Сбой DKIM в сообщениях вашего домена может быть результатом сбоя в выравнивании идентификаторов для протокола DKIM или проблем в настройке записей. Сегодня мы рассмотрим, как спецификация DKIM проверяет подлинность ваших доменов, почему DKIM может не работать для ваших сообщений и как легко исправить DKIM с помощью пошагового руководства.
Ключевые выводы
- DKIM не работает, если домен в подписи DKIM не совпадает с заголовком From или имеются несоответствия в значениях пары ключей.
- Ошибки в синтаксисе DKIM-записей, неправильная конфигурация сторонних поставщиков, проблемы со связью между серверами, простои DNS и изменения, вносимые MTA, могут привести к сбоям в работе DKIM.
- Такие проблемы, как плохой формат, непроверенный хэш тела или отсутствие открытых ключей в DNS, приводят к определенным результатам отказа DKIM.
- Для устранения сбоев DKIM используйте надежные генераторы записей DKIM, чтобы избежать синтаксических ошибок. Проверяйте выравнивание в заголовке подписи DKIM и заголовке From и работайте со сторонним поставщиком, таким как PowerDMARC, чтобы обеспечить правильную настройку DKIM.
- Отслеживайте результаты проверки подлинности DKIM с помощью отчетов DMARC.
Что означает отказ DKIM?
Если у вас активирован DKIM для исходящей электронной почты, принимающие серверы проверяют подлинность письма, сопоставляя ваш закрытый ключ DKIM с открытым ключом, опубликованным на вашем DNS. Если они совпадают, DKIM проходит для сообщения, в противном случае DKIM не проходит.
DKIM failure означает неудачный статус проверки DKIM-аутентификации из-за несоответствия доменов, указанных в заголовке DKIM-подписи и заголовке From, и несоответствия значений пары ключей.
Распространенные причины отказа DKIM
1. Ошибка в синтаксисе записи DKIM
Если вы не используете надежный генератор DKIM-записей инструмент для создания записи, пытаясь вручную настроить ее для своего домена, вы можете не реализовать ее должным образом. Синтаксические ошибки в записях DNS могут привести к сбою аутентификации.
2. DKIM Проверка на нарушение выравнивания
Если у вас есть DMARC настроен для вашего домена в дополнение к DKIM, во время проверки DKIM значение домена в d= в поле DKIM-подписи в заголовке письма должно совпадать с доменом, указанным в адресе From. Это может быть либо строгое соответствие, при котором оба домена должны точно совпадать, либо смягченное соответствие, которое позволяет пройти проверку при организационном совпадении.
Сбой DKIM может произойти, если домен заголовка подписи DKIM не совпадает с доменом, указанным в заголовке From, что может быть типичным случаем подмены домена или атаки самозванца.
3. Вы не настроили DKIM для сторонних поставщиков электронной почты
Если вы используете несколько сторонних поставщиков услуг электронной почты для отправки писем от имени вашей организации, вам необходимо связаться с ними, чтобы получить инструкции по активации DKIM для ваших исходящих писем. Если вы используете собственные пользовательские домены или поддомены, зарегистрированные на сторонних сервисах, для отправки писем своим клиентам, то обязательно попросить своего поставщика активировать DKIM для вас.
В идеале, если ваш сторонний поставщик помогает вам в аутсорсинге электронной почты, он должен настроить ваш домен, опубликовав DKIM-запись на своем DNS используя уникальный для вас селектор DKIM, без вашего вмешательства.
ИЛИ,
Вы можете сгенерировать пару ключей DKIM и передать закрытый ключ поставщику электронной почты, а открытый ключ опубликовать на вашем собственном DNS.
Неправильная конфигурация может привести к сбою DKIM, поэтому вы должны открыто общаться с поставщиком услуг по поводу настройки DKIM.
Заметка: Некоторые сторонние серверы обмена вызывают форматированные колонтитулы в теле сообщения. Если эти серверы являются промежуточными серверами в процессе пересылки электронной почты, сросшиеся колонтитулы могут стать фактором, способствующим сбою DKIM.
4. Проблемы в связи с сервером
В некоторых ситуациях письмо может быть отправлено с сервера, на котором отключен DKIM. В таких случаях DKIM не будет работать для этого письма. Важно убедиться, что у общающихся сторон DKIM активирован должным образом.
5. Изменения в теле сообщения агентами передачи почты (MTA)
В отличие от SPF, DKIM не проверяет IP-адрес отправителя или обратный путь при проверке подлинности сообщений. Вместо этого он гарантирует, что содержимое сообщения не было повреждено при передаче. Иногда участвующие MTA и агенты пересылки электронной почты могут изменять тело сообщения во время обертывания строк или форматирования содержимого, что может привести к сбою DKIM.
Форматирование содержимого электронной почты, как правило, является автоматизированным процессом, обеспечивающим легкость восприятия сообщения каждым получателем.
6. Перебои в работе DNS / простои DNS
Это распространенная причина сбоев DKIM. Перебои в работе DNS могут возникать по разным причинам, включая атаки типа "отказ в обслуживании". Причиной простоя DNS также может быть плановое обслуживание сервера имен. В течение этого (обычно короткого) периода времени серверы-получатели не могут выполнять DNS-запросы.
Поскольку мы знаем, что DKIM существует в вашем DNS как запись TXT/CNAME, клиент-сервер выполняет поиск, чтобы запросить DNS отправителя для открытого ключа во время аутентификации. Во время перебоев это считается невозможным и, следовательно, может нарушить DKIM.
7. Использование OpenDKIM
Реализация DKIM с открытым исходным кодом, известная как OpenDKIM, обычно используется провайдерами почтовых ящиков, такими как Gmail, Outlook, Yahoo и т.д. OpenDKIM соединяется с сервером через порт 8891 во время проверки. Иногда ошибки могут быть вызваны включением неправильных разрешений, из-за чего сервер не может привязаться к вашему сокету.
Проверьте свой каталог, чтобы убедиться, что вы правильно включили разрешения, или если вообще у вас есть каталог, настроенный для вашего сокета.
Различные результаты отказа аутентификации DKIM
1. Результат аутентификации: dkim=neutral (плохой формат)
Автоматически создаваемые разрывы строк в записи DKIM могут вызвать сообщение об ошибке: dkim=neutral (плохой формат). Когда валидатор электронной почты соединяет вместе разорванные записи ресурсов во время проверки, он выдает неверное значение. Возможным решением является использование 1024-битных ключей DKIM (в отличие от 2048 бит), чтобы уложиться в 255-символьный лимит DNS.
2. Результат аутентификации: dkim=fail (плохая подпись)
Неудачный результат DKIM-аутентификации может быть вызван изменением содержимого в теле сообщения третьим лицом, в результате чего заголовок DKIM-подписи не соответствует телу письма.
3. Результат аутентификации: dkim=fail (хэш тела DKIM-подписи не проверен)
"Хэш тела DKIM-подписи не проверен" или "Хэш тела DKIM-подписи не проверен" - это два альтернативных результата, возвращаемых принимающим сервером при одной и той же ошибке, которая подразумевает значение хэша тела DKIM (bh= тег) было каким-то образом изменено при передаче. Даже если ваша пара ключей DKIM настроена правильно и у вас есть действительный открытый ключ, опубликованный на вашем DNS, незначительные изменения в хэш-значении, такие как вставка пробелов или специальных символов, могут привести к тому, что проверка хэш-значения тела DKIM не пройдет.
Значение тега bh= может быть изменено по следующим причинам:
- Серверы-посредники, отвечающие за изменение содержимого почты
- Добавление колонтитулов электронной почты вашим поставщиком услуг электронной почты
4. Результат аутентификации: dkim=fail (нет ключа для подписи)
Эта ошибка может быть результатом недействительного или отсутствующего открытого ключа в вашем DNS. Необходимо убедиться, что ваши открытый и закрытый ключи для DKIM совпадают и настроены правильно. Вы уверены, что ваша DNS-запись DKIM опубликована и действительна? Проверьте это прямо сейчас с помощью нашей бесплатной программы проверки DKIM-записей.
Избегайте сбоев DKIM с помощью PowerDMARC!
Как предотвратить отказ DKIM для ваших сообщений
Невозможно решить все вышеперечисленные проблемы просто потому, что их невозможно обойти. Тем не менее, мы собрали несколько полезных советов, которые вы можете использовать, чтобы минимизировать шансы на неудачу DKIM.
Как исправить ошибку DKIM?
- Для получения точных результатов создайте свою DKIM-запись с помощью проверенного и известного генератора и всегда копируйте значения, чтобы избежать ошибок.
- Проверьте запись DKIM на наличие пробелов и ошибок
- Внедрите SPF и DMARC для дополнительного уровня защиты от подмены домена и самозванства. DMARC требует прохождения SPF или DKIM для того, чтобы сообщения прошли проверку, поэтому в случае, если DKIM не пройдет, а SPF пройдет, ваши сообщения все равно пройдут DMARC и будут доставлены.
- Включение DMARC-отчетов для ваших доменов
- Отслеживайте отчеты об отказах DKIM и результаты проверки подлинности на специальном устройстве считыватель DMARC приборная панель
- Подробно обсудите с поставщиками электронной почты настройку DKIM, поддерживают ли они этот протокол и как они его обрабатывают.
- Получите экспертную консультацию по настройкам аутентификации электронной почты от нашей команды специалистов по DMARC, подписавшись на бесплатную пробную версию DMARC с нашим анализатором
Обратите внимание, что мы рассмотрели некоторые распространенные ошибки DKIM и их вероятные причины, одновременно предоставляя возможный решения для их устранения. Однако ошибки могут появляться по различным причинам, характерным для вашего домена и серверов, которые не были рассмотрены в этой статье.
Прежде чем внедрять протоколы аутентификации в своей организации или обеспечивать соблюдение политик, необходимо накопить достаточные знания о них. Отказ DKIM, отказ SPF или проверки DMARC может повлиять на доставляемость вашей электронной почты.
Автоматическая переадресация электронной почты и DKIM против SPF
При автоматической пересылке электронной почты заголовки сообщений изменяются из-за участия одного или нескольких серверов-посредников. Пересылаемое сообщение принимает информацию заголовка этого стороннего сервера-посредника, который может быть или не быть включен в качестве авторизованного источника отправки в SPF-запись оригинального отправителя.
Если он не включен, SPF для этого сообщения будет неудачным.
Поскольку подписи DKIM включаются в тело письма, пересылка не влияет на DKIM. Именно поэтому настройка DKIM поверх существующей политики SPF может помочь избежать нежелательных отказов DKIM-аутентификации для пересылаемых сообщений.
Устранение проблемы без DKIM
Установка DKIM вместе с SPF является рекомендуемая практика, однако она не является обязательной.
- Если вы не хотите настраивать DKIM для своих доменов, но при этом хотите устранить SPF-недостаток для пересылаемых писем, вы можете использовать метод, называемый перенаправлением электронной почты. При перенаправлении писем сохраняются оригинальные заголовки сообщений.
- Кроме того, вы можете включить IP-адреса всех серверов-посредников, участвующих в процессе пересылки, в SPF-запись вашего домена.
Что такое DKIM и зачем его нужно настраивать?
DKIM - это система аутентификации электронной почты, которая помогает вам проверить легитимность источников отправки, а также убедиться в том, что содержимое вашего письма осталось неизменным в течение всего процесса доставки. процесса доставки.
Если мы хотим поговорить о том, зачем нужна настройка DKIM для наших писем, нам нужно рассказать о том, как электронная почта может стать вектором для совершения мошеннических действий. С помощью поддельных писем могут осуществляться атаки самозванства - от фишинга до подмены домена, а также заражения вредоносным ПО. Именно поэтому предприятиям необходимо установить систему фильтрации для проверки подлинности отправителей электронной почты. Тем самым они не только защищают свою репутацию, но и предотвращают миллионы пользователей от мошенничества с электронной почтой. Сбой DKIM, как вы узнаете ниже, происходит, когда ваш закрытый ключ не совпадает с открытым ключом.
DKIM - одна из таких систем проверки электронной почты, которая использует хэш-значение (закрытый ключ) для подписи почтовой информации, которая сопоставляется с открытым ключом, хранящимся в DNS отправителя. Электронная почта, подписанная цифровой подписью DKIM, имеет высокий уровень защиты от любых изменений со стороны злоумышленников.
Вопросы и ответы о сбоях DKIM
1. Какие отправители не работают с DKIM?
Неудача характерна для отправителей, которые:
- неправильная настройка протокола
- использовать 2048-битные ключи для неподдерживаемых провайдеров электронной почты
- содержимое электронной почты было изменено сторонним посредником во время передачи сообщения
2. Может ли DMARC пройти, если DKIM не проходит?
Да, при условии, что для электронной почты пройден SPF. Если вы настроили DMARC и согласовали электронную почту с механизмами SPF и DKIM, то для прохождения DMARC вам нужно пройти только одну из проверок (SPF или DKIM). Однако если ваше согласование DMARC опирается только на аутентификацию DKIM, DMARC не пройдет, как и DKIM.
- Что такое MTA-STS? Настройте правильную политику MTA STS - 15 января 2025 г.
- Как исправить ошибку DKIM - 9 января 2025 г.
- Что такое политика DMARC? Нет, карантин и отклонение - 9 января 2025 г.