Tag Archive for: varför misslyckas DKIM

Varför misslyckas DKIM?

Om DKIM misslyckas för din domäns meddelanden kan det bero på att identifieraren inte anpassats för DKIM-protokollet eller på problem i din registeruppsättning. Idag ska vi dyka ner i hur DKIM-specifikationen autentiserar dina domäner, varför DKIM kan misslyckas med dina meddelanden och hur du enkelt kan åtgärda DKIM-fel med hjälp av några tips och tricks.

Vad är DKIM och varför måste du konfigurera det?

DKIM är ett system för autentisering av e-post som hjälper dig att verifiera legitimiteten hos dina avsändarkällor och samtidigt se till att innehållet i ditt e-postmeddelande är oförändrat under hela leveransprocessen.

Om vi ska tala om varför vi behöver en DKIM-inställning för våra e-postmeddelanden måste vi tala om hur e-post kan bli ett medel för att utföra bedrägliga aktiviteter. Angrepp som går från nätfiske till domänförfalskning och infektioner med skadlig programvara kan utföras med hjälp av falska e-postmeddelanden. Det är därför företag måste inrätta ett filtreringssystem för att autentisera avsändare av e-postmeddelanden. Genom att göra det skyddar de inte bara sitt eget rykte utan förhindrar också att miljontals användare faller offer för e-postbedrägerier.  

DKIM är ett sådant system för verifiering av e-post som använder ett hashvärde (privat nyckel) för att signera e-postinformation som matchas mot den offentliga nyckeln i avsändarens DNS. E-postmeddelanden som är digitalt signerade med en DKIM-signatur har en hög skyddsnivå mot ändringar från en illvillig tredje part.

Automatisk vidarebefordran av e-post och DKIM Vs SPF

DKIM misslyckas

I automatiskt vidarebefordrad e-post ändras e-posthuvudet på grund av att en eller flera mellanliggande servrar är inblandade. Det vidarebefordrade meddelandet tar upp rubrikinformationen från denna tredjepartsserver, som kanske eller kanske inte finns med som en auktoriserad avsändarkälla i den ursprungliga avsändarens SPF-post. 

Om det inte ingår kommer SPF att misslyckas för det meddelandet. 

Eftersom DKIM-signaturer ingår i e-postkroppen har vidarebefordran ingen effekt på DKIM. Därför kan du genom att ställa in DKIM ovanpå din befintliga SPF-policy undvika oönskade autentiseringsfel för dina vidarebefordrade meddelanden. 

Lösa problemet utan DKIM

Att ställa in DKIM tillsammans med SPF är en rekommenderas men det är inte obligatoriskt.

  • Om du inte vill konfigurera DKIM för dina domäner men ändå vill lösa SPF-fel för dina vidarebefordrade e-postmeddelanden kan du använda en metod som kallas e-postomdirigering. Om du omdirigerar din e-post behåller du de ursprungliga rubrikerna för dina meddelanden.  
  • Annars kan du också se till att IP-adresserna för alla mellanliggande servrar som deltar i vidarebefordringsprocessen finns med i domänens SPF-post. 

DKIM-fel Betydelse

Om du har DKIM aktiverat för utgående e-post, kontrollerar mottagande servrar e-postens äkthet genom att matcha din privata DKIM-nyckel med den offentliga nyckel som publiceras på din DNS. Om det är en matchning godkänns DKIM för meddelandet, annars misslyckas DKIM.

Vad betyder DKIM Fail?

DKIM-fel avser misslyckad status för din DKIM-autentiseringskontroll på grund av att domänerna som anges i DKIM-signaturhuvudet och From-huvudet inte stämmer överens och att det finns inkonsekvenser mellan nyckelparvärdena.

Testfall för DKIM misslyckas

1. Fel i syntaxen för DKIM-post

DKIM misslyckas

 

Om du inte använder en pålitlig DKIM-postgenerator verktyg för att generera din post genom att försöka konfigurera den manuellt för din domän, kan du implementera den felaktigt. Syntaktiska fel i dina DNS-poster kan leda till att autentiseringen misslyckas, och i det här fallet misslyckas DKIM.

2. Fel i anpassningen av DKIM-identifierare

Om du har DMARC har konfigurerat för din domän utöver DKIM, kommer domänvärdet i d= fältet i DKIM-signaturen i e-posthuvudet måste överensstämma med domänen i från-adressen. Det kan antingen vara en strikt anpassning, där de två domänerna måste stämma exakt överens, eller en avslappnad anpassning som tillåter en organisatorisk överensstämmelse för att klara kontrollen.

Ett DKIM-fel kan uppstå om DKIM-signaturhuvudets domän inte stämmer överens med domänen i From-huvudet, vilket kan vara ett typiskt fall av domänförfalskning eller personangrepp. 

3. Du har inte konfigurerat DKIM för dina tredjepartsleverantörer av e-post.

Om du använder flera tredjepartsleverantörer för att skicka e-post för din organisations räkning måste du kontakta dem för att få instruktioner om hur du aktiverar DKIM för din utgående e-post. Om du använder dina egna anpassade domäner eller underdomäner som är registrerade på denna tredjepartstjänst för att skicka e-post till dina kunder, ska du se till att begära att din leverantör hanterar DKIM åt dig.

Om din tredjepartsleverantör hjälper dig att outsourca din e-post, skulle de helst ställa in din domän genom att publicera en DKIM-post. på deras DNS med hjälp av en DKIM-selektor som är unik för dig, utan att du behöver göra något åt saken.

OR, 

Du kan generera ett DKIM-nyckelpar och överlämna den privata nyckeln till din e-postleverantör samtidigt som du publicerar den offentliga nyckeln. på din egen DNS.

Felkonfigurationer kan leda till att DKIM misslyckas, så det är viktigt att du kommunicerar öppet med din tjänsteleverantör om din DKIM-inställning. 

Obs: Vissa utbytesservrar från tredje part innehåller formaterade sidfötter i meddelandekroppen. Om dessa servrar är mellanservrar i en vidarebefordringsprocess för e-post kan den sammanfogade sidfoten vara en bidragande faktor till att DKIM misslyckas.

4. Problem i serverkommunikationen

I vissa situationer kan e-postmeddelandet skickas från en server där DKIM är inaktiverat. I sådana fall kommer DKIM att misslyckas för det e-postmeddelandet. Det är viktigt att se till att de kommunicerande parterna har DKIM aktiverat på rätt sätt. 

5. Ändringar i meddelandekroppen av Mail Transfer Agents (MTA)

Till skillnad från SPF kontrollerar DKIM inte avsändarens IP-adress eller returväg när det gäller att verifiera meddelandenas äkthet. Istället säkerställs det att meddelandets innehåll inte har manipulerats under transporten. Ibland kan deltagande MTA:er och vidarebefordringsagenter för e-post ändra meddelandekroppen under radomvandling eller innehållsformatering, vilket kan leda till att DKIM misslyckas. 

Formatering av e-postinnehållet är vanligtvis en automatiserad process för att se till att meddelandet är lättförståeligt för varje mottagare. 

6. DNS-avbrott / DNS-nedtid

Detta är en vanlig orsak till autentiseringsfel, inklusive DKIM-fel. DNS-bortfall kan uppstå på grund av olika orsaker, inklusive överbelastningsattacker. Rutinunderhåll av din namnserver kan också vara orsaken till ett DNS-avbrott. Under denna (vanligtvis korta) tidsperiod kan mottagarservrarna inte utföra DNS-frågor. 

Eftersom vi vet att DKIM finns i din DNS som en TXT/CNAME-post, gör klient-servern en sökning för att fråga avsändarens DNS efter den offentliga nyckeln under autentiseringen. Under ett avbrott bedöms detta inte vara möjligt och kan därför bryta DKIM. 

7. Användning av OpenDKIM

En DKIM-implementering med öppen källkod, OpenDKIM, används ofta av brevlådeoperatörer som Gmail, Outlook, Yahoo osv. OpenDKIM ansluter till servern via port 8891 under verifieringen. Ibland kan fel orsakas av att fel behörigheter aktiveras, vilket gör att servern inte kan binda till din socket. 

Kontrollera din katalog för att se till att du har aktiverat behörigheter på rätt sätt, eller om du överhuvudtaget har en katalog för din socket. 

Misslyckade resultat av DKIM-autentisering

1. Autentiseringsresultat: dkim=neutral (dåligt format)

Automatiskt genererade radbrytningar i din DKIM-post kan leda till felmeddelandet: dkim=neutral (dåligt format). När e-postvalideringssystemet kopplar ihop de avbrutna resursposterna under verifieringen får det fel värde. En möjlig lösning är att använda DKIM-nycklar med 1024 bitar (i stället för 2048 bitar) för att få plats inom DNS:s 255-teckengräns. 

2. Autentiseringsresultat: dkim=fail (dålig signatur)

Detta kan vara ett möjligt resultat av att en tredje part har ändrat innehållet i meddelandekroppen och att DKIM-signaturhuvudet därför inte stämmer överens med e-postmeddelandekroppen. 

3. Autentiseringsresultat: dkim=fail (DKIM-signaturens hash-kod inte verifierad)

"DKIM-signature body hash not verified" eller "DKIM signature body hash did not verify" är två alternativa resultat som returneras av den mottagande servern för samma fel som innebär att DKIM body hash-värdet (bh= taggen) på något sätt har ändrats under transporten. Även om DKIM-nyckelparet är korrekt inställt och du har en giltig offentlig nyckel publicerad på din DNS, kan mindre ändringar i hashvärdet, t.ex. genom att man lägger in mellanslag eller specialtecken, göra att kontrollen av kroppshashen misslyckas för DKIM.

Värdet för bh=-taggen kan ändras av följande skäl: 

  • Mellanservrar som ansvarar för att ändra postens innehåll 
  • Tillägg av fotnoter till e-postmeddelanden från din e-postleverantör  

4. Autentiseringsresultat: dkim=fail (ingen nyckel för signatur)

Det här felet kan bero på att den offentliga nyckeln i din DNS är ogiltig eller saknas. Det är viktigt att du ser till att både din offentliga och privata nyckel för DKIM matchar och är korrekt konfigurerad. Är du säker på att din DKIM DNS-post är publicerad och giltig? Kontrollera det nu med hjälp av vår kostnadsfria DKIM-postkontroll. 

Hur förhindrar du att DKIM misslyckas med dina meddelanden?

DKIM misslyckas

Det är inte möjligt att ta itu med alla de frågor som nämns ovan, eftersom de inte alla kan kringgås. Vi har dock samlat några användbara tips som du kan använda för att minimera risken för att DKIM misslyckas. 

Hur löser jag DKIM-problem?

  • Generera din DKIM-post med hjälp av ett pålitligt och välkänt verktyg för att få exakta resultat, och kopiera alltid dina värden för att undvika fel.
  • Kontrollera din DKIM-post för luckor och fel 
  • Implementera SPF och DMARC för ytterligare ett säkerhetslager mot domänförfalskning och personifiering. DMARC kräver att antingen SPF eller DKIM godkänns för att meddelanden ska godkännas, vilket innebär att om DKIM misslyckas och SPF godkänns kommer dina meddelanden ändå att godkännas av DMARC och levereras.
  • Aktivera DMARC-rapportering för dina domäner 
  • Övervaka dina rapporter om DKIM-fel och autentiseringsresultat på en dedikerad analysator för DMARC-rapporter instrumentpanel
  • Ha en detaljerad diskussion med dina e-postleverantörer om DKIM-inställningar, om de stöder protokollet och hur de hanterar det. 
  • Få expertråd om dina inställningar för e-postautentisering från vårt team av DMARC-specialister genom att registrera dig för en gratis DMARC-testperiod med vår analysator.  

Observera att vi har behandlat några vanliga DKIM-felmeddelanden och deras sannolika orsaker samtidigt som vi ger en möjlig lösning för att komma runt dem. Fel kan dock uppstå på grund av olika underliggande orsaker som är specifika för din domän och dina servrar och som inte har behandlats i den här artikeln.

Det är viktigt att du bygger upp din kunskap om autentiseringsprotokoll tillräckligt mycket innan du implementerar dem i din organisation eller tillämpar dina policyer. Om DKIM misslyckas eller SPF- eller DMARC-validering misslyckas kan det påverka leveransbarheten för ditt e-postmeddelande.  

Vanliga frågor om DKIM Fail

1. Vilka avsändare misslyckas med DKIM?

DKIM-fel är typiskt för avsändare som:

  • konfigurera protokollet felaktigt
  • använda 2048-bitars nycklar för e-postleverantörer som inte stöds
  • innehållet i e-postmeddelandet har ändrats av en tredje part under överföringen av meddelandet

2. Kan DMARC godkännas om DKIM misslyckas?

Ja, förutsatt att SPF godkänns för e-postmeddelandet. Om du har konfigurerat DMARC och anpassat e-postmeddelanden mot både SPF- och DKIM-mekanismerna behöver du bara klara en av kontrollerna (antingen SPF eller DKIM) för att klara DMARC. Om din DMARC-anpassning endast bygger på DKIM-autentisering kommer DMARC dock att misslyckas när DKIM misslyckas.

DKIM misslyckas

/av