A falha do DKIM para as mensagens do seu domínio pode ser resultado de falha de alinhamento de identificadores para o protocolo DKIM ou problemas na configuração do seu registo. Hoje vamos mergulhar na forma como a especificação DKIM autentica os seus domínios, porque é que o DKIM pode estar a falhar para as suas mensagens, e como corrigir a falha do DKIM facilmente com algumas dicas e truques.
O que é o DKIM e porque é que precisa de o instalar?
DKIM é um sistema de autenticação de e-mail que o ajuda a verificar a legitimidade das suas fontes de envio juntamente com a garantia de que o conteúdo do seu e-mail se manteve inalterado durante todo o processo de entrega.
Se quisermos falar sobre a necessidade de uma configuração DKIM para os nossos e-mails, precisamos de falar sobre como o e-mail pode tornar-se um vector para a realização de actividades fraudulentas. Os ataques de personificação que vão desde phishing a falsificação de domínios, bem como infecções por malware, podem ser realizados através de emails falsos. É por isso que as empresas precisam de criar um sistema de filtragem para autenticar os remetentes de correio electrónico. Ao fazê-lo, estão não só a proteger a sua própria reputação, mas também a evitar que milhões de utilizadores caiam nas armadilhas do correio electrónico.
DKIM é um desses sistemas de verificação de correio electrónico que utiliza um valor hash (chave privada) para assinar informações de correio electrónico que são comparadas com a chave pública depositada no DNS do remetente. Os e-mails assinados digitalmente com uma assinatura DKIM têm um elevado nível de protecção contra qualquer alteração por um terceiro malicioso.
Encaminhamento automático de e-mail e DKIM Vs SPF
Nos e-mails enviados automaticamente, os cabeçalhos dos e-mails são modificados devido ao envolvimento de um ou mais servidores intermediários. A mensagem reencaminhada retoma a informação do cabeçalho deste servidor intermediário de terceiros que pode ou não ser incluída como fonte de envio autorizada no registo SPF do remetente original.
Se não for incluído, o SPF falhará por essa mensagem.
Uma vez que as assinaturas DKIM estão incluídas no corpo do correio electrónico, o reencaminhamento não tem qualquer efeito sobre o DKIM. É por isso que a criação de DKIM em cima da sua política SPF existente pode ajudar a evitar falhas de autenticação indesejadas para as suas mensagens reencaminhadas.
Resolver o problema sem DKIM
A criação do DKIM juntamente com o SPF é um recomendado prática, no entanto, não é obrigatória.
- Se não quer configurar o DKIM para os seus domínios, mas quer resolver a falha do SPF para os seus e-mails reencaminhados, pode usar um método chamado redireccionamento de e-mail. Redireccionando os seus e-mails, preserva os cabeçalhos originais das suas mensagens.
- Caso contrário, pode também certificar-se de que inclui os endereços IP de todos os servidores intermediários que participam no processo de reencaminhamento no registo SPF do seu domínio.
DKIM Falha Significado
Se tiver activado o DKIM para os seus e-mails enviados, os servidores receptores verificam a autenticidade do e-mail, fazendo corresponder a sua chave privada DKIM à chave pública publicada no seu DNS. Se for uma correspondência, o DKIM passa para a mensagem, ou então o DKIM falha.
O que significa o DKIM Fail?
A falha do DKIM refere-se ao estado de falha da sua verificação de autenticação DKIM, devido a uma incompatibilidade nos domínios especificados no cabeçalho de assinatura DKIM e De cabeçalho e inconsistências entre os valores do par chave.
Casos de teste para DKIM falham
1. Erro na sintaxe do registo DKIM
Se não usar um Gerador de registos DKIM ferramenta para gerar o seu registo ao tentar configurá-lo manualmente para o seu domínio, pode implementá-lo erroneamente. Os erros sintácticos nos seus registos DNS podem levar a falhas de autenticação, e neste caso, o DKIM falha.
2. Falha de alinhamento do identificador DKIM
Se tiver DMARC criado para o seu domínio, para além do DKIM, durante a verificação DKIM o valor do domínio no d= na assinatura do DKIM no cabeçalho do e-mail tem de alinhar-se com o domínio encontrado no endereço de origem. Pode ser ou um alinhamento rigoroso, em que os dois domínios têm de ser uma correspondência exacta ou um alinhamento relaxado que permita uma correspondência organizacional passar a verificação.
Uma falha do DKIM pode ocorrer se o domínio do cabeçalho da assinatura DKIM não corresponder ao domínio encontrado no cabeçalho From, o que pode ser um caso típico de falsificação de domínio ou ataque de imitação.
3. Não criou o DKIM para os seus vendedores de correio electrónico de terceiros.
Se utilizar vários vendedores de e-mails de terceiros para enviar e-mails em nome da sua organização, terá de entrar em contacto com eles para obter instruções sobre como activar o DKIM para os seus e-mails enviados. Se estiver a utilizar os seus próprios domínios ou subdomínios personalizados registados neste serviço de terceiros para enviar e-mails aos seus clientes, certifique-se de solicitar ao seu fornecedor que trate do DKIM para si.
Idealmente, se o seu fornecedor externo o estiver a ajudar a externalizar os seus e-mails, eles configuram o seu domínio através da publicação de um registo DKIM no seu DNS utilizando um selector DKIM que é único para si, sem que tenha de se intrometer.
OU,
Pode gerar um par de chaves DKIM e entregar a chave privada ao seu fornecedor de e-mail enquanto publica a chave pública no seu próprio DNS.
Má configuração no mesmo pode levar a falhas no DKIM, por isso é imperativo que comunique abertamente com o seu fornecedor de serviços relativamente à sua configuração do DKIM.
Nota: Alguns servidores de troca de terceiros induzem rodapés formatados no corpo da mensagem. Se estes servidores forem servidores intermediários num processo de reencaminhamento de correio electrónico, o rodapé conjunto pode ser um factor que contribui para o fracasso do DKIM.
4. Problemas de comunicação no servidor
Em certas situações, o e-mail pode ser enviado a partir de um servidor que tenha o DKIM desactivado no mesmo. Nesses casos, o DKIM falhará para esse correio electrónico. É importante assegurar que as partes comunicantes tenham o DKIM devidamente activado.
5. Modificações no corpo de mensagens pelos Agentes de Transferência de Correio (MTAs)
Ao contrário do SPF, o DKIM não verifica o endereço IP ou caminho de retorno do remetente enquanto verifica a autenticidade das mensagens. Em vez disso, assegura que o conteúdo da mensagem permaneceu inalterado no trânsito. Por vezes, os MTAs participantes, e os agentes de reencaminhamento de correio electrónico podem alterar o corpo da mensagem durante o embrulho da linha ou a formatação do conteúdo, o que pode levar ao fracasso do DKIM.
A formatação do conteúdo de um e-mail é geralmente um processo automatizado para assegurar que a mensagem é facilmente compreensível para cada destinatário.
6. Interrupção do DNS / Tempo de inactividade do DNS
Esta é uma razão comum para as falhas de autenticação, incluindo a falha do DKIM. A interrupção do DNS pode ocorrer devido a uma variedade de razões, incluindo ataques de negação de serviço. A manutenção de rotina do seu servidor de nomes pode também ser a razão por detrás de uma interrupção do DNS. Durante este período de tempo (geralmente curto), os servidores receptores não podem realizar consultas DNS.
Como sabemos que o DKIM existe no seu DNS como registo TXT/CNAME, o cliente-servidor efectua uma pesquisa para consultar o DNS do remetente para a chave pública durante a autenticação. Durante uma interrupção, tal não é considerado possível e, por conseguinte, pode quebrar o DKIM.
7. Utilização do OpenDKIM
Uma implementação DKIM de código aberto conhecida como OpenDKIM é normalmente utilizada por fornecedores de caixas de correio como o Gmail, Outlook, Yahoo, etc. O OpenDKIM liga-se ao servidor através da porta 8891 durante a verificação. Por vezes, os erros podem ser causados pela activação de permissões erradas devido às quais o seu servidor não consegue ligar-se à sua tomada.
Verifique o seu directório para se certificar de que activou correctamente as permissões, ou se tem de todo uma directoria configurada para a sua tomada.
Falhas no resultado da Autenticação DKIM
1. Resultado da Autenticação: dkim=neutro (mau formato)
Quebras de linha auto-geradas no seu registo DKIM podem provocar a mensagem de erro: dkim=neutral (mau formato). Quando o seu validador de e-mail liga os registos de recursos quebrados durante a verificação, produz um valor errado. Uma solução possível é utilizar chaves DKIM de 1024 bits (em oposição a 2048 bits) para caber dentro do limite DNS de 255 caracteres.
2. Resultado da Autenticação: dkim=fail (má assinatura)
Isto pode ser um possível resultado de modificações de conteúdo dentro do corpo da mensagem por terceiros, devido ao qual o cabeçalho da assinatura DKIM não correspondeu ao corpo do e-mail.
3. Resultado da autenticação: dkim=fail (a assinatura do organismo DKIM não foi verificada)
O "hash corporal de assinatura DKIM não verificado" ou o "hash corporal de assinatura DKIM não verificado" são dois resultados alternativos devolvidos pelo servidor receptor para o mesmo erro que implica o valor do hash corporal DKIM (bh= tag) foi de alguma forma alterada em trânsito. Mesmo que o seu par de chaves DKIM esteja configurado correctamente e tenha uma chave pública válida publicada no seu DNS, pequenas modificações no valor do hash, tais como a inserção de espaços ou caracteres especiais podem fazer com que a verificação do hash do seu corpo falhe DKIM.
O valor da etiqueta bh= pode ser alterado devido às seguintes razões:
- Servidores intermediários responsáveis pela alteração do conteúdo do correio
- Adição de rodapés de e-mail pelo seu fornecedor de serviços de e-mail
4. Resultado da Autenticação: dkim=fail (sem chave para assinatura)
Este erro pode ser o resultado de uma chave pública inválida ou em falta no seu DNS. É imperativo que se certifique de que tanto as chaves públicas como privadas para DKIM coincidem, e que sejam configuradas correctamente. Tem a certeza de que o seu registo DNS DKIM é publicado e válido? Verifique agora utilizando o nosso verificador gratuito de registos DKIM.
Como parar o DKIM falhar para as suas mensagens?
Não é possível abordar todas as questões acima mencionadas simplesmente porque nem todas podem ser contornadas. No entanto, reunimos algumas dicas úteis que pode utilizar para minimizar as suas hipóteses de fracasso do DKIM.
Como é que resolvo os problemas do DKIM?
- Gere o seu registo DKIM usando uma ferramenta geradora fiável e notável para resultados precisos, e copie sempre - cole sempre os seus valores para evitar erros
- Verifique o seu registo DKIM para verificar lacunas e erros
- Implemente SPF e DMARC para uma camada adicional de segurança contra falsificação de domínio e personificação. O DMARC necessita que o SPF ou o DKIM sejam aprovados para que as mensagens passem na validação, pelo que, se o DKIM falhar e o SPF for aprovado, as suas mensagens passarão no DMARC e serão entregues.
- Ativar o relatório DMARC para os seus domínios
- Monitorize os seus relatórios de falhas do DKIM e os resultados da autenticação num sistema dedicado Analisador de relatórios DMARC painel de bordo
- Tenha uma discussão detalhada com os seus vendedores de e-mail sobre a configuração do DKIM, se eles apoiam o protocolo e como lidam com ele
- Obtenha aconselhamento especializado sobre as suas configurações de autenticação de e-mail da nossa equipa de especialistas DMARC, inscrevendo-se para um teste DMARC gratuito com o nosso analisador
Note-se que cobrimos alguns avisos comuns de falha do DKIM e os seus provavelmente causas enquanto fornece um possível solução à sua volta. Contudo, podem surgir erros devido a várias razões subjacentes que são específicas ao seu domínio e servidores, que não foram cobertas por este artigo.
É imperativo que construa os seus conhecimentos em torno de protocolos de autenticação, o suficiente, antes de os implementar na sua organização ou fazer cumprir as suas políticas. O DKIM falha, ou falha na validação SPF, ou DMARC pode ter impacto na capacidade de entrega do seu correio electrónico.
DKIM Falha FAQs
1. Que remetentes estão a falhar DKIM?
A falha do DKIM é típica para os remetentes que:
- configurar o protocolo de forma imprópria
- utilizar chaves de 2048 bits para fornecedores de correio electrónico não suportados
- o conteúdo do correio electrónico foi alterado por um terceiro intermediário durante a transferência da mensagem
2. O DMARC pode passar se o DKIM falhar?
Sim, desde que o SPF passe para o e-mail. Se tiver configurado DMARC e alinhado e-mails contra ambos os mecanismos SPF e DKIM, é necessário passar apenas uma das verificações (SPF ou DKIM) para passar o DMARC. No entanto, se o seu alinhamento DMARC depender apenas da autenticação DKIM, o DMARC falhará quando o DKIM falhar.
- Corrigir o erro de SPF: Ultrapassar o limite de demasiadas pesquisas de DNS do SPF - 26 de abril de 2024
- Como publicar um registo DMARC em 3 passos? - 2 de abril de 2024
- Porque é que o DMARC está a falhar? Corrigir a falha do DMARC em 2024 - 2 de abril de 2024