A falha do DKIM nas mensagens do seu domínio pode ser o resultado de uma falha no alinhamento do identificador do protocolo DKIM ou de problemas na configuração do registo. Hoje vamos analisar como a especificação DKIM autentica os seus domínios, porque é que o DKIM pode estar a falhar nas suas mensagens e como corrigir o DKIM facilmente com um guia passo-a-passo.
Takeaways de chaves
- O DKIM falha quando o domínio na assinatura DKIM não está alinhado com o cabeçalho De ou quando há incompatibilidades nos valores do par de chaves.
- Os erros na sintaxe dos registos DKIM, as configurações incorrectas de fornecedores terceiros, os problemas de comunicação do servidor, os períodos de inatividade do DNS e as modificações efectuadas pelos MTAs podem conduzir a falhas no DKIM.
- Problemas como formato incorreto, hash do corpo não verificado ou chaves públicas em falta no DNS resultam em resultados específicos de falha do DKIM.
- Para corrigir falhas de DKIM, utilize geradores de registos DKIM fiáveis para evitar erros de sintaxe. Verifique o alinhamento no cabeçalho de assinatura DKIM e no cabeçalho De e trabalhe com um fornecedor externo como o PowerDMARC para garantir a configuração DKIM correta.
- Monitorize os resultados da autenticação DKIM utilizando os relatórios DMARC.
O que significa uma falha DKIM?
Se tiver activado o DKIM para os seus e-mails enviados, os servidores receptores verificam a autenticidade do e-mail, fazendo corresponder a sua chave privada DKIM à chave pública publicada no seu DNS. Se for uma correspondência, o DKIM passa para a mensagem, ou então o DKIM falha.
A falha do DKIM refere-se ao estado de falha da sua verificação de autenticação DKIM, devido a uma incompatibilidade nos domínios especificados no cabeçalho de assinatura DKIM e De cabeçalho e inconsistências entre os valores do par chave.
Razões comuns para a falha do DKIM
1. Erro na sintaxe do registo DKIM
Se não utilizar um gerador de registos gerador de registos DKIM fiável para gerar o seu registo, tentando configurá-lo manualmente para o seu domínio, poderá não o implementar corretamente. Os erros sintácticos nos seus registos DNS podem conduzir a falhas de autenticação.
2. DKIM Verificação de falha de alinhamento
Se tiver DMARC configurado para o seu domínio, para além do DKIM, durante a verificação do DKIM, o valor do domínio no campo d= no campo da assinatura DKIM no cabeçalho do correio eletrónico tem de estar alinhado com o domínio encontrado no endereço De. Pode ser um alinhamento rigoroso, em que os dois domínios têm de ser uma correspondência exacta, ou um alinhamento relaxado que permite que uma correspondência organizacional passe a verificação.
Pode ocorrer uma falha DKIM se o domínio do cabeçalho da assinatura DKIM não corresponder ao domínio encontrado no cabeçalho From, o que pode ser um caso típico de falsificação de domínio ou ataque de personificação.
3. Não criou o DKIM para os seus vendedores de correio electrónico de terceiros.
Se utilizar vários vendedores de e-mails de terceiros para enviar e-mails em nome da sua organização, terá de entrar em contacto com eles para obter instruções sobre como activar o DKIM para os seus e-mails enviados. Se estiver a utilizar os seus próprios domínios ou subdomínios personalizados registados neste serviço de terceiros para enviar e-mails aos seus clientes, certifique-se de solicitar ao seu fornecedor que trate do DKIM para si.
Idealmente, se o seu fornecedor externo o estiver a ajudar a externalizar os seus e-mails, eles configuram o seu domínio através da publicação de um registo DKIM no seu DNS utilizando um selector DKIM que é único para si, sem que tenha de se intrometer.
OU,
Pode gerar um par de chaves DKIM e entregar a chave privada ao seu fornecedor de e-mail enquanto publica a chave pública no seu próprio DNS.
As configurações incorrectas no mesmo podem levar à falha do DKIM, pelo que deve comunicar abertamente com o seu fornecedor de serviços relativamente à configuração do DKIM.
Nota: Alguns servidores de troca de terceiros induzem rodapés formatados no corpo da mensagem. Se estes servidores forem servidores intermediários num processo de reencaminhamento de correio electrónico, o rodapé conjunto pode ser um factor que contribui para o fracasso do DKIM.
4. Problemas de comunicação no servidor
Em certas situações, o e-mail pode ser enviado a partir de um servidor que tenha o DKIM desactivado no mesmo. Nesses casos, o DKIM falhará para esse correio electrónico. É importante assegurar que as partes comunicantes tenham o DKIM devidamente activado.
5. Modificações no corpo de mensagens pelos Agentes de Transferência de Correio (MTAs)
Ao contrário do SPF, o DKIM não verifica o endereço IP ou caminho de retorno do remetente enquanto verifica a autenticidade das mensagens. Em vez disso, assegura que o conteúdo da mensagem permaneceu inalterado no trânsito. Por vezes, os MTAs participantes, e os agentes de reencaminhamento de correio electrónico podem alterar o corpo da mensagem durante o embrulho da linha ou a formatação do conteúdo, o que pode levar ao fracasso do DKIM.
A formatação do conteúdo de um e-mail é geralmente um processo automatizado para assegurar que a mensagem é facilmente compreensível para cada destinatário.
6. Interrupção do DNS / Tempo de inactividade do DNS
Este é um motivo comum para falhas no DKIM. A interrupção do DNS pode ocorrer devido a uma variedade de razões, incluindo ataques de negação de serviço. A manutenção de rotina do seu servidor de nomes também pode ser a razão por detrás de uma inatividade do DNS. Durante este período de tempo (normalmente curto), os servidores destinatários não podem efetuar consultas DNS.
Como sabemos que o DKIM existe no seu DNS como registo TXT/CNAME, o cliente-servidor efectua uma pesquisa para consultar o DNS do remetente para a chave pública durante a autenticação. Durante uma interrupção, tal não é considerado possível e, por conseguinte, pode quebrar o DKIM.
7. Utilização do OpenDKIM
Uma implementação DKIM de código aberto conhecida como OpenDKIM é normalmente utilizada por fornecedores de caixas de correio como o Gmail, Outlook, Yahoo, etc. O OpenDKIM liga-se ao servidor através da porta 8891 durante a verificação. Por vezes, os erros podem ser causados pela activação de permissões erradas devido às quais o seu servidor não consegue ligar-se à sua tomada.
Verifique o seu directório para se certificar de que activou correctamente as permissões, ou se tem de todo uma directoria configurada para a sua tomada.
Diferentes resultados de falha na autenticação DKIM
1. Resultado da Autenticação: dkim=neutro (mau formato)
Quebras de linha auto-geradas no seu registo DKIM podem provocar a mensagem de erro: dkim=neutral (mau formato). Quando o seu validador de e-mail liga os registos de recursos quebrados durante a verificação, produz um valor errado. Uma solução possível é utilizar chaves DKIM de 1024 bits (em oposição a 2048 bits) para caber dentro do limite DNS de 255 caracteres.
2. Resultado da Autenticação: dkim=fail (má assinatura)
Um resultado de falha de autenticação DKIM pode ser possível devido a modificações de conteúdo no corpo da mensagem por terceiros, devido às quais o cabeçalho de assinatura DKIM não correspondeu ao corpo da mensagem de correio eletrónico.
3. Resultado da autenticação: dkim=fail (a assinatura do organismo DKIM não foi verificada)
O "hash corporal de assinatura DKIM não verificado" ou o "hash corporal de assinatura DKIM não verificado" são dois resultados alternativos devolvidos pelo servidor receptor para o mesmo erro que implica o valor do hash corporal DKIM (bh= tag) foi de alguma forma alterada em trânsito. Mesmo que o seu par de chaves DKIM esteja configurado correctamente e tenha uma chave pública válida publicada no seu DNS, pequenas modificações no valor do hash, tais como a inserção de espaços ou caracteres especiais podem fazer com que a verificação do hash do seu corpo falhe DKIM.
O valor da etiqueta bh= pode ser alterado devido às seguintes razões:
- Servidores intermediários responsáveis pela alteração do conteúdo do correio
- Adição de rodapés de e-mail pelo seu fornecedor de serviços de e-mail
4. Resultado da Autenticação: dkim=fail (sem chave para assinatura)
Este erro pode ser o resultado de uma chave pública inválida ou em falta no seu DNS. É imperativo que se certifique de que tanto as chaves públicas como privadas para DKIM coincidem, e que sejam configuradas correctamente. Tem a certeza de que o seu registo DNS DKIM é publicado e válido? Verifique agora utilizando o nosso verificador gratuito de registos DKIM.
Evite falhas de DKIM com o PowerDMARC!
Como impedir uma falha de DKIM nas suas mensagens
Não é possível abordar todas as questões acima mencionadas simplesmente porque nem todas podem ser contornadas. No entanto, reunimos algumas dicas úteis que pode utilizar para minimizar as suas hipóteses de fracasso do DKIM.
Como posso corrigir a falha do DKIM?
- Gere o seu registo DKIM utilizando uma ferramenta de geração fiável e notável para obter resultados precisos e copie e cole sempre os seus valores para evitar erros
- Verifique o seu registo DKIM para verificar lacunas e erros
- Implemente SPF e DMARC para uma camada adicional de segurança contra falsificação de domínio e personificação. O DMARC necessita que o SPF ou o DKIM sejam aprovados para que as mensagens passem na validação, pelo que, se o DKIM falhar e o SPF for aprovado, as suas mensagens passarão no DMARC e serão entregues.
- Ativar o relatório DMARC para os seus domínios
- Monitorize os seus relatórios de falhas DKIM e resultados de autenticação num leitor DMARC painel de controlo
- Tenha uma discussão detalhada com os seus vendedores de e-mail sobre a configuração do DKIM, se eles apoiam o protocolo e como lidam com ele
- Obtenha aconselhamento especializado sobre as suas configurações de autenticação de e-mail da nossa equipa de especialistas DMARC, inscrevendo-se para um teste DMARC gratuito com o nosso analisador
Note-se que cobrimos alguns avisos comuns de falha do DKIM e os seus provavelmente causas enquanto fornece um possível solução à sua volta. Contudo, podem surgir erros devido a várias razões subjacentes que são específicas ao seu domínio e servidores, que não foram cobertas por este artigo.
Tem de adquirir conhecimentos suficientes sobre os protocolos de autenticação antes de os implementar na sua organização ou de aplicar as suas políticas. Uma falha no DKIM, no SPF ou na validação DMARC pode afetar a capacidade de entrega do seu correio eletrónico.
Encaminhamento automático de e-mail e DKIM Vs SPF
Nos e-mails enviados automaticamente, os cabeçalhos dos e-mails são modificados devido ao envolvimento de um ou mais servidores intermediários. A mensagem reencaminhada retoma a informação do cabeçalho deste servidor intermediário de terceiros que pode ou não ser incluída como fonte de envio autorizada no registo SPF do remetente original.
Se não for incluído, o SPF falhará por essa mensagem.
Uma vez que as assinaturas DKIM são incluídas no corpo do correio eletrónico, o reencaminhamento não tem qualquer efeito sobre o DKIM. É por esta razão que a configuração do DKIM para além da sua política SPF existente pode ajudar a evitar falhas de autenticação DKIM indesejadas para as suas mensagens reencaminhadas.
Resolver o problema sem DKIM
A criação do DKIM juntamente com o SPF é um recomendado prática, no entanto, não é obrigatória.
- Se não quiser configurar o DKIM para os seus domínios, mas quiser resolver a falha de SPF para os seus e-mails reencaminhados, pode utilizar um método chamado redireccionamento de e-mails. O redireccionamento dos seus e-mails preserva os cabeçalhos originais das suas mensagens.
- Caso contrário, pode também certificar-se de que inclui os endereços IP de todos os servidores intermediários que participam no processo de reencaminhamento no registo SPF do seu domínio.
O que é o DKIM e porque é que precisa de o instalar?
DKIM é um sistema de autenticação de e-mail que o ajuda a verificar a legitimidade das suas fontes de envio juntamente com a garantia de que o conteúdo do seu e-mail se manteve inalterado durante todo o processo de entrega.
Se quisermos falar sobre a razão pela qual precisamos de uma configuração DKIM para os nossos e-mails, temos de falar sobre a forma como o e-mail pode tornar-se um vetor para a realização de actividades fraudulentas. Os ataques de falsificação de identidade, que vão desde o phishing à falsificação de domínios, bem como as infecções por malware, podem ser levados a cabo através de mensagens de correio eletrónico falsas. É por isso que as empresas precisam de criar um sistema de filtragem para autenticar os remetentes de correio eletrónico. Ao fazê-lo, não estão apenas a proteger a sua própria reputação, mas também a evitar que milhões de utilizadores sejam vítimas de fraudes por correio eletrónico. A falha do DKIM, como lerá abaixo, ocorre quando a sua chave privada não corresponde à chave pública.
DKIM é um desses sistemas de verificação de correio electrónico que utiliza um valor hash (chave privada) para assinar informações de correio electrónico que são comparadas com a chave pública depositada no DNS do remetente. Os e-mails assinados digitalmente com uma assinatura DKIM têm um elevado nível de protecção contra qualquer alteração por um terceiro malicioso.
FAQs sobre falhas de DKIM
1. Que remetentes estão a falhar DKIM?
A falha é típica dos remetentes que:
- configurar o protocolo de forma imprópria
- utilizar chaves de 2048 bits para fornecedores de correio electrónico não suportados
- o conteúdo do correio electrónico foi alterado por um terceiro intermediário durante a transferência da mensagem
2. O DMARC pode ser aprovado se o DKIM não o for?
Sim, desde que o SPF seja aprovado para o email. Se tiver configurado o DMARC e alinhado os emails com os mecanismos SPF e DKIM, só precisa de passar uma das verificações (SPF ou DKIM) para passar o DMARC. No entanto, se o seu alinhamento DMARC se basear apenas na autenticação DKIM, o DMARC falhará e o DKIM também.
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025
- Como corrigir uma falha DKIM - 9 de janeiro de 2025
- O que é a política DMARC? Nenhum, Quarentena e Rejeição - 9 de janeiro de 2025