Jak naprawić błąd DKIM

Blog

Poznaj konsekwencje niepowodzenia DKIM, typowe błędy i procedurę krok po kroku rozwiązywania problemów, aby naprawić problemy z uwierzytelnianiem DKIM i chronić dostarczalność wiadomości e-mail.

Maitham Al Lawati

Ostatnia aktualizacja:
10 czas czytania: 10 minut
Jak naprawić błąd DKIM
Spis treści-

Niepowodzenie DKIM dla wiadomości e-mail może zaszkodzić reputacji domeny i wpłynąć na dostarczalność wiadomości e-mail. Napraw wszystkie błędy DKIM za pomocą tego prostego samouczka krok po kroku.

Spis treści

Kluczowe wnioski

  1. Błędy DKIM często wynikają z niezgodności między domeną podpisu DKIM a nagłówkiem „From”.
  2. Błędy w składni rekordów DKIM, komunikacji serwera i przestoju DNS mogą prowadzić do problemów z uwierzytelnianiem DKIM.
  3. Najczęstsze przyczyny niepowodzenia DKIM obejmują nieprawidłowo skonfigurowanych dostawców zewnętrznych i modyfikacje treści wiadomości e-mail podczas przesyłania.
  4. Korzystanie z niezawodnych generatorów rekordów DKIM i monitorowanie raportów DMARC może znacznie zmniejszyć liczbę przypadków awarii DKIM.
  5. Wdrożenie SPF i DMARC wraz z DKIM pomaga zwiększyć bezpieczeństwa poczty elektronicznej i zapewnia prawidłowe uwierzytelnianie wiadomości e-mail.
  6. Nieudane uwierzytelnienie DKIM może spowodować, że wiadomości e-mail zostaną wysłane do folderów spamowych, odrzucone lub zwrócone, w zależności od zasad serwera odbiorcy.

Błędy DKIM mogą negatywnie wpłynąć na dostarczalność wiadomości do skrzynek odbiorczych, ponieważ informują serwery odbiorcze, że Twoje wiadomości e-mail nie mogą zostać wiarygodnie uwierzytelnione. Jeśli widzisz komunikat „Uwierzytelnianie DKIM nie powiodło się”, „dkim=fail”lub komunikaty o odrzuceniu, takie jak „550 Walidacja DKIM nie powiodła się”, zazwyczaj wynika to z trzech przyczyn: brakuje klucza DKIM lub jest on nieprawidłowo sformatowany w DNS, wiadomość została zmodyfikowana po podpisaniu (przekazanie dalej, bramy, stopki) lub domena podpisująca DKIM nie jest zgodna z widoczną Z w DMARC.

W niniejszym przewodniku wyjaśniono, co oznacza błąd DKIM, jak krok po kroku rozwiązać ten problem za pomocą nagłówków wiadomości e-mail i kontroli DNS oraz jak zapobiegać powtarzającym się błędom poprzez odpowiednią konfigurację dostawcy i raportowanie DMARC.

Co oznacza błąd DKIM?

Błąd DKIM (DomainKeys Identified Mail) występuje, gdy serwer pocztowy odbiorcy nie może zweryfikować podpisu DKIM w wiadomości. W praktyce serwer sprawdza nagłówek DKIM-Signature, pobiera klucz publiczny nadawcy z DNS za pomocą selektora (tag s=), a następnie weryfikuje, czy podpis jest zgodny z podpisanym elementem (nagłówki i skrót treści). Jeśli są one zgodne, DKIM akceptuje wiadomość, w przeciwnym razie DKIM kończy się niepowodzeniem.

Błąd DKIM odnosi się do niepowodzenia weryfikacji uwierzytelniania DKIM spowodowanego niezgodnością domen określonych w nagłówku podpisu DKIM i nagłówku „Od” oraz niespójnością wartości par kluczy.

Co się dzieje, gdy DKIM zawodzi?

W przypadku niepowodzenia DKIM wpływ na dostarczanie wiadomości e-mail zależy od zasad filtrowania odbiorców oraz od tego, czy w domenie użytkownika stosowany jest protokół DMARC.

W większości przypadków błąd DKIM zwiększa ryzyko spamu, a nie powoduje natychmiastowego zablokowania. Serwery odbiorcze traktują wiadomości niepodpisane lub niemożliwe do zweryfikowania jako mniej wiarygodne i mogą przekierowywać je do folderu spamu, zwłaszcza jeśli błędy występują regularnie przez dłuższy czas.

Odrzucenie następuje zazwyczaj tylko wtedy, gdy błąd DKIM łączy się z innymi błędami uwierzytelniania. Jeśli zarówno DKIM, jak i SPF zakończą się niepowodzeniem, a Twoja domena ma politykę DMARC ustawioną na kwarantannę lub odrzucenie, wiadomość nie przejdzie weryfikacji DMARC i może zostać ograniczona, poddana kwarantannie lub odrzucona z błędami takimi jak „550 Błąd weryfikacji DKIM”.

Jak DMARC zmienia wynik

DMARC ocenia uwierzytelnianie inaczej niż sam DKIM. Aby przejść DMARC, wiadomość e-mail wymaga tylko jednej zgodnej metody uwierzytelniania:

  • SPF przechodzi i dostosowuje się → DMARC przechodzi, nawet jeśli DKIM nie przechodzi
  • DKIM przechodzi i dostosowuje się → DMARC przechodzi, nawet jeśli SPF nie przechodzi
  • Oba nie działają lub nie są zgodneDMARC nie działa, działanie zależy od polityki

Oznacza to, że awaria DKIM nie powoduje automatycznego przerwania dostarczania wiadomości, ale powtarzające się awarie osłabiają reputację nadawcy i eliminują ważną warstwę ochrony uwierzytelniającej.

Najczęstsze przyczyny niepowodzenia DKIM

1. Błąd w składni rekordu DKIM

Jeśli nie korzystasz z niezawodnego generatora rekordów DKIM , a zamiast tego ręcznie tworzysz rekord dla swojej domeny, często dochodzi do błędów konfiguracyjnych. Problemy składniowe w rekordach DNS DKIM, takie jak brakujące tagi, uszkodzone cudzysłowy, skrócone wartości lub dodatkowe spacje, mogą uniemożliwić serwerom odbiorczym sprawdzenie poprawności podpisu DKIM, co skutkuje niepowodzeniem uwierzytelniania DKIM.

 2. DKIM Sprawdź błąd wyrównania

Jeśli masz DMARC dla swojej domeny oprócz DKIM, podczas sprawdzania DKIMwartość domeny w polu d= podpisu DKIM w nagłówku wiadomości e-mail musi być zgodna z domeną znalezioną w adresie nadawcy. Może to być zgodność ścisła, w której obie domeny muszą być dokładnie takie same, lub zgodność luźna, która pozwala na dopasowanie organizacyjne w celu przejścia kontroli. 

Błąd DKIM może wystąpić, jeśli domena nagłówka podpisu DKIM nie zgadza się z domeną znalezioną w nagłówku „Od”, co może być typowym przypadkiem spoofingu domeny lub ataku polegającego na podszywaniu się pod inną osobę. 

3. Nie skonfigurowano mechanizmu DKIM dla zewnętrznych dostawców poczty elektronicznej.

Jeśli korzystasz z usług kilku zewnętrznych dostawców poczty elektronicznej do wysyłania wiadomości e-mail w imieniu swojej organizacji, musisz skontaktować się z nimi, aby uzyskać instrukcje dotyczące sposobu aktywowania DKIM dla wychodzących wiadomości e-mail. Jeśli do wysyłania wiadomości e-mail do klientów używasz własnych domen lub subdomen zarejestrowanych w usłudze innej firmy, pamiętaj, aby poprosić sprzedawcę o obsługę DKIM.

W idealnym przypadku, jeśli zewnętrzny dostawca pomaga Ci w outsourcingu poczty elektronicznej, skonfiguruje on Twoją domenę, publikując rekord DKIM w swoim DNS przy użyciu selektora DKIM , który jest unikalny dla Ciebie, bez konieczności ingerencji z Twojej strony.

OR, 

Można wygenerować parę kluczy DKIM i przekazać klucz prywatny dostawcy poczty elektronicznej, publikując jednocześnie klucz publiczny na własnym serwerze DNS.

Błędna konfiguracja może prowadzić do nieprawidłowego działania DKIM, dlatego należy otwarcie komunikować się z dostawcą usług w sprawie konfiguracji DKIM

Uwaga: Niektóre serwery pocztowe innych firm dodają sformatowane stopki do treści wiadomości. Jeśli serwery te są serwerami pośredniczącymi w procesie przekazywania wiadomości e-mail, dołączona stopka może być czynnikiem przyczyniającym się do niepowodzenia DKIM. 

4. Problemy z komunikacją z serwerem

W niektórych sytuacjach wiadomość e-mail może zostać wysłana z serwera, na którym funkcja DKIM jest wyłączona. W takich przypadkach funkcja DKIM nie zadziała dla tej wiadomości e-mail, nawet jeśli inne serwery w Twojej infrastrukturze są poprawnie skonfigurowane. Ważne jest, aby upewnić się, że strony komunikujące się mają prawidłowo aktywowany DKIM. 

5. Modyfikacje treści wiadomości przez agentów przekazywania poczty (MTA)

W przeciwieństwie do SPF, DKIM nie weryfikuje adresu IP nadawcy ani ścieżki zwrotnej podczas sprawdzania autentyczności wiadomości. Zamiast tego zapewnia, że treść wiadomości nie została naruszona w trakcie jej przesyłania. Czasami uczestniczące MTA i agenci przekazujący pocztę mogą zmieniać treść wiadomości podczas zawijania wierszy lub formatowania treści, co może prowadzić do niepowodzenia DKIM. 

Formatowanie treści wiadomości e-mail jest zazwyczaj procesem zautomatyzowanym, mającym na celu zapewnienie, że wiadomość jest zrozumiała dla każdego odbiorcy. 

6. Przerwa w działaniu DNS / przestój DNS

Jest to częsty powód niepowodzeń DKIM. Awaria DNS może wystąpić z różnych powodów, w tym z powodu ataków typu denial of service. Rutynowa konserwacja serwera nazw może być również przyczyną przestoju DNS. W tym (zwykle krótkim) okresie serwery odbiorców nie mogą wykonywać zapytań DNS. 

Ponieważ wiemy, że DKIM istnieje w DNS użytkownika jako rekord TXT/CNAME, serwer-klient podczas uwierzytelniania wykonuje wyszukiwanie w DNS nadawcy w celu odszukania klucza publicznego. W czasie przerwy w działaniu serwera nie jest to możliwe, co może spowodować uszkodzenie DKIM. 

7. Korzystanie z OpenDKIM

Implementacja DKIM typu open source znana jako OpenDKIM jest powszechnie stosowana przez dostawców skrzynek pocztowych, takich jak Gmail, Outlook, Yahoo itp. OpenDKIM łączy się z serwerem przez port 8891 podczas weryfikacji. Czasami błędy mogą być spowodowane włączeniem niewłaściwych uprawnień, przez co serwer nie może połączyć się z gniazdem. 

Sprawdź swój katalog, aby upewnić się, że uprawnienia zostały włączone prawidłowo, lub czy w ogóle masz katalog skonfigurowany dla swojego gniazda. 

Typowe komunikaty o błędach DKIM i ich znaczenie

Zrozumienie konkretnych komunikatów o błędach DKIM pomaga szybko zidentyfikować i rozwiązać problemy związane z uwierzytelnianiem. Oto najczęstsze komunikaty o błędach DKIM i ich znaczenie:

1. Wynik uwierzytelniania: dkim=neutralny (zły format)

Automatycznie generowane przerwy w liniach w Twoim rekordzie DKIM mogą powodować komunikat o błędzie: dkim=neutral (zły format). Kiedy twój walidator poczty łączy ze sobą rozbite rekordy zasobów podczas weryfikacji, produkuje błędną wartość. Możliwym rozwiązaniem jest użycie 1024 bitowych kluczy DKIM (w przeciwieństwie do 2048 bitów), aby zmieścić się w 255 znakowym limicie DNS. 

2. Wynik uwierzytelniania: dkim=fail (zły podpis)

A Błąd uwierzytelniania DKIM może wynikać z modyfikacji treści wiadomości przez osobę trzecią, w wyniku czego nagłówek podpisu DKIM nie pasuje do treści wiadomości e-mail. 

3. Wynik uwierzytelniania: dkim=fail (nie zweryfikowano skrótu ciała podpisu DKIM)

„Hash treści podpisu DKIM nie został zweryfikowany” lub „Hash treści podpisu DKIM nie został zweryfikowany” to dwa alternatywne wyniki zwracane przez serwer odbiorczy dla tego samego błędu, który oznacza, że wartość hash treści DKIM (tag bh= ) została w jakiś sposób zmieniona podczas przesyłania. Nawet jeśli para kluczy DKIM jest skonfigurowana poprawnie i masz opublikowany prawidłowy klucz publiczny w DNS, niewielkie modyfikacje wartości skrótu, takie jak wstawienie spacji lub znaków specjalnych, mogą spowodować niepowodzenie weryfikacji skrótu treści przez DKIM.

The Wartość tagu bh= może ulec zmianie z następujących powodów: 

  • Serwery pośredniczące odpowiedzialne za zmianę zawartości poczty 
  • Dodawanie stopek do wiadomości e-mail przez dostawcę usług poczty elektronicznej  

4. Wynik uwierzytelniania: dkim=fail (brak klucza do podpisu)

Ten błąd może być wynikiem nieprawidłowego lub brakującego klucza publicznego w DNS. Konieczne jest, aby upewnić się, że zarówno klucz publiczny i prywatny dla DKIM pasuje i są ustawione poprawnie. Czy jesteś pewien, że Twój rekord DKIM DNS jest opublikowany i ważny? Sprawdź to teraz używając naszego darmowego narzędzia do sprawdzania rekordów DKIM.

Jak naprawić błędy DKIM i zapobiegać ich ponownemu wystąpieniu

Nie da się rozwiązać wszystkich wyżej wymienionych problemów, bo nie da się ich wszystkich ominąć. Ale zebraliśmy kilka przydatnych wskazówek, które możesz wykorzystać, żeby zmniejszyć ryzyko niepowodzenia DKIM. 

  • Prawidłowo wygeneruj i opublikuj rekord DKIM. Użyj zaufanego generator rekordów DKIM i skopiuj-wklej wartości, aby uniknąć błędów składniowych i skróconych kluczy.
  • Zweryfikuj swój rekord DKIM w DNS. Sprawdź, czy nie brakuje selektorów, czy nie ma problemów z formatowaniem i propagacją DNS, korzystając z narzędzia do sprawdzania rekordów DKIM.
  • Używaj SPF i DMARC razem z DKIM. DMARC może zostać zatwierdzony, gdy zatwierdzony zostanie SPF lub DKIM i jest z nim zgodny, co pomaga ograniczyć liczbę fałszywych odrzuceń w przypadku niepowodzenia jednej z metod.
  • Włącz raportowanie DMARC. Raporty pokazują, które źródła wysyłające nie spełniają wymagań DKIM i jak często, dzięki czemu można naprawić konkretny strumień zamiast zgadywać.
  • Sprawdź nadawców zewnętrznych. Sprawdź, czy każdy dostawca, który wysyła wiadomości z wykorzystaniem Twojej domeny, jest poprawnie skonfigurowany do podpisywania wiadomości za pomocą DKIM i zgodny z Twoją domeną nadawczą.
  • Monitoruj wydajność uwierzytelniania w sposób ciągły. Śledź trendy dotyczące niepowodzeń DKIM w czasie za pomocą czytnika DMARC. czytnika DMARC , aby wychwycić skoki przed spadkiem liczby wiadomości trafiających do skrzynek odbiorczych.
  • W przypadku utrzymujących się awarii należy eskalować problem. Jeśli DKIM nadal nie działa po sprawdzeniu DNS i dostawcy, skorzystaj z pomocy ekspertów PowerDMARC w celu sprawdzenia podpisywania, routingu i pośredniej obsługi poczty.

Należy pamiętać, że omówiliśmy niektóre typowe komunikaty o błędach DKIM i ich prawdopodobne przyczyny, a także przedstawiliśmy możliwe rozwiązanie. Jednakże mogą pojawić się błędy spowodowane różnymi przyczynami, które są specyficzne dla Państwa domeny i serwerów, a które nie zostały omówione w tym artykule. 

Musisz wystarczająco rozwinąć swoją wiedzę na temat protokołów uwierzytelniania, zanim wdrożysz je w swojej organizacji lub zaczniesz egzekwować swoje zasady. Niepowodzenie DKIM, SPF lub walidacji DMARC może mieć wpływ na dostarczalność wiadomości e-mail.  

Oto dlaczego ponad 10 000 klientów ufa PowerDMARC

  • Znaczne ograniczenie prób spoofingu i nieautoryzowanych wiadomości e-mail
  • Szybsze wdrażanie nowych pracowników + automatyczne zarządzanie uwierzytelnianiem
  • Informacje o zagrożeniach i raportowanie w czasie rzeczywistym w różnych domenach
  • Lepsze wskaźniki dostarczalności wiadomości e-mail dzięki rygorystycznym Egzekwowanie DMARC

Wpływ przekazywania wiadomości e-mail na DKIM i SPF

Przekazywanie wiadomości e-mail często zakłóca proces uwierzytelniania, ponieważ wiadomości przechodzą przez jeden lub więcej serwerów pośredniczących, zanim dotrą do ostatecznego odbiorcy.

Dlaczego SPF nie działa w przypadku przekazywanych wiadomości e-mail

SPF sprawdza, czy adres IP nadawcy jest uprawniony do wysyłania wiadomości e-mail dla domeny podanej w polu nadawcy koperty (Return-Path). W przypadku automatycznego przekazywania wiadomości e-mail serwer przekazujący staje się widocznym adresem IP nadawcy. Jeśli serwer ten nie jest wymieniony w rekordzie SPF pierwotnego nadawcy, SPF zakończy się niepowodzeniem.

Uwaga: SPF jest oceniany na podstawie adresu IP nadawcy, a nie serwera pierwotnego nadawcy, dlatego też przekazywane wiadomości e-mail często nie przechodzą weryfikacji SPF, nawet jeśli pierwotna konfiguracja jest poprawna.

Co dzieje się z DKIM podczas przekazywania wiadomości

DKIM może przetrwać przekazywanie tylko wtedy, gdy wiadomość pozostaje niezmieniona po podpisaniu. W praktyce wiele usług przekazywania i bram bezpieczeństwa modyfikuje wiadomości e-mail, dodając stopki, zastrzeżenia lub dokonując zmian w treści. Nawet niewielkie zmiany mogą unieważnić podpis DKIM i spowodować niepowodzenie uwierzytelniania DKIM.

  • Podpisuj wychodzące wiadomości e-mail za pomocą DKIM. DKIM zwiększa szanse na uwierzytelnienie przekazywanych wiadomości e-mail, gdy treść nie została zmodyfikowana podczas przesyłania.
  • Użyj SRS (Sender Rewriting Scheme) w systemach przekazywania wiadomości. SRS zmienia nadawcę koperty, żeby SPF mogło poprawnie sprawdzić wiadomość po przekazaniu.
  • Unikaj dodawania serwerów przekazujących do rekordów SPF. Takie podejście jest trudne do utrzymania i może prowadzić do ograniczeń wyszukiwania SPF.

Konfiguracja DKIM wraz z SPF jest zalecaną praktyką, jednak nie jest obowiązkowa.

  • Jeśli nie chcesz konfigurować DKIM dla swoich domen, ale chcesz zmniejszyć błędów SPF spowodowanych przekazywaniem, użyj SRS (Sender Rewriting Scheme) lub odpowiedniej metody przekierowania w systemie przekazywania. SRS przepisuje nadawcę koperty (Return-Path), dzięki czemu SPF może poprawnie zweryfikować po przekazaniu.
  • W przeciwnym razie, jeśli kontrolujesz infrastrukturę przekazywania i korzystasz ze stałych serwerów wychodzących, możesz autoryzować te adresy IP wysyłające w swoim rekordzie SPF. Takie podejście jest trudniejsze do utrzymania i może napotkać ograniczenia wyszukiwania SPF, dlatego najlepiej stosować je tylko w kontrolowanych środowiskach.

Dlaczego DKIM nadal ma znaczenie

DKIM to metoda uwierzytelniania wiadomości e-mail, która potwierdza dwie rzeczy serwerom odbiorczym:

  1. wiadomość została wysłana przez serwer uprawniony do podpisywania się w imieniu domeny oraz
  2. podpisane części wiadomości nie zostały zmodyfikowane podczas przesyłania.

Ma to znaczenie, ponieważ dostawcy skrzynek odbiorczych wykorzystują sygnały uwierzytelniające do podejmowania decyzji o tym, czy zaufać Twojej wiadomości. Gdy DKIM wielokrotnie zawodzi, tracisz kluczowy sygnał zaufania, co może prowadzić do umieszczenia wiadomości w folderze spam, ograniczenia przepustowości lub odrzucenia wiadomości, zwłaszcza gdy stosowany jest protokół DMARC.

Jeśli obecnie naprawiasz błędy DKIM, nie poprzestawaj na „jednorazowym przejściu”. Upewnij się, że każde źródło wysyłania (w tym platformy stron trzecich) podpisuje się spójnie i monitoruj błędy za pomocą raportów DMARC, aby problem nie powrócił.

Najczęściej zadawane pytania

1. Czym jest DKIM i dlaczego warto go skonfigurować?

DKIM (DomainKeys Identified Mail) to metoda uwierzytelniania wiadomości e-mail, która dodaje podpis kryptograficzny do wychodzących wiadomości e-mail. Serwery odbiorcze weryfikują podpis przy użyciu klucza publicznego opublikowanego w DNS domeny. Jeśli podpis zostanie zweryfikowany, oznacza to, że wiadomość nie została zmodyfikowana po podpisaniu i że została wysłana za pośrednictwem legalnej konfiguracji podpisywania DKIM dla domeny.

DKIM nie jest samodzielnym filtrem antyspamowym, ale stanowi kluczowy sygnał zaufania stosowany wraz z SPF i DMARC w celu ograniczenia spoofingu i poprawy dostarczalności.

2. Którzy nadawcy nie spełniają wymagań DKIM?

Niepowodzenie jest typowe dla nadawców, którzy

  • niewłaściwe skonfigurowanie protokołu
  • używać kluczy 2048-bitowych w przypadku nieobsługiwanych dostawców poczty elektronicznej
  • treść wiadomości e-mail została zmieniona przez pośrednika będącego osobą trzecią podczas przesyłania wiadomości

3. Czy DMARC może przejść, jeśli DKIM nie przejdzie?

Tak, pod warunkiem, że wiadomość e-mail przejdzie weryfikację SPF. Jeśli skonfigurowałeś DMARC i dostosowałeś wiadomości e-mail zarówno do SPF, jak i DKIM , musisz przejść tylko jedną z kontroli (SPF lub DKIM), aby przejść DMARC. Jeśli jednak Twoje dostosowanie DMARC opiera się wyłącznie na uwierzytelnianiu DKIM, DMARC zakończy się niepowodzeniem, podobnie jak DKIM.

4. Dlaczego moja wiadomość została zablokowana z powodu błędu DKIM?

Wiadomości mogą zostać zablokowane w przypadku niepowodzenia DKIM, jeśli serwer odbiorcy stosuje rygorystyczne zasady uwierzytelniania lub jeśli polityka DMARC jest ustawiona na „odrzuć”, a zarówno DKIM, jak i SPF nie przejdą kontroli zgodności.

5. Jak sprawdzić DKIM w nagłówkach wiadomości e-mail?

Poszukaj pola „DKIM-Signature” w nagłówkach wiadomości e-mail i sprawdź pole „Authentication-Results”, aby uzyskać status DKIM. Nagłówki wiadomości e-mail można wyświetlić w większości klientów poczty elektronicznej, wybierając opcję „Wyświetl źródło” lub „Pokaż oryginał”.

6. Czy DKIM może zakończyć się niepowodzeniem, jeśli SPF zakończy się powodzeniem?

Tak, DKIM i SPF to niezależne metody uwierzytelniania. DKIM może zawieść z powodu problemów z podpisem, podczas gdy SPF przechodzi pomyślnie na podstawie autoryzacji adresu IP. Dlatego wdrożenie obu protokołów zapewnia lepszą ochronę poczty elektronicznej.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
Ostatnia aktualizacja:
Jak naprawić 550 SPF Check Failed [ROZWIĄZANE]Jak naprawić 550 SPF Check Failed554 5.7.5 Stały błąd oceny polityki DMARC554 5.7.5 Permanent Error Evaluating DMARC Policy [SOLVED]