Hoe DKIM-fout oplossen

Blog

Begrijp de gevolgen van DKIM-fouten, veelvoorkomende fouten en stapsgewijze probleemoplossing om DKIM-authenticatieproblemen op te lossen en de afleverbaarheid van e-mails te beschermen.

door Maitham Al Lawati

Laatst bijgewerkt:
Leestijd: 10 min
Hoe DKIM-fout oplossen
Inhoudsopgave-

DKIM-fouten in uw e-mails kunnen uw domeinreputatie schaden en de deliverability van uw e-mails beïnvloeden. Herstel alle DKIM fouten met deze eenvoudige stap-voor-stap handleiding.

Inhoudsopgave

Belangrijkste punten

  1. DKIM-fouten ontstaan vaak door verschillen tussen de DKIM-handtekening domein en de From-header.
  2. Fouten in DKIM-recordsyntaxis, servercommunicatie en DNS-uitval kunnen leiden tot DKIM-authenticatieproblemen.
  3. Veelvoorkomende oorzaken van DKIM-falen zijn onder andere verkeerd geconfigureerde externe leveranciers en wijzigingen in de e-mail body tijdens het transport.
  4. Het gebruik van betrouwbare DKIM recordgeneratoren en het monitoren van DMARC-rapporten kan het aantal DKIM-fouten aanzienlijk verminderen.
  5. Implementatie van SPF en DMARC naast DKIM helpt bij het verbeteren van de e-mailbeveiliging en zorgt ervoor dat e-mails correct worden geauthenticeerd.
  6. Mislukte DKIM-authenticatie kan ertoe leiden dat e-mails naar spamfolders worden verzonden, worden geweigerd of worden teruggestuurd, afhankelijk van het beleid van de server van de ontvanger.

DKIM-fouten kunnen de plaatsing in de inbox verstoren, omdat ze ontvangende servers vertellen dat uw e-mails niet betrouwbaar kunnen worden geauthenticeerd. Als u "DKIM-authenticatie mislukt", "dkim=fail"of bounces zoals "550 DKIM-validatie mislukt", komen meestal neer op drie oorzaken: de DKIM-sleutel ontbreekt of is onjuist gevormd in DNS, het bericht is gewijzigd na ondertekening (doorsturen, gateways, footers) of het DKIM-ondertekeningsdomein komt niet overeen met het zichtbare From domein onder DMARC.

In deze handleiding wordt uitgelegd wat een DKIM-fout inhoudt, hoe u deze stap voor stap kunt oplossen met behulp van e-mailheaders en DNS-controles, en hoe u herhaalde fouten kunt voorkomen met de juiste leveranciersinstellingen en DMARC-rapportage.

Wat betekent DKIM-falen?

DKIM (DomainKeys Identified Mail) mislukt wanneer een ontvangende mailserver de DKIM-handtekening op een bericht niet kan valideren. In de praktijk controleert de server de DKIM-Signature-header, haalt de openbare sleutel van de afzender op uit DNS met behulp van de selector (de s= tag) en controleert of de handtekening overeenkomt met wat is ondertekend (headers en body hash). Als deze overeenkomen, wordt het bericht door DKIM goedgekeurd, anders mislukt DKIM.

DKIM-fout verwijst naar de mislukte status van uw DKIM-authenticatiecontrole, als gevolg van een discrepantie tussen de domeinen die zijn opgegeven in de DKIM-handtekeningheader en de From-header en inconsistenties tussen de waarden van het sleutelpaar.

Wat gebeurt er als DKIM faalt?

Wanneer DKIM faalt, hangt de impact op de bezorging van e-mails af van het filterbeleid van de ontvanger en of DMARC wordt toegepast op uw domein.

In de meeste gevallen verhoogt een DKIM-fout het risico op spam in plaats van dat het direct tot blokkering leidt. Ontvangende servers behandelen niet-ondertekende of niet-verifieerbare berichten als minder betrouwbaar en kunnen ze naar de spamfolder sturen, vooral als er gedurende langere tijd regelmatig fouten optreden.

Afwijzing vindt doorgaans alleen plaats wanneer een DKIM-fout wordt gecombineerd met andere authenticatiefouten. Als zowel DKIM als SPF falen en uw domein een DMARC-beleid heeft dat is ingesteld op quarantaine of afwijzing, zal het bericht DMARC niet doorstaan en kan het worden afgeremd, in quarantaine worden geplaatst of worden teruggestuurd met fouten zoals "550 DKIM-validatie mislukt."

Hoe DMARC het resultaat verandert

DMARC evalueert authenticatie anders dan DKIM alleen. Om DMARC te doorstaan, heeft een e-mail slechts één afgestemde authenticatiemethode nodig:

  • SPF slaagt en komt overeen → DMARC slaagt, zelfs als DKIM faalt
  • DKIM slaagt en komt overeen → DMARC slaagt, zelfs als SPF faalt
  • Beide mislukken of komen niet overeenDMARC faalt, actie hangt af van beleid

Dit betekent dat een DKIM-fout niet automatisch leidt tot het mislukken van de levering, maar herhaalde fouten verzwakken de reputatie van de afzender en verwijderen een belangrijke laag van authenticatiebeveiliging.

Veel voorkomende redenen voor DKIM falen

1. Fout in DKIM record syntax

Als u geen betrouwbare DKIM-recordgenerator gebruikt en in plaats daarvan handmatig het record voor uw domein aanmaakt, komen configuratiefouten vaak voor. Syntaxproblemen in DKIM DNS-records, zoals ontbrekende tags, onjuiste aanhalingstekens, afgekapte waarden of extra spaties, kunnen ervoor zorgen dat ontvangende servers de DKIM-handtekening niet kunnen valideren, wat resulteert in een mislukte DKIM-authenticatie.

 2. DKIM controleren op uitlijningsfout

Als u DMARC voor uw domein hebt ingesteld naast DKIM, tijdens DKIM-controlemoet de domeinwaarde in het veld d= op de DKIM-handtekening in de e-mailheader overeenkomen met het domein in het Van-adres. Dit kan een strikte afstemming zijn, waarbij de twee domeinen exact moeten overeenkomen, of een soepele afstemming, waarbij een organisatorische overeenkomst voldoende is om de controle te doorstaan. 

Er kan een DKIM-fout optreden als het domein van de DKIM-handtekeningheader niet overeenkomt met het domein in de From-header. Dit is een typisch geval van domeinspoofing of een identiteitsfraudeaanval. 

3. U hebt DKIM niet ingesteld voor uw externe e-mailleveranciers

Als u verschillende externe e-mailleveranciers gebruikt om e-mails namens uw organisatie te verzenden, moet u contact met hen opnemen voor instructies over het activeren van DKIM voor uw uitgaande e-mails. Als u uw eigen aangepaste domeinen of subdomeinen gebruikt die zijn geregistreerd op deze service van derden om e-mails naar uw klanten te verzenden, zorg er dan voor dat u uw leverancier te vragen DKIM voor u af te handelen.

Idealiter zou uw externe leverancier, als deze u helpt bij het uitbesteden van uw e-mails, uw domein instellen door een DKIM-record op hun DNS met behulp van een DKIM-selector die uniek is voor u, zonder dat u zich daar mee hoeft te bemoeien.

OF, 

Je kunt een DKIM sleutelpaar aanmaken en de privésleutel aan je e-mailleverancier geven terwijl je de publieke sleutel publiceert op uw eigen DNS.

Verkeerde configuraties hierin kunnen leiden tot DKIM-storingen, dus je moet open communiceren met je serviceprovider over je DKIM-configuratie

Opmerking: Sommige externe exchangeservers voegen opgemaakte voetteksten toe aan de berichttekst. Als deze servers tussenliggende servers zijn in een e-mailforwardingproces, kan de toegevoegde voettekst een factor zijn die bijdraagt aan het mislukken van DKIM. 

4. Problemen in servercommunicatie

In bepaalde situaties kan de e-mail worden verzonden vanaf een server waarop DKIM is uitgeschakeld. In dergelijke gevallen zal DKIM voor die e-mail mislukken, zelfs als andere servers in uw infrastructuur correct zijn geconfigureerd. Het is belangrijk om ervoor te zorgen dat de communicerende partijen DKIM correct hebben geactiveerd. 

5. Wijzigingen in berichttekst door MTA's (Mail Transfer Agents)

In tegenstelling tot SPF controleert DKIM niet het IP-adres van de afzender of het retourpad tijdens het verifiëren van de authenticiteit van berichten. In plaats daarvan zorgt het ervoor dat de inhoud van het bericht ongewijzigd blijft tijdens het transport. Soms kunnen deelnemende MTA's en e-mailstuurprogramma's de berichttekst wijzigen tijdens het omhullen van regels of het formatteren van de inhoud, waardoor DKIM kan falen. 

Het opmaken van de inhoud van een e-mail is meestal een geautomatiseerd proces om ervoor te zorgen dat het bericht gemakkelijk te begrijpen is voor elke ontvanger. 

6. DNS uitval / DNS downtime

Dit is een veel voorkomende reden voor DKIM-fouten. DNS-uitval kan om verschillende redenen optreden, waaronder denial of service-aanvallen. Routinematig onderhoud van uw naamserver kan ook de reden zijn achter een DNS-uitval. Tijdens deze (meestal korte) periode kunnen ontvangende servers geen DNS-query's uitvoeren. 

Aangezien we weten dat DKIM in je DNS bestaat als een TXT/CNAME-record, voert de client-server tijdens de authenticatie een lookup uit om de DNS van de afzender te bevragen naar de publieke sleutel. Tijdens een storing wordt dit niet mogelijk geacht, waardoor DKIM kan worden verbroken. 

7. OpenDKIM gebruiken

Een open-source DKIM-implementatie die bekend staat als OpenDKIM , wordt vaak gebruikt door mailboxproviders zoals Gmail, Outlook, Yahoo, enz. OpenDKIM maakt tijdens de verificatie verbinding met de server via poort 8891. Soms kunnen er fouten optreden door het inschakelen van verkeerde machtigingen, waardoor uw server geen verbinding kan maken met uw socket. 

Controleer je directory om er zeker van te zijn dat je de juiste rechten hebt ingeschakeld, of dat je überhaupt een directory hebt ingesteld voor je socket. 

Veelvoorkomende DKIM-foutmeldingen en hun betekenis

Als u specifieke DKIM-foutmeldingen begrijpt, kunt u authenticatieproblemen snel identificeren en oplossen. Hieronder vindt u de meest voorkomende DKIM-foutmeldingen en wat ze betekenen:

1. Authenticatieresultaat: dkim=neutraal (slecht formaat)

Automatisch gegenereerde regeleinden in uw DKIM-record kunnen de foutmelding: dkim=neutral (slechte indeling) veroorzaken. Wanneer je e-mail validator de afgebroken bronrecords aan elkaar koppelt tijdens de verificatie, produceert het een verkeerde waarde. Een mogelijke oplossing is om 1024-bits DKIM-sleutels te gebruiken (in plaats van 2048 bits) om binnen de DNS-limiet van 255 tekens te passen. 

2. Authenticatieresultaat: dkim=fail (slechte handtekening)

A DKIM-authenticatie mislukt Dit kan het gevolg zijn van wijzigingen in de inhoud van het bericht door een derde partij, waardoor de DKIM-handtekeningheader niet overeenkomt met de inhoud van de e-mail. 

3. Authenticatieresultaat: dkim=fail (hash van DKIM-handtekening niet geverifieerd)

De meldingen 'DKIM-signature body hash not verified' of 'DKIM signature body hash did not verify' zijn twee alternatieve resultaten die door de ontvangende server worden geretourneerd voor dezelfde fout, wat betekent dat de DKIM-bodyhashwaarde (bh= tag) op de een of andere manier tijdens het transport is gewijzigd. Zelfs als uw DKIM-sleutelpaar correct is ingesteld en u een geldige openbare sleutel op uw DNS hebt gepubliceerd, kunnen kleine wijzigingen in de hash-waarde, zoals het invoegen van spaties of speciale tekens, ervoor zorgen dat uw body hash-verificatie DKIM niet doorstaat.

De bh= tagwaarde kan om de volgende redenen worden gewijzigd: 

  • Intermediaire servers die verantwoordelijk zijn voor het wijzigen van de inhoud van mail 
  • Toevoegen van voetteksten aan e-mails door uw e-mailserviceprovider  

4. Authenticatieresultaat: dkim=fail (geen sleutel voor handtekening)

Deze fout kan het gevolg zijn van een ongeldige of ontbrekende publieke sleutel in je DNS. Het is absoluut noodzakelijk dat u ervoor zorgt dat uw publieke en private sleutels voor DKIM overeenkomen en correct zijn ingesteld. Weet u zeker dat uw DKIM DNS-record is gepubliceerd en geldig is? Controleer het nu met onze gratis DKIM record checker.

Hoe DKIM-fouten te verhelpen en te voorkomen dat ze terugkomen

Het is niet mogelijk om alle bovengenoemde problemen aan te pakken, simpelweg omdat ze niet allemaal kunnen worden omzeild. We hebben echter enkele nuttige tips verzameld die u kunt gebruiken om de kans dat DKIM mislukt te minimaliseren. 

  • Genereer en publiceer het DKIM-record op de juiste manier. Gebruik een betrouwbare DKIM-recordgenerator en kopieer en plak de waarden om syntaxfouten en afgekapte sleutels te voorkomen.
  • Valideer uw DKIM-record in DNS. Controleer met behulp van een DKIM-recordchecker of er selectors ontbreken, of er opmaakproblemen zijn en of er problemen zijn met de DNS-propagatie.
  • Gebruik SPF en DMARC naast DKIM. DMARC kan worden goedgekeurd wanneer SPF of DKIM wordt goedgekeurd en op elkaar zijn afgestemd, wat helpt om valse afwijzingen te verminderen wanneer één methode faalt.
  • Inschakelen DMARC-rapportage. Rapporten laten zien welke verzendbronnen DKIM niet doorstaan en hoe vaak, zodat u de specifieke stream kunt repareren in plaats van te gissen.
  • Controleer externe afzenders. Controleer of elke leverancier die via uw domein verzendt, correct is geconfigureerd om te ondertekenen met DKIM en overeenkomt met uw afzenderdomein.
  • Controleer continu de authenticatieprestaties. Volg DKIM-fouttrends in de loop van de tijd met behulp van een DMARC-reader om pieken op te merken voordat de plaatsing in de inbox daalt.
  • Escaleer wanneer storingen aanhouden. Als DKIM na DNS- en leverancierscontroles blijft falen, vraag dan deskundige ondersteuning van PowerDMARC om de ondertekening, routing en tussentijdse e-mailverwerking te controleren.

Houd er rekening mee dat we enkele veelvoorkomende DKIM-foutmeldingen en hun waarschijnlijke oorzaken behandeld en een mogelijke oplossing daarvoor hebben gegeven. Er kunnen echter fouten optreden als gevolg van verschillende onderliggende oorzaken die specifiek zijn voor uw domein en servers en die niet in dit artikel aan bod zijn gekomen. 

Je moet voldoende kennis opbouwen rond authenticatieprotocollen voordat je ze in je organisatie implementeert of je beleid afdwingt. DKIM falen, of falen in SPF, of DMARC validatie kan de deliverability van je e-mail beïnvloeden.  

Impact van e-mailforwarding op DKIM en SPF

Het doorsturen van e-mails verstoort vaak de authenticatie, omdat berichten via een of meer tussenliggende servers worden verzonden voordat ze de uiteindelijke ontvanger bereiken.

Waarom SPF niet werkt bij doorgestuurde e-mails

SPF controleert of het verzendende IP-adres bevoegd is om e-mails te verzenden voor het domein in de envelopafzender (Return-Path). Wanneer een e-mail automatisch wordt doorgestuurd, wordt de doorstuurserver het zichtbare verzendende IP-adres. Als die server niet in het SPF-record van de oorspronkelijke afzender staat vermeld, zal SPF mislukken.

Opmerking: SPF wordt beoordeeld op basis van het verzendende IP-adres van de doorstuurder, niet op basis van de server van de oorspronkelijke afzender. Daarom voldoen doorgestuurde e-mails vaak niet aan SPF, zelfs als de oorspronkelijke instellingen correct zijn.

Wat gebeurt er met DKIM tijdens het doorsturen?

DKIM kan alleen doorsturen overleven als het bericht ongewijzigd blijft nadat het is ondertekend. In de praktijk wijzigen veel doorstuurdiensten en beveiligingsgateways e-mails door footers en disclaimers toe te voegen of de inhoud te herschrijven. Zelfs kleine wijzigingen kunnen de DKIM-handtekening ongeldig maken en ervoor zorgen dat DKIM-authenticatie mislukt.

  • Onderteken uitgaande e-mails met DKIM. DKIM vergroot de kans dat doorgestuurde e-mails worden geauthenticeerd wanneer de inhoud tijdens het transport niet is gewijzigd.
  • Gebruik SRS (Sender Rewriting Scheme) op doorstuursystemen. SRS herschrijft de afzender van de envelop, zodat SPF na het doorsturen correct kan valideren.
  • Voeg geen doorstuurservers toe aan SPF-records. Deze aanpak is moeilijk te onderhouden en kan leiden tot SPF-lookupbeperkingen.

Het instellen van DKIM samen met SPF wordt aanbevolen, maar is niet verplicht.

  • Als u DKIM niet wilt DKIM voor uw domeinen, maar u wilt wel SPF-fouten als gevolg van doorsturen wilt verminderen, gebruik dan SRS (Sender Rewriting Scheme) of een geschikte omleidingsmethode op het doorstuursysteem. SRS herschrijft de afzender van de envelop (Return-Path) zodat SPF na het doorsturen correct kan valideren.
  • Als u daarentegen de doorstuursystemen beheert en deze maken gebruik van vaste uitgaande servers, kunt u die verzendende IP-adressen in uw SPF-record autoriseren. Deze aanpak is moeilijker te onderhouden en kan tegen SPF-lookup-limieten aanlopen, dus kan deze het beste alleen in gecontroleerde omgevingen worden gebruikt.

Waarom DKIM nog steeds belangrijk is

DKIM is een e-mailverificatiemethode die twee dingen bewijst aan ontvangende servers:

  1. het bericht is verzonden door een server die bevoegd is om voor het domein te ondertekenen, en
  2. de ondertekende delen van het bericht zijn tijdens het transport niet gewijzigd.

Dat is belangrijk omdat inboxproviders authenticatiesignalen gebruiken om te bepalen of ze uw e-mail kunnen vertrouwen. Wanneer DKIM herhaaldelijk faalt, verliest u een belangrijk vertrouwenssignaal, wat kan leiden tot plaatsing in de spamfolder, throttling of bounces, vooral wanneer DMARC wordt toegepast.

Als u vandaag DKIM-fouten aan het oplossen bent, stop dan niet bij 'het werkt nu'. Zorg ervoor dat elke verzendende bron (inclusief platforms van derden) consistent ondertekent en controleer fouten via DMARC-rapportage, zodat het probleem niet terugkomt.

FAQs

1. Wat is DKIM en waarom moet het worden ingesteld?

DKIM (DomainKeys Identified Mail) is een methode voor e-mailverificatie waarbij een cryptografische handtekening wordt toegevoegd aan uitgaande e-mails. Ontvangende servers verifiëren de handtekening met behulp van de openbare sleutel die is gepubliceerd in de DNS van uw domein. Als de handtekening wordt geverifieerd, betekent dit dat het bericht niet is gewijzigd nadat het is ondertekend en dat de e-mail is verzonden via een legitieme DKIM-ondertekeningsconfiguratie voor het domein.

DKIM is op zichzelf geen spamfilter, maar het is een belangrijk vertrouwenssignaal dat samen met SPF en DMARC wordt gebruikt om spoofing te verminderen en de leverbaarheid te verbeteren.

2. Welke afzenders voldoen niet aan DKIM?

Falen is typisch voor afzenders die:

  • het protocol verkeerd configureren
  • gebruik 2048-bits sleutels voor niet-ondersteunde e-mailproviders
  • de inhoud van de e-mail werd gewijzigd door een derde partij tijdens de overdracht van het bericht

3. Kan DMARC slagen als DKIM dat niet doet?

Ja, op voorwaarde dat SPF voor de e-mail wordt goedgekeurd. Als u DMARC hebt geconfigureerd en e-mails hebt afgestemd op zowel SPF- en DKIM-mechanismen , hoeft u slechts één van de controles (SPF of DKIM) te doorstaan om DMARC te doorstaan. Als uw DMARC-afstemming alleen op DKIM-authenticatie is gebaseerd, zal DMARC mislukken en dus ook DKIM.

4. Waarom wordt mijn bericht geblokkeerd vanwege een DKIM-fout?

Berichten kunnen worden geblokkeerd wanneer DKIM mislukt als de server van de ontvanger strenge authenticatiebeleidsregels hanteert of als uw DMARC-beleid is ingesteld op 'weigeren' en zowel DKIM als SPF de afstemmingscontroles niet doorstaan.

5. Hoe controleer ik DKIM in e-mailheaders?

Zoek het veld 'DKIM-Signature' in de e-mailheaders en controleer het veld 'Authentication-Results' voor de DKIM-status. U kunt e-mailheaders in de meeste e-mailclients bekijken door 'Bron weergeven' of 'Origineel weergeven' te selecteren.

6. Kan DKIM mislukken als SPF slaagt?

Ja, DKIM en SPF zijn onafhankelijke authenticatiemethoden. DKIM kan mislukken vanwege problemen met de handtekening, terwijl SPF slaagt op basis van IP-autorisatie. Daarom biedt de implementatie van beide protocollen een betere e-mailbeveiliging.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
Laatst bijgewerkt:
Hoe 550 SPF-controle mislukt op te lossen [OPGELOST]Hoe 550 SPF-controle mislukt op te lossenNCSC Mail Check Wijzigingen en hun impact op de beveiliging van e-mail in de publieke sector ...