Jak naprawić błąd DKIM

Niepowodzenie DKIM dla wiadomości Twojej domeny może być wynikiem błędu wyrównania identyfikatora dla protokołu DKIM lub problemów w konfiguracji rekordu. Dzisiaj zamierzamy zagłębić się w to, w jaki sposób specyfikacja DKIM uwierzytelnia domeny, dlaczego DKIM może zawodzić dla wiadomości i jak łatwo naprawić DKIM za pomocą przewodnika krok po kroku.

Co oznacza błąd DKIM?

Jeśli aktywowałeś DKIM dla swoich wychodzących wiadomości e-mail, serwery odbiorcze weryfikują autentyczność wiadomości, dopasowując klucz prywatny DKIM do klucza publicznego opublikowanego na Twoim DNS. Jeśli jest to zgodność, DKIM przechodzi dla wiadomości, w przeciwnym razie DKIM nie przechodzi.

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

Uprość awarię DKIM dzięki PowerDMARC!

1. Błąd w składni rekordu DKIM

Jeśli nie używasz niezawodnego Generator rekordów DKIM do wygenerowania rekordu, próbując ręcznie skonfigurować go dla swojej domeny, możesz nie wdrożyć go poprawnie. Błędy składniowe w rekordach DNS mogą prowadzić do niepowodzenia uwierzytelniania.

2. DKIM Sprawdź błąd wyrównania

Jeśli masz DMARC skonfigurowany dla domeny oprócz DKIM, podczas sprawdzania DKIM wartość domeny w polu d= w podpisie DKIM w nagłówku wiadomości e-mail musi być zgodna z domeną znalezioną w adresie From. Może to być albo ścisłe dopasowanie, w którym dwie domeny muszą być dokładnie dopasowane, albo luźne dopasowanie, które pozwala na dopasowanie organizacyjne, aby przejść kontrolę.

Błąd DKIM może wystąpić, jeśli domena nagłówka podpisu DKIM nie pasuje do domeny znalezionej w nagłówku From, co może być typowym przypadkiem spoofingu domeny lub ataku podszywania się. 

3. Nie skonfigurowano mechanizmu DKIM dla zewnętrznych dostawców poczty elektronicznej.

Jeśli korzystasz z usług kilku zewnętrznych dostawców poczty elektronicznej do wysyłania wiadomości e-mail w imieniu swojej organizacji, musisz skontaktować się z nimi, aby uzyskać instrukcje dotyczące sposobu aktywowania DKIM dla wychodzących wiadomości e-mail. Jeśli do wysyłania wiadomości e-mail do klientów używasz własnych domen lub subdomen zarejestrowanych w usłudze innej firmy, pamiętaj, aby poprosić sprzedawcę o obsługę DKIM.

W idealnej sytuacji, jeśli Twój zewnętrzny dostawca pomaga Ci w outsourcingu poczty elektronicznej, powinien on skonfigurować Twoją domenę poprzez opublikowanie rekordu DKIM w swoim DNS używając selektora DKIM, który jest unikalny dla Ciebie, bez konieczności ingerencji z Twojej strony.

OR, 

Można wygenerować parę kluczy DKIM i przekazać klucz prywatny dostawcy poczty elektronicznej, publikując jednocześnie klucz publiczny na własnym serwerze DNS.

Błędne konfiguracje mogą prowadzić do niepowodzenia DKIM, dlatego należy otwarcie komunikować się z dostawcą usług w sprawie konfiguracji DKIM. 

Notatka: Niektóre serwery wymiany innych firm wprowadzają sformatowane stopki w treści wiadomości. Jeśli serwery te są serwerami pośredniczącymi w procesie przesyłania poczty, dołączona stopka może być czynnikiem przyczyniającym się do niepowodzenia DKIM.

4. Problemy z komunikacją z serwerem

W pewnych sytuacjach wiadomość e-mail może zostać wysłana z serwera, na którym DKIM jest wyłączony. W takich przypadkach DKIM nie zadziała dla tej wiadomości e-mail. Ważne jest, aby upewnić się, że komunikujące się strony mają prawidłowo włączony DKIM. 

5. Modyfikacje treści wiadomości przez agentów przekazywania poczty (MTA)

W przeciwieństwie do SPF, DKIM nie weryfikuje adresu IP nadawcy ani ścieżki zwrotnej podczas sprawdzania autentyczności wiadomości. Zamiast tego zapewnia, że treść wiadomości nie została naruszona w trakcie jej przesyłania. Czasami uczestniczące MTA i agenci przekazujący pocztę mogą zmieniać treść wiadomości podczas zawijania wierszy lub formatowania treści, co może prowadzić do niepowodzenia DKIM. 

Formatowanie treści wiadomości e-mail jest zazwyczaj procesem zautomatyzowanym, mającym na celu zapewnienie, że wiadomość jest zrozumiała dla każdego odbiorcy. 

6. Przerwa w działaniu DNS / przestój DNS

Jest to częsty powód niepowodzeń DKIM. Awaria DNS może wystąpić z różnych powodów, w tym z powodu ataków typu denial of service. Rutynowa konserwacja serwera nazw może być również przyczyną przestoju DNS. W tym (zwykle krótkim) okresie serwery odbiorców nie mogą wykonywać zapytań DNS. 

Ponieważ wiemy, że DKIM istnieje w DNS użytkownika jako rekord TXT/CNAME, serwer-klient podczas uwierzytelniania wykonuje wyszukiwanie w DNS nadawcy w celu odszukania klucza publicznego. W czasie przerwy w działaniu serwera nie jest to możliwe, co może spowodować uszkodzenie DKIM. 

7. Korzystanie z OpenDKIM

Implementacja DKIM o otwartym kodzie źródłowym, znana jako OpenDKIM, jest powszechnie używana przez dostawców skrzynek pocztowych, takich jak Gmail, Outlook, Yahoo itd. Podczas weryfikacji OpenDKIM łączy się z serwerem przez port 8891. Czasami błędy mogą być spowodowane włączeniem niewłaściwych uprawnień, co powoduje, że serwer nie może połączyć się z gniazdem. 

Sprawdź swój katalog, aby upewnić się, że uprawnienia zostały włączone prawidłowo, lub czy w ogóle masz katalog skonfigurowany dla swojego gniazda. 

Różne wyniki niepowodzenia uwierzytelniania DKIM

1. Wynik uwierzytelniania: dkim=neutralny (zły format)

Automatycznie generowane przerwy w liniach w Twoim rekordzie DKIM mogą powodować komunikat o błędzie: dkim=neutral (zły format). Kiedy twój walidator poczty łączy ze sobą rozbite rekordy zasobów podczas weryfikacji, produkuje błędną wartość. Możliwym rozwiązaniem jest użycie 1024 bitowych kluczy DKIM (w przeciwieństwie do 2048 bitów), aby zmieścić się w 255 znakowym limicie DNS. 

2. Wynik uwierzytelniania: dkim=fail (zły podpis)

Wynik niepowodzenia uwierzytelniania DKIM może być możliwy z powodu modyfikacji treści w treści wiadomości przez stronę trzecią, przez co nagłówek podpisu DKIM nie pasował do treści wiadomości e-mail. 

3. Wynik uwierzytelniania: dkim=fail (nie zweryfikowano skrótu ciała podpisu DKIM)

"DKIM-signature body hash not verified" lub "DKIM signature body hash did not verify" są dwoma alternatywnymi wynikami zwracanymi przez serwer odbiorczy dla tego samego błędu, który implikuje wartość DKIM body hash (bh= tag) została jakoś zmieniona w tranzycie. Nawet jeśli twoja para kluczy DKIM jest skonfigurowana poprawnie i masz ważny klucz publiczny opublikowany w DNS, drobne modyfikacje w wartości hash, takie jak wstawienie spacji lub znaków specjalnych może sprawić, że twoja weryfikacja hash ciała nie powiedzie się DKIM.

Wartość znacznika bh= może być zmieniona z następujących powodów: 

• Serwery pośredniczące odpowiedzialne za zmianę zawartości poczty 
• Dodawanie stopek do wiadomości e-mail przez dostawcę usług poczty elektronicznej  

4. Wynik uwierzytelniania: dkim=fail (brak klucza do podpisu)

Ten błąd może być wynikiem nieprawidłowego lub brakującego klucza publicznego w DNS. Konieczne jest, aby upewnić się, że zarówno klucz publiczny i prywatny dla DKIM pasuje i są ustawione poprawnie. Czy jesteś pewien, że Twój rekord DKIM DNS jest opublikowany i ważny? Sprawdź to teraz używając naszego darmowego narzędzia do sprawdzania rekordów DKIM. 

Unikaj błędów DKIM dzięki PowerDMARC!

Jak zatrzymać błąd DKIM dla wiadomości

Nie jest możliwe zajęcie się wszystkimi problemami wymienionymi powyżej po prostu dlatego, że nie można ich wszystkich obejść. Jednak zebraliśmy kilka przydatnych wskazówek, które możesz wdrożyć, aby zminimalizować szanse na niepowodzenie DKIM. 

Jak naprawić błąd DKIM?

• Wygeneruj swój rekord DKIM za pomocą zaufanego i godnego uwagi narzędzia do generowania dokładnych wyników i zawsze kopiuj-wklej swoje wartości, aby uniknąć błędów.
• Sprawdź rekord DKIM pod kątem braków i błędów 
• Wdrożenie SPF i DMARC dla dodatkowej warstwy zabezpieczeń przed spoofingiem domen i podszywaniem się. DMARC wymaga SPF lub DKIM, aby wiadomości przeszły walidację, więc w przypadku, gdy DKIM nie przejdzie, a SPF przejdzie, wiadomości nadal przejdą DMARC i zostaną dostarczone.
• Włącz raportowanie DMARC dla swoich domen 
• Monitoruj raporty o błędach DKIM i wyniki uwierzytelniania na dedykowanym czytniku Czytnik DMARC pulpit nawigacyjny
• Szczegółowo przedyskutuj z dostawcami poczty elektronicznej konfigurację DKIM, czy obsługują ten protokół i jak się nim posługują 
• Uzyskaj fachową poradę na temat konfiguracji uwierzytelniania poczty e-mail od naszego zespołu specjalistów DMARC, zapisując się na bezpłatną próbę DMARC z naszym analizatorem.  

Zwróć uwagę, że omówiliśmy kilka typowych komunikatów o niepowodzeniu DKIM i ich prawdopodobne przyczyny, jednocześnie przedstawiając możliwe rozwiązania. Jednak błędy mogą pojawiać się z różnych powodów, specyficznych dla Twojej domeny i serwerów, które nie zostały omówione w tym artykule.

Musisz wystarczająco rozwinąć swoją wiedzę na temat protokołów uwierzytelniania, zanim wdrożysz je w swojej organizacji lub zaczniesz egzekwować swoje zasady. Niepowodzenie DKIM, SPF lub walidacji DMARC może mieć wpływ na dostarczalność wiadomości e-mail.  

Automatyczne przekierowywanie poczty elektronicznej i DKIM kontra SPF

W automatycznie przekazywanych wiadomościach e-mail nagłówki wiadomości są modyfikowane z powodu udziału jednego lub kilku serwerów pośredniczących. Przekazywana wiadomość przejmuje informacje nagłówkowe tego trzeciego serwera pośredniczącego, który może, ale nie musi być uwzględniony jako autoryzowane źródło wysyłania w rekordzie SPF oryginalnego nadawcy. 

Jeśli nie zostanie uwzględniony, SPF nie powiedzie się dla tej wiadomości. 

Ponieważ podpisy DKIM są zawarte w treści wiadomości e-mail, przekazywanie nie ma wpływu na DKIM. Dlatego właśnie skonfigurowanie DKIM na szczycie istniejącej polityki SPF może pomóc uniknąć niechcianych błędów uwierzytelniania DKIM dla przekazywanych wiadomości. 

Usuwanie problemu bez DKIM

Ustawienie DKIM wraz z SPF jest zalecana praktyka zalecaną praktyką, ale nie jest obowiązkowe.

• Jeśli nie chcesz konfigurować DKIM dla swoich domen, ale chcesz rozwiązać błąd SPF dla przekazywanych wiadomości e-mail, możesz użyć metody zwanej przekierowaniem wiadomości e-mail. Przekierowanie wiadomości e-mail pozwala zachować oryginalne nagłówki wiadomości.  
• Możesz również upewnić się, że w rekordzie SPF domeny znajdują się adresy IP wszystkich serwerów pośredniczących biorących udział w procesie przekierowania. 

Co to jest DKIM i dlaczego należy go skonfigurować?

DKIM to system uwierzytelniania wiadomości e-mail, który pomaga zweryfikować legalność źródeł nadawczych oraz zapewnia, że treść wiadomości e-mail pozostała niezmieniona w całym procesie jej dostarczania. procesu dostarczania.

Jeśli mamy mówić o tym, dlaczego potrzebujemy konfiguracji DKIM dla naszych wiadomości e-mail, musimy porozmawiać o tym, jak poczta elektroniczna może stać się wektorem do przeprowadzania oszukańczych działań. Ataki polegające na podszywaniu się, od phishingu po spoofing domen, a także infekcje złośliwym oprogramowaniem, mogą być przeprowadzane za pośrednictwem fałszywych wiadomości e-mail. Dlatego przedsiębiorstwa muszą skonfigurować system filtrowania w celu uwierzytelniania nadawców wiadomości e-mail. W ten sposób nie tylko chronią własną reputację, ale także zapobiegają padnięciu ofiarą oszustw e-mailowych milionów użytkowników. Awaria DKIM, jak przeczytasz poniżej, ma miejsce, gdy klucz prywatny nie pasuje do klucza publicznego.

DKIM to jeden z takich systemów weryfikacji poczty elektronicznej, który do podpisywania informacji o poczcie elektronicznej wykorzystuje wartość skrótu (klucz prywatny), która jest porównywana z kluczem publicznym przechowywanym w DNS nadawcy. Wiadomości e-mail podpisane cyfrowo za pomocą podpisu DKIM mają wysoki poziom ochrony przed wszelkimi zmianami dokonywanymi przez złośliwe osoby trzecie.

Często zadawane pytania dotyczące awarii DKIM

1. Którzy nadawcy nie radzą sobie z DKIM?

Niepowodzenie jest typowe dla nadawców, którzy

• niewłaściwe skonfigurowanie protokołu
• używać kluczy 2048-bitowych w przypadku nieobsługiwanych dostawców poczty elektronicznej
• treść wiadomości e-mail została zmieniona przez pośrednika będącego osobą trzecią podczas przesyłania wiadomości

2. Czy DMARC może przejść, jeśli DKIM nie?

Tak, pod warunkiem, że SPF przejdzie dla wiadomości e-mail. Jeśli skonfigurowałeś DMARC i dostosowałeś wiadomości e-mail do mechanizmów SPF i DKIM, musisz przejść tylko jedną z kontroli (SPF lub DKIM), aby przejść DMARC. Jeśli jednak dostosowanie DMARC opiera się tylko na uwierzytelnianiu DKIM, DMARC zakończy się niepowodzeniem, podobnie jak DKIM.

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Jak utworzyć i opublikować rekord DMARC - 3 marca 2025 r.
• Jak naprawić "Nie znaleziono rekordu SPF" w 2025 roku - 21 stycznia 2025 r.
• Jak czytać raport DMARC - 19 stycznia 2025 r.