Hoe DKIM-fout oplossen

Blog

DKIM-fouten in uw e-mails kunnen uw domeinreputatie schaden en de deliverability van uw e-mails beïnvloeden. Herstel alle DKIM fouten met deze eenvoudige stap-voor-stap handleiding.

door Maitham Al Lawati

Leestijd: 9 min
Hoe DKIM-fout oplossen
Inhoudsopgave-

DKIM mislukking voor berichten van uw domein kan het gevolg zijn van een mislukte identifier alignment voor het DKIM protocol of problemen in uw record setup. Vandaag gaan we dieper in op hoe de DKIM specificatie uw domeinen verifieert, waarom DKIM mogelijk niet werkt voor uw berichten en hoe u DKIM eenvoudig kunt repareren met een stap-voor-stap handleiding.

Belangrijkste opmerkingen

  1. DKIM fouten ontstaan vaak door mismatches tussen het DKIM handtekening domein en de Van header.
  2. Fouten in de DKIM record syntaxis, server communicatie en DNS downtime kunnen leiden tot DKIM authenticatie problemen.
  3. Veelvoorkomende oorzaken van DKIM-falen zijn onder andere verkeerd geconfigureerde externe leveranciers en wijzigingen in de e-mail body tijdens het transport.
  4. Het gebruik van betrouwbare DKIM recordgeneratoren en het monitoren van DMARC-rapporten kan het aantal DKIM-fouten aanzienlijk verminderen.
  5. Het implementeren van SPF en DMARC naast DKIM helpt de beveiliging van e-mail te verbeteren en zorgt ervoor dat e-mails correct worden geverifieerd.

Wat betekent DKIM-falen?

Als u DKIM hebt geactiveerd voor uw uitgaande e-mails, controleren ontvangende servers de authenticiteit van de e-mail door uw DKIM privésleutel te vergelijken met de publieke sleutel die is gepubliceerd op uw DNS. Als er een overeenkomst is, is DKIM geslaagd voor het bericht, anders is DKIM mislukt.

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

DKIM Failure vereenvoudigen met PowerDMARC!

15 dagen op proefBoek een demo
h2>Veel voorkomende redenen voor DKIM falen

1. Fout in DKIM record syntax

 

Als je geen betrouwbare DKIM record generator tool gebruikt om uw record te genereren door het handmatig in te stellen voor uw domein, implementeert u het mogelijk niet goed. Syntactische fouten in uw DNS-records kunnen leiden tot mislukte verificatie.

2. DKIM controleren op uitlijningsfout

Als u DMARC hebt ingesteld voor uw domein naast DKIM, wordt tijdens de DKIM-controle de domeinwaarde in de d= veld in de DKIM handtekening in de e-mailheader overeenkomen met het domein in het Van adres. Dit kan een strikte afstemming zijn, waarbij de twee domeinen een exacte match moeten zijn, of een ontspannen afstemming waarbij een organisatorische match door de controle komt.

DKIM kan mislukken als het domein van de DKIM signature header niet overeenkomt met het domein in de From header, wat een typisch geval kan zijn van domain spoofing of impersonation attack. 

3. U hebt DKIM niet ingesteld voor uw externe e-mailleveranciers

Als u verschillende externe e-mailleveranciers gebruikt om e-mails namens uw organisatie te verzenden, moet u contact met hen opnemen voor instructies over het activeren van DKIM voor uw uitgaande e-mails. Als u uw eigen aangepaste domeinen of subdomeinen gebruikt die zijn geregistreerd op deze service van derden om e-mails naar uw klanten te verzenden, zorg er dan voor dat u uw leverancier te vragen DKIM voor u af te handelen.

In het ideale geval, als je externe leverancier je helpt met het outsourcen van je e-mails, zouden ze je domein instellen door een DKIM-record te publiceren op hun DNS met behulp van een DKIM-selector die uniek is voor jou, zonder dat jij je ermee hoeft te bemoeien.

OF, 

Je kunt een DKIM sleutelpaar aanmaken en de privésleutel aan je e-mailleverancier geven terwijl je de publieke sleutel publiceert op uw eigen DNS.

Verkeerde configuraties kunnen leiden tot een DKIM-fout, dus je moet open communiceren met je serviceprovider over je DKIM-instellingen

Opmerking: Sommige uitwisselingsservers van derden zorgen voor opgemaakte voetteksten in de berichttekst. Als deze servers tussenliggende servers zijn in een e-mail doorstuurproces, kan de samengevoegde voettekst een factor zijn die bijdraagt aan het falen van DKIM.

4. Problemen in servercommunicatie

In bepaalde situaties kan de e-mail worden verzonden vanaf een server waarop DKIM is uitgeschakeld. In dergelijke gevallen zal DKIM voor die e-mail mislukken. Het is belangrijk om ervoor te zorgen dat de communicerende partijen DKIM correct hebben geactiveerd. 

5. Wijzigingen in berichttekst door MTA's (Mail Transfer Agents)

In tegenstelling tot SPF controleert DKIM niet het IP-adres van de afzender of het retourpad tijdens het verifiëren van de authenticiteit van berichten. In plaats daarvan zorgt het ervoor dat de inhoud van het bericht ongewijzigd blijft tijdens het transport. Soms kunnen deelnemende MTA's en e-mailstuurprogramma's de berichttekst wijzigen tijdens het omhullen van regels of het formatteren van de inhoud, waardoor DKIM kan falen. 

Het opmaken van de inhoud van een e-mail is meestal een geautomatiseerd proces om ervoor te zorgen dat het bericht gemakkelijk te begrijpen is voor elke ontvanger. 

6. DNS uitval / DNS downtime

Dit is een veel voorkomende reden voor DKIM-fouten. DNS-uitval kan om verschillende redenen optreden, waaronder denial of service-aanvallen. Routinematig onderhoud van uw naamserver kan ook de reden zijn achter een DNS-uitval. Tijdens deze (meestal korte) periode kunnen ontvangende servers geen DNS-query's uitvoeren. 

Aangezien we weten dat DKIM in je DNS bestaat als een TXT/CNAME-record, voert de client-server tijdens de authenticatie een lookup uit om de DNS van de afzender te bevragen naar de publieke sleutel. Tijdens een storing wordt dit niet mogelijk geacht, waardoor DKIM kan worden verbroken. 

7. OpenDKIM gebruiken

Een open-source DKIM implementatie bekend als OpenDKIM wordt vaak gebruikt door postbusproviders zoals Gmail, Outlook, Yahoo, enz. OpenDKIM maakt tijdens de verificatie verbinding met de server via poort 8891. Soms kunnen fouten worden veroorzaakt door het inschakelen van verkeerde machtigingen, waardoor de server zich niet kan binden aan je socket. 

Controleer je directory om er zeker van te zijn dat je de juiste rechten hebt ingeschakeld, of dat je überhaupt een directory hebt ingesteld voor je socket. 

Verschillende DKIM-verificatie mislukt resultaten

1. Authenticatieresultaat: dkim=neutraal (slecht formaat)

Automatisch gegenereerde regeleinden in uw DKIM-record kunnen de foutmelding: dkim=neutral (slechte indeling) veroorzaken. Wanneer je e-mail validator de afgebroken bronrecords aan elkaar koppelt tijdens de verificatie, produceert het een verkeerde waarde. Een mogelijke oplossing is om 1024-bits DKIM-sleutels te gebruiken (in plaats van 2048 bits) om binnen de DNS-limiet van 255 tekens te passen. 

2. Authenticatieresultaat: dkim=fail (slechte handtekening)

Een resultaat voor mislukte DKIM-authenticatie kan mogelijk het gevolg zijn van inhoudelijke wijzigingen in de berichttekst door een derde partij, waardoor de DKIM signature header niet overeenkomt met de inhoud van de e-mail. 

3. Authenticatieresultaat: dkim=fail (hash van DKIM-handtekening niet geverifieerd)

De "DKIM-signature body hash not verified" of "DKIM signature body hash did not verify" zijn twee alternatieve resultaten die door de ontvangende server worden geretourneerd voor dezelfde fout die de DKIM body hash waarde (bh= tag) op de een of andere manier is gewijzigd tijdens het verzenden. Zelfs als uw DKIM sleutelpaar correct is ingesteld en u een geldige publieke sleutel heeft gepubliceerd op uw DNS, kunnen kleine wijzigingen in de hashwaarde, zoals het invoegen van spaties of speciale tekens, ervoor zorgen dat de DKIM verificatie van uw body hash mislukt.

De tagwaarde bh= kan om de volgende redenen worden gewijzigd: 

  • Intermediaire servers die verantwoordelijk zijn voor het wijzigen van de inhoud van mail 
  • Toevoegen van voetteksten aan e-mails door uw e-mailserviceprovider  

4. Authenticatieresultaat: dkim=fail (geen sleutel voor handtekening)

Deze fout kan het gevolg zijn van een ongeldige of ontbrekende publieke sleutel in je DNS. Het is absoluut noodzakelijk dat u ervoor zorgt dat uw publieke en private sleutels voor DKIM overeenkomen en correct zijn ingesteld. Weet u zeker dat uw DKIM DNS-record is gepubliceerd en geldig is? Controleer het nu met onze gratis DKIM record checker. 

Voorkom DKIM fouten met PowerDMARC!

15 dagen op proefBoek een demo

Hoe een DKIM-fout voor uw berichten te stoppen

Het is niet mogelijk om alle bovengenoemde problemen aan te pakken, simpelweg omdat ze niet allemaal omzeild kunnen worden. We hebben echter wel een aantal handige tips verzameld die je kunt gebruiken om de kans op DKIM fouten te minimaliseren. 

Hoe los ik een DKIM-fout op?

  • Genereer uw DKIM-record met een vertrouwde en erkende generator voor nauwkeurige resultaten en kopieer uw waarden altijd om fouten te voorkomen.
  • Controleer uw DKIM record op hiaten en fouten 
  • Implementeer SPF en DMARC voor een extra beveiligingslaag tegen domain spoofing en impersonation. DMARC heeft SPF of DKIM nodig om door de validatie te komen, dus als DKIM faalt en SPF slaagt, zullen je berichten nog steeds door DMARC komen en worden afgeleverd.
  • DMARC-rapportage inschakelen voor uw domeinen 
  • Controleer uw DKIM-failancerapporten en verificatieresultaten op een speciale DMARC lezer dashboard
  • Voer een gedetailleerd gesprek met uw e-mailleveranciers over het instellen van DKIM, of ze het protocol ondersteunen en hoe ze ermee omgaan 
  • Ontvang deskundig advies over uw e-mailverificatie-instellingen van ons team van DMARC-specialisten door u aan te melden voor een gratis DMARC-proefversie met onze analyzer.  

Merk op dat we een aantal veelvoorkomende DKIM foutmeldingen en hun waarschijnlijke oorzaken behandeld en een mogelijke oplossing hebben gegeven. Er kunnen echter fouten optreden door verschillende onderliggende redenen die specifiek zijn voor uw domein en servers en die niet in dit artikel zijn behandeld.

Je moet voldoende kennis opbouwen rond authenticatieprotocollen voordat je ze in je organisatie implementeert of je beleid afdwingt. DKIM falen, of falen in SPF, of DMARC validatie kan de deliverability van je e-mail beïnvloeden.  

E-mail automatisch doorsturen en DKIM vs SPF

In automatisch doorgestuurde e-mails worden e-mailheaders gewijzigd door de betrokkenheid van een of meer tussenliggende servers. Het doorgestuurde bericht bevat de header-informatie van deze externe tussenliggende server, die al dan niet kan zijn opgenomen als een geautoriseerde verzendbron in het SPF-record van de oorspronkelijke afzender. 

Als het niet is opgenomen, zal SPF falen voor dat bericht. 

Omdat DKIM-handtekeningen in de e-mailtekst worden opgenomen, heeft doorsturen geen effect op DKIM. Daarom kan het instellen van DKIM bovenop je bestaande SPF beleid helpen om ongewenste DKIM authenticatie mislukkingen te voorkomen voor je doorgestuurde berichten. 

Het probleem oplossen zonder DKIM

Het instellen van DKIM samen met SPF is een aanbevolen Het is echter niet verplicht.

  • Als je geen DKIM wilt instellen voor je domeinen, maar toch een SPF-fout wilt oplossen voor je doorgestuurde e-mails, kun je een methode gebruiken die e-mailomleiding heet. Bij het doorsturen van je e-mails blijven de originele headers van je berichten behouden.  
  • U kunt er ook voor zorgen dat u de IP-adressen van alle tussenliggende servers die deelnemen aan het doorstuurproces opneemt in het SPF-record van uw domein. 

Wat is DKIM en waarom moet je het instellen?

DKIM is een e-mailverificatiesysteem dat u helpt de legitimiteit van uw verzendbronnen te verifiëren en ervoor te zorgen dat de inhoud van uw e-mail ongewijzigd is gebleven tijdens het afleveringsproces.

Als we het hebben over waarom we een DKIM-instelling voor onze e-mails nodig hebben, moeten we het hebben over hoe e-mail een vector kan worden voor het uitvoeren van frauduleuze activiteiten. Imitatieaanvallen, van phishing tot domain spoofing en malware-infecties, kunnen worden uitgevoerd via valse e-mails. Daarom moeten bedrijven een filtersysteem opzetten om e-mailafzenders te verifiëren. Hiermee beschermen ze niet alleen hun eigen reputatie, maar voorkomen ze ook dat miljoenen gebruikers ten prooi vallen aan e-mailoplichting. DKIM faalt, zoals je hieronder zult lezen, wanneer je privésleutel niet overeenkomt met de publieke sleutel.

DKIM is zo'n e-mailverificatiesysteem dat een hashwaarde (privésleutel) gebruikt om e-mailinformatie te ondertekenen die wordt vergeleken met de publieke sleutel in het DNS van de afzender. E-mails die digitaal zijn ondertekend met een DKIM-handtekening bieden een hoge mate van bescherming tegen elke wijziging door een kwaadwillende derde partij.

FAQ's over DKIM-storingen

1. Welke afzenders falen DKIM?

Falen is typisch voor afzenders die:

  • het protocol verkeerd configureren
  • gebruik 2048-bits sleutels voor niet-ondersteunde e-mailproviders
  • de inhoud van de e-mail werd gewijzigd door een derde partij tijdens de overdracht van het bericht

2. Kan DMARC slagen als DKIM dat niet doet?

Ja, mits SPF slaagt voor de e-mail. Als je DMARC hebt geconfigureerd en e-mails hebt afgestemd op zowel SPF- als DKIM-mechanismen, hoef je maar voor één van de controles te slagen (SPF of DKIM) om DMARC te passeren. Als je DMARC afstemming echter alleen vertrouwt op DKIM verificatie, zal DMARC falen en DKIM ook.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
Wat is DMARC-beleid? Geen, quarantaine en afwijzenbeleid dmarcNCSC Mail Check Wijzigingen en hun impact op de beveiliging van e-mail in de publieke sector ...