Il fallimento del DKIM per i messaggi del tuo dominio potrebbe essere il risultato di un errore di allineamento degli identificatori per il protocollo DKIM o di problemi nella configurazione dei tuoi record. Oggi ci immergeremo in come la specifica DKIM autentica i tuoi domini, perché DKIM potrebbe fallire per i tuoi messaggi, e come risolvere il DKIM fail facilmente con alcuni suggerimenti e trucchi.
Cos'è DKIM e perché è necessario impostarlo?
DKIM è un sistema di autenticazione delle email che ti aiuta a verificare la legittimità delle tue fonti di invio e a garantire che il contenuto delle tue email sia rimasto inalterato durante il processo di consegna.
Se vogliamo parlare del perché abbiamo bisogno di una configurazione DKIM per le nostre e-mail, dobbiamo parlare di come le e-mail possono diventare un vettore per svolgere attività fraudolente. Gli attacchi di impersonificazione che vanno dal phishing allo spoofing del dominio, così come le infezioni da malware, possono essere effettuate attraverso e-mail false. Questo è il motivo per cui le imprese devono impostare un sistema di filtraggio per autenticare i mittenti di e-mail. Così facendo non solo proteggono la loro reputazione, ma impediscono anche a milioni di utenti di cadere preda di truffe via e-mail.
DKIM è uno di questi sistemi di verifica delle e-mail che utilizza un valore di hash (chiave privata) per firmare le informazioni delle e-mail che viene confrontato con la chiave pubblica depositata nel DNS del mittente. Le e-mail firmate digitalmente con una firma DKIM hanno un alto livello di protezione contro qualsiasi alterazione da parte di terzi malintenzionati.
Inoltro automatico di e-mail e DKIM Vs SPF
Nelle e-mail auto-indirizzate, le intestazioni delle e-mail vengono modificate a causa del coinvolgimento di uno o più server intermediari. Il messaggio inoltrato prende le informazioni dell'intestazione di questo terzo server intermediario che può o non può essere incluso come fonte di invio autorizzata nel record SPF del mittente originale.
Se non è incluso, SPF fallirà per quel messaggio.
Poiché le firme DKIM sono incluse nel corpo dell'email, l'inoltro non ha alcun effetto su DKIM. Questo è il motivo per cui l'impostazione di DKIM sopra la vostra politica SPF esistente può aiutare ad evitare fallimenti di autenticazione indesiderati per i vostri messaggi inoltrati.
Risolvere il problema senza DKIM
Impostare DKIM insieme a SPF è un raccomandato Tuttavia, non è obbligatorio.
- Se non vuoi impostare DKIM per i tuoi domini, ma vuoi risolvere il fallimento SPF per le tue email inoltrate, puoi usare un metodo chiamato reindirizzamento email. Il reindirizzamento delle tue e-mail conserva le intestazioni originali dei tuoi messaggi.
- Altrimenti, puoi anche assicurarti di includere gli indirizzi IP di tutti i server intermediari che partecipano al processo di inoltro nel record SPF del tuo dominio.
DKIM fallito Significato
Se hai attivato DKIM per le tue email in uscita, i server riceventi verificano l'autenticità dell'email abbinando la tua chiave privata DKIM alla chiave pubblica pubblicata sul tuo DNS. Se corrisponde, DKIM passa per il messaggio, altrimenti DKIM fallisce.
Cosa significa DKIM Fail?
Il fallimento DKIM si riferisce allo stato fallito del tuo controllo di autenticazione DKIM, a causa di una mancata corrispondenza nei domini specificati nell'intestazione della firma DKIM e nell'intestazione From e di incongruenze tra i valori della coppia di chiavi.
I casi di test per DKIM falliscono
1. Errore nella sintassi del record DKIM
Se non si usa un affidabile generatore di record DKIM per generare il tuo record cercando di impostarlo manualmente per il tuo dominio, potresti implementarlo in modo sbagliato. Errori sintattici nei vostri record DNS possono portare al fallimento dell'autenticazione, e in questo caso, DKIM fallisce.
2. Errore di allineamento dell'identificatore DKIM
Se avete DMARC impostato per il vostro dominio oltre a DKIM, durante la verifica DKIM il valore del dominio nel file d= nella firma DKIM nell'intestazione dell'email deve allinearsi con il dominio trovato nell'indirizzo from. Può essere un allineamento rigoroso, in cui i due domini devono essere una corrispondenza esatta o un allineamento rilassato che permette una corrispondenza organizzativa per passare il controllo.
Un errore DKIM può verificarsi se il dominio dell'intestazione della firma DKIM non corrisponde al dominio trovato nell'intestazione From, che potrebbe essere un tipico caso di spoofing del dominio o di attacco di impersonificazione.
3. Non hai impostato DKIM per i tuoi fornitori di e-mail di terze parti
Se usate diversi fornitori di e-mail di terze parti per inviare e-mail per conto della vostra organizzazione, dovete mettervi in contatto con loro per le istruzioni su come attivare DKIM per le vostre e-mail in uscita. Se state usando i vostri domini personalizzati o sottodomini registrati su questo servizio di terze parti per inviare email ai vostri clienti, assicuratevi di richiedere al vostro fornitore di gestire il DKIM per voi.
Idealmente, se il tuo fornitore di terze parti ti sta aiutando a esternalizzare le tue email, dovrebbe impostare il tuo dominio pubblicando un record DKIM sul loro DNS usando un selettore DKIM che è unico per voi, senza che voi dobbiate intromettervi.
O,
Puoi generare una coppia di chiavi DKIM e consegnare la chiave privata al tuo fornitore di posta elettronica mentre pubblichi la chiave pubblica sul proprio DNS.
Configurazioni errate nello stesso possono portare al fallimento di DKIM, quindi è imperativo che tu comunichi apertamente con il tuo fornitore di servizi riguardo alla tua configurazione DKIM.
Nota: Alcuni server di scambio di terze parti inducono piè di pagina formattati nel corpo del messaggio. Se questi server sono server intermediari in un processo di inoltro di email, il piè di pagina congiunto può essere un fattore che contribuisce al fallimento del DKIM.
4. Problemi di comunicazione con il server
In certe situazioni, l'email potrebbe essere inviata da un server che ha DKIM disabilitato. In questi casi, il DKIM fallirà per quell'email. È importante assicurarsi che le parti comunicanti abbiano DKIM correttamente attivato.
5. Modifiche nel corpo del messaggio da parte degli agenti di trasferimento della posta (MTA)
A differenza di SPF, DKIM non verifica l'indirizzo IP del mittente o il percorso di ritorno mentre verifica l'autenticità dei messaggi. Invece, assicura che il contenuto del messaggio sia rimasto inalterato durante il transito. A volte gli MTA partecipanti e gli agenti di inoltro e-mail possono alterare il corpo del messaggio durante il line wrapping o la formattazione del contenuto che può portare al fallimento di DKIM.
La formattazione del contenuto di un'e-mail è di solito un processo automatizzato per garantire che il messaggio sia facilmente comprensibile per ogni destinatario.
6. Interruzione del DNS / tempo di inattività del DNS
Questa è una ragione comune per i fallimenti dell'autenticazione, compreso il fallimento di DKIM. L'interruzione del DNS può verificarsi a causa di una varietà di motivi tra cui gli attacchi denial of service. La manutenzione ordinaria del vostro server dei nomi può anche essere la ragione di un'interruzione del DNS. Durante questo (solitamente breve) periodo di tempo, i server destinatari non possono eseguire query DNS.
Poiché sappiamo che DKIM esiste nel vostro DNS come record TXT/CNAME, il client-server esegue una ricerca per interrogare il DNS del mittente per la chiave pubblica durante l'autenticazione. Durante un'interruzione, questo non è ritenuto possibile e quindi può rompere DKIM.
7. Usare OpenDKIM
Un'implementazione DKIM open-source conosciuta come OpenDKIM è comunemente usata dai fornitori di caselle di posta elettronica come Gmail, Outlook, Yahoo, ecc. OpenDKIM si connette con il server attraverso la porta 8891 durante la verifica. A volte, gli errori possono essere causati dall'abilitazione di permessi errati a causa dei quali il server non è in grado di legarsi al vostro socket.
Controllate la vostra directory per assicurarvi di aver abilitato correttamente i permessi, o se proprio avete una directory impostata per il vostro socket.
Fallimenti del risultato dell'autenticazione DKIM
1. Risultato dell'autenticazione: dkim=neutral (cattivo formato)
Le interruzioni di riga generate automaticamente nel record DKIM possono generare il messaggio di errore: dkim=neutral (formato errato). Quando il validatore di e-mail collega i record di risorse spezzati durante la verifica, produce un valore errato. Una possibile soluzione consiste nell'utilizzare chiavi DKIM a 1024 bit (anziché a 2048 bit) per rientrare nel limite di 255 caratteri del DNS.
2. Risultato dell'autenticazione: dkim=fail (cattiva firma)
Questo può essere un possibile risultato di modifiche al contenuto del corpo del messaggio da parte di una terza parte, a causa del quale l'intestazione della firma DKIM non è riuscita a corrispondere al corpo dell'email.
3. Risultato dell'autenticazione: dkim=fail (hash del corpo della firma DKIM non verificato).
Il "DKIM-signature body hash not verified" o "DKIM signature body hash did not verify" sono due risultati alternativi restituiti dal server ricevente per lo stesso errore che implica il valore dell'hash del corpo DKIM (bh= ) sia stato in qualche modo alterato durante il transito. Anche se la coppia di chiavi DKIM è impostata correttamente e si dispone di una chiave pubblica valida pubblicata sul proprio DNS, piccole modifiche nel valore hash, come l'inserimento di spazi o caratteri speciali, possono far fallire la verifica del body hash DKIM.
Il valore del tag bh= può essere alterato per i seguenti motivi:
- Server intermediari responsabili della modifica del contenuto della posta
- Aggiunta di piè di pagina per le e-mail da parte del provider di servizi e-mail
4. Risultato dell'autenticazione: dkim=fail (nessuna chiave per la firma)
Questo errore potrebbe essere il risultato di una chiave pubblica non valida o mancante nel DNS. È assolutamente necessario assicurarsi che le chiavi pubbliche e private per DKIM corrispondano e siano impostate correttamente. Siete sicuri che il vostro record DNS DKIM sia pubblicato e valido? Verificatelo subito con il nostro strumento gratuito di controllo dei record DKIM.
Come fermare il fallimento di DKIM per i tuoi messaggi?
Non è possibile affrontare tutti i problemi sopra menzionati semplicemente perché non possono essere tutti aggirati. Tuttavia, abbiamo raccolto alcuni consigli utili da mettere in pratica per ridurre al minimo le possibilità di fallimento del DKIM.
Come si risolvono i problemi DKIM?
- Genera il tuo record DKIM utilizzando uno strumento di generazione affidabile e degno di nota per ottenere risultati accurati, e copia-incolla sempre i tuoi valori per evitare errori
- Controlla il tuo record DKIM per lacune ed errori
- Implementate SPF e DMARC per un ulteriore livello di sicurezza contro lo spoofing e l'impersonificazione dei domini. Il DMARC richiede il superamento di SPF o DKIM per superare la convalida dei messaggi; pertanto, nel caso in cui il DKIM fallisca e l'SPF passi, i messaggi passeranno comunque il DMARC e saranno consegnati.
- Abilitate la segnalazione DMARC per i vostri domini
- Monitorate i vostri rapporti di fallimento DKIM e i risultati di autenticazione su un analizzatore di rapporti DMARC dashboard
- Discutete dettagliatamente con i vostri fornitori di posta elettronica riguardo alla configurazione di DKIM, se supportano il protocollo e come lo gestiscono.
- Ottieni la consulenza di esperti sulle tue impostazioni di autenticazione e-mail dal nostro team di specialisti DMARC iscrivendoti per una prova gratuita DMARC con il nostro analizzatore
Si noti che abbiamo coperto alcuni comuni messaggi di errore DKIM e i loro probabili cause, fornendo al contempo un possibile soluzione intorno ad essi. Tuttavia, gli errori potrebbero comparire a causa di vari motivi sottostanti che sono specifici del tuo dominio e dei tuoi server, che non sono stati coperti in questo articolo.
E' imperativo che voi costruiate la vostra conoscenza sui protocolli di autenticazione, in modo sufficiente, prima di implementarli nella vostra organizzazione o applicare le vostre politiche. Il fallimento di DKIM, o il fallimento di SPF, o la convalida di DMARC possono avere un impatto sulla deliverability della vostra email.
FAQ sul fallimento del DKIM
1. Quali mittenti non rispettano il DKIM?
Il fallimento del DKIM è tipico dei mittenti che:
- configurare il protocollo in modo improprio
- utilizzare chiavi a 2048 bit per i provider di posta elettronica non supportati
- il contenuto dell'email è stato alterato da un intermediario terzo durante il trasferimento del messaggio
2. Il DMARC può passare se il DKIM fallisce?
Sì, a condizione che l'SPF passi per l'e-mail. Se si è configurato il DMARC e si è allineato il messaggio di posta elettronica ai meccanismi SPF e DKIM, è necessario superare solo uno dei controlli (SPF o DKIM) per passare il DMARC. Tuttavia, se l'allineamento DMARC si basa solo sull'autenticazione DKIM, il DMARC fallirà quando DKIM fallirà.
- Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF - 26 aprile 2024
- Come pubblicare un record DMARC in 3 passi? - 2 aprile 2024
- Perché il DMARC non funziona? Risolvere il fallimento del DMARC nel 2024 - 2 aprile 2024