Сбои в выравнивании доменов DKIM - исправления RFC 5322

Ошибка выравнивания RFC 5322 возникает, когда домен в заголовке "From:" (видимый пользователям) не совпадает с доменом DKIM d= (в подписи). DMARC требует, чтобы домен в заголовке "From:" соответствовал домену, аутентифицированному по SPF или DKIM.

DKIM Помогает проверить, не было ли электронное письмо подвергнуто манипуляциям при пересылке. Для целей DMARC DKIM также проверяет подлинность домена, утверждающего, что он отправил письмо (через d=). DMARC проверяет, совпадает ли адрес "From:" в сообщении электронной почты с доменами, аутентифицированными SPF и DKIM.

Что такое RFC 5322? 

RFC 5322 определяет синтаксис заголовков электронной почты в Интернете, включая заголовок "From:". DKIM и DMARC полагаются на эти заголовки для аутентификации. SPF, с другой стороны, проверяет отправителя конверта (MAIL FROM) в соответствии с RFC 5321. RFC 5322 был опубликован в октябре 2008 года и теперь является стандартом для форматирования заголовков и тел электронных писем. 

Если бы не было требований к выравниванию, злоумышленники могли бы просто использовать действительные SPF или DKIM-записи одного домена, подменив при этом адрес "From:" другого. С введением требования выравнивания работа хакеров значительно усложняется: если домены не выровнены, аутентификация DMARC не пройдет, и письмо либо будет отправлено в спам, либо вообще будет отклонено.

Что такое выравнивание доменов DKIM?

Чтобы лучше понять, что такое выравнивание доменов DKIM, полезно сначала разобраться, как функционирует DKIM. 

Что такое DKIM и как он работает

DKIM (DomainKeys Identified Mail) - это протокол аутентификации электронной почты, который позволяет человеку или организации взять на себя ответственность за передачу письма. Он добавляет цифровую подпись, которую провайдеры почтовых ящиков могут проверить, чтобы убедиться, что письмо не подвергалось манипуляциям при передаче.

При отправке электронной почты домен-отправитель подписывает исходящие сообщения с помощью закрытого ключа. Затем сервер-получатель проверяет подпись с помощью открытого ключа, опубликованного в DNS домена. 

Тег "d=", ключевой компонент подписи DKIM, указывает домен, ответственный за подписание сообщения. Этот домен включается в заголовок DKIM и используется принимающими серверами для проверки открытого ключа.

Разница между расслабленным и строгим режимов выравнивания в DMARC

Выравнивание DMARC помогает убедиться, что домен в заголовке "From:" соответствует домену, аутентифицированному по SPF или DKIM. В DMARC существует два режима выравнивания: расслабленный или строгий.

• Успокоенное выравнивание: Домен в заголовке "From:" должен совпадать только с доменом организации, используемым при проверке подлинности SPF или DKIM. Это более "щадящий" и гибкий режим, который особенно полезен при использовании субдоменов или сторонних почтовых служб.
• Строгое выравнивание: В случае использования режима строгого выравнивания домен в заголовке "From:" должен точно соответствовать домену, используемому при проверке подлинности SPF или DKIM.

Почему выравнивание DKIM и RFC 5322 имеет значение

Основная цель требований DKIM и RFC 5322 по согласованию - предотвратить несанкционированный доступ. 

Основная проблема: Требование согласования DMARC

DMARC требует, чтобы домен в заголовке "From:" электронного письма хотя бы частично совпадал с доменом, указанным в поле "d=" подписи DKIM. При строгом выравнивании домены должны совпадать в точности. В случае ослабленного выравнивания они должны, по крайней мере, иметь один и тот же организационный домен.

Распространенные сценарии несоответствия

Вот несколько наиболее распространенных сценариев несоответствия: 

Использование маркетинговых инструментов

Маркетинговые инструменты часто отправляют электронные письма с таких адресов, как [email protected], но подписывают их доменом DKIM "d=example.com". В такой ситуации, если выравнивание DKIM установлено на строгое выравнивание (adkim=s), скорее всего, вы увидите, что выравнивание подписи DKIM не работает.

Переадресация электронной почты 

Хотя пересылка обычно влияет на SPF больше, чем на DKIM, DKIM также может не работать при пересылке, но только если сообщение изменено (например, в списках рассылки). Обратите внимание, что заголовок "From:" редко изменяется пересыльщиками.

Вот пример несоосности:

• От: [email protected] (заголовок RFC 5322)
• DKIM-подпись: d=example.com (неправильное согласование домена и сбой DMARC)

Распространенные причины проблем с выравниванием

К числу наиболее распространенных причин нарушения центровки относятся: 

Использование услуг третьих лиц

При отправке электронной почты через сторонних внешних провайдеров, которые не настроили должным образом выравнивание доменов, вы, скорее всего, столкнетесь с ошибкой выравнивания домена DKIM RFC 5322. 

Неправильная конфигурация записи DKIM

При неправильной настройке записей DKIM или селекторов может возникнуть несоответствие. Даже незначительная ошибка в настройках может привести к серьезным сбоям, влияющим на доставляемость электронной почты. 

Несоответствия в домене

Когда вы используете разные домены в подписи DKIM и заголовке "From:", не стоит удивляться несоответствию заголовка From по стандарту RFC 5322. Независимо от того, является ли несоответствие доменов результатом недосмотра и неправильной конфигурации, или это часть вашей настройки намеренно, в обоих случаях несоответствие и последующие проблемы вполне вероятны. 

Как диагностировать сбои в выравнивании RFC 5322

Вот два быстрых шага, которые помогут вам диагностировать проблему выравнивания RFC 5322.

1. Если вы хотите диагностировать сбои в выравнивании RFC 5322, сначала внимательно просмотрите свои отчеты DMARC на предмет записей с причиной "dkim alignment failed".
2. Далее вы можете использовать средства проверки подлинности электронной почты, такие как программа проверки DKIM или команду dig для проверки записей DNS. Это поможет вам убедиться, что DKIM-подписи опубликованы правильно и соответствуют вашему домену-отправителю.

Как исправить несоответствие DKIM-RFC 5322

Вот несколько простых в исполнении шагов для устранения несоответствия DKIM-RFC 5322.

1. Сопоставление доменов DKIM и From

Всегда следите за тем, чтобы в подписи DKIM использовался тот же домен, что и в "From:" заголовок. Это лучше всего подходит для писем, отправленных непосредственно с вашего домена.

2. Установите режим выравнивания

Убедитесь, что вы установили режим выравнивания, который лучше всего соответствует вашим предпочтениям и потребностям. Используйте adkim=s для строгого выравнивания (когда требуется точное соответствие) или adkim=r для ослабленного выравнивания (чтобы также разрешить поддомены) в вашей политике DMARC.

3. Добавьте DKIM-ключи субдоменов

Если вы используете поддомены в адресе 'From:', убедитесь, что DKIM настроен на подписание сообщений, использующих именно этот поддомен, или настройте режим выравнивания DMARC соответствующим образом.

4. Сохраните начальный заголовок "From:". 

Вы должны настроить свои почтовые службы на сохранение оригинального домена "From:" в заголовке сообщения. Во время пересылки электронной почты посредники могут непреднамеренно изменить заголовок "From:" или другие части сообщения, что может нарушить согласование DKIM и привести к сбоям DMARC. Сохранение оригинального заголовка "From:" помогает сохранить выравнивание домена, а в сочетании с ARC (Authenticated Received Chain), он может обеспечить дополнительный контекст аутентификации, чтобы помочь серверу-получателю оценить легитимность сообщения, несмотря на изменения, внесенные посредниками.

5. Испытание и проверка

Тестирование и проверка - это часто упускаемый из виду, но ключевой этап процесса. Существует множество свободно доступных инструментов, которые можно использовать для проверки выравнивания доменов и настройки DKIM. Использование таких инструментов поможет вам убедиться, что DMARC-аутентификация пройдена и ваше сообщение доставлено адресату. 

Советы профессионалов

Вот дополнительные советы по безошибочному выравниванию.

Выравнивание SPF + DKIM

DMARC сравнивает домен в заголовке RFC 5322.From с доменами, проверенными SPF (MAIL FROM) и DKIM (d=). 

Избегайте сторонних инструментов, нарушающих заголовки

Старайтесь не использовать сторонних поставщиков услуг электронной почты (ESP), которые нарушают или изменяют заголовки. Вы можете проверить ESP на соответствие требованиям, прежде чем переходить к полному развертыванию. Это поможет вам избежать проблем с доставкой и одновременно обеспечить соответствие требованиям.

Подведение итогов 

Ошибка выравнивания RFC 5322 может возникнуть в различных ситуациях, особенно при использовании инструментов маркетинга электронной почты или пересылке писем. Среди наиболее распространенных причин - использование сторонних сервисов, неправильная конфигурация записей DKIM и несоответствие доменов. 

Вы можете легко диагностировать сбои в выравнивании RFC 5322 с помощью анализатора отчетов DMARC, помогающего быстро обнаружить и идентифицировать проблемы аутентификации с помощью визуальных, читаемых человеком данных DMARC. 

PowerDMARC поможет вам начать путь к безошибочной аутентификации электронной почты и предотвратить сбои в выравнивании. Чтобы начать, воспользуйтесь 15-дневную бесплатную пробную версию уже сегодня!

• О сайте
• Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Нейтральный механизм SPF (?all) объясняется: Когда и как его использовать - 23 июня 2025 г.
• Сбои в выравнивании доменов DKIM - исправления в RFC 5322 - 5 июня 2025 г.
• DMARCbis - что меняется и как подготовиться - 19 мая 2025 г.