首页 1
博客 2
如何修复 DKIM 故障

如何修复 DKIM 故障

博客

电子邮件的 DKIM 失败会损害您的域名声誉并影响电子邮件的送达。使用此简单的分步教程修复所有 DKIM 故障。

作者：Maitham Al Lawati

2025 年 1 月 9 日

阅读时间 9 分钟

如何修复 DKIM 故障

目录-

DKIM 失败意味着什么？
使用 PowerDMARC 简化 DKIM 故障！
不同的 DKIM 验证失败结果
使用 PowerDMARC 避免 DKIM 失败！
如何阻止邮件的 DKIM 失败
- 如何修复 DKIM 故障？
电子邮件自动转发和DKIM Vs SPF
- 修复没有DKIM的问题
什么是DKIM，为什么需要设置它？
- DKIM 故障常见问题
  - 1.哪些发件人没有通过DKIM？
  - 2.如果 DKIM 不通过，DMARC 能否通过？

域名邮件的 DKIM 失败可能是由于 DKIM 协议的标识符对齐失败或您的记录设置存在问题。今天，我们将深入探讨 DKIM 规范如何验证您的域名、DKIM 可能对您的邮件失效的原因，以及如何通过分步指南轻松修复 DKIM。

主要收获

DKIM 失败的原因往往是DKIM 签名域和发件人头不匹配。
DKIM 记录语法错误、服务器通信和 DNS 停机都可能导致 DKIM 身份验证问题。
导致 DKIM 失效的常见原因包括第三方供应商配置不当以及在传输过程中对邮件正文进行修改。
利用可靠的 DKIM 记录生成器和监控 DMARC 报告可以大大减少 DKIM 失败的情况。
实施 SPF 和 DMARC 以及 DKIM 有助于提高电子邮件安全性，并确保电子邮件得到正确验证。

DKIM 失败意味着什么？

如果你为你的外发邮件激活了DKIM，接收服务器会通过将你的DKIM私钥与你的DNS上公布的公钥相匹配来验证邮件的真实性。如果是匹配，DKIM就会通过，否则DKIM就会失败。

DKIM failure refers to the failed status of your DKIM authentication check, due to a mismatch in the domains specified in the DKIM signature header and From header and inconsistencies among the key pair values.
<

使用 PowerDMARC 简化 DKIM 故障！

开始15天试用预定演示

h2>DKIM 失败的常见原因

1.DKIM记录的语法错误

如果您不使用可靠的 DKIM 记录生成器工具为您的域名手动设置来生成记录，您可能无法正确实施。DNS 记录中的语法错误会导致身份验证失败。

2.DKIM 检查对齐失败

如果您有 DMARC除了 DKIM 之外还为您的域名设置了 DMARC，那么在DKIM 检查期间，在 d=字段中的域值必须与发件人地址中的域值一致。这既可以是严格的对齐，即两个域必须完全匹配，也可以是宽松的对齐，即允许组织匹配以通过检查。

如果 DKIM 签名标头域与 From 标头中的域不匹配，可能会导致 DKIM 失败，这可能是典型的域欺骗或冒充攻击。

3.你没有为你的第三方电子邮件供应商设置DKIM

如果你使用几个第三方电子邮件供应商代表你的组织发送电子邮件，你需要与他们取得联系，了解如何为你的外发电子邮件激活DKIM。如果你使用你自己的自定义域名或在该第三方服务上注册的子域名来向你的客户发送电子邮件，请务必 要求你的供应商为你处理DKIM.

理想情况下，如果你的第三方供应商帮助你外包你的电子邮件，他们会通过在他们的DNS上发布一条DKIM记录来设置你的域名 在他们的DNS上使用对你来说独一无二的DKIM选择器，而不需要你去干涉。

或。

你可以生成一个DKIM密钥对，并将私钥交给你的电子邮件供应商，同时将公钥发布到 在你自己的DNS上.

配置错误也会导致 DKIM 失败，因此您必须就DKIM 设置与服务提供商进行公开沟通。

注释: 一些第三方交换服务器在邮件正文中诱导格式化的页脚。如果这些服务器是电子邮件转发过程中的中间服务器，连在一起的页脚可能是导致DKIM失败的一个因素。

4.服务器通信方面的问题

在某些情况下，电子邮件可能是从一个禁用了DKIM的服务器上发出的。在这种情况下，该邮件的DKIM将失效。确保通信方正确激活DKIM是很重要的。

5.邮件传输代理（MTA）对邮件正文的修改

与SPF不同，DKIM在验证邮件的真实性时并不验证发件人的IP地址或返回路径。相反，它确保邮件内容在传输过程中没有被篡改。有时，参与的MTA和电子邮件转发代理可能在行包装或内容格式化过程中改变邮件正文，这可能导致DKIM失败。

格式化电子邮件的内容通常是一个自动化的过程，以确保信息对每个收件人都容易理解。

6.DNS中断/DNS停机时间

这是 DKIM 失败的常见原因。DNS 中断的原因有很多，包括拒绝服务攻击。域名服务器的例行维护也可能是 DNS 停机的原因。在此期间（通常很短），收件人服务器无法执行 DNS 查询。

我们知道DKIM作为TXT/CNAME记录存在于你的DNS中，客户-服务器在认证过程中会执行查询，向发件人的DNS查询公钥。在停电期间，这被认为是不可能的，因此可能会破坏DKIM。

7.使用OpenDKIM

Gmail、Outlook、Yahoo等邮箱供应商通常使用一种开源的DKIM实现，即OpenDKIM。在验证过程中，OpenDKIM通过端口8891与服务器连接。有时，错误可能是由于启用了错误的权限，导致你的服务器无法与你的套接字绑定。

检查你的目录，以确保你正确地启用了权限，或者你是否为你的插座设置了一个目录。

不同的 DKIM 验证失败结果

1.认证结果：dkim=neutral（格式不好）。

在你的DKIM记录中自动生成的断行会提示错误信息：dkim=neutral（格式不好）。在验证过程中，当你的电子邮件验证器将断裂的资源记录连接在一起时，会产生一个错误的值。一个可能的解决方案是使用1024比特的DKIM密钥（而不是2048比特），以适应255个字符的DNS限制。

2.认证结果：dkim=fail（签名不良）。

DKIM 验证失败的原因可能是第三方修改了邮件正文的内容，导致 DKIM 签名头与邮件正文不匹配。

3.认证结果: dkim=fail (DKIM-签名体的哈希值没有得到验证)

"DKIM-签名体哈希值未验证 "或 "DKIM签名体哈希值未验证 "是接收服务器对同一错误返回的两个备选结果，这意味着DKIM体哈希值(bh=标签）在传输过程中以某种方式被改变了。即使你的DKIM密钥对设置正确，并且你有一个有效的公钥发布在你的DNS上，哈希值的微小修改，如插入空格或特殊字符，也会使你的主体哈希验证失败DKIM。

bh=标签值可能由于以下原因而被改变。

负责改变邮件内容的中介服务器
由你的电子邮件服务提供商添加电子邮件的页脚

4.认证结果：dkim=fail（没有签名的钥匙）

这个错误可能是由于你的DNS中的公钥无效或丢失的结果。你必须确保你的DKIM的公钥和私钥都是匹配的，并且是正确设置的。你确定你的DKIM DNS记录已经发布并且有效吗？现在就使用我们的免费DKIM记录检查器进行检查。

使用 PowerDMARC 避免 DKIM 失败！

开始15天试用预定演示

如何阻止邮件的 DKIM 失败

我们不可能解决上面提到的所有问题，因为它们不可能全部被绕过。然而，我们已经收集了一些有用的提示，你可以部署，以尽量减少你的DKIM失败的几率。

如何修复 DKIM 故障？

使用值得信赖的著名生成工具生成DKIM 记录，以获得准确的结果，并始终复制粘贴您的值以避免错误
检查你的DKIM记录是否有漏洞和错误
实施 SPF 和 DMARC，为防止域名欺骗和假冒提供额外的安全保障。DMARC 需要 SPF 或 DKIM 通过才能使邮件通过验证，因此，如果您的 DKIM 失败而 SPF 通过，您的邮件仍将通过 DMARC 并送达。
为您的域名启用DMARC 报告功能
在专用的 DMARC 阅读器仪表板
与你的电子邮件供应商就DKIM的设置进行详细讨论，他们是否支持该协议以及他们如何处理该协议。
通过注册我们的分析器进行免费的DMARC试用，从我们的DMARC专家团队那里获得关于你的电子邮件认证设置的专家建议。

请注意，我们已经涵盖了一些常见的DKIM失败提示及其 可能的的原因，同时提供了一个可能的围绕它们的解决方案。 然而，由于各种潜在的原因，可能会弹出错误，这些原因是针对你的域名和服务器的，本文没有涉及。

在企业实施或执行政策之前，您必须充分了解有关身份验证协议的知识。DKIM 失败、SPF 失败或 DMARC 验证都会影响电子邮件的可送达性。

电子邮件自动转发和DKIM Vs SPF

在自动转发的电子邮件中，由于一个或多个中介服务器的参与，电子邮件的标题被修改。被转发的邮件占用了这个第三方中介服务器的头信息，而这个第三方中介服务器可能被列为原发件人的SPF记录中的授权发送源，也可能没有。

如果它没有被包括在内，那么对该邮件来说，SPF 将失败。

由于 DKIM 签名包含在电子邮件正文中，因此转发对 DKIM 没有影响。因此，在现有 SPF 策略的基础上设置 DKIM 可以帮助您避免转发邮件出现不必要的 DKIM 验证失败。

修复没有DKIM的问题

将DKIM和SPF一起设置是一个推荐然而，这并不是强制性的做法。

如果您不想为域名设置 DKIM，但又想解决转发电子邮件的SPF 故障，可以使用一种称为电子邮件重定向的方法。邮件重定向可以保留邮件的原始标题。
否则，你也可以确保在你的域名的SPF记录中包括所有参与转发过程的中介服务器的IP地址。

什么是DKIM，为什么需要设置它？

DKIM是一个电子邮件认证系统，帮助你验证你的发送源的合法性，同时确保你的电子邮件的内容在整个发送过程中没有被改变。传递过程中保持不变。

如果要谈为什么我们需要为电子邮件设置 DKIM，我们就需要谈谈电子邮件是如何成为进行欺诈活动的媒介的。从网络钓鱼到域名欺骗的冒充攻击，以及恶意软件感染，都可以通过假冒电子邮件来实施。因此，企业需要建立过滤系统来验证电子邮件发件人的身份。这样做不仅能保护企业自身的声誉，还能防止数百万用户成为电子邮件骗局的受害者。如下文所述，DKIM 失败是指私钥与公钥不匹配。

DKIM就是这样一个电子邮件验证系统，它使用哈希值（私钥）来签署电子邮件信息，并与寄件人DNS中的公钥进行匹配。 使用DKIM签名的电子邮件具有很高的保护水平，可以防止恶意第三方的任何改动。

DKIM 故障常见问题

1.哪些发件人没有通过DKIM？

失败的典型情况是发件人：

协议配置不当
对不支持的电子邮件供应商使用2048位密钥
邮件内容在信息传输过程中被第三方中间人篡改。

2.如果 DKIM 不通过，DMARC 能否通过？

是的，只要电子邮件通过了 SPF。如果您已配置 DMARC 并根据SPF 和 DKIM机制对电子邮件进行了校准，则只需通过其中一项检查（SPF 或 DKIM）即可通过 DMARC。但是，如果您的DMARC 调整只依赖于 DKIM 身份验证，那么 DMARC 将失败，DKIM 也将失败。

关于
最新文章

Maitham Al Lawati

网络安全专家，PowerDMARC 首席执行官PowerDMARC

Maitham 是一位技术企业家、网络安全专家、PowerDMARC 首席执行官兼创始人，拥有 15 年以上的行业经验。Maitham 拥有曼彻斯特大学全球工商管理硕士学位以及 CISSP、CISM、CRISC 和 ISC2 CCSP 等多项专业认证。

Maitham Al Lawati发表的最新文章(查看全部)

如何创建和发布 DMARC 记录- 2025 年 3 月 3 日
如何在 2025 年修复 "未找到 SPF 记录- 2025 年 1 月 21 日
如何阅读 DMARC 报告- 2025 年 1 月 19 日