari e dall'applicazione o meno di DMARC sul tuo dominio.

Nella maggior parte dei casi, un errore DKIM aumenta il rischio di spam piuttosto che causare un blocco immediato. I server di ricezione trattano i messaggi non firmati o non verificabili come meno affidabili e possono indirizzarli alla cartella dello spam, soprattutto se gli errori si verificano in modo costante nel tempo.

Il rifiuto si verifica in genere solo quando l'errore DKIM è combinato con altri errori di autenticazione. Se sia DKIM che SPF falliscono e il tuo dominio ha una politica DMARC impostata su quarantena o rifiuto, il messaggio fallirà DMARC e potrebbe essere limitato, messo in quarantena o respinto con errori come "550 Convalida DKIM non riuscita".

Come DMARC cambia il risultato

DMARC valuta l'autenticazione in modo diverso rispetto al solo DKIM. Per superare il DMARC, un'e-mail necessita solo di un metodo di autenticazione allineato:

  • SPF supera e si allinea → DMARC supera il controllo, anche se DKIM fallisce
  • DKIM supera e si allinea → DMARC supera il controllo, anche se SPF fallisce
  • Entrambi falliscono o non sono allineatiDMARC fallisce, l'azione dipende dalla politica

Ciò significa che un errore DKIM non interrompe automaticamente la consegna, ma errori ripetuti indeboliscono la reputazione del mittente e rimuovono un importante livello di protezione dell'autenticazione.

Motivi comuni di fallimento del DKIM

1. Errore nella sintassi del record DKIM

Se non utilizzi un generatore di record DKIM affidabile generatore di record DKIM e invece crei manualmente il record per il tuo dominio, gli errori di configurazione sono comuni. Problemi di sintassi nei record DNS DKIM, come tag mancanti, virgolette non corrette, valori troncati o spazi extra, possono impedire ai server di ricezione di convalidare la firma DKIM, causando il fallimento dell'autenticazione DKIM.

 2. DKIM Verifica dell'errore di allineamento

Se hai DMARC configurato per il tuo dominio oltre a DKIM, durante il verifica DKIM, il valore del dominio nel campo d= della firma DKIM nell'intestazione dell'e-mail deve corrispondere al dominio presente nell'indirizzo del mittente. Può trattarsi di una corrispondenza rigorosa, in cui i due domini devono corrispondere esattamente, oppure di una corrispondenza flessibile, che consente una corrispondenza a livello organizzativo per superare il controllo. 

Un errore DKIM può verificarsi se il dominio dell'intestazione della firma DKIM non corrisponde al dominio presente nell'intestazione From, il che potrebbe essere un caso tipico di spoofing del dominio o attacco di impersonificazione. 

3. Non hai impostato DKIM per i tuoi fornitori di e-mail di terze parti

Se usate diversi fornitori di e-mail di terze parti per inviare e-mail per conto della vostra organizzazione, dovete mettervi in contatto con loro per le istruzioni su come attivare DKIM per le vostre e-mail in uscita. Se state usando i vostri domini personalizzati o sottodomini registrati su questo servizio di terze parti per inviare email ai vostri clienti, assicuratevi di richiedere al vostro fornitore di gestire il DKIM per voi.

Idealmente, se il tuo fornitore terzo ti sta aiutando a esternalizzare le tue e-mail, dovrebbe configurare il tuo dominio pubblicando un record DKIM sul proprio DNS utilizzando un selettore DKIM che è unico per te, senza che tu debba interferire.

O, 

Puoi generare una coppia di chiavi DKIM e consegnare la chiave privata al tuo fornitore di posta elettronica mentre pubblichi la chiave pubblica sul proprio DNS.

Configurazioni errate possono causare il malfunzionamento del DKIM, pertanto è necessario comunicare apertamente con il proprio fornitore di servizi in merito alla configurazione del DKIM. configurazione DKIM

Nota: Alcuni server di posta elettronica di terze parti inseriscono piè di pagina formattati nel corpo del messaggio. Se questi server sono server intermedi in un processo di inoltro delle e-mail, il piè di pagina aggiunto può essere un fattore che contribuisce al fallimento del DKIM. 

4. Problemi di comunicazione con il server

In determinate situazioni, l'e-mail potrebbe essere inviata da un server su cui DKIM è disabilitato. In tali casi, DKIM non funzionerà per quell'e-mail, anche se gli altri server della tua infrastruttura sono configurati correttamente. È importante assicurarsi che le parti comunicanti abbiano DKIM correttamente attivato. 

5. Modifiche nel corpo del messaggio da parte degli agenti di trasferimento della posta (MTA)

A differenza di SPF, DKIM non verifica l'indirizzo IP del mittente o il percorso di ritorno mentre verifica l'autenticità dei messaggi. Invece, assicura che il contenuto del messaggio sia rimasto inalterato durante il transito. A volte gli MTA partecipanti e gli agenti di inoltro e-mail possono alterare il corpo del messaggio durante il line wrapping o la formattazione del contenuto che può portare al fallimento di DKIM. 

La formattazione del contenuto di un'e-mail è di solito un processo automatizzato per garantire che il messaggio sia facilmente comprensibile per ogni destinatario. 

6. Interruzione del DNS / tempo di inattività del DNS

Questo è un motivo comune per i fallimenti del DKIM. L'interruzione del DNS può essere dovuta a una serie di motivi, tra cui gli attacchi denial of service. Anche la manutenzione ordinaria del server dei nomi può essere la causa di un'interruzione del DNS. Durante questo periodo di tempo (solitamente breve), i server dei destinatari non possono eseguire query DNS. 

Poiché sappiamo che DKIM esiste nel vostro DNS come record TXT/CNAME, il client-server esegue una ricerca per interrogare il DNS del mittente per la chiave pubblica durante l'autenticazione. Durante un'interruzione, questo non è ritenuto possibile e quindi può rompere DKIM. 

7. Usare OpenDKIM

Un'implementazione DKIM open source nota come OpenDKIM è comunemente utilizzata dai provider di caselle di posta elettronica come Gmail, Outlook, Yahoo, ecc. OpenDKIM si connette al server attraverso la porta 8891 durante la verifica. A volte, gli errori possono essere causati dall'abilitazione di autorizzazioni errate, a causa delle quali il server non è in grado di collegarsi al socket. 

Controllate la vostra directory per assicurarvi di aver abilitato correttamente i permessi, o se proprio avete una directory impostata per il vostro socket. 

Messaggi di errore DKIM comuni e loro significato

Comprendere i messaggi di errore DKIM specifici ti aiuta a identificare e risolvere rapidamente i problemi di autenticazione. Ecco i messaggi di errore DKIM più comuni e il loro significato:

1. Risultato dell'autenticazione: dkim=neutral (cattivo formato)

Le interruzioni di riga generate automaticamente nel record DKIM possono generare il messaggio di errore: dkim=neutral (formato errato). Quando il validatore di e-mail collega i record di risorse spezzati durante la verifica, produce un valore errato. Una possibile soluzione consiste nell'utilizzare chiavi DKIM a 1024 bit (anziché a 2048 bit) per rientrare nel limite di 255 caratteri del DNS. 

2. Risultato dell'autenticazione: dkim=fail (cattiva firma)

A autenticazione DKIM non riuscita può essere dovuto a modifiche apportate al contenuto del corpo del messaggio da parte di terzi, per cui l'intestazione della firma DKIM non corrisponde al corpo dell'e-mail. 

3. Risultato dell'autenticazione: dkim=fail (hash del corpo della firma DKIM non verificato).

I messaggi "DKIM-signature body hash not verified" (Hash del corpo della firma DKIM non verificato) o "DKIM signature body hash did not verify" (Hash del corpo della firma DKIM non verificato) sono due risultati alternativi restituiti dal server ricevente per lo stesso errore che implica che il valore dell'hash del corpo DKIM (bh= tag) è stato in qualche modo alterato durante il transito. Anche se la coppia di chiavi DKIM è configurata correttamente e si dispone di una chiave pubblica valida pubblicata sul proprio DNS, piccole modifiche al valore hash, come l'inserimento di spazi o caratteri speciali, possono causare il fallimento della verifica dell'hash del corpo DKIM.

Il valore del tag bh= può essere modificato per i seguenti motivi: 

  • Server intermediari responsabili della modifica del contenuto della posta 
  • Aggiunta di piè di pagina per le e-mail da parte del provider di servizi e-mail  

4. Risultato dell'autenticazione: dkim=fail (nessuna chiave per la firma)

Questo errore potrebbe essere il risultato di una chiave pubblica non valida o mancante nel DNS. È assolutamente necessario assicurarsi che le chiavi pubbliche e private per DKIM corrispondano e siano impostate correttamente. Siete sicuri che il vostro record DNS DKIM sia pubblicato e valido? Verificatelo subito con il nostro strumento gratuito di controllo dei record DKIM.

Come risolvere gli errori DKIM e impedire che si ripetano

Non è possibile risolvere tutti i problemi sopra menzionati semplicemente perché non possono essere tutti aggirati. Tuttavia, abbiamo raccolto alcuni suggerimenti utili che puoi utilizzare per ridurre al minimo le possibilità di fallimento del DKIM. 

  • Genera e pubblica correttamente il record DKIM. Utilizza un generatore di record DKIM affidabile generatore di record DKIM e copia-incolla i valori per evitare errori di sintassi e chiavi troncate.
  • Convalida il tuo record DKIM nel DNS. Verifica la presenza di selettori mancanti, problemi di formattazione e problemi di propagazione DNS utilizzando un verificatore di record DKIM.
  • Utilizza SPF e DMARC insieme a DKIM. DMARC può essere superato quando viene superato SPF o DKIM e si allinea, il che aiuta a ridurre i falsi rifiuti quando un metodo fallisce.
  • Abilita Segnalazione DMARC. I report mostrano quali fonti di invio non superano il controllo DKIM e con quale frequenza, consentendoti di correggere il flusso specifico invece di tirare a indovinare.
  • Controlla i mittenti di terze parti. Verificare che tutti i fornitori che inviano messaggi utilizzando il proprio dominio siano correttamente configurati per firmare con DKIM e allineati con il proprio dominio mittente.
  • Monitorare costantemente le prestazioni dell'autenticazione. Traccia l'andamento dei fallimenti DKIM nel tempo utilizzando un lettore DMARC per individuare i picchi prima che diminuisca il posizionamento nella casella di posta.
  • Escalare quando i guasti persistono. Se DKIM continua a non funzionare dopo i controlli DNS e del fornitore, richiedi l'assistenza di esperti di PowerDMARC per verificare la firma, l'instradamento e la gestione della posta intermedia.

Si noti che abbiamo trattato alcuni messaggi di errore DKIM comuni e le loro probabili cause, fornendo al contempo una possibile soluzione. Tuttavia, potrebbero verificarsi errori dovuti a varie ragioni specifiche del tuo dominio e dei tuoi server, che non sono state trattate in questo articolo. 

È necessario acquisire una conoscenza sufficiente dei protocolli di autenticazione prima di implementarli nella propria organizzazione o di applicare le proprie policy. Il fallimento di DKIM, SPF o DMARC può avere un impatto sulla deliverability delle vostre e-mail.  

Ecco perché oltre 10.000 clienti si affidano a PowerDMARC

  • Enorme riduzione dei tentativi di spoofing e delle e-mail non autorizzate
  • Onboarding più rapido + gestione automatizzata dell'autenticazione
  • Informazioni e segnalazioni in tempo reale sulle minacce in tutti i domini
  • Migliori tassi di consegna delle e-mail grazie a rigorosi Applicazione del DMARC

I primi 15 giorni sono offerti da noi

Iscriviti per una prova gratuita

Impatto dell'inoltro delle e-mail su DKIM e SPF

L'inoltro delle e-mail spesso interferisce con l'autenticazione perché i messaggi passano attraverso uno o più server intermedi prima di raggiungere il destinatario finale.

Perché l'SPF non funziona sulle e-mail inoltrate

SPF verifica se l'indirizzo IP mittente è autorizzato a inviare posta per il dominio indicato nel mittente dell'involucro (Return-Path). Quando un'e-mail viene inoltrata automaticamente, il server di inoltro diventa l'IP mittente apparente. Se tale server non è elencato nel record SPF del mittente originale, SPF fallirà.

Nota: SPF viene valutato in base all'IP di invio del forwarder, non al server del mittente originale, motivo per cui le e-mail inoltrate spesso non superano il controllo SPF anche quando la configurazione originale è corretta.

Cosa succede al DKIM durante l'inoltro

DKIM può sopravvivere all'inoltro solo se il messaggio rimane invariato dopo la firma. In pratica, molti servizi di inoltro e gateway di sicurezza modificano le e-mail aggiungendo piè di pagina, dichiarazioni di non responsabilità o riscrivendo i contenuti. Anche piccole modifiche possono invalidare la firma DKIM e causare il fallimento dell'autenticazione DKIM.

  • Firma la posta in uscita con DKIM. DKIM migliora le possibilità di autenticazione delle e-mail inoltrate quando il contenuto non viene modificato durante il trasferimento.
  • Utilizza SRS (Sender Rewriting Scheme) sui sistemi di inoltro. SRS riscrive il mittente dell'involucro in modo che SPF possa eseguire correttamente la convalida dopo l'inoltro.
  • Evita di aggiungere server di inoltro ai record SPF. Questo approccio è difficile da mantenere e può portare a limiti nella ricerca SPF.

La configurazione di DKIM insieme a SPF è una pratica consigliata, ma non obbligatoria.

  • Se non desideri configurare DKIM per i tuoi domini, ma vuoi ridurre errori SPF causati dall'inoltro, utilizza SRS (Sender Rewriting Scheme) o un metodo di reindirizzamento adeguato sul sistema di inoltro. SRS riscrive il mittente dell'involucro (Return-Path) in modo che SPF possa convalidare correttamente dopo l'inoltro.
  • Altrimenti, se controlli l'infrastruttura di inoltro e questa utilizza server in uscita fissi, puoi autorizzare tali indirizzi IP di invio nel tuo record SPF. Questo approccio è più difficile da mantenere e può incorrere in limiti di ricerca SPF, quindi è consigliabile utilizzarlo solo in ambienti controllati.

Perché DKIM è ancora importante

DKIM è un metodo di autenticazione delle e-mail che dimostra due cose ai server riceventi:

  1. il messaggio è stato inviato da un server autorizzato a firmare per il dominio, e
  2. le parti firmate del messaggio non sono state modificate durante il trasferimento.

Questo è importante perché i provider di posta elettronica utilizzano segnali di autenticazione per decidere se fidarsi della tua posta. Quando DKIM fallisce ripetutamente, perdi un segnale di fiducia fondamentale, che può portare al posizionamento nello spam, alla limitazione della velocità o ai rimbalzi, specialmente quando viene applicato DMARC.

Se oggi stai risolvendo gli errori DKIM, non fermarti al "funziona una volta". Assicurati che ogni fonte di invio (comprese le piattaforme di terze parti) firmi in modo coerente e monitora gli errori tramite i report DMARC in modo che il problema non si ripresenti.

Domande frequenti

1. Che cos'è DKIM e perché configurarlo?

DKIM (DomainKeys Identified Mail) è un metodo di autenticazione delle e-mail che aggiunge una firma crittografica alle e-mail in uscita. I server di ricezione verificano la firma utilizzando la chiave pubblica pubblicata nel DNS del tuo dominio. Se la firma viene verificata, significa che il messaggio non è stato modificato dopo la firma e che l'e-mail è stata inviata tramite una configurazione di firma DKIM legittima per il dominio.

DKIM non è un filtro antispam vero e proprio, ma è un segnale di affidabilità fondamentale utilizzato insieme a SPF e DMARC per ridurre lo spoofing e migliorare la deliverability.

2. Quali mittenti non superano il controllo DKIM?

Il fallimento è tipico dei mittenti che:

  • configurare il protocollo in modo improprio
  • utilizzare chiavi a 2048 bit per i provider di posta elettronica non supportati
  • il contenuto dell'email è stato alterato da un intermediario terzo durante il trasferimento del messaggio

3. DMARC può essere superato se DKIM non lo è?

Sì, a condizione che l'SPF sia valido per l'e-mail. Se hai configurato DMARC e allineato le e-mail sia con SPF e DKIM , è necessario superare solo uno dei controlli (SPF o DKIM) per superare DMARC. Tuttavia, se il tuo allineamento DMARC si basa solo sull'autenticazione DKIM, DMARC fallirà e così anche DKIM.

4. Perché il mio messaggio è stato bloccato a causa di un errore DKIM?

I messaggi potrebbero essere bloccati in caso di errore DKIM se il server del destinatario applica politiche di autenticazione rigorose o se la politica DMARC è impostata su "rifiuta" e sia DKIM che SPF non superano i controlli di allineamento.

5. Come posso controllare DKIM nelle intestazioni delle e-mail?

Cerca il campo "DKIM-Signature" nelle intestazioni dell'e-mail e controlla il campo "Authentication-Results" per lo stato DKIM. Puoi visualizzare le intestazioni delle e-mail nella maggior parte dei client di posta elettronica selezionando "Visualizza sorgente" o "Mostra originale".

6. DKIM può fallire se SPF viene superato?

Sì, DKIM e SPF sono metodi di autenticazione indipendenti. DKIM può fallire a causa di problemi di firma, mentre SPF viene superato in base all'autorizzazione IP. Ecco perché l'implementazione di entrambi i protocolli garantisce una migliore copertura della sicurezza delle e-mail.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Ultimo aggiornamento:
Come risolvere 550 SPF Check Failed [SOLVED]Come risolvere il problema 550 SPF Check Failed554 5.7.5 Errore permanente nella valutazione dei criteri DMARC554 5.7.5 Errore permanente nella valutazione della politica DMARC [SOLVED]