タグ別アーカイブ:DKIMはなぜ失敗するのか?

なぜDKIMは失敗するのですか?

あなたのドメインのメッセージでDKIMが失敗するのは、DKIMプロトコルの識別子のアライメントに失敗しているか、レコードのセットアップに問題があるためかもしれません。今日は、DKIM仕様がどのようにドメインを認証するのか、なぜDKIMがメッセージに失敗するのか、そしていくつかのヒントとトリックを使ってDKIMの失敗を簡単に修正する方法について、掘り下げて説明します。

DKIMとは何ですか?なぜ設定する必要があるのですか?

DKIMは電子メールの認証システムで、送信元の正当性を確認し、電子メールの内容がずっと変更されていないことを確認するのに役立ちます。 配信プロセス

なぜ電子メールにDKIMの設定が必要なのかを語るなら、電子メールがいかに詐欺行為の媒介となり得るかを語る必要があります。フィッシングやドメインスプーフィングなどのなりすまし攻撃やマルウェア感染などは、偽のメールを通じて行われる可能性があります。そのため、企業ではメールの送信者を認証するフィルタリングシステムを構築する必要があります。そうすることで、自社の評判を守るだけでなく、何百万人ものユーザーが電子メール詐欺の餌食になるのを防ぐことができるのです。  

DKIMはその一つで、ハッシュ値(秘密鍵)を使ってメール情報を署名し、送信者のDNSに登録されている公開鍵と照合する仕組みです。 DKIM署名が付与された電子メールは、悪意のある第三者による改ざんから高い保護性能を発揮します。

電子メールの自動転送とDKIMとSPFの比較

DKIM失敗

自動転送メールでは、1つ以上の中間サーバーが関与しているため、メールヘッダが変更されます。転送されたメッセージは、この第三者の仲介サーバーのヘッダー情報を取り込みますが、これは元の送信者のSPFレコードに正規の送信元として含まれている場合もあれば、そうでない場合もあります。 

これが含まれていない場合、そのメッセージのSPFは失敗します。 

DKIM署名はメール本文に含まれるため、転送はDKIMに影響を与えません。このため、既存のSPFポリシーの上にDKIMを設定することで、転送されたメッセージの不要な認証失敗を回避することができるのです。 

DKIMを使用しない場合の不具合修正

SPFと一緒にDKIMを設定することは 推奨しかし、これは必須ではありません。

  • ドメインにDKIMを設定したくないが、転送されたメールのSPF失敗を解決したい場合、メールのリダイレクトと呼ばれる方法を使用できます。メールのリダイレクトは、メッセージの元のヘッダーを保持します。  
  • また、転送プロセスに参加するすべての中間サーバーのIPアドレスをドメインのSPFレコードに含めるようにすることもできます。 

DKIMの失敗の意味

送信メールにDKIMを有効にしている場合、受信サーバーはDKIMの秘密鍵とDNSで公開されている公開鍵を照合してメールの真偽を確認します。一致した場合、DKIMはメッセージに対してパスし、そうでない場合はDKIMは失敗します。

DKIM Failとはどういう意味ですか?

DKIM失敗とは、DKIM署名ヘッダーとFromヘッダーに指定されたドメインの不一致、およびキーペアの値の不一致が原因で、DKIM認証チェックが失敗した状態を指します。

DKIMのテストケースは失敗する

1.DKIMレコードの構文に誤りがある

DKIM失敗

 

信頼できる DKIMレコードジェネレーターツールを使って手動でドメインに設定しようとしてレコードを生成すると、間違って実装してしまう可能性があります。DNSレコードの構文エラーは、認証の失敗につながり、この場合、DKIMは失敗します。

2.DKIM識別子のアライメント不良

がある場合 DMARCは、DKIM に加えてあなたのドメインにも設定されているため、DKIM の検証中に d=フィールドは、メールヘッダのDKIM署名にあるドメインと一致しなければなりません。これは、2つのドメインが完全に一致する必要がある厳密な調整か、組織的な一致でもチェックを通過できる緩和された調整のどちらかになります。

DKIM署名ヘッダーのドメインがFromヘッダーのドメインと一致しない場合、DKIMの失敗が発生することがあります。 

3.サードパーティのメールベンダーにDKIMを設定していない

もし、あなたの組織でメール送信を代行するために、複数のサードパーティーメールベンダーを使用している場合は、送信メールのDKIMを有効にする方法について、彼らと連絡を取る必要があります。このサードパーティサービスに登録された独自のカスタムドメインやサブドメインを使用してお客様にメールを送信する場合は、必ず次のことを行ってください。 DKIMを代行するようベンダーに依頼する.

理想的には、サードパーティベンダーがメールのアウトソースを支援している場合、彼らはDKIMレコードを公開することによってあなたのドメインを設定することです。 そのDNS上DKIMセレクタを使用することで、あなたが介入する必要がありません。

または 

DKIMキーペアを生成し、秘密鍵をメールベンダーに渡し、公開鍵を公開することができます。 自分のDNSで.

同じように設定を誤るとDKIMに失敗することがあるので、DKIMの設定に関してサービスプロバイダーとオープンにコミュニケーションを取ることが不可欠です。 

備考: サードパーティのエクスチェンジサーバーの中には、メッセージ本文にフォーマットされたフッターを挿入するものがあります。これらのサーバーが電子メール転送プロセスの中間サーバーである場合、結合されたフッターはDKIMの失敗の一因となる可能性があります。

4.サーバー通信の問題

状況によっては、DKIMが無効になっているサーバーからメールが送信されることがあります。そのような場合、DKIMはその電子メールに対して失敗します。通信相手がDKIMを適切に有効化していることを確認することが重要です。 

5.メール転送エージェント(MTA)によるメッセージ本文の修正

SPFとは異なり、DKIMはメッセージの真正性を検証する際に、送信者のIPアドレスやリターンパスを検証しません。その代わり、メッセージの内容が転送中に改ざんされていないことを保証します。時々、参加するMTAやメール転送エージェントは、行のラップやコンテンツのフォーマット中にメッセージのボディを変更することがあり、DKIMの失敗につながることがあります。 

メールの内容をフォーマットするのは、通常、受信者それぞれが理解しやすいように自動化されたプロセスです。 

6.DNSの停止/DNSのダウンタイム

DKIM failを含む認証に失敗する一般的な理由です。DNSの停止は、サービス拒否攻撃など、さまざまな理由で発生する可能性があります。ネームサーバーの定期的なメンテナンスも、DNSダウンの背景にある理由かもしれません。この(通常は短い)期間中、受信者サーバーはDNSクエリーを実行することができません。 

DKIMはTXT/CNAMEレコードとしてDNSに存在することが分かっているので、クライアント・サーバーは認証時に送信者のDNSに公開鍵を問い合わせるルックアップを実行します。停電時には、これは不可能と判断されるため、DKIMを破壊する可能性があります。 

7.OpenDKIMを使用する

OpenDKIMとして知られるオープンソースのDKIM実装は、Gmail、Outlook、Yahooなどのメールボックスプロバイダーで一般的に使用されています。OpenDKIMは、検証時にポート8891を通してサーバーと接続します。時々、間違ったパーミッションを有効にしたために、サーバーがあなたのソケットにバインドできないためにエラーが発生することがあります。 

ディレクトリをチェックして、パーミッションを正しく有効にしているか、あるいは、ソケット用のディレクトリが設定されているかどうかを確認します。 

DKIM認証結果の失敗について

1.認証結果:dkim=neutral (不正なフォーマット)

DKIMレコードの自動生成された改行は、エラーメッセージ: dkim=neutral (bad format)を表示することがあります。メール検証ツールが検証中に改行されたリソースレコードをリンクすると、間違った値が生成されます。可能な解決策は、DNSの255文字の制限内に収まるように、1024ビットのDKIMキー(2048ビットとは対照的)を使用することです。 

2.認証結果:dkim=fail (不正な署名)

これは、第三者によって本文の内容が変更され、DKIM署名ヘッダーがメール本文と一致しなくなった結果である可能性があります。 

3.認証結果:dkim=fail (DKIM署名のボディハッシュが検証されていない)

DKIM-signature body hash not verified" または "DKIM signature body hash did not verify" は、同じエラーに対して受信サーバーから返される、DKIMボディハッシュ値 (bh=タグ) が転送中に何らかの形で変更されたことを意味します。DKIMのキーペアが正しく設定され、有効な公開鍵がDNSで公開されていても、スペースや特殊文字の挿入など、ハッシュ値のちょっとした修正でボディハッシュの検証がDKIMに失敗することがあります。

以下の理由により、bh=タグの値が変更される場合があります。 

  • メールの内容を変更する役割を担う中間サーバ 
  • メールサービスプロバイダーによるメールフッターの追加  

4.認証結果:dkim=fail (署名用鍵がない)

このエラーは、DNSの公開鍵が無効であるか、または見つからないことが原因である可能性があります。DKIMの公開鍵と秘密鍵の両方が一致し、正しく設定されていることを確認することが重要です。あなたのDKIM DNSレコードが公開され、有効であることを確認しましたか?当社の無料DKIMレコードチェッカーを使用して、今すぐ確認してください。 

DKIMの失敗を防ぐには?

DKIM失敗

上記の問題点をすべて回避することはできないので、単純に対処することはできません。しかし、DKIMの失敗の可能性を最小限にするために、あなたが導入できるいくつかの有用なヒントを集めました。 

DKIMの問題を解決するにはどうすればよいですか?

  • 正確な結果を得るために、信頼できる著名なジェネレーターツールを使用してDKIMレコードを生成し、エラーを避けるために常に値をコピーペーストしてください。
  • DKIMレコードにギャップやエラーがないか確認する 
  • SPFとDMARCを導入することで、ドメイン偽装やなりすましに対するセキュリティが強化されます。DMARCは、SPFまたはDKIMのどちらかをパスしなければ、メッセージの検証をパスできないため、DKIMが失敗しSPFがパスしても、メッセージはDMARCをパスして配送されます。
  • ドメインのDMARCレポートを有効にする 
  • DKIMの障害レポートや認証結果を専用端末でモニタリング DMARCレポートアナライザーダッシュボード
  • DKIMの設定、プロトコルのサポート有無、対応方法について、メールベンダーと詳細な打ち合わせを行う。 
  • DMARCアナライザーの無料トライアルに申し込むと、DMARCスペシャリストチームからメール認証設定に関する専門家のアドバイスを受けることができます。  

よくあるDKIMの失敗のプロンプトと、そのプロンプトを取り上げたことに注意してください。 可能性を提供しながら可能なの解決策となります。 しかし、あなたのドメインやサーバーに特有の、この記事でカバーされていない様々な根本的な理由によって、エラーが表示されるかもしれません。

認証プロトコルを導入したり、ポリシーを適用したりする前に、十分な知識を身に付けておくことが必要です。DKIMの失敗、SPFやDMARCの検証の失敗は、メールの配信に影響を与える可能性があります。  

DKIMの失敗に関するFAQ

1.どのような送信者がDKIMに失敗しているか?

DKIMの失敗は、以下のような送信者に典型的です。

  • プロトコルの設定が適切でない
  • サポートされていないメールプロバイダに2048ビットキーを使用する
  • 電子メールの転送中に、第三者によって電子メールの内容が改ざんされた場合。

2.DKIMが失敗した場合、DMARCは通過できますか?

はい、その電子メールに対してSPFをパスすることが条件です。DMARCを設定し、SPFとDKIMの両方のメカニズムに対してメールを調整した場合、DMARCに合格するには、どちらか一方のチェック(SPFまたはDKIM)にのみ合格する必要があります。しかし、DMARCのアライメントがDKIM認証にのみ依存している場合、DKIMが失敗するとDMARCは失敗します。

DKIM失敗

/