DKIM mislukking voor berichten van uw domein kan het gevolg zijn van een mislukte identifier alignment voor het DKIM protocol of problemen in uw record setup. Vandaag gaan we dieper in op hoe de DKIM specificatie uw domeinen verifieert, waarom DKIM mogelijk niet werkt voor uw berichten en hoe u DKIM eenvoudig kunt repareren met een stap-voor-stap handleiding.
Belangrijkste conclusies
- DKIM mislukt als het domein in de DKIM handtekening niet overeenkomt met de From header, of als de waarden van de sleutelparen niet overeenkomen.
- Fouten in de DKIM-recordsyntaxis, verkeerde configuraties door externe leveranciers, communicatieproblemen met servers, DNS-storingen en wijzigingen door MTA's kunnen leiden tot DKIM-fouten.
- Problemen zoals een slecht formaat, een hash die niet is geverifieerd of ontbrekende openbare sleutels in DNS resulteren in specifieke DKIM-faalresultaten.
- Gebruik betrouwbare DKIM record generators om syntax fouten te voorkomen. Controleer de uitlijning in de DKIM signature header en From header en werk samen met een externe leverancier zoals PowerDMARC om een correcte DKIM setup te garanderen.
- Controleer de resultaten van je DKIM-authenticatie met DMARC-rapporten.
Wat betekent DKIM-falen?
Als u DKIM heeft geactiveerd voor uw uitgaande e-mails, controleren de ontvangende servers de authenticiteit van de e-mail door uw DKIM privé sleutel te vergelijken met de publieke sleutel die op uw DNS staat. Als dit overeenkomt, wordt het bericht door DKIM geaccepteerd, anders is DKIM niet succesvol.
DKIM mislukt verwijst naar de mislukte status van uw DKIM verificatie controle, als gevolg van een mismatch in de domeinen gespecificeerd in de DKIM handtekening header en From header en inconsistenties in de sleutelpaar waarden.
Veel voorkomende redenen voor DKIM falen
1. Fout in DKIM record syntax
Als je geen betrouwbare DKIM record generator tool gebruikt om uw record te genereren door het handmatig in te stellen voor uw domein, implementeert u het mogelijk niet goed. Syntactische fouten in uw DNS-records kunnen leiden tot mislukte verificatie.
2. DKIM controleren op uitlijningsfout
Als u DMARC hebt ingesteld voor uw domein naast DKIM, wordt tijdens de DKIM-controle de domeinwaarde in de d= veld in de DKIM handtekening in de e-mailheader overeenkomen met het domein in het Van adres. Dit kan een strikte afstemming zijn, waarbij de twee domeinen een exacte match moeten zijn, of een ontspannen afstemming die een organisatorische match toestaat om door de controle te komen.
DKIM kan mislukken als het domein van de DKIM signature header niet overeenkomt met het domein in de From header, wat een typisch geval kan zijn van domain spoofing of impersonation attack.
3. U hebt DKIM niet ingesteld voor uw externe e-mailleveranciers
Als u verschillende externe e-mailleveranciers gebruikt om namens uw organisatie e-mails te versturen, moet u contact met hen opnemen voor instructies over het activeren van DKIM voor uw uitgaande e-mails. Als u uw eigen domeinen of subdomeinen gebruikt die bij deze externe dienst zijn geregistreerd om e-mails naar uw klanten te verzenden, moet u uw leverancier te vragen DKIM voor u af te handelen.
In het ideale geval, als uw externe leverancier u helpt bij het outsourcen van uw emails, zouden zij uw domein instellen door een DKIM record te publiceren op hun DNS met een DKIM selector die uniek is voor u, zonder dat u zich ermee hoeft te bemoeien.
OF,
U kunt een DKIM-sleutelpaar genereren en de privésleutel aan uw e-mailleverancier overhandigen, terwijl u de publieke sleutel op uw eigen DNS.
Verkeerde configuraties kunnen leiden tot een DKIM-fout, dus je moet open communiceren met je serviceprovider over je DKIM-instellingen.
Note: Sommige derde partij exchange servers induceren geformatteerde voetteksten in de body van het bericht. Als deze servers intermediaire servers zijn in een email forwarding proces, kan de samengevoegde footer een factor zijn die bijdraagt aan het falen van DKIM.
4. Problemen in de servercommunicatie
In bepaalde situaties kan de e-mail van een server komen die DKIM heeft uitgeschakeld. In dat geval zal DKIM voor die e-mail mislukken. Het is belangrijk om ervoor te zorgen dat de communicerende partijen DKIM goed hebben geactiveerd.
5. Wijzigingen in de body van het bericht door Mail Transfer Agents (MTA's)
In tegenstelling tot SPF controleert DKIM bij het verifiëren van de authenticiteit van berichten niet het IP adres van de afzender of het retourpad. In plaats daarvan wordt gecontroleerd of de inhoud van het bericht tijdens het transport niet is gewijzigd. Soms kunnen deelnemende MTA's en e-mail forwarding agents de inhoud van het bericht wijzigen tijdens het inpakken van regels of het formatteren van de inhoud, waardoor DKIM kan mislukken.
De opmaak van de inhoud van een e-mail is meestal een geautomatiseerd proces om ervoor te zorgen dat het bericht voor elke ontvanger gemakkelijk te begrijpen is.
6. DNS uitval / DNS downtime
Dit is een veel voorkomende reden voor DKIM-fouten. DNS-uitval kan om verschillende redenen optreden, waaronder denial of service-aanvallen. Routinematig onderhoud van uw naamserver kan ook de reden zijn achter een DNS-uitval. Tijdens deze (meestal korte) periode kunnen ontvangende servers geen DNS-query's uitvoeren.
Omdat DKIM in uw DNS bestaat als TXT/CNAME record, voert de client-server tijdens de authenticatie een lookup uit om de DNS van de afzender te vragen naar de openbare sleutel. Tijdens een storing wordt dit niet mogelijk geacht en kan dus DKIM kapot gaan.
7. Gebruik van OpenDKIM
Een open-source DKIM implementatie, bekend onder de naam OpenDKIM, wordt veel gebruikt door mailbox providers als Gmail, Outlook, Yahoo, etc. OpenDKIM maakt verbinding met de server via poort 8891 tijdens verificatie. Soms kunnen fouten worden veroorzaakt door het inschakelen van verkeerde permissies waardoor de server niet kan verbinden met uw socket.
Controleer je directory om er zeker van te zijn dat je de permissies juist hebt ingeschakeld, of dat je überhaupt een directory hebt ingesteld voor je socket.
Verschillende DKIM-verificatie mislukt resultaten
1. Authenticatie Resultaat: dkim=neutraal (slecht formaat)
Automatisch gegenereerde regeleinden in uw DKIM record kunnen leiden tot de foutmelding: dkim=neutral (slecht formaat). Wanneer uw email validator de afgebroken records aan elkaar koppelt tijdens verificatie, komt er een verkeerde waarde uit. Een mogelijke oplossing is om 1024 bit DKIM keys te gebruiken (in plaats van 2048 bit) om binnen de DNS limiet van 255 karakters te blijven.
2. Authenticatie Resultaat: dkim=fail (slechte handtekening)
Een resultaat voor mislukte DKIM-authenticatie kan mogelijk het gevolg zijn van inhoudelijke wijzigingen in de berichttekst door een derde partij, waardoor de DKIM signature header niet overeenkomt met de inhoud van de e-mail.
3. Authenticatieresultaat: dkim=fail (hash van DKIM-handtekening niet geverifieerd)
De "DKIM handtekening body hash niet geverifieerd" of "DKIM handtekening body hash is niet geverifieerd" zijn twee alternatieve resultaten die door de ontvangende server worden teruggegeven voor dezelfde fout die impliceert dat de DKIM body hash waarde (bh= tag) op een of andere manier is veranderd tijdens het transport. Zelfs als uw DKIM sleutelpaar correct is ingesteld en u een geldige publieke sleutel heeft gepubliceerd op uw DNS, kunnen kleine wijzigingen in de hash waarde, zoals het invoegen van spaties of speciale tekens ervoor zorgen dat uw body hash verificatie DKIM niet doorstaat.
De waarde van de bh= tag kan om de volgende redenen worden gewijzigd:
- Intermediaire servers die verantwoordelijk zijn voor het wijzigen van de inhoud van de mail
- Toevoeging van e-mail voetteksten door uw e-mail service provider
4. Authenticatie Resultaat: dkim=fail (geen sleutel voor handtekening)
Deze foutmelding kan het gevolg zijn van een ongeldige of ontbrekende publieke sleutel in uw DNS. Het is van groot belang dat u ervoor zorgt dat uw publieke en private sleutels voor DKIM overeenkomen en juist zijn ingesteld. Weet u zeker dat uw DKIM DNS record is gepubliceerd en geldig is? Controleer het dan nu met onze gratis DKIM record checker.
Voorkom DKIM fouten met PowerDMARC!
Hoe een DKIM-fout voor uw berichten te stoppen
Het is niet mogelijk om alle bovengenoemde problemen aan te pakken, simpelweg omdat ze niet allemaal kunnen worden omzeild. Wij hebben echter een aantal nuttige tips verzameld die u kunt toepassen om de kans op DKIM-falen te minimaliseren.
Hoe los ik een DKIM-fout op?
- Genereer uw DKIM-record met een vertrouwde en erkende generator voor nauwkeurige resultaten en kopieer uw waarden altijd om fouten te voorkomen.
- Controleer uw DKIM record op hiaten en fouten
- Implementeer SPF en DMARC voor een extra beveiligingslaag tegen domain spoofing en impersonation. DMARC heeft SPF of DKIM nodig om door de validatie te komen, dus als DKIM faalt en SPF slaagt, komen je berichten nog steeds door DMARC en worden ze afgeleverd.
- DMARC-rapportage inschakelen voor uw domeinen
- Controleer uw DKIM-failancerapporten en verificatieresultaten op een speciale DMARC lezer dashboard
- Bespreek uitvoerig met uw e-mailleveranciers of DKIM is ingesteld, of zij het protocol ondersteunen en hoe zij ermee omgaan
- Ontvang deskundig advies over uw e-mailverificatie-instellingen van ons team van DMARC-specialisten door u aan te melden voor een gratis DMARC-proefversie met onze analyzer
We hebben een aantal veel voorkomende DKIM foutmeldingen en hun waarschijnlijke oorzaken behandeld en een mogelijke oplossing. Er kunnen echter ook fouten optreden die te maken hebben met verschillende onderliggende redenen die specifiek zijn voor uw domein en servers, en die niet in dit artikel zijn behandeld.
Je moet voldoende kennis opbouwen rond authenticatieprotocollen voordat je ze in je organisatie implementeert of je beleid afdwingt. DKIM falen, of falen in SPF, of DMARC validatie kan de deliverability van je e-mail beïnvloeden.
Automatisch doorsturen van e-mail en DKIM vs SPF
Bij automatisch doorgestuurde e-mails worden de e-mailheaders gewijzigd omdat er een of meer tussenliggende servers bij betrokken zijn. Het doorgestuurde bericht neemt de headerinformatie over van deze derde intermediaire server, die al dan niet als geautoriseerde verzendbron is opgenomen in het SPF-record van de oorspronkelijke afzender.
Als het niet is opgenomen, zal SPF voor dat bericht falen.
Omdat DKIM-handtekeningen in de e-mailtekst worden opgenomen, heeft doorsturen geen effect op DKIM. Daarom kan het instellen van DKIM bovenop je bestaande SPF beleid helpen om ongewenste DKIM authenticatie mislukkingen te voorkomen voor je doorgestuurde berichten.
Het probleem oplossen zonder DKIM
Het instellen van DKIM samen met SPF is een aanbevolen maar is niet verplicht.
- Als je geen DKIM wilt instellen voor je domeinen, maar toch een SPF-fout wilt oplossen voor je doorgestuurde e-mails, kun je een methode gebruiken die e-mailomleiding heet. Bij het doorsturen van je e-mails blijven de originele headers van je berichten behouden.
- Anders kunt u er ook voor zorgen dat u de IP-adressen van alle intermediaire servers die deelnemen aan het doorstuurproces opneemt in het SPF-record van uw domein.
Wat is DKIM en waarom moet u het instellen?
DKIM is een e-mail authenticatiesysteem waarmee u de legitimiteit van uw verzendbronnen kunt verifiëren en er tevens zeker van kunt zijn dat de inhoud van uw e-mail ongewijzigd is gebleven gedurende het afleverproces.
Als we het hebben over waarom we een DKIM-instelling nodig hebben voor onze e-mails, moeten we het hebben over hoe e-mail een vector kan worden voor het uitvoeren van frauduleuze activiteiten. Imitatieaanvallen, van phishing tot domain spoofing en malware-infecties, kunnen worden uitgevoerd via valse e-mails. Daarom moeten bedrijven een filtersysteem opzetten om e-mailafzenders te verifiëren. Hiermee beschermen ze niet alleen hun eigen reputatie, maar voorkomen ze ook dat miljoenen gebruikers ten prooi vallen aan e-mailoplichting. DKIM faalt, zoals je hieronder zult lezen, wanneer je privésleutel niet overeenkomt met de publieke sleutel.
DKIM is zo'n e-mailverificatiesysteem waarbij een hashwaarde (particuliere sleutel) wordt gebruikt om e-mailgegevens te ondertekenen die worden vergeleken met de openbare sleutel in het DNS van de afzender. E-mails die digitaal zijn ondertekend met een DKIM-handtekening bieden een hoge mate van bescherming tegen wijziging door een kwaadwillende derde partij.
FAQ's over DKIM-storingen
1. Welke afzenders falen bij DKIM?
Falen is typisch voor afzenders die:
- het protocol verkeerd configureren
- gebruik 2048-bits sleutels voor niet-ondersteunde e-mailproviders
- de inhoud van de e-mail werd gewijzigd door een derde tussenpersoon tijdens de overdracht van het bericht
2. Kan DMARC slagen als DKIM dat niet doet?
Ja, mits SPF slaagt voor de e-mail. Als je DMARC hebt geconfigureerd en e-mails hebt afgestemd op zowel SPF- als DKIM-mechanismen, hoef je maar voor één van de controles te slagen (SPF of DKIM) om DMARC te passeren. Als je DMARC afstemming echter alleen vertrouwt op DKIM verificatie, zal DMARC falen en DKIM ook.
- Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
- Wat is MTA-STS? Het juiste MTA-STS-beleid instellen - 15 januari 2025
- Hoe DKIM mislukking oplossen - 9 januari 2025