Waarom faalt DKIM?
Het falen van DKIM voor de berichten van uw domein kan het gevolg zijn van een foute identifier uitlijning van het DKIM protocol of problemen in de record setup. Vandaag gaan we in op hoe de DKIM specificatie uw domeinen verifieert, waarom DKIM mogelijk niet werkt voor uw berichten en hoe u DKIM eenvoudig kunt herstellen met een paar tips en trucs.
Wat is DKIM en waarom moet u het instellen?
DKIM is een e-mail authenticatiesysteem waarmee u de legitimiteit van uw verzendbronnen kunt verifiëren en er tevens zeker van kunt zijn dat de inhoud van uw e-mail ongewijzigd is gebleven gedurende het afleverproces.
Als we het hebben over waarom we een DKIM setup voor onze emails nodig hebben, dan moeten we het hebben over hoe email een vector kan worden voor het uitvoeren van frauduleuze activiteiten. Impersonatie aanvallen, variërend van phishing tot domein spoofing, maar ook malware infecties, kunnen worden uitgevoerd door middel van valse emails. Daarom moeten bedrijven een filtersysteem opzetten om e-mailafzenders te verifiëren. Op die manier beschermen zij niet alleen hun eigen reputatie, maar voorkomen zij ook dat miljoenen gebruikers het slachtoffer worden van oplichting via e-mail.
DKIM is zo'n e-mailverificatiesysteem waarbij een hashwaarde (particuliere sleutel) wordt gebruikt om e-mailgegevens te ondertekenen die worden vergeleken met de openbare sleutel in het DNS van de afzender. E-mails die digitaal zijn ondertekend met een DKIM-handtekening bieden een hoge mate van bescherming tegen wijziging door een kwaadwillende derde partij.
Automatisch doorsturen van e-mail en DKIM vs SPF
Bij automatisch doorgestuurde e-mails worden de e-mailheaders gewijzigd omdat er een of meer tussenliggende servers bij betrokken zijn. Het doorgestuurde bericht neemt de headerinformatie over van deze derde intermediaire server, die al dan niet als geautoriseerde verzendbron is opgenomen in het SPF-record van de oorspronkelijke afzender.
Als het niet is opgenomen, zal SPF voor dat bericht falen.
Omdat DKIM handtekeningen in de e-mail zelf staan, heeft doorsturen geen effect op DKIM. Daarom kunt u DKIM bovenop uw bestaande SPF beleid instellen om ongewenste authenticatie fouten voor uw doorgestuurde berichten te voorkomen.
Het probleem oplossen zonder DKIM
Het instellen van DKIM samen met SPF is een aanbevolen maar is niet verplicht.
- Als u geen DKIM wilt instellen voor uw domeinen, maar toch SPF fouten wilt oplossen voor uw doorgestuurde emails, kunt u een methode gebruiken die email redirection heet. Bij het omleiden van uw e-mails blijven de originele headers van uw berichten behouden.
- Anders kunt u er ook voor zorgen dat u de IP-adressen van alle intermediaire servers die deelnemen aan het doorstuurproces opneemt in het SPF-record van uw domein.
DKIM mislukt Betekenis
Als u DKIM heeft geactiveerd voor uw uitgaande e-mails, controleren de ontvangende servers de authenticiteit van de e-mail door uw DKIM privé sleutel te vergelijken met de publieke sleutel die op uw DNS staat. Als dit overeenkomt, wordt het bericht door DKIM geaccepteerd, anders is DKIM niet succesvol.
Wat betekent DKIM Fail?
DKIM mislukt verwijst naar de mislukte status van uw DKIM verificatie controle, als gevolg van een mismatch in de domeinen gespecificeerd in de DKIM handtekening header en From header en inconsistenties in de sleutelpaar waarden.
Testgevallen voor DKIM mislukken
1. Fout in DKIM record syntax
Als u geen betrouwbare DKIM record generator tool gebruikt om uw record te genereren en het handmatig voor uw domein probeert in te stellen, kan het zijn dat u het verkeerd implementeert. Syntactische fouten in uw DNS records kunnen leiden tot mislukte authenticatie, en in dat geval faalt DKIM.
2. DKIM identificatie fout bij uitlijning
Als u DMARC voor uw domein is ingesteld naast DKIM, wordt tijdens de DKIM verificatie de domeinwaarde in de d= veld in de DKIM handtekening in de e-mail header overeenkomen met het domein in het from adres. Dit kan een strikte uitlijning zijn, waarbij de twee domeinen een exacte match moeten zijn of een ontspannen uitlijning waarbij een organisatorische match door de controle komt.
DKIM kan mislukken als de header van de DKIM handtekening niet overeenkomt met het domein in de From header, wat een typisch geval is van domain spoofing of een impersonatie aanval.
3. U hebt DKIM niet ingesteld voor uw externe e-mailleveranciers
Als u verschillende externe e-mailleveranciers gebruikt om namens uw organisatie e-mails te versturen, moet u contact met hen opnemen voor instructies over het activeren van DKIM voor uw uitgaande e-mails. Als u uw eigen domeinen of subdomeinen gebruikt die bij deze externe dienst zijn geregistreerd om e-mails naar uw klanten te verzenden, moet u uw leverancier te vragen DKIM voor u af te handelen.
In het ideale geval, als uw externe leverancier u helpt bij het outsourcen van uw emails, zouden zij uw domein instellen door een DKIM record te publiceren op hun DNS met een DKIM selector die uniek is voor u, zonder dat u zich ermee hoeft te bemoeien.
OF,
U kunt een DKIM-sleutelpaar genereren en de privésleutel aan uw e-mailleverancier overhandigen, terwijl u de publieke sleutel op uw eigen DNS.
Een verkeerde configuratie kan leiden tot het mislukken van DKIM, dus het is van groot belang dat u open communiceert met uw service provider over uw DKIM instellingen.
Note: Sommige derde partij exchange servers induceren geformatteerde voetteksten in de body van het bericht. Als deze servers intermediaire servers zijn in een email forwarding proces, kan de samengevoegde footer een factor zijn die bijdraagt aan het falen van DKIM.
4. Problemen in de servercommunicatie
In bepaalde situaties kan de e-mail van een server komen die DKIM heeft uitgeschakeld. In dat geval zal DKIM voor die e-mail mislukken. Het is belangrijk om ervoor te zorgen dat de communicerende partijen DKIM goed hebben geactiveerd.
5. Wijzigingen in de body van het bericht door Mail Transfer Agents (MTA's)
In tegenstelling tot SPF controleert DKIM bij het verifiëren van de authenticiteit van berichten niet het IP adres van de afzender of het retourpad. In plaats daarvan wordt gecontroleerd of de inhoud van het bericht tijdens het transport niet is gewijzigd. Soms kunnen deelnemende MTA's en e-mail forwarding agents de inhoud van het bericht wijzigen tijdens het inpakken van regels of het formatteren van de inhoud, waardoor DKIM kan mislukken.
De opmaak van de inhoud van een e-mail is meestal een geautomatiseerd proces om ervoor te zorgen dat het bericht voor elke ontvanger gemakkelijk te begrijpen is.
6. DNS uitval / DNS downtime
Dit is een veel voorkomende reden voor mislukte authenticatie, waaronder DKIM mislukt. Uitval van DNS kan verschillende oorzaken hebben, waaronder denial of service aanvallen. Routinematig onderhoud van uw name server kan ook de reden zijn voor een DNS downtime. Tijdens deze (meestal korte) periode kunnen ontvangende servers geen DNS queries uitvoeren.
Omdat DKIM in uw DNS bestaat als TXT/CNAME record, voert de client-server tijdens de authenticatie een lookup uit om de DNS van de afzender te vragen naar de openbare sleutel. Tijdens een storing wordt dit niet mogelijk geacht en kan dus DKIM kapot gaan.
7. Gebruik van OpenDKIM
Een open-source DKIM implementatie, bekend onder de naam OpenDKIM, wordt veel gebruikt door mailbox providers als Gmail, Outlook, Yahoo, etc. OpenDKIM maakt verbinding met de server via poort 8891 tijdens verificatie. Soms kunnen fouten worden veroorzaakt door het inschakelen van verkeerde permissies waardoor de server niet kan verbinden met uw socket.
Controleer je directory om er zeker van te zijn dat je de permissies juist hebt ingeschakeld, of dat je überhaupt een directory hebt ingesteld voor je socket.
DKIM Authenticatie Resultaat Mislukkingen
1. Authenticatie Resultaat: dkim=neutraal (slecht formaat)
Automatisch gegenereerde regeleinden in uw DKIM record kunnen leiden tot de foutmelding: dkim=neutral (slecht formaat). Wanneer uw email validator de afgebroken records aan elkaar koppelt tijdens verificatie, komt er een verkeerde waarde uit. Een mogelijke oplossing is om 1024 bit DKIM keys te gebruiken (in plaats van 2048 bit) om binnen de DNS limiet van 255 karakters te blijven.
2. Authenticatie Resultaat: dkim=fail (slechte handtekening)
Dit kan het gevolg zijn van inhoudelijke wijzigingen in de body van het bericht door een derde partij, waardoor de header van de DKIM-handtekening niet overeenkomt met de body van de e-mail.
3. Authenticatieresultaat: dkim=fail (hash van DKIM-handtekening niet geverifieerd)
De "DKIM handtekening body hash niet geverifieerd" of "DKIM handtekening body hash is niet geverifieerd" zijn twee alternatieve resultaten die door de ontvangende server worden teruggegeven voor dezelfde fout die impliceert dat de DKIM body hash waarde (bh= tag) op een of andere manier is veranderd tijdens het transport. Zelfs als uw DKIM sleutelpaar correct is ingesteld en u een geldige publieke sleutel heeft gepubliceerd op uw DNS, kunnen kleine wijzigingen in de hash waarde, zoals het invoegen van spaties of speciale tekens ervoor zorgen dat uw body hash verificatie DKIM niet doorstaat.
De waarde van de bh= tag kan om de volgende redenen worden gewijzigd:
- Intermediaire servers die verantwoordelijk zijn voor het wijzigen van de inhoud van de mail
- Toevoeging van e-mail voetteksten door uw e-mail service provider
4. Authenticatie Resultaat: dkim=fail (geen sleutel voor handtekening)
Deze foutmelding kan het gevolg zijn van een ongeldige of ontbrekende publieke sleutel in uw DNS. Het is van groot belang dat u ervoor zorgt dat uw publieke en private sleutels voor DKIM overeenkomen en juist zijn ingesteld. Weet u zeker dat uw DKIM DNS record is gepubliceerd en geldig is? Controleer het dan nu met onze gratis DKIM record checker.
Hoe stop ik DKIM fail voor uw berichten?
Het is niet mogelijk om alle bovengenoemde problemen aan te pakken, simpelweg omdat ze niet allemaal kunnen worden omzeild. Wij hebben echter een aantal nuttige tips verzameld die u kunt toepassen om de kans op DKIM-falen te minimaliseren.
Hoe los ik DKIM-problemen op?
- Genereer uw DKIM record met een vertrouwde en bekende generator tool voor nauwkeurige resultaten, en kopieer-past uw waarden altijd om fouten te voorkomen
- Controleer uw DKIM record op hiaten en fouten
- Implementeer SPF en DMARC voor een extra beveiligingslaag tegen domain spoofing en impersonation. DMARC heeft SPF of DKIM nodig om door de validatie te komen, dus als DKIM faalt en SPF slaagt, komen je berichten nog steeds door DMARC en worden ze afgeleverd.
- DMARC-rapportage inschakelen voor uw domeinen
- Controleer uw DKIM foutmeldingen en verificatieresultaten op een speciale DMARC rapport analyser dashboard
- Bespreek uitvoerig met uw e-mailleveranciers of DKIM is ingesteld, of zij het protocol ondersteunen en hoe zij ermee omgaan
- Ontvang deskundig advies over uw e-mailverificatie-instellingen van ons team van DMARC-specialisten door u aan te melden voor een gratis DMARC-proefversie met onze analyzer
We hebben een aantal veel voorkomende DKIM foutmeldingen en hun waarschijnlijke oorzaken behandeld en een mogelijke oplossing. Er kunnen echter ook fouten optreden die te maken hebben met verschillende onderliggende redenen die specifiek zijn voor uw domein en servers, en die niet in dit artikel zijn behandeld.
Het is noodzakelijk dat u voldoende kennis opbouwt over authenticatieprotocollen, voordat u deze in uw organisatie implementeert of uw beleid afdwingt. Als DKIM faalt, of SPF of DMARC validatie faalt, kan dit gevolgen hebben voor de deliverability van uw e-mail.
FAQ's over DKIM falen
1. Welke afzenders falen bij DKIM?
DKIM falen is typisch voor afzenders die:
- het protocol verkeerd configureren
- gebruik 2048-bits sleutels voor niet-ondersteunde e-mailproviders
- de inhoud van de e-mail werd gewijzigd door een derde tussenpersoon tijdens de overdracht van het bericht
2. Kan DMARC slagen als DKIM faalt?
Ja, mits SPF slaagt voor de e-mail. Als je DMARC hebt geconfigureerd en e-mails hebt afgestemd op zowel SPF- als DKIM-mechanismen, hoef je maar voor één van de controles te slagen (SPF of DKIM) om DMARC te passeren. Als je DMARC afstemming echter alleen vertrouwt op DKIM verificatie, zal DMARC falen als DKIM faalt.
- Wat is DMARC-beleid? Geen, quarantaine en afwijzen - 15 september 2024
- SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet - 26 april 2024
- Hoe publiceer je een DMARC Record in 3 stappen? - 2 april 2024