Błąd DKIM dla wiadomości Twojej domeny może być wynikiem błędu wyrównania identyfikatorów w protokole DKIM lub problemów w konfiguracji rekordów. Dzisiaj zagłębimy się w to, jak specyfikacja DKIM uwierzytelnia Twoje domeny, dlaczego DKIM może nie działać dla Twoich wiadomości i jak łatwo naprawić błąd DKIM za pomocą kilku wskazówek i trików.
Co to jest DKIM i dlaczego należy go skonfigurować?
DKIM to system uwierzytelniania wiadomości e-mail, który pomaga zweryfikować legalność źródeł nadawczych oraz zapewnia, że treść wiadomości e-mail pozostała niezmieniona w całym procesie jej dostarczania. procesu dostarczania.
Jeśli mamy mówić o tym, dlaczego potrzebujemy konfiguracji DKIM dla naszych wiadomości e-mail, musimy porozmawiać o tym, w jaki sposób poczta elektroniczna może stać się wektorem do przeprowadzania oszukańczych działań. Za pomocą fałszywych wiadomości e-mail można przeprowadzać ataki polegające na podszywaniu się pod inne osoby, od phishingu po spoofing domen, a także infekcje złośliwym oprogramowaniem. Dlatego właśnie przedsiębiorstwa muszą wdrożyć system filtrowania w celu uwierzytelniania nadawców wiadomości e-mail. W ten sposób nie tylko chronią własną reputację, ale także zapobiegają padaniu ofiarą oszustw e-mailowych milionów użytkowników.
DKIM to jeden z takich systemów weryfikacji poczty elektronicznej, który do podpisywania informacji o poczcie elektronicznej wykorzystuje wartość skrótu (klucz prywatny), która jest porównywana z kluczem publicznym przechowywanym w DNS nadawcy. Wiadomości e-mail podpisane cyfrowo za pomocą podpisu DKIM mają wysoki poziom ochrony przed wszelkimi zmianami dokonywanymi przez złośliwe osoby trzecie.
Automatyczne przekierowywanie poczty elektronicznej i DKIM kontra SPF
W automatycznie przekazywanych wiadomościach e-mail nagłówki wiadomości są modyfikowane z powodu udziału jednego lub kilku serwerów pośredniczących. Przekazywana wiadomość przejmuje informacje nagłówkowe tego trzeciego serwera pośredniczącego, który może, ale nie musi być uwzględniony jako autoryzowane źródło wysyłania w rekordzie SPF oryginalnego nadawcy.
Jeśli nie zostanie uwzględniony, SPF nie powiedzie się dla tej wiadomości.
Ponieważ podpisy DKIM są zawarte w treści wiadomości, przekazywanie dalej nie ma żadnego wpływu na DKIM. Dlatego właśnie ustawienie DKIM na istniejącej polityce SPF może pomóc uniknąć niechcianych błędów uwierzytelniania dla przesyłanych dalej wiadomości.
Usuwanie problemu bez DKIM
Ustawienie DKIM wraz z SPF jest zalecana praktyka zalecaną praktyką, ale nie jest obowiązkowe.
- Jeśli nie chcesz konfigurować DKIM dla swoich domen, a mimo to chcesz rozwiązać problem błędu SPF dla swoich przekazywanych wiadomości e-mail, możesz użyć metody zwanej przekierowaniem wiadomości e-mail. Przekierowanie emaili zachowuje oryginalne nagłówki wiadomości.
- Możesz również upewnić się, że w rekordzie SPF domeny znajdują się adresy IP wszystkich serwerów pośredniczących biorących udział w procesie przekierowania.
Błąd DKIM Znaczenie
Jeśli aktywowałeś DKIM dla swoich wychodzących wiadomości e-mail, serwery odbiorcze weryfikują autentyczność wiadomości, dopasowując klucz prywatny DKIM do klucza publicznego opublikowanego na Twoim DNS. Jeśli jest to zgodność, DKIM przechodzi dla wiadomości, w przeciwnym razie DKIM nie przechodzi.
Co oznacza DKIM Fail?
Niepowodzenie DKIM oznacza niepowodzenie sprawdzania uwierzytelniania DKIM z powodu niedopasowania domen określonych w nagłówku podpisu DKIM i nagłówku From oraz niespójności między wartościami par kluczy.
Przypadki testowe dla DKIM nie powiodły się
1. Błąd w składni rekordu DKIM
Jeśli nie używasz niezawodnego Generator rekordów DKIM do wygenerowania rekordu, próbując ręcznie skonfigurować go dla swojej domeny, możesz wdrożyć go nieprawidłowo. Błędy składniowe w rekordach DNS mogą prowadzić do niepowodzenia uwierzytelniania, a w takim przypadku DKIM kończy się niepowodzeniem.
2. Błąd wyrównania identyfikatora DKIM
Jeśli masz DMARC dla swojej domeny oprócz DKIM, podczas weryfikacji DKIM wartość domeny w d= w podpisie DKIM w nagłówku wiadomości e-mail musi być zgodna z domeną zawartą w adresie nadawcy. Może to być zarówno ścisłe dopasowanie, gdzie obie domeny muszą być dokładnie zgodne, jak i złagodzone dopasowanie, które pozwala na organizacyjne dopasowanie, aby przejść kontrolę.
Błąd DKIM może wystąpić, jeśli domena nagłówka podpisu DKIM nie pasuje do domeny znalezionej w nagłówku From, co może być typowym przypadkiem podszywania się pod domenę lub ataku.
3. Nie skonfigurowano mechanizmu DKIM dla zewnętrznych dostawców poczty elektronicznej.
Jeśli korzystasz z usług kilku zewnętrznych dostawców poczty elektronicznej do wysyłania wiadomości e-mail w imieniu swojej organizacji, musisz skontaktować się z nimi, aby uzyskać instrukcje dotyczące sposobu aktywowania DKIM dla wychodzących wiadomości e-mail. Jeśli do wysyłania wiadomości e-mail do klientów używasz własnych domen lub subdomen zarejestrowanych w usłudze innej firmy, pamiętaj, aby poprosić sprzedawcę o obsługę DKIM.
W idealnej sytuacji, jeśli Twój zewnętrzny dostawca pomaga Ci w outsourcingu poczty elektronicznej, powinien on skonfigurować Twoją domenę poprzez opublikowanie rekordu DKIM w swoim DNS używając selektora DKIM, który jest unikalny dla Ciebie, bez konieczności ingerencji z Twojej strony.
OR,
Można wygenerować parę kluczy DKIM i przekazać klucz prywatny dostawcy poczty elektronicznej, publikując jednocześnie klucz publiczny na własnym serwerze DNS.
Błędna konfiguracja może prowadzić do niepowodzenia DKIM, dlatego należy otwarcie rozmawiać z dostawcą usług na temat konfiguracji DKIM.
Notatka: Niektóre serwery wymiany innych firm wprowadzają sformatowane stopki w treści wiadomości. Jeśli serwery te są serwerami pośredniczącymi w procesie przesyłania poczty, dołączona stopka może być czynnikiem przyczyniającym się do niepowodzenia DKIM.
4. Problemy z komunikacją z serwerem
W pewnych sytuacjach wiadomość e-mail może zostać wysłana z serwera, na którym DKIM jest wyłączony. W takich przypadkach DKIM nie zadziała dla tej wiadomości e-mail. Ważne jest, aby upewnić się, że komunikujące się strony mają prawidłowo włączony DKIM.
5. Modyfikacje treści wiadomości przez agentów przekazywania poczty (MTA)
W przeciwieństwie do SPF, DKIM nie weryfikuje adresu IP nadawcy ani ścieżki zwrotnej podczas sprawdzania autentyczności wiadomości. Zamiast tego zapewnia, że treść wiadomości nie została naruszona w trakcie jej przesyłania. Czasami uczestniczące MTA i agenci przekazujący pocztę mogą zmieniać treść wiadomości podczas zawijania wierszy lub formatowania treści, co może prowadzić do niepowodzenia DKIM.
Formatowanie treści wiadomości e-mail jest zazwyczaj procesem zautomatyzowanym, mającym na celu zapewnienie, że wiadomość jest zrozumiała dla każdego odbiorcy.
6. Przerwa w działaniu DNS / przestój DNS
Jest to częsta przyczyna niepowodzeń uwierzytelniania, w tym niepowodzeń DKIM. Przestój DNS może wystąpić z różnych powodów, w tym z powodu ataków typu denial of service. Przyczyną przestoju DNS może być również rutynowa konserwacja serwera nazw. Podczas tego (zwykle krótkiego) okresu czasu serwery odbiorców nie mogą wykonywać zapytań DNS.
Ponieważ wiemy, że DKIM istnieje w DNS użytkownika jako rekord TXT/CNAME, serwer-klient podczas uwierzytelniania wykonuje wyszukiwanie w DNS nadawcy w celu odszukania klucza publicznego. W czasie przerwy w działaniu serwera nie jest to możliwe, co może spowodować uszkodzenie DKIM.
7. Korzystanie z OpenDKIM
Implementacja DKIM o otwartym kodzie źródłowym, znana jako OpenDKIM, jest powszechnie używana przez dostawców skrzynek pocztowych, takich jak Gmail, Outlook, Yahoo itd. Podczas weryfikacji OpenDKIM łączy się z serwerem przez port 8891. Czasami błędy mogą być spowodowane włączeniem niewłaściwych uprawnień, co powoduje, że serwer nie może połączyć się z gniazdem.
Sprawdź swój katalog, aby upewnić się, że uprawnienia zostały włączone prawidłowo, lub czy w ogóle masz katalog skonfigurowany dla swojego gniazda.
Niepowodzenia wyniku uwierzytelniania DKIM
1. Wynik uwierzytelniania: dkim=neutralny (zły format)
Automatycznie generowane przerwy w liniach w Twoim rekordzie DKIM mogą powodować komunikat o błędzie: dkim=neutral (zły format). Kiedy twój walidator poczty łączy ze sobą rozbite rekordy zasobów podczas weryfikacji, produkuje błędną wartość. Możliwym rozwiązaniem jest użycie 1024 bitowych kluczy DKIM (w przeciwieństwie do 2048 bitów), aby zmieścić się w 255 znakowym limicie DNS.
2. Wynik uwierzytelniania: dkim=fail (zły podpis)
Może to być wynikiem modyfikacji treści wiadomości przez osoby trzecie, co spowodowało, że nagłówek podpisu DKIM nie pasuje do treści wiadomości.
3. Wynik uwierzytelniania: dkim=fail (nie zweryfikowano skrótu ciała podpisu DKIM)
"DKIM-signature body hash not verified" lub "DKIM signature body hash did not verify" są dwoma alternatywnymi wynikami zwracanymi przez serwer odbiorczy dla tego samego błędu, który implikuje wartość DKIM body hash (bh= tag) została jakoś zmieniona w tranzycie. Nawet jeśli twoja para kluczy DKIM jest skonfigurowana poprawnie i masz ważny klucz publiczny opublikowany w DNS, drobne modyfikacje w wartości hash, takie jak wstawienie spacji lub znaków specjalnych może sprawić, że twoja weryfikacja hash ciała nie powiedzie się DKIM.
Wartość znacznika bh= może być zmieniona z następujących powodów:
- Serwery pośredniczące odpowiedzialne za zmianę zawartości poczty
- Dodawanie stopek do wiadomości e-mail przez dostawcę usług poczty elektronicznej
4. Wynik uwierzytelniania: dkim=fail (brak klucza do podpisu)
Ten błąd może być wynikiem nieprawidłowego lub brakującego klucza publicznego w DNS. Konieczne jest, aby upewnić się, że zarówno klucz publiczny i prywatny dla DKIM pasuje i są ustawione poprawnie. Czy jesteś pewien, że Twój rekord DKIM DNS jest opublikowany i ważny? Sprawdź to teraz używając naszego darmowego narzędzia do sprawdzania rekordów DKIM.
Jak zatrzymać błąd DKIM dla Twoich wiadomości?
Nie jest możliwe zajęcie się wszystkimi problemami wymienionymi powyżej po prostu dlatego, że nie można ich wszystkich obejść. Jednak zebraliśmy kilka przydatnych wskazówek, które możesz wdrożyć, aby zminimalizować szanse na niepowodzenie DKIM.
Jak rozwiązać problemy z DKIM?
- Wygeneruj swój rekord DKIM za pomocą zaufanego i godnego uwagi narzędzia do generowania, aby uzyskać dokładne wyniki, i zawsze kopiuj-wklej swoje wartości, aby uniknąć błędów
- Sprawdź rekord DKIM pod kątem braków i błędów
- Wdrożenie SPF i DMARC dla dodatkowej warstwy zabezpieczeń przed spoofingiem domen i podszywaniem się. DMARC wymaga SPF lub DKIM, aby wiadomości przeszły walidację, więc w przypadku, gdy DKIM nie przejdzie, a SPF przejdzie, wiadomości nadal przejdą DMARC i zostaną dostarczone.
- Włącz raportowanie DMARC dla swoich domen
- Monitoruj raporty o błędach DKIM i wyniki uwierzytelniania za pomocą dedykowanego Analizatorze raportów DMARC dashboard
- Szczegółowo przedyskutuj z dostawcami poczty elektronicznej konfigurację DKIM, czy obsługują ten protokół i jak się nim posługują
- Uzyskaj fachową poradę na temat konfiguracji uwierzytelniania poczty e-mail od naszego zespołu specjalistów DMARC, zapisując się na bezpłatną próbę DMARC z naszym analizatorem.
Zwróć uwagę, że omówiliśmy kilka typowych komunikatów o niepowodzeniu DKIM i ich prawdopodobne przyczyny, jednocześnie przedstawiając możliwe rozwiązania. Jednak błędy mogą pojawiać się z różnych powodów, specyficznych dla Twojej domeny i serwerów, które nie zostały omówione w tym artykule.
Przed wdrożeniem protokołów uwierzytelniania w organizacji lub egzekwowaniem zasad konieczne jest zdobycie odpowiedniej wiedzy na ich temat. Niepowodzenie DKIM, SPF lub DMARC może mieć wpływ na dostarczalność wiadomości e-mail.
DKIM Fail FAQs
1. Którzy nadawcy nie radzą sobie z DKIM?
Niepowodzenie DKIM jest typowe dla nadawców, którzy:
- niewłaściwe skonfigurowanie protokołu
- używać kluczy 2048-bitowych w przypadku nieobsługiwanych dostawców poczty elektronicznej
- treść wiadomości e-mail została zmieniona przez pośrednika będącego osobą trzecią podczas przesyłania wiadomości
2. Czy DMARC może przejść, jeśli DKIM nie przejdzie?
Tak, pod warunkiem, że SPF przejdzie dla tej wiadomości. Jeśli skonfigurowałeś DMARC i dopasowałeś e-maile zarówno do mechanizmów SPF jak i DKIM, musisz przejść tylko jedną z kontroli (albo SPF albo DKIM) aby zaliczyć DMARC. Jeśli jednak Twoje dostosowanie DMARC opiera się tylko na uwierzytelnianiu DKIM, DMARC zawiedzie, gdy DKIM zawiedzie.
- Napraw błąd SPF: Pokonaj limit zbyt wielu wyszukiwań DNS SPF - 26 kwietnia 2024 r.
- Jak opublikować rekord DMARC w 3 krokach? - 2 kwietnia 2024 r.
- Dlaczego DMARC zawodzi? Naprawa błędów DMARC w 2024 roku - 2 kwietnia 2024 r.