Как исправить ошибку DKIM

Блог

Поймите последствия сбоев DKIM, распространенные ошибки и пошаговые инструкции по устранению неполадок, чтобы исправить проблемы с аутентификацией DKIM и защитить доставку электронной почты.

Maitham Al Lawati

Последнее обновление:
Время чтения: 10 мин
Как исправить ошибку DKIM
Оглавление-

Неисправность DKIM для ваших писем может нанести вред репутации вашего домена и повлиять на доставляемость писем. Исправьте все ошибки DKIM с помощью этого простого пошагового руководства.

Оглавление

Ключевые выводы

  1. Сбои DKIM часто возникают из-за несоответствий между доменом DKIM-подписи DKIM и заголовком From.
  2. Ошибки в синтаксисе записей DKIM, связи с сервером и простое DNS могут привести к проблемам с аутентификацией DKIM.
  3. К распространенным причинам отказа DKIM относятся неправильная настройка сторонних поставщиков и изменение тела письма во время его передачи.
  4. Использование надежных генераторов DKIM-записей и мониторинг отчетов DMARC могут значительно сократить количество отказов DKIM.
  5. Внедрение SPF и DMARC наряду с DKIM помогает повысить безопасности электронной почты и гарантирует надлежащую аутентификацию электронных писем.
  6. Неудачная аутентификация DKIM может привести к тому, что электронные письма будут отправлены в папку со спамом, отклонены или возвращены в зависимости от политики сервера получателя.

Сбои DKIM могут нарушить доставку писем в папку «Входящие», поскольку они сообщают получающим серверам, что ваши письма не могут быть надежно аутентифицированы. Если вы видите сообщение «DKIM-аутентификация не удалась», «dkim=fail»или отказы типа «550 DKIM validation failed», обычно сводятся к трем причинам: ключ DKIM отсутствует или имеет неправильный формат в DNS, сообщение было изменено после подписи (пересылка, шлюзы, нижние колонтитулы) или домен подписи DKIM не совпадает с видимым домену домена в DMARC.

В этом руководстве объясняется, что означает сбой DKIM, как устранить его шаг за шагом с помощью заголовков электронной почты и проверок DNS, а также как предотвратить повторные сбои с помощью правильной настройки поставщика и отчетности DMARC.

Что означает отказ DKIM?

Ошибка DKIM (DomainKeys Identified Mail) возникает, когда принимающий почтовый сервер не может проверить подпись DKIM в сообщении. На практике сервер проверяет заголовок DKIM-Signature, извлекает открытый ключ отправителя из DNS с помощью селектора (тег s=) и проверяет, соответствует ли подпись тому, что было подписано (заголовки и хеш тела). Если они совпадают, DKIM пропускает сообщение, в противном случае DKIM завершается сбоем.

Ошибка DKIM означает неудачную проверку аутентификации DKIM из-за несоответствия доменов, указанных в заголовке подписи DKIM и заголовке «От», а также несоответствия значений пар ключей.

Что происходит, когда DKIM не работает?

Когда DKIM не работает, влияние на доставку электронной почты зависит от политик фильтрации получателя и от того, применяется ли DMARC в вашем домене.

В большинстве случаев сбой DKIM повышает риск спама, а не приводит к немедленной блокировке. Получающие серверы рассматривают неподписанные или непроверяемые сообщения как менее надежные и могут направлять их в папку со спамом, особенно если сбои происходят постоянно.

Отказ обычно происходит только в том случае, если сбой DKIM сочетается с другими сбоями аутентификации. Если DKIM и SPF не прошли проверку, а для вашего домена установлена политика DMARC с карантином или отклонением, сообщение не пройдет проверку DMARC и может быть ограничено, помещено в карантин или отклонено с ошибками, такими как «550 DKIM validation failed».

Как DMARC меняет результат

DMARC оценивает аутентификацию иначе, чем DKIM. Чтобы пройти DMARC, электронному письму нужен только один согласованный метод аутентификации:

  • SPF проходит и согласуется → DMARC проходит, даже если DKIM не проходит
  • DKIM проходит и согласуется → DMARC проходит, даже если SPF не проходит
  • Оба не проходят проверку или не соответствуютDMARC не работает, действие зависит от политики

Это означает, что сбой DKIM не приводит к автоматической остановке доставки, но повторяющиеся сбои ослабляют репутацию отправителя и устраняют важный уровень защиты аутентификации.

Распространенные причины отказа DKIM

1. Ошибка в синтаксисе записи DKIM

Если вы не используете надежный генератор записей DKIM и вместо этого вручную создаете запись для своего домена, часто возникают ошибки конфигурации. Проблемы с синтаксисом в записях DKIM DNS, такие как отсутствующие теги, неверные кавычки, усеченные значения или лишние пробелы, могут помешать принимающим серверам проверить подпись DKIM, что приведет к сбою аутентификации DKIM.

 2. DKIM Проверка на нарушение выравнивания

Если у вас есть DMARC настроен для вашего домена в дополнение к DKIM, во время проверки проверке DKIMзначение домена в поле d= в подписи DKIM в заголовке электронного письма должно совпадать с доменом, указанным в адресе отправителя. Это может быть либо строгое совпадение, при котором два домена должны точно совпадать, либо более мягкое совпадение, при котором для прохождения проверки достаточно совпадения организаций. 

Ошибка DKIM может возникнуть, если домен заголовка подписи DKIM не совпадает с доменом, указанным в заголовке «From», что может быть типичным случаем подделки домена или атаки с подражанием. 

3. Вы не настроили DKIM для сторонних поставщиков электронной почты

Если вы используете несколько сторонних поставщиков услуг электронной почты для отправки писем от имени вашей организации, вам необходимо связаться с ними, чтобы получить инструкции по активации DKIM для ваших исходящих писем. Если вы используете собственные пользовательские домены или поддомены, зарегистрированные на сторонних сервисах, для отправки писем своим клиентам, то обязательно попросить своего поставщика активировать DKIM для вас.

В идеале, если ваш сторонний поставщик помогает вам аутсорсить ваши электронные письма, он должен настроить ваш домен, опубликовав запись DKIM в своем DNS с использованием DKIM-селектора , который является уникальным для вас, без вашего вмешательства.

ИЛИ, 

Вы можете сгенерировать пару ключей DKIM и передать закрытый ключ поставщику электронной почты, а открытый ключ опубликовать на вашем собственном DNS.

Неправильная настройка может привести к сбою DKIM, поэтому вы должны открыто общаться со своим поставщиком услуг относительно вашей настройке DKIM

Примечание: Некоторые сторонние серверы обмена вставляют форматированные нижние колонтитулы в тело сообщения. Если эти серверы являются промежуточными серверами в процессе пересылки электронной почты, соединенный нижний колонтитул может быть фактором, способствующим сбою DKIM. 

4. Проблемы в связи с сервером

В некоторых ситуациях электронное письмо может быть отправлено с сервера, на котором отключена функция DKIM. В таких случаях DKIM не будет работать для этого электронного письма, даже если другие серверы в вашей инфраструктуре настроены правильно. Важно убедиться, что у всех участников связи DKIM активирован надлежащим образом. 

5. Изменения в теле сообщения агентами передачи почты (MTA)

В отличие от SPF, DKIM не проверяет IP-адрес отправителя или обратный путь при проверке подлинности сообщений. Вместо этого он гарантирует, что содержимое сообщения не было повреждено при передаче. Иногда участвующие MTA и агенты пересылки электронной почты могут изменять тело сообщения во время обертывания строк или форматирования содержимого, что может привести к сбою DKIM. 

Форматирование содержимого электронной почты, как правило, является автоматизированным процессом, обеспечивающим легкость восприятия сообщения каждым получателем. 

6. Перебои в работе DNS / простои DNS

Это распространенная причина сбоев DKIM. Перебои в работе DNS могут возникать по разным причинам, включая атаки типа "отказ в обслуживании". Причиной простоя DNS также может быть плановое обслуживание сервера имен. В течение этого (обычно короткого) периода времени серверы-получатели не могут выполнять DNS-запросы. 

Поскольку мы знаем, что DKIM существует в вашем DNS как запись TXT/CNAME, клиент-сервер выполняет поиск, чтобы запросить DNS отправителя для открытого ключа во время аутентификации. Во время перебоев это считается невозможным и, следовательно, может нарушить DKIM. 

7. Использование OpenDKIM

Реализация DKIM с открытым исходным кодом, известная как OpenDKIM , широко используется поставщиками почтовых ящиков, такими как Gmail, Outlook, Yahoo и т. д. OpenDKIM подключается к серверу через порт 8891 во время проверки. Иногда ошибки могут быть вызваны включением неправильных разрешений, из-за которых ваш сервер не может подключиться к вашему сокету. 

Проверьте свой каталог, чтобы убедиться, что вы правильно включили разрешения, или если вообще у вас есть каталог, настроенный для вашего сокета. 

Распространенные сообщения об ошибках DKIM и их значение

Понимание конкретных сообщений об ошибках DKIM поможет вам быстро выявить и устранить проблемы с аутентификацией. Ниже приведены наиболее распространенные сообщения об ошибках DKIM и их значение:

1. Результат аутентификации: dkim=neutral (плохой формат)

Автоматически создаваемые разрывы строк в записи DKIM могут вызвать сообщение об ошибке: dkim=neutral (плохой формат). Когда валидатор электронной почты соединяет вместе разорванные записи ресурсов во время проверки, он выдает неверное значение. Возможным решением является использование 1024-битных ключей DKIM (в отличие от 2048 бит), чтобы уложиться в 255-символьный лимит DNS. 

2. Результат аутентификации: dkim=fail (плохая подпись)

A DKIM-аутентификация не прошла может быть вызвана изменением содержимого тела сообщения третьей стороной, в результате чего заголовок подписи DKIM не совпадает с телом электронного письма. 

3. Результат аутентификации: dkim=fail (хэш тела DKIM-подписи не проверен)

«DKIM-signature body hash not verified» (Хеш тела DKIM-подписи не проверен) или «DKIM signature body hash did not verify» (Хеш тела DKIM-подписи не подтвержден) — два альтернативных результата, возвращаемых принимающим сервером для одной и той же ошибки, которая означает, что значение хеша тела DKIM (bh= тег) каким-то образом было изменено во время передачи. Даже если ваша пара ключей DKIM настроена правильно и у вас есть действительный открытый ключ, опубликованный в вашем DNS, незначительные изменения в значении хеша, такие как вставка пробелов или специальных символов, могут привести к сбою проверки хеша DKIM.

b Значение bh= может быть изменено по следующим причинам: 

  • Серверы-посредники, отвечающие за изменение содержимого почты 
  • Добавление колонтитулов электронной почты вашим поставщиком услуг электронной почты  

4. Результат аутентификации: dkim=fail (нет ключа для подписи)

Эта ошибка может быть результатом недействительного или отсутствующего открытого ключа в вашем DNS. Необходимо убедиться, что ваши открытый и закрытый ключи для DKIM совпадают и настроены правильно. Вы уверены, что ваша DNS-запись DKIM опубликована и действительна? Проверьте это прямо сейчас с помощью нашей бесплатной программы проверки DKIM-записей.

Как исправить сбои DKIM и предотвратить их повторное возникновение

Невозможно решить все вышеупомянутые проблемы, просто потому что их невозможно обойти. Однако мы собрали несколько полезных советов, которые вы можете использовать, чтобы минимизировать вероятность сбоя DKIM. 

  • Правильно сгенерируйте и опубликуйте запись DKIM. Используйте надежный генератор записей DKIM и скопируйте-вставьте значения, чтобы избежать синтаксических ошибок и усеченных ключей.
  • Проверьте вашу запись DKIM в DNS. Проверьте наличие отсутствующих селекторов, проблем с форматированием и проблем с распространением DNS с помощью средства проверки записей DKIM.
  • Используйте SPF и DMARC вместе с DKIM. DMARC может пройти, если проходит SPF или DKIM и согласовывается, что помогает уменьшить количество ложных отклонений, когда один из методов не проходит проверку.
  • Включить отчетность DMARC. Отчеты показывают, какие источники отправки не проходят проверку DKIM и как часто, чтобы вы могли исправить конкретный поток, а не гадать.
  • Проверяйте сторонних отправителей. Убедитесь, что каждый поставщик, отправляющий письма с использованием вашего домена, правильно настроен для подписи с помощью DKIM и соответствует вашему домену отправителя.
  • Постоянно контролируйте эффективность аутентификации. Отслеживайте тенденции сбоев DKIM с течением времени с помощью DMARC Reader , чтобы вовремя заметить всплески, прежде чем количество писем, попадающих в почтовый ящик, начнет падать.
  • Эскалируйте, если сбои продолжаются. Если DKIM продолжает давать сбой после проверки DNS и поставщика, обратитесь за помощью к экспертам от PowerDMARC для проверки подписи, маршрутизации и промежуточной обработки почты.

Обратите внимание, что мы рассмотрели некоторые распространенные сообщения об ошибках DKIM и их вероятные причины, а также предоставили возможные решение. Однако ошибки могут возникать по различным причинам, связанным с вашим доменом и серверами, которые не были рассмотрены в этой статье. 

Прежде чем внедрять протоколы аутентификации в своей организации или обеспечивать соблюдение политик, необходимо накопить достаточные знания о них. Отказ DKIM, отказ SPF или проверки DMARC может повлиять на доставляемость вашей электронной почты.  

Влияние пересылки электронной почты на DKIM и SPF

Пересылка электронной почты часто мешает аутентификации, поскольку сообщения проходят через один или несколько промежуточных серверов, прежде чем достигают конечного получателя.

Почему SPF не работает с пересланными электронными письмами

SPF проверяет, имеет ли IP-адрес отправителя право отправлять почту для домена, указанного в поле «Return-Path» (адрес отправителя). При автоматической пересылке электронного письма сервер пересылки становится видимым IP-адресом отправителя. Если этот сервер не указан в записи SPF исходного отправителя, SPF выдаст ошибку.

Примечание: SPF оценивается по IP-адресу пересылающего сервера, а не по серверу исходного отправителя, поэтому пересылаемые электронные письма часто не проходят проверку SPF, даже если исходная настройка верна.

Что происходит с DKIM при пересылке

DKIM может выдержать пересылку только в том случае, если сообщение остается неизменным после подписания. На практике многие службы пересылки и шлюзы безопасности изменяют электронные письма, добавляя нижние колонтитулы, заявления об ограничении ответственности или переделывая содержание. Даже незначительные изменения могут сделать подпись DKIM недействительной и привести к сбою аутентификации DKIM.

  • Подписывайте исходящую почту с помощью DKIM. DKIM повышает вероятность аутентификации пересланных писем, если их содержание не изменяется при передаче.
  • Используйте SRS (Sender Rewriting Scheme) в системах пересылки. SRS переписывает отправителя конверта, чтобы SPF мог правильно проверить подлинность после пересылки.
  • Избегайте добавления серверов переадресации в записи SPF. Такой подход затрудняет обслуживание и может привести к ограничению поиска SPF.

Настройка DKIM вместе с SPF является рекомендуемой практикой, однако она не является обязательной.

  • Если вы не хотите настраивать DKIM для своих доменов, но при этом хотите уменьшить количество ошибки SPF , вызванных переадресацией, используйте SRS (Sender Rewriting Scheme) или подходящий метод перенаправления в системе переадресации. SRS переписывает отправителя конверта (Return-Path), чтобы SPF мог правильно проверять после переадресации.
  • В противном случае, если вы контролируете инфраструктуру переадресации и она использует фиксированные исходящие серверы, вы можете авторизовать эти отправляющие IP-адреса в своей записи SPF. Этот подход сложнее в обслуживании и может столкнуться с ограничениями поиска SPF, поэтому его лучше использовать только в контролируемых средах.

Почему DKIM по-прежнему важен

DKIM — это метод аутентификации электронной почты, который подтверждает получающим серверам две вещи:

  1. сообщение было отправлено сервером, уполномоченным подписывать сообщения для домена, и
  2. подписанные части сообщения не были изменены во время передачи.

Это важно, потому что поставщики почтовых ящиков используют сигналы аутентификации, чтобы решить, доверять ли вашей почте. Когда DKIM постоянно дает сбой, вы теряете ключевой сигнал доверия, что может привести к помещению в спам, ограничению пропускной способности или отскокам, особенно при применении DMARC.

Если вы сегодня устраняете сбои DKIM, не останавливайтесь на «однажды прошло». Убедитесь, что каждый источник отправки (включая сторонние платформы) подписывается последовательно, и отслеживайте сбои с помощью отчетов DMARC, чтобы проблема не повторилась.

Вопросы и ответы

1. Что такое DKIM и зачем его настраивать?

DKIM (DomainKeys Identified Mail) — это метод аутентификации электронной почты, который добавляет криптографическую подпись к исходящим электронным письмам. Получающие серверы проверяют подпись с помощью открытого ключа, опубликованного в DNS вашего домена. Если подпись подтверждается, это означает, что сообщение не было изменено после подписания и что электронное письмо было отправлено через легитимную настройку DKIM-подписи для домена.

DKIM сам по себе не является спам-фильтром, но он является ключевым сигналом доверия, используемым вместе с SPF и DMARC для уменьшения количества поддельных писем и улучшения доставляемости.

2. Какие отправители не проходят проверку DKIM?

Неудача характерна для отправителей, которые:

  • неправильная настройка протокола
  • использовать 2048-битные ключи для неподдерживаемых провайдеров электронной почты
  • содержимое электронной почты было изменено сторонним посредником во время передачи сообщения

3. Может ли DMARC пройти, если DKIM не проходит?

Да, при условии, что SPF проходит для электронной почты. Если вы настроили DMARC и согласовали электронные письма с обоими SPF и DKIM , вам нужно пройти только одну из проверок (SPF или DKIM), чтобы пройти DMARC. Однако, если ваша DMARC-согласование основано только на аутентификации DKIM, DMARC не пройдет проверку, как и DKIM.

4. Почему мое сообщение заблокировано из-за сбоя DKIM?

Сообщения могут быть заблокированы при сбое DKIM, если сервер получателя имеет строгие политики аутентификации или если ваша политика DMARC установлена на «отклонить» и DKIM и SPF не проходят проверку соответствия.

5. Как проверить DKIM в заголовках электронных писем?

Найдите поле «DKIM-Signature» в заголовках электронного письма и проверьте поле «Authentication-Results» на наличие статуса DKIM. Вы можете просмотреть заголовки электронных писем в большинстве почтовых клиентов, выбрав «Просмотреть исходный код» или «Показать оригинал».

6. Может ли DKIM дать сбой, если SPF прошел?

Да, DKIM и SPF — это независимые методы аутентификации. DKIM может дать сбой из-за проблем с подписью, в то время как SPF проходит проверку на основе авторизации IP. Именно поэтому внедрение обоих протоколов обеспечивает более надежную защиту электронной почты.

Последние сообщения Maitham Al Lawati (см. все)
Последнее обновление:
Как исправить 550 SPF Check Failed [SOLVED]Как исправить ошибку 550 SPF Check Failed554 5.7.5 Постоянная ошибка при оценке политики DMARC554 5.7.5 Постоянная ошибка при оценке политики DMARC [SOLVED]