Tag Archive for: DKIM mislykkes

Hvorfor mislykkes DKIM?

DKIM-feil for domenets meldinger kan være et resultat av identifikatorjusteringsfeil for DKIM-protokollen eller problemer i postoppsettet. I dag skal vi dykke inn i hvordan DKIM-spesifikasjonen autentiserer domenene dine, hvorfor DKIM kan svikte for meldingene dine, og hvordan du enkelt kan fikse DKIM-feil med noen få tips og triks.

Hva er DKIM og hvorfor må du sette det opp?

DKIM er et e-postautentiseringssystem som hjelper deg med å verifisere legitimiteten til sendekildene dine, samt sikre at innholdet i e-posten din har forblitt uendret gjennom leveringsprosessen.

Hvis vi skal snakke om hvorfor vi trenger et DKIM-oppsett for e-postene våre, må vi snakke om hvordan e-post kan bli en vektor for å utføre uredelige aktiviteter. Etterligningsangrep som spenner fra nettfisking til domeneforfalskning, så vel som infeksjoner med skadelig programvare, kan utføres gjennom falske e-poster. Dette er grunnen til at bedrifter må sette opp et filtreringssystem for å autentisere e-postavsendere. Ved å gjøre det beskytter de ikke bare sitt eget rykte, men forhindrer også millioner av brukere fra å bli offer for e-postsvindel.  

DKIM er et slikt e-postverifiseringssystem som bruker en hash-verdi (privat nøkkel) for å signere e-postinformasjon som matches mot den offentlige nøkkelen som er plassert i avsenderens DNS. E-poster digitalt signert med en DKIM-signatur har et høyt nivå av beskyttelse mot enhver endring fra en ondsinnet tredjepart.

Automatisk videresending av e-post og DKIM vs SPF

DKIM mislykkes

I automatisk videresendte e-poster blir e-posthoder endret på grunn av involvering av en eller flere mellomtjenere. Den videresendte meldingen tar opp overskriftsinformasjonen til denne tredjeparts mellomliggende serveren, som kanskje er inkludert som en autorisert sendekilde i SPF-posten til den opprinnelige avsenderen. 

Hvis den ikke er inkludert, vil SPF mislykkes for den meldingen. 

Siden DKIM-signaturer er inkludert i e-postteksten, har videresending ingen effekt på DKIM. Dette er grunnen til at konfigurering av DKIM på toppen av den eksisterende SPF-policyen din kan bidra til å unngå uønskede autentiseringsfeil for de videresendte meldingene dine. 

Løser problemet uten DKIM

Å sette opp DKIM sammen med SPF er en anbefalt praksis, men det er ikke obligatorisk.

  • Hvis du ikke vil konfigurere DKIM for domenene dine, men likevel ønsker å løse SPF-feil for videresendte e-poster, kan du bruke en metode som kalles e-postomdirigering. Ved å omdirigere e-postene dine bevares de originale overskriftene til meldingene dine.  
  • Ellers kan du også sørge for at du inkluderer IP-adressene til alle mellomliggende servere som deltar i videresendingsprosessen i domenets SPF-post. 

Betydning av DKIM-feil

Hvis du har aktivert DKIM for dine utgående e-poster, bekrefter mottakende servere ektheten til e-posten ved å matche den private DKIM-nøkkelen din med den offentlige nøkkelen som er publisert på DNS-en din. Hvis det er en kamp, sender DKIM til meldingen, ellers mislykkes DKIM.

Hva betyr DKIM Fail?

DKIM-feil refererer til den mislykkede statusen til DKIM-autentiseringssjekken din, på grunn av uoverensstemmelse i domenene som er spesifisert i DKIM-signaturoverskriften og Fra-overskriften og inkonsekvenser mellom nøkkelparverdiene.

Testtilfeller for DKIM mislykkes

1. Feil i DKIM-postsyntaks

DKIM mislykkes

 

Hvis du ikke bruker et pålitelig DKIM-postgeneratorverktøy for å generere posten din ved å prøve å konfigurere den manuelt for domenet ditt, kan du implementere det feil. Syntaktiske feil i DNS-postene dine kan føre til autentiseringsfeil, og i dette tilfellet mislykkes DKIM.

2. Feil ved justering av DKIM-identifikator

Hvis du har konfigurert DMARC for domenet ditt i tillegg til DKIM, under DKIM-verifisering, må domeneverdien i d= -feltet på DKIM-signaturen i e-postoverskriften samsvare med domenet som finnes i fra-adressen. Det kan enten være en streng justering, der de to domenene må være et eksakt samsvar eller en avslappet justering som lar en organisasjonsmatch bestå sjekken.

En DKIM-feil kan oppstå hvis DKIM-signaturoverskriftsdomenet ikke samsvarer med domenet som finnes i Fra-overskriften, noe som kan være et typisk tilfelle av domeneforfalskning eller identitetsangrep. 

3. Du har ikke satt opp DKIM for tredjeparts e-postleverandører

Hvis du bruker flere tredjeparts e-postleverandører til å sende e-poster på vegne av organisasjonen din, må du ta kontakt med dem for instruksjoner om hvordan du aktiverer DKIM for utgående e-poster. Hvis du bruker dine egne tilpassede domener eller underdomener registrert på denne tredjepartstjenesten for å sende e-post til kundene dine, må du be leverandøren om å håndtere DKIM for deg .

Ideelt sett, hvis tredjepartsleverandøren din hjelper deg med å sette ut e-postene dine, vil de sette opp domenet ditt ved å publisere en DKIM-post på DNS -en deres ved å bruke en DKIM-velger som er unik for deg, uten at du trenger å trenge inn.

ELLER, 

Du kan generere et DKIM-nøkkelpar og overlevere den private nøkkelen til e-postleverandøren din mens du publiserer den offentlige nøkkelen på din egen DNS .

Feilkonfigurasjoner i det samme kan føre til DKIM-feil, så det er viktig at du kommuniserer åpent med tjenesteleverandøren angående DKIM-oppsettet ditt. 

Merk : Noen tredjeparts utvekslingsservere induserer formaterte bunntekster i meldingsteksten. Hvis disse serverne er mellomtjenere i en videresendingsprosess for e-post, kan den sammenkoblede bunnteksten være en medvirkende årsak til DKIM-feil.

4. Problemer med serverkommunikasjon

I visse situasjoner kan e-posten sendes fra en server som har DKIM deaktivert på den. I slike tilfeller vil DKIM mislykkes for den e-posten. Det er viktig å sikre at kommuniserende parter har DKIM riktig aktivert. 

5. Endringer i meldingsteksten av Mail Transfer Agents (MTA)

I motsetning til SPF, verifiserer ikke DKIM avsenderens IP-adresse eller returbane mens den bekrefter autentisiteten til meldinger. I stedet sikrer den at meldingsinnholdet har forblitt umanipulert under overføring. Noen ganger kan deltakende MTA-er og e-postvideresendingsagenter endre meldingsteksten under linjebryting eller innholdsformatering som kan føre til at DKIM mislykkes. 

Formatering av en e-posts innhold er vanligvis en automatisert prosess for å sikre at meldingen er lett forståelig for hver mottaker. 

6. DNS-brudd / DNS-nedetid

Dette er en vanlig årsak til autentiseringsfeil, inkludert DKIM-feil. DNS-brudd kan oppstå på grunn av en rekke årsaker, inkludert tjenestenektangrep. Rutinemessig vedlikehold av navneserveren din kan også være årsaken bak DNS-nedetid. I løpet av denne (vanligvis korte) tidsperioden kan ikke mottakerservere utføre DNS-spørringer. 

Siden vi vet at DKIM eksisterer i din DNS som en TXT/CNAME-post, utfører klientserveren et oppslag for å spørre avsenderens DNS etter den offentlige nøkkelen under autentisering. Under et strømbrudd anses dette som ikke mulig og kan derfor bryte DKIM. 

7. Bruk av OpenDKIM

En åpen kildekode DKIM-implementering kjent som OpenDKIM brukes ofte av postboksleverandører som Gmail, Outlook, Yahoo, etc. OpenDKIM kobles til serveren via port 8891 under verifisering. Noen ganger kan feil være forårsaket av å aktivere feil tillatelser på grunn av at serveren din ikke er i stand til å binde seg til kontakten din. 

Sjekk katalogen din for å sikre at du har aktivert tillatelser riktig, eller hvis du i det hele tatt har en katalog satt opp for kontakten. 

DKIM-autentiseringsresultatfeil

1. Autentiseringsresultat: dkim=nøytral (dårlig format)

Autogenererte linjeskift i DKIM-posten din kan gi feilmeldingen: dkim=nøytral (dårlig format). Når e-postvalidatoren kobler sammen de brutte ressurspostene under verifisering, produserer det en feil verdi. En mulig løsning er å bruke 1024 bit DKIM-nøkler (i motsetning til 2048 biter) for å passe innenfor DNS-grensen på 255 tegn. 

2. Autentiseringsresultat: dkim=fail (dårlig signatur)

Dette kan være et mulig resultat av innholdsendringer i meldingsteksten av en tredjepart, på grunn av at DKIM-signaturoverskriften ikke samsvarte med e-postens hovedtekst. 

3. Autentiseringsresultat: dkim=fail (DKIM-signatur-body hash ikke bekreftet)

"DKIM-signatur body hash ikke verifisert" eller "DKIM signatur body hash ble ikke bekreftet" er to alternative resultater returnert av mottaksserveren for den samme feilen som antyder at DKIM body hash-verdien ( bh= tag) på en eller annen måte har blitt endret i gjennomreise. Selv om DKIM-nøkkelparet ditt er riktig konfigurert og du har en gyldig offentlig nøkkel publisert på DNS-en din, kan mindre endringer i hash-verdien, for eksempel innsetting av mellomrom eller spesialtegn, gjøre at body-hash-verifiseringen mislykkes i DKIM.

Bh= tag-verdien kan endres av følgende årsaker: 

  • Mellomliggende servere som er ansvarlige for å endre e-postinnhold 
  • Tilføyelse av bunntekster for e-post fra leverandøren av e-posttjenester  

4. Autentiseringsresultat: dkim=fail (ingen nøkkel for signatur)

Denne feilen kan være et resultat av en ugyldig eller manglende offentlig nøkkel i DNS. Det er viktig at du sørger for at både offentlige og private nøkler for DKIM stemmer overens og er riktig konfigurert. Er du sikker på at DKIM DNS-posten din er publisert og gyldig? Sjekk det nå ved å bruke vår gratis DKIM-postkontroll. 

Hvordan stoppe DKIM-feil for meldingene dine?

DKIM mislykkes

Det er ikke mulig å ta opp alle problemene nevnt ovenfor bare fordi de ikke alle kan omgås. Vi har imidlertid samlet noen nyttige tips du kan distribuere for å minimere sjansene for at DKIM mislykkes. 

Hvordan fikser jeg DKIM-problemer?

  • Generer DKIM-posten din ved å bruke et pålitelig og bemerkelsesverdig generatorverktøy for nøyaktige resultater, og kopier og lim alltid inn verdiene dine for å unngå feil
  • Sjekk DKIM-posten din for hull og feil 
  • Implementer SPF og DMARC for et ekstra lag med sikkerhet mot domeneforfalskning og etterligning. DMARC trenger enten SPF eller DKIM for å bestå for at meldinger skal bestå validering, og i tilfelle DKIM-en din mislykkes og SPF bestå, vil meldingene dine fortsatt bestå DMARC og bli levert.
  • Aktiver DMARC-rapportering for domenene dine 
  • Overvåk DKIM-feilrapportene og autentiseringsresultatene dine på et dedikert DMARC rapportanalysator- dashbord
  • Ha en detaljert diskusjon med e-postleverandørene dine angående DKIM-oppsett, om de støtter protokollen og hvordan de håndterer den 
  • Få ekspertråd om oppsettene for e-autentisering fra vårt team av DMARC-spesialister ved å registrere deg for en gratis DMARC-prøveperiode med analysatoren vår  

Merk at vi har dekket noen vanlige DKIM-feilmeldinger og deres sannsynlige årsaker, mens vi har gitt en mulig løsning rundt dem. Det kan imidlertid dukke opp feil på grunn av ulike underliggende årsaker som er spesifikke for ditt domene og servere, som ikke er dekket i denne artikkelen.

Det er viktig at du bygger opp kunnskapen din rundt autentiseringsprotokoller, tilstrekkelig, før du implementerer dem i organisasjonen din eller håndhever retningslinjene dine. DKIM-feil, eller feil i SPF, eller DMARC-validering kan påvirke e-postens leveringsdyktighet.  

Vanlige spørsmål om DKIM-feil

1. Hvilke avsendere svikter DKIM?

DKIM-feil er typisk for avsendere som:

  • konfigurere protokollen feil
  • bruk 2048-biters nøkler for ikke-støttede e-postleverandører
  • e-postinnholdet ble endret av en tredjeparts mellommann under meldingsoverføringen

2. Kan DMARC bestå hvis DKIM mislykkes?

Ja, forutsatt at SPF passer for e-posten. Hvis du har konfigurert DMARC og justert e-poster mot både SPF- og DKIM-mekanismer, trenger du bare å bestå én av kontrollene (enten SPF eller DKIM) for å bestå DMARC. Men hvis DMARC-justeringen din bare er avhengig av DKIM-autentisering, vil DMARC mislykkes når DKIM mislykkes.

DKIM mislykkes

/av