Come risolvere il fallimento del DKIM

Il fallimento del DKIM per i messaggi del vostro dominio potrebbe essere il risultato di un errore di allineamento degli identificatori per il protocollo DKIM o di problemi nella configurazione dei vostri record. Oggi analizzeremo come le specifiche DKIM autenticano i vostri domini, perché il DKIM potrebbe non funzionare per i vostri messaggi e come risolvere facilmente il DKIM con una guida passo passo.

Che cosa significa il fallimento del DKIM?

Se hai attivato DKIM per le tue email in uscita, i server riceventi verificano l'autenticità dell'email abbinando la tua chiave privata DKIM alla chiave pubblica pubblicata sul tuo DNS. Se corrisponde, DKIM passa per il messaggio, altrimenti DKIM fallisce.

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

Semplificate il fallimento del DKIM con PowerDMARC!

1. Errore nella sintassi del record DKIM

Se non si utilizza un generatore di record generatore di record DKIM per generare il vostro record, cercando di impostarlo manualmente per il vostro dominio, potreste non implementarlo correttamente. Gli errori sintattici nei record DNS possono portare al fallimento dell'autenticazione.

2. DKIM Verifica dell'errore di allineamento

Se si dispone di DMARC impostato per il vostro dominio oltre a DKIM, durante il controllo DKIM, il valore del dominio nel campo d= della firma DKIM nell'intestazione dell'e-mail deve essere allineato con il dominio trovato nell'indirizzo Da. Può trattarsi di un allineamento rigoroso, in cui i due domini devono corrispondere esattamente, oppure di un allineamento rilassato che consente una corrispondenza organizzativa per superare il controllo.

Un errore DKIM può verificarsi se il dominio dell'intestazione della firma DKIM non corrisponde al dominio trovato nell'intestazione From, il che potrebbe essere un tipico caso di spoofing del dominio o di attacco di impersonificazione. 

3. Non hai impostato DKIM per i tuoi fornitori di e-mail di terze parti

Se usate diversi fornitori di e-mail di terze parti per inviare e-mail per conto della vostra organizzazione, dovete mettervi in contatto con loro per le istruzioni su come attivare DKIM per le vostre e-mail in uscita. Se state usando i vostri domini personalizzati o sottodomini registrati su questo servizio di terze parti per inviare email ai vostri clienti, assicuratevi di richiedere al vostro fornitore di gestire il DKIM per voi.

Idealmente, se il tuo fornitore di terze parti ti sta aiutando a esternalizzare le tue email, dovrebbe impostare il tuo dominio pubblicando un record DKIM sul loro DNS usando un selettore DKIM che è unico per voi, senza che voi dobbiate intromettervi.

O, 

Puoi generare una coppia di chiavi DKIM e consegnare la chiave privata al tuo fornitore di posta elettronica mentre pubblichi la chiave pubblica sul proprio DNS.

Una configurazione errata dello stesso può portare a un fallimento del DKIM, pertanto è necessario comunicare apertamente con il proprio fornitore di servizi in merito alla configurazione del DKIM. 

Nota: Alcuni server di scambio di terze parti inducono piè di pagina formattati nel corpo del messaggio. Se questi server sono server intermediari in un processo di inoltro di email, il piè di pagina congiunto può essere un fattore che contribuisce al fallimento del DKIM.

4. Problemi di comunicazione con il server

In certe situazioni, l'email potrebbe essere inviata da un server che ha DKIM disabilitato. In questi casi, il DKIM fallirà per quell'email. È importante assicurarsi che le parti comunicanti abbiano DKIM correttamente attivato. 

5. Modifiche nel corpo del messaggio da parte degli agenti di trasferimento della posta (MTA)

A differenza di SPF, DKIM non verifica l'indirizzo IP del mittente o il percorso di ritorno mentre verifica l'autenticità dei messaggi. Invece, assicura che il contenuto del messaggio sia rimasto inalterato durante il transito. A volte gli MTA partecipanti e gli agenti di inoltro e-mail possono alterare il corpo del messaggio durante il line wrapping o la formattazione del contenuto che può portare al fallimento di DKIM. 

La formattazione del contenuto di un'e-mail è di solito un processo automatizzato per garantire che il messaggio sia facilmente comprensibile per ogni destinatario. 

6. Interruzione del DNS / tempo di inattività del DNS

Questo è un motivo comune per i fallimenti del DKIM. L'interruzione del DNS può essere dovuta a una serie di motivi, tra cui gli attacchi denial of service. Anche la manutenzione ordinaria del server dei nomi può essere la causa di un'interruzione del DNS. Durante questo periodo di tempo (solitamente breve), i server dei destinatari non possono eseguire query DNS. 

Poiché sappiamo che DKIM esiste nel vostro DNS come record TXT/CNAME, il client-server esegue una ricerca per interrogare il DNS del mittente per la chiave pubblica durante l'autenticazione. Durante un'interruzione, questo non è ritenuto possibile e quindi può rompere DKIM. 

7. Usare OpenDKIM

Un'implementazione DKIM open-source conosciuta come OpenDKIM è comunemente usata dai fornitori di caselle di posta elettronica come Gmail, Outlook, Yahoo, ecc. OpenDKIM si connette con il server attraverso la porta 8891 durante la verifica. A volte, gli errori possono essere causati dall'abilitazione di permessi errati a causa dei quali il server non è in grado di legarsi al vostro socket. 

Controllate la vostra directory per assicurarvi di aver abilitato correttamente i permessi, o se proprio avete una directory impostata per il vostro socket. 

Diversi risultati di autenticazione DKIM non riusciti

1. Risultato dell'autenticazione: dkim=neutral (cattivo formato)

Le interruzioni di riga generate automaticamente nel record DKIM possono generare il messaggio di errore: dkim=neutral (formato errato). Quando il validatore di e-mail collega i record di risorse spezzati durante la verifica, produce un valore errato. Una possibile soluzione consiste nell'utilizzare chiavi DKIM a 1024 bit (anziché a 2048 bit) per rientrare nel limite di 255 caratteri del DNS. 

2. Risultato dell'autenticazione: dkim=fail (cattiva firma)

Un risultato di autenticazione DKIM non riuscito può essere dovuto a modifiche del contenuto del corpo del messaggio da parte di terzi, a causa delle quali l'intestazione della firma DKIM non corrisponde al corpo dell'e-mail. 

3. Risultato dell'autenticazione: dkim=fail (hash del corpo della firma DKIM non verificato).

Il "DKIM-signature body hash not verified" o "DKIM signature body hash did not verify" sono due risultati alternativi restituiti dal server ricevente per lo stesso errore che implica il valore dell'hash del corpo DKIM (bh= ) sia stato in qualche modo alterato durante il transito. Anche se la coppia di chiavi DKIM è impostata correttamente e si dispone di una chiave pubblica valida pubblicata sul proprio DNS, piccole modifiche nel valore hash, come l'inserimento di spazi o caratteri speciali, possono far fallire la verifica del body hash DKIM.

Il valore del tag bh= può essere alterato per i seguenti motivi: 

• Server intermediari responsabili della modifica del contenuto della posta 
• Aggiunta di piè di pagina per le e-mail da parte del provider di servizi e-mail  

4. Risultato dell'autenticazione: dkim=fail (nessuna chiave per la firma)

Questo errore potrebbe essere il risultato di una chiave pubblica non valida o mancante nel DNS. È assolutamente necessario assicurarsi che le chiavi pubbliche e private per DKIM corrispondano e siano impostate correttamente. Siete sicuri che il vostro record DNS DKIM sia pubblicato e valido? Verificatelo subito con il nostro strumento gratuito di controllo dei record DKIM. 

Evitate i fallimenti DKIM con PowerDMARC!

Come bloccare il fallimento del DKIM per i vostri messaggi

Non è possibile affrontare tutti i problemi sopra menzionati semplicemente perché non possono essere tutti aggirati. Tuttavia, abbiamo raccolto alcuni consigli utili da mettere in pratica per ridurre al minimo le possibilità di fallimento del DKIM. 

Come posso risolvere il problema del DKIM?

• Generate il vostro record DKIM utilizzando uno strumento di generazione affidabile e noto per ottenere risultati accurati, e copiate sempre i vostri valori per evitare errori.
• Controlla il tuo record DKIM per lacune ed errori 
• Implementate SPF e DMARC per un ulteriore livello di sicurezza contro lo spoofing e l'impersonificazione dei domini. Il DMARC richiede il superamento di SPF o DKIM per superare la convalida dei messaggi; pertanto, nel caso in cui il DKIM fallisca e l'SPF passi, i messaggi passeranno comunque il DMARC e saranno consegnati.
• Abilitate la segnalazione DMARC per i vostri domini 
• Monitorate i rapporti sui guasti DKIM e i risultati dell'autenticazione su un lettore DMARC dedicato. lettore DMARC cruscotto
• Discutete dettagliatamente con i vostri fornitori di posta elettronica riguardo alla configurazione di DKIM, se supportano il protocollo e come lo gestiscono. 
• Ottieni la consulenza di esperti sulle tue impostazioni di autenticazione e-mail dal nostro team di specialisti DMARC iscrivendoti per una prova gratuita DMARC con il nostro analizzatore  

Si noti che abbiamo coperto alcuni comuni messaggi di errore DKIM e i loro probabili cause, fornendo al contempo un possibile soluzione intorno ad essi. Tuttavia, gli errori potrebbero comparire a causa di vari motivi sottostanti che sono specifici del tuo dominio e dei tuoi server, che non sono stati coperti in questo articolo.

È necessario acquisire una conoscenza sufficiente dei protocolli di autenticazione prima di implementarli nella propria organizzazione o di applicare le proprie policy. Il fallimento di DKIM, SPF o DMARC può avere un impatto sulla deliverability delle vostre e-mail.  

Inoltro automatico di e-mail e DKIM Vs SPF

Nelle e-mail auto-indirizzate, le intestazioni delle e-mail vengono modificate a causa del coinvolgimento di uno o più server intermediari. Il messaggio inoltrato prende le informazioni dell'intestazione di questo terzo server intermediario che può o non può essere incluso come fonte di invio autorizzata nel record SPF del mittente originale. 

Se non è incluso, SPF fallirà per quel messaggio. 

Poiché le firme DKIM sono incluse nel corpo dell'e-mail, l'inoltro non ha alcun effetto sul DKIM. Per questo motivo, l'impostazione di DKIM in aggiunta alla politica SPF esistente può aiutare a evitare fallimenti indesiderati di autenticazione DKIM per i messaggi inoltrati. 

Risolvere il problema senza DKIM

Impostare DKIM insieme a SPF è un raccomandato Tuttavia, non è obbligatorio.

• Se non volete impostare il DKIM per i vostri domini, ma volete risolvere il fallimento dell'SPF per le vostre e-mail inoltrate, potete utilizzare un metodo chiamato reindirizzamento delle e-mail. Il reindirizzamento delle e-mail conserva le intestazioni originali dei messaggi.  
• Altrimenti, puoi anche assicurarti di includere gli indirizzi IP di tutti i server intermediari che partecipano al processo di inoltro nel record SPF del tuo dominio. 

Cos'è DKIM e perché è necessario impostarlo?

DKIM è un sistema di autenticazione delle email che ti aiuta a verificare la legittimità delle tue fonti di invio e a garantire che il contenuto delle tue email sia rimasto inalterato durante il processo di consegna.

Se vogliamo parlare del motivo per cui abbiamo bisogno di un'impostazione DKIM per le nostre e-mail, dobbiamo parlare di come le e-mail possano diventare un vettore per lo svolgimento di attività fraudolente. Gli attacchi di impersonificazione, che vanno dal phishing allo spoofing dei domini, così come le infezioni da malware, possono essere effettuati attraverso e-mail false. Per questo motivo le aziende devono impostare un sistema di filtraggio per autenticare i mittenti delle e-mail. In questo modo non solo proteggono la propria reputazione, ma impediscono anche a milioni di utenti di cadere vittime di truffe via e-mail. Il fallimento del DKIM, come si leggerà di seguito, si verifica quando la chiave privata non corrisponde alla chiave pubblica.

DKIM è uno di questi sistemi di verifica delle e-mail che utilizza un valore di hash (chiave privata) per firmare le informazioni delle e-mail che viene confrontato con la chiave pubblica depositata nel DNS del mittente. Le e-mail firmate digitalmente con una firma DKIM hanno un alto livello di protezione contro qualsiasi alterazione da parte di terzi malintenzionati.

FAQ sul fallimento del DKIM

1. Quali mittenti non rispettano il DKIM?

Il fallimento è tipico dei mittenti che:

• configurare il protocollo in modo improprio
• utilizzare chiavi a 2048 bit per i provider di posta elettronica non supportati
• il contenuto dell'email è stato alterato da un intermediario terzo durante il trasferimento del messaggio

2. Il DMARC può passare se il DKIM non passa?

Sì, a condizione che l'SPF passi per l'e-mail. Se si è configurato il DMARC e si è allineato il messaggio di posta elettronica ai meccanismi SPF e DKIM, è necessario superare solo uno dei controlli (SPF o DKIM) per passare il DMARC. Tuttavia, se l'allineamento DMARC si basa solo sull'autenticazione DKIM, il DMARC fallirà e anche il DKIM.

• Informazioni su
• Ultimi messaggi

Maitham Al Lawati

Esperto di sicurezza informatica, CEO di PowerDMARC

Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)

• Come creare e pubblicare un record DMARC - 3 marzo 2025
• Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
• Come leggere un rapporto DMARC - 19 gennaio 2025