DKIM domein uitlijning mislukt - RFC 5322 oplossingen

Een RFC 5322 uitlijningsfout treedt op wanneer het domein in de "Van:" header (zichtbaar voor gebruikers) niet overeenkomt met het DKIM d= domein (in de handtekening). DMARC vereist dat het domein in de "From:" header overeenkomt met het domein dat is geverifieerd door SPF of DKIM.

DKIM helpt te controleren of een e-mail onderweg is gemanipuleerd. Voor DMARC-doeleinden verifieert DKIM ook de identiteit van het domein dat beweert de e-mail te verzenden (via d=). DMARC controleert of het "Van:" adres in een e-mailbericht overeenkomt met de domeinen die zijn geverifieerd door SPF en DKIM.

Wat is RFC 5322? 

RFC 5322 definieert de syntaxis voor Internet e-mail headers, inclusief de "From:" header. DKIM en DMARC vertrouwen op deze headers voor authenticatie. SPF daarentegen controleert de afzender van de envelop (MAIL FROM) volgens RFC 5321. RFC 5322 werd gepubliceerd in oktober 2008 en is nu een standaard voor het formatteren van e-mail headers en bodies. 

Als er geen afstemmingsvereisten waren, hadden aanvallers gewoon geldige SPF of DKIM-records van het ene domein gebruiken en het "Van:"-adres van een ander domein vervalsen. Nu de uitlijningseis van kracht is, wordt de taak van de hackers veel uitdagender: als de domeinen niet op één lijn liggen, zal de DMARC-verificatie mislukken en zal de e-mail ofwel naar spam worden gestuurd of helemaal worden geweigerd.

Wat is DKIM Domein Alignment?

Om goed te begrijpen wat DKIM domain alignment is, is het handig om eerst te begrijpen hoe DKIM werkt. 

Wat DKIM is en hoe het werkt

DKIM (DomainKeys Identified Mail) is een e-mailverificatieprotocol waarmee een individu of een organisatie verantwoordelijkheid kan nemen voor de verzending van een e-mail. Het voegt een digitale handtekening toe die postbusaanbieders kunnen controleren om er zeker van te zijn dat de e-mail niet is gemanipuleerd tijdens het verzenden.

Bij het verzenden van e-mail ondertekent het verzendende domein uitgaande berichten met een privésleutel. Vervolgens controleert de ontvangende server de handtekening met behulp van een openbare sleutel die is gepubliceerd in het DNS van het domein. 

De "d=" tag, een belangrijk onderdeel van de DKIM handtekening, specificeert het domein dat verantwoordelijk is voor het ondertekenen van het bericht. Dit domein wordt opgenomen in de DKIM header en wordt gebruikt door ontvangende servers om de publieke sleutel ter verificatie te controleren.

Het verschil tussen ontspannen en strikt afstemmingsmodi in DMARC

DMARC afstemming helpt ervoor te zorgen dat het domein in de "From:" header overeenkomt met het domein dat is geverifieerd door SPF of DKIM. Er zijn twee uitlijningsmodi in DMARC: ontspannen of strikt.

• Ontspannen uitlijning: Het domein in de "Van:" header hoeft alleen overeen te komen met het organisatiedomein dat wordt gebruikt in SPF- of DKIM-verificatie. Dit is een meer 'vergevingsgezinde' en flexibele modus, die vooral handig is bij het gebruik van subdomeinen of e-maildiensten van derden.
• Strikte uitlijning: In het geval van strikte uitlijning moet het domein in de "Van:" header precies overeenkomen met het domein dat wordt gebruikt in SPF- of DKIM-verificatie.

Waarom DKIM en RFC 5322 uitlijning belangrijk is

Het belangrijkste doel van de afstemmingseis voor DKIM en RFC 5322 is om ongeautoriseerde toegang te voorkomen. 

Kern van de zaak: DMARC's afstemmingsvereiste

DMARC vereist dat het domein in de "From:" header van de e-mail ten minste gedeeltelijk overeenkomt met het domein in het "d=" veld van de DKIM handtekening. Bij strikte afstemming moeten de domeinen exact overeenkomen. Bij ontspannen afstemming moeten ze op zijn minst hetzelfde organisatiedomein hebben.

Veelvoorkomende mismatchscenario's

Hier zijn enkele van de meest voorkomende mismatchscenario's: 

Gebruik van marketingtools

Marketingtools verzenden vaak e-mails vanaf adressen zoals [email protected] maar ondertekenen deze met een DKIM "d=voorbeeld.com" domein. Als DKIM-uitlijning in zo'n situatie is ingesteld op strikte uitlijning (adkim=s), is het waarschijnlijk dat de uitlijning van de DKIM-handtekening mislukt.

E-mail doorsturen 

Hoewel doorsturen meestal meer invloed heeft op SPF dan op DKIM, kan DKIM ook falen tijdens het doorsturen, maar alleen als het bericht wordt gewijzigd (bijvoorbeeld door mailinglijsten). Merk op dat de "Van:" header zelden wordt gewijzigd door doorstuurders.

Hier is een voorbeeld van een verkeerde uitlijning:

• Van: [email protected] (RFC 5322 header)
• DKIM-handtekening: d=example.com (domein is niet afgestemd en DMARC mislukt)

Veelvoorkomende oorzaken van uitlijnproblemen

Enkele van de meest voorkomende oorzaken van uitlijnfouten zijn: 

Gebruik van diensten van derden

Wanneer je e-mails verstuurt via externe providers van derden die domeinuitlijning niet goed configureren, is de kans groot dat DKIM domein RFC 5322 uitlijning mislukt. 

DKIM record verkeerd geconfigureerd

Als je DKIM-records of selectors verkeerd zijn ingesteld, is de kans groot dat ze niet goed op elkaar zijn afgestemd. Zelfs een kleine fout bij het instellen kan leiden tot grote storingen die van invloed zijn op de bezorgbaarheid van uw e-mail. 

Domein inconsistenties

Wanneer je verschillende domeinen gebruikt in de DKIM handtekening en de "From:" header, zou het geen verrassing moeten zijn om een RFC 5322 From header mismatch te ervaren. Of de inconsistentie van de domeinen nu te wijten is aan een vergissing en verkeerde configuratie of opzettelijk deel uitmaakt van je setup, in beide gevallen is een mismatch en de daaropvolgende problemen zeer waarschijnlijk. 

Hoe RFC 5322 uitlijningsfouten diagnosticeren

Hier zijn twee snelle stappen om je te helpen bij het diagnosticeren van het RFC 5322 uitlijningsprobleem.

1. Als je RFC 5322 afstemmingsfouten wilt diagnosticeren, bekijk dan eerst zorgvuldig je DMARC-rapporten voor vermeldingen met de reden "dkim uitlijning mislukt".
2. Vervolgens kunt u e-mailverificatieprogramma's gebruiken zoals een DKIM-checker of het commando dig gebruiken om uw DNS-records te controleren. Hiermee kunt u bevestigen dat DKIM-handtekeningen correct zijn gepubliceerd en overeenkomen met uw verzenddomein.

Hoe DKIM-RFC 5322 verkeerd uitlijnen repareren

Hier zijn enkele eenvoudig te implementeren stappen om de DKIM-RFC 5322 incongruentie te herstellen.

1. Overeenkomen met DKIM en Van-domeinen

Zorg er altijd voor dat de DKIM handtekening hetzelfde domein gebruikt als de "Van:" header. Dit is het beste voor e-mails die rechtstreeks vanaf uw domein worden verzonden.

2. Uitlijnmodus instellen

Zorg ervoor dat je de uitlijningsmodus instelt die het beste past bij je voorkeuren en behoeften. Gebruik adkim=s voor strikte uitlijning (wanneer een exacte overeenkomst vereist is) of adkim=r voor ontspannen uitlijning (om ook subdomeinen toe te staan) in je DMARC-beleid.

3. DKIM-sleutels voor subdomeinen toevoegen

Als je subdomeinen gebruikt in je 'Van:'-adres, zorg er dan voor dat DKIM is geconfigureerd om berichten te ondertekenen met dat exacte subdomein of pas je DMARC-uitlijningsmodus dienovereenkomstig aan.

4. Behoud de oorspronkelijke "Van:" koptekst 

Je moet je e-mailservices zo configureren dat het originele "Van:" domein in de header van het bericht behouden blijft. Tijdens het doorsturen van e-mails kan het voorkomen dat tussenpersonen onbedoeld de "Van:" header of andere delen van het bericht wijzigen, waardoor DKIM-afstemming kan worden verbroken en DMARC-fouten kunnen worden veroorzaakt. Door de originele "Van:" header te behouden, blijft de domeinafstemming behouden en in combinatie met ARC (Authenticated Received Chain)kan het extra verificatiecontext bieden om de ontvangende server te helpen de legitimiteit van het bericht te beoordelen ondanks tussentijdse wijzigingen.

5. Testen en valideren

Testen en valideren is een vaak over het hoofd geziene maar belangrijke stap in het proces. Er zijn veel vrij toegankelijke tools die je kunt gebruiken om domain alignment en DKIM setup te controleren. Met behulp van dergelijke tools kun je ervoor zorgen dat DMARC-authenticatie slaagt en je bericht bij de beoogde ontvanger wordt afgeleverd. 

Pro tips

Hier zijn aanvullende tips voor foutloze uitlijning.

SPF + DKIM uitlijning

DMARC vergelijkt het domein in de RFC 5322.From header met domeinen die zijn geverifieerd door SPF (MAIL FROM) en DKIM (d=). 

Voorkom dat tools van derden headers doorbreken

Probeer geen e-mailserviceproviders (ESP's) van derden te gebruiken die headers verbreken of wijzigen. Je kunt ESP's testen op naleving voordat je overgaat tot volledige implementatie. Zo voorkom je problemen met de bezorging en zorg je tegelijkertijd voor compliance.

Samenvattend 

Een RFC 5322 uitlijningsfout kan zich in verschillende situaties voordoen, met name bij het gebruik van e-mailmarketingtools of het doorsturen van e-mail. Enkele van de meest voorkomende oorzaken zijn het gebruik van services van derden, verkeerde configuratie van DKIM-records en inconsistenties in domeinen. 

Je kunt eenvoudig RFC 5322-afstemmingsfouten diagnosticeren met een DMARC-rapportanalyser, waarmee je snel verificatieproblemen kunt detecteren en identificeren aan de hand van visuele, door mensen leesbare DMARC-gegevens. 

PowerDMARC kan u helpen uw reis naar foutloze e-mailverificatie te beginnen en uitlijningsfouten te voorkomen. Neem om te beginnen uw gratis proefversie van 15 dagen vandaag nog!

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• SPF Neutraal Mechanisme uitgelegd: Wanneer en hoe te gebruiken - 23 juni 2025
• DKIM domein uitlijning mislukt - RFC 5322 oplossingen - 5 juni 2025
• DMARCbis uitgelegd - wat verandert er en hoe bereid je je voor? - 19 mei 2025