Niepowodzenia wyrównania domen DKIM - poprawki RFC 5322

Błąd wyrównania RFC 5322 występuje, gdy domena w nagłówku "From:" (widoczna dla użytkowników) nie jest zgodna z domeną DKIM d= (w podpisie). DMARC wymaga, aby domena w nagłówku "From:" była zgodna z domeną uwierzytelnioną przez SPF lub DKIM.

DKIM pomaga sprawdzić, czy wiadomość e-mail nie została zmanipulowana podczas przesyłania. Dla celów DMARC, DKIM uwierzytelnia również tożsamość domeny twierdzącej, że wysyła wiadomość e-mail (poprzez d=). DMARC sprawdza, czy adres "From:" w wiadomości e-mail pasuje do domen uwierzytelnionych przez SPF i DKIM.

Czym jest RFC 5322? 

RFC 5322 definiuje składnię nagłówków internetowych wiadomości e-mail, w tym nagłówka "From:". DKIM i DMARC polegają na tych nagłówkach w celu uwierzytelnienia. SPF, z drugiej strony, sprawdza nadawcę koperty (MAIL FROM) zgodnie z RFC 5321. RFC 5322 został opublikowany w październiku 2008 roku i jest obecnie standardem formatowania nagłówków i treści wiadomości e-mail. 

Gdyby nie było żadnych wymagań dotyczących wyrównania, atakujący mogliby po prostu użyć prawidłowych SPF lub DKIM z jednej domeny, jednocześnie podszywając się pod adres "From:" innej. Po wprowadzeniu wymogu wyrównania, zadanie hakerów staje się znacznie trudniejsze: jeśli domeny nie są wyrównane, uwierzytelnianie DMARC zakończy się niepowodzeniem, a wiadomość e-mail zostanie wysłana do spamu lub całkowicie odrzucona.

Czym jest wyrównanie domen DKIM?

Aby jak najlepiej zrozumieć, czym jest wyrównanie domeny DKIM, warto najpierw zrozumieć, jak działa DKIM. 

Czym jest i jak działa DKIM

DKIM (DomainKeys Identified Mail) to protokół uwierzytelniania poczty e-mail, który umożliwia osobie fizycznej lub organizacji wzięcie odpowiedzialności za transmisję wiadomości e-mail. Dodaje podpis cyfrowy, który dostawcy skrzynek pocztowych mogą sprawdzić, aby upewnić się, że wiadomość e-mail nie została zmanipulowana podczas przesyłania.

Podczas wysyłania wiadomości e-mail domena wysyłająca podpisuje wiadomości wychodzące za pomocą klucza prywatnego. Następnie serwer odbierający sprawdza podpis za pomocą klucza publicznego, który jest publikowany w DNS domeny. 

Znacznik "d=", kluczowy element podpisu DKIM, określa domenę odpowiedzialną za podpisanie wiadomości. Domena ta jest zawarta w nagłówku DKIM i jest używana przez serwery odbierające do sprawdzania klucza publicznego w celu weryfikacji.

Różnica między zrelaksowany i ścisłym trybami wyrównania w DMARC

Wyrównanie DMARC pomaga zapewnić, że domena w nagłówku "From:" jest zgodna z domeną uwierzytelnioną przez SPF lub DKIM. Istnieją dwa tryby wyrównania w DMARC: zrelaksowany lub ścisły.

• Złagodzone wyrównanie: Domena w nagłówku "From:" musi być zgodna tylko z domeną organizacyjną używaną w uwierzytelnianiu SPF lub DKIM. Jest to bardziej "wybaczający" i elastyczny tryb, który jest szczególnie przydatny w przypadku korzystania z subdomen lub usług e-mail innych firm.
• Ścisłe wyrównanie: W przypadku trybu ścisłego wyrównania domena w nagłówku "From:" musi dokładnie odpowiadać domenie używanej w uwierzytelnianiu SPF lub DKIM.

Dlaczego wyrównanie DKIM i RFC 5322 ma znaczenie?

Głównym celem wymogu dostosowania DKIM i RFC 5322 jest zapobieganie nieautoryzowanemu dostępowi. 

Podstawowa kwestia: Wymóg dostosowania DMARC

DMARC wymaga, aby domena w nagłówku "From:" wiadomości e-mail była przynajmniej częściowo zgodna z domeną określoną w polu "d=" podpisu DKIM. W przypadku ścisłego dopasowania, domeny muszą być dokładnie zgodne. W przypadku luźnego dopasowania, powinny one przynajmniej dzielić tę samą domenę organizacyjną.

Typowe scenariusze niedopasowania

Oto niektóre z najczęstszych scenariuszy niedopasowania: 

Korzystanie z narzędzi marketingowych

Narzędzia marketingowe często wysyłają wiadomości e-mail z adresów takich jak [email protected], ale podpisują je domeną DKIM "d=example.com". W takiej sytuacji, jeśli wyrównanie DKIM jest ustawione na ścisłe wyrównanie (adkim=s), prawdopodobnie wyrównanie podpisu DKIM nie powiedzie się.

Przekazywanie wiadomości e-mail 

Podczas gdy przekierowanie zwykle wpływa na SPF bardziej niż DKIM, DKIM może również zawieść podczas przekierowania, ale tylko wtedy, gdy wiadomość zostanie zmodyfikowana (np. przez listy mailingowe). Należy zauważyć, że nagłówek "From:" jest rzadko zmieniany przez forwardery.

Oto przykład niewspółosiowości:

• Od: [email protected] (nagłówek RFC 5322)
• DKIM-Signature: d=example.com (błędnie przypisana domena i błąd DMARC)

Najczęstsze przyczyny problemów z wyrównaniem

Niektóre z najczęstszych przyczyn awarii osiowania obejmują: 

Korzystanie z usług stron trzecich

W przypadku wysyłania wiadomości e-mail za pośrednictwem zewnętrznych dostawców, którzy nie skonfigurowali prawidłowo wyrównania domeny, prawdopodobnie wystąpi błąd wyrównania domeny DKIM RFC 5322. 

Błędna konfiguracja rekordu DKIM

Gdy rekordy DKIM lub selektory są skonfigurowane nieprawidłowo, może wystąpić niezgodność. Nawet niewielki błąd w konfiguracji może prowadzić do poważnych awarii wpływających na dostarczalność wiadomości e-mail. 

Niespójności domenowe

W przypadku korzystania z różnych domen w podpisie DKIM i nagłówku "From:", nie powinno być zaskoczeniem wystąpienie niezgodności nagłówka From z RFC 5322. Niezależnie od tego, czy niespójność domen wynika z przeoczenia i błędnej konfiguracji, czy też jest częścią konfiguracji celowo, w obu przypadkach niedopasowanie i późniejsze problemy są całkiem prawdopodobne. 

Jak zdiagnozować błędy wyrównania RFC 5322?

Oto dwa szybkie kroki, które pomogą zdiagnozować problem z wyrównaniem RFC 5322.

1. Jeśli chcesz zdiagnozować błędy wyrównania RFC 5322, najpierw dokładnie przejrzyj swoje raporty raporty DMARC pod kątem wpisów z powodem "dkim alignment failed".
2. Następnie można użyć narzędzi do uwierzytelniania poczty e-mail, takich jak narzędzie do sprawdzania DKIM lub polecenie dig, aby zweryfikować rekordy DNS. Pomoże to potwierdzić, że podpisy DKIM są prawidłowo opublikowane i pasują do domeny wysyłającej.

Jak naprawić niezgodność DKIM-RFC 5322

Oto kilka łatwych do wdrożenia kroków, aby naprawić niezgodność DKIM-RFC 5322.

1. Dopasowanie domen DKIM i From

Zawsze upewnij się, że podpis DKIM używa tej samej domeny co "From:" nagłówek. Jest to najlepsze rozwiązanie dla wiadomości e-mail wysyłanych bezpośrednio z Twojej domeny.

2. Ustaw tryb wyrównania

Upewnij się, że ustawiłeś tryb wyrównania, który najlepiej odpowiada Twoim preferencjom i potrzebom. Użyj adkim=s dla ścisłego wyrównania (gdy wymagane jest dokładne dopasowanie) lub adkim=r dla złagodzonego wyrównania (aby zezwolić również na subdomeny) w polityce DMARC.

3. Dodaj klucze DKIM subdomeny

Jeśli używasz subdomen w adresie "From:", upewnij się, że DKIM jest skonfigurowany do podpisywania wiadomości przy użyciu dokładnie tej subdomeny lub odpowiednio dostosuj tryb wyrównania DMARC.

4. Zachowanie początkowego nagłówka "Od:". 

Należy skonfigurować usługi poczty elektronicznej tak, aby zachować oryginalną domenę "From:" w nagłówku wiadomości. Podczas przekazywania wiadomości e-mail mogą wystąpić sytuacje, w których pośrednicy mogą nieumyślnie zmodyfikować nagłówek "From:" lub inne części wiadomości, potencjalnie łamiąc wyrównanie DKIM i powodując błędy DMARC. Zachowanie oryginalnego nagłówka "From:" pomaga zachować wyrównanie domeny, a w połączeniu z ARC (Authenticated Received Chain)może zapewnić dodatkowy kontekst uwierzytelniania, aby pomóc serwerowi odbiorcy ocenić legalność wiadomości pomimo zmian pośredniczących.

5. Test i walidacja

Testowanie i walidacja to często pomijany, ale kluczowy krok w tym procesie. Istnieje wiele swobodnie dostępnych narzędzi, których można użyć do sprawdzenia wyrównania domeny i konfiguracji DKIM. Korzystanie z takich narzędzi pomoże Ci upewnić się, że uwierzytelnianie DMARC przejdzie pomyślnie, a Twoja wiadomość zostanie dostarczona do zamierzonego odbiorcy. 

Profesjonalne wskazówki

Oto dodatkowe wskazówki dotyczące bezbłędnego wyrównania.

SPF + DKIM Alignment

DMARC porównuje domenę w nagłówku RFC 5322.From z domenami uwierzytelnionymi przez SPF (MAIL FROM) i DKIM (d=). 

Unikaj łamania nagłówków przez narzędzia innych firm

Staraj się nie używać zewnętrznych dostawców usług poczty e-mail (ESP), którzy łamią lub zmieniają nagłówki. Możesz przetestować ESP pod kątem zgodności przed przejściem do pełnego wdrożenia. Pomoże to uniknąć problemów z dostarczaniem, zapewniając jednocześnie zgodność.

Podsumowanie 

Błąd wyrównania RFC 5322 może pojawić się w różnych sytuacjach, szczególnie podczas korzystania z narzędzi do marketingu e-mailowego lub angażowania się w przekazywanie wiadomości e-mail. Niektóre z najczęstszych przyczyn obejmują korzystanie z usług stron trzecich, błędną konfigurację rekordów DKIM i niespójności domen. 

Możesz łatwo zdiagnozować błędy wyrównania RFC 5322 za pomocą analizatora raportów DMARC, pomagając szybko wykryć i zidentyfikować problemy z uwierzytelnianiem za pomocą wizualnych, czytelnych dla człowieka danych DMARC. 

PowerDMARC może pomóc w rozpoczęciu podróży w kierunku bezbłędnego uwierzytelniania poczty elektronicznej i zapobieganiu awariom wyrównania. Aby rozpocząć, skorzystaj z 15-dniowy bezpłatny okres próbny już dziś!

• O
• Latest Posts

Yunes Tarada

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• Wyjaśnienie mechanizmu SPF Neutral (?all): Kiedy i jak go używać? - 23 czerwca 2025 r.
• Błędy wyrównania domen DKIM - poprawki RFC 5322 - 5 czerwca 2025 r.
• Wyjaśnienie DMARCbis - co się zmienia i jak się przygotować - 19 maja 2025 r.