Inhalt des Artikels
- Ein DKIM-Fehler bedeutet, dass ein empfangender Server die an eine E-Mail angehängte DKIM-Signatur nicht überprüfen konnte.
- Die meisten DKIM-Fehler sind auf DNS-Fehler, Änderungen an der Nachricht nach der Signierung, Nichtübereinstimmungen bei Selektoren oder Schlüsseln oder Abgleichlücken zurückzuführen.
- Ein DKIM-Fehler ist nicht dasselbe wie das Fehlen einer DKIM-Signatur, und er ist auch nicht immer gleichbedeutend mit einem DMARC-Fehler.
- SPF wird bei der Weiterleitung von E-Mails häufig unwirksam, während DKIM die Weiterleitung übersteht, sofern die Nachricht unverändert bleibt.
- Nachhaltige Lösungen erfordern in der Regel eine bessere DNS-Verwaltung, einen übersichtlicheren E-Mail-Verkehr, eine strengere Kontrolle der Absender sowie eine kontinuierliche Überwachung der Protokolle DKIM, SPF und DMARC.
Was bedeutet ein DKIM-Fehler?
Ein DKIM-Fehler bedeutet, dass ein empfangender Server die an eine E-Mail angehängte kryptografische Signatur nicht validieren konnte. Bei „“(DomainKeys Identified Mail) signiert das sendende System Teile der Nachricht mit einem privaten Schlüssel, und der empfangende Server überprüft diese Signatur anhand des im DNS veröffentlichten öffentlichen Schlüssels.
Ein Fehler tritt in der Regel aus einem von zwei Gründen auf: Entweder stimmt die Nachricht nicht mehr mit dem ursprünglich signierten Inhalt überein, oder der empfangende Server unter kann den richtigen öffentlichen Schlüssel nicht abrufen oder validieren. In diesem Fall besteht für die Nachricht möglicherweise ein erhöhtes Risiko, als Spam eingestuft zu werden ( ), eine verminderte Zustellbarkeit oder eine vollständige Ablehnung, einschließlich Fehlermeldungen wie „550 DKIM-Validierung fehlgeschlagen“.
Außerdem hilft es dabei, DKIM-Fehler von damit zusammenhängenden Ergebnissen zu unterscheiden:
- Ein DKIM-Fehler bedeutet, dass zwar eine DKIM-Signatur vorhanden ist, diese jedoch nicht validiert werden kann.
- Das Fehlen einer DKIM-Signatur bedeutet, dass die Nachricht von vornherein nie signiert wurde.
- Ein DMARC-Fehler ist umfassender und hängt davon ab, ob DKIM oder SPF mit korrekter Abstimmung erfolgreich sind.
Arten von DKIM-Fehlern
DKIM-Fehler treten nicht alle aus demselben Grund auf. Die unten aufgeführten häufigsten Fälle veranschaulichen, wo es bei DKIM zu Fehlern kommen kann und welche „ “ in der Regel die jeweiligen Probleme verursachen.
Fehler in der Syntax des DKIM-Eintrags
Ein fehlerhafter DKIM-Eintrag ist eine der unmittelbarsten Ursachen für einen DKIM-Fehler. Unterbrochene Zeichenfolgen, fehlende Tags, ungültige Zeichen in der „ “ oder Fehler bei der Veröffentlichung können dazu führen, dass der empfangende Server den öffentlichen Schlüssel nicht korrekt lesen kann.
Fehler bei der DKIM-Signaturabgleichung
Eine Nachricht kann die DKIM-Überprüfung bestehen und dennoch ein DMARC-Problem verursachen, wenn die signierende Domäne nicht mit der in „ “ angezeigten „From“-Domäne übereinstimmt. In diesem Fall wird DKIM zwar technisch gesehen bestanden, erfüllt jedoch nicht die Anforderungen an die DMARC -Ausrichtung.
Für Dienste von Drittanbietern ist kein DKIM konfiguriert
Tools von Drittanbietern versenden E-Mails häufig im Namen einer Domain, doch nicht alle sind standardmäßig für die DKIM-Signatur unter konfiguriert. Sollten diese Dienste nicht korrekt eingerichtet sein, können ihre E-Mail-Ströme die DKIM-Prüfung nicht bestehen oder zu umfassenderen Problemen bei der Authentifizierung unter führen.
Probleme bei der Serverkommunikation
Probleme im Sendepfad, in der Relaiskette oder in der Empfangsumgebung können die Erstellung, Übertragung oder Validierung der DKIM-Signatur beeinträchtigen . Diese Fälle sind weniger offensichtlich als DNS-Fehler, können jedoch dennoch die DKIM- -Authentifizierung beeinträchtigen.
Änderungen an Nachrichten durch MTAs
Dies ist eine der häufigsten Ursachen für Fehler bei der DKIM-Signatur. Sollte ein MTA, ein Gateway, ein Weiterleitungstool oder eine Sicherheits sschicht den Nachrichtentext oder die signierten Kopfzeilen nach der DKIM-Signierung ändern, stimmt die ursprüngliche Signatur möglicherweise nicht mehr mit der Nachricht überein.
DNS-Ausfall oder DNS-Ausfallzeit
Die DKIM-Überprüfung hängt von der Verfügbarkeit des DNS ab. Wenn der empfangende Server den öffentlichen Schlüssel aufgrund von Ausfällen der DNS- s oder Problemen bei der Abfrage nicht abrufen kann, kann die DKIM-Validierung fehlschlagen, selbst wenn die E-Mail korrekt signiert wurde.
Fehlerhafte Konfiguration von OpenDKIM
Wenn OpenDKIM verwendet wird, können DKIM-Fehler auf Nichtübereinstimmungen bei den Selektoren, Fehler in der Signiertabelle oder falsche Verweise auf Schlüsseldateien unter zurückzuführen sein. Diese Konfigurationsprobleme äußern sich häufig in Form von allgemeinen DKIM-Fehlern, sofern die Signaturkonfiguration nicht unter genau überprüft wird.
Falsche Absender-IDs
Eine Nichtübereinstimmung zwischen der signierten Domäne, der sichtbaren „From“-Domäne und der Absenderidentität kann zu Problemen bei der Zuordnung und der Authentifizierungs führen. Dies gewinnt an Bedeutung, sobald die DMARC-Durchsetzung in Kraft tritt.
Abgelaufene oder fehlende Schlüssel
Falls der erforderliche öffentliche Schlüssel im DNS fehlt, zu früh entfernt wurde oder nicht mehr mit dem aktiven privaten Schlüssel übereinstimmt, schlägt die DKIM- -Überprüfung fehl. Dies geschieht häufig bei unvollständigen Schlüsselwechseln oder bei einer fehlerhaften DNS-Synchronisation.
Häufige DKIM-Fehlermeldungen
DKIM-Fehler lassen sich häufig anhand spezifischer Authentifizierungsergebnisse in den Nachrichtenkopfzeilen oder E-Mail-Protokollen erkennen. Die folgenden Meldungen zu häufigen Fehlern unter können Ihnen Aufschluss darüber geben, ob das Problem mit der Formatierung, dem Abruf von Schlüsseln oder Änderungen an der Nachricht nach der Signierung zusammenhängt.
dkim=neutral (falsches Format)
Dies bedeutet in der Regel, dass zwar ein DKIM-Eintrag vom Typ „“oder eine DKIM-Signatur vom Typ „“ vorhanden ist, die Struktur jedoch fehlerhaft oder im erwarteten Format nicht lesbar ist. Das Problem liegt häufig in der Syntax des DKIM-Eintrags „ “ und nicht im E-Mail-Datenstrom selbst.
dkim=fail (fehlerhafte Signatur)
Das bedeutet, dass der empfangende Server eine DKIM-Signatur gefunden hat, der öffentliche Schlüssel diese jedoch nicht validieren konnte. Zu den häufigen Ursachen für „ “ gehören Änderungen an der Nachricht nach der Signierung, Nichtübereinstimmungen bei Selektoren oder Nichtübereinstimmungen bei Schlüsseln.
dkim=fail (DKIM-Signatur-Hash des Textkörpers nicht verifiziert)
Dies deutet auf eine Nichtübereinstimmung des Body-Hashs hin. In den meisten Fällen bedeutet dies, dass sich der Inhalt der E-Mail geändert hat, nachdem die ursprüngliche DKIM-Signierung stattgefunden hat.
dkim=fail (kein Schlüssel für die Signatur)
Dies bedeutet, dass der empfangende Server im DNS keinen gültigen öffentlichen Schlüssel für den Selektor und die Domäne finden konnte, die in der „ “-Signatur angegeben sind. Die Ursache ist häufig ein fehlender TXT-Eintrag, eine Nichtübereinstimmung des Selektors oder eine Verzögerung bei der DNS-Propagierung.
Diese Meldungen sind hilfreich, da sie eine schnellere Eingrenzung des Problems ermöglichen. Sobald Sie wissen, ob das Problem auf die Syntax, die Schlüsselabfrage oder auf Änderungen an der Nachricht nach der Signierung zurückzuführen ist, besteht der nächste Schritt darin, die zugrunde liegende Ursache zu beheben und sicherzustellen, dass es nicht erneut auftritt.
So beheben Sie DKIM-Fehler und verhindern, dass diese auftreten
Um DKIM-Fehler zu beheben, müssen in der Regel mehrere Abschnitte des E-Mail-Flusses überprüft werden. Die folgenden Schritte konzentrieren sich auf die häufigsten Stellen, an denen es bei DKIM zu Fehlern kommt, sowie auf die praktischen Änderungen, die dazu beitragen, ein erneutes Auftreten derselben Probleme zu verhindern.
1. Überprüfen Sie die DNS-Einträge und die Übereinstimmung der Selektoren
Vergewissern Sie sich zunächst, dass der öffentliche DKIM-Schlüssel im DNS veröffentlicht und zugänglich ist und mit demselben Selektor verknüpft ist, der unter im E-Mail-Header angegeben ist. Wenn der Selektor in der Nachricht nicht mit dem Selektor im DNS übereinstimmt, schlägt die DKIM-Validierung fehl.
2. Korrektur von Syntax- und Formatierungsfehlern
Erstellen Sie fehlerhafte DKIM-Einträge sorgfältig neu, anstatt sie blindlings zu korrigieren. Überprüfen Sie die Datei auf Formatierungsfehler, abgeschnittene Inhalte, fehlende Tags und eine falsche Platzierung der TXT-Einträge. Kleine DNS-Fehler können zu wiederkehrenden DKIM-Problemen führen.
3. E-Mail-Inhalt nach dem Signieren überprüfen
Eine DKIM-Signatur kann auch dann fehlschlagen, wenn die Schlüsselkonfiguration korrekt ist, sofern sich die Nachricht nach der Signierung ändert. Stellen Sie sicher, dass kein nachgeschaltetes System von den Textkörper oder die signierten Kopfzeilen nach der Anwendung von DKIM verändert.
4. E-Mail-Gateways und -Relays überprüfen
Gateways, Weiterleitungsdienste, Tools für sichere E-Mail-Kommunikation und MTAs können alle Teile einer Nachricht umschreiben. Wenn Sie einen DKIM-Fehler bei „ “ beheben möchten, überprüfen Sie bitte den gesamten Zustellungsweg und nicht nur den ursprünglichen Mailserver.
5. Warten Sie, bis die DNS-Änderungen übernommen sind
Falls Sie den DKIM-Eintrag aktualisiert oder den Selektor gewechselt haben, warten Sie bitte, bis die DNS-Änderungen übernommen wurden, bevor Sie den Test erneut durchführen. Ein neuer Eintrag unter kann den Anschein erwecken, als sei er fehlerhaft, einfach weil die Änderung noch nicht bei allen Resolvern sichtbar ist.
6. Überprüfung von externen Absendern
Jeder externe Dienst, der Ihre Domain nutzt, sollte überprüft werden. Vergewissern Sie sich, dass jede einzelne für die DKIM-Signierung konfiguriert ist, dass „ “ die vorgesehene Domäne verwendet und das von Ihrer DMARC-Richtlinie geforderte Zuordnungsmodell unterstützt.
7. Überprüfen Sie erneut die Identität und Ausrichtung des Senders
Stellen Sie sicher, dass die DKIM-Signaturdomäne und die sichtbare „From“-Domäne so eingerichtet sind, dass eine gültige Übereinstimmung gewährleistet ist. Eine gute DKIM-Signatur allein reicht nicht aus, wenn die Domänenzuordnung für die DMARC-Authentifizierung falsch ist.
Bewährte Verfahren zur Vermeidung von DKIM-Fehlern
Um die Anzahl der DKIM-Fehler im Laufe der Zeit zu reduzieren, sind einige konsequente Wartungsmaßnahmen erforderlich. Diese bewährten Vorgehensweisen tragen dazu bei, dass Probleme mit der Signatur, dem DNS und der Übereinstimmung von „ “ nicht zu wiederkehrenden Authentifizierungsproblemen führen.
- Wechseln Sie die DKIM-Schlüssel regelmäßig aus, damit alte Schlüssel nicht zu lange im Umlauf bleiben.
- Überprüfen Sie die DNS-Konfigurationen vor und nach jeder Änderung noch einmal sorgfältig.
- Verwenden Sie starke kryptografische Standards und vermeiden Sie veraltete Schlüsseleinstellungen.
- Vermeiden Sie Inhaltsänderungen nach der Signierung, indem Sie die DKIM-Signierung so spät wie möglich im Zustellungspfad durchführen.
- Verwenden Sie TLS konsequent bei der Datenübertragung, um das Risiko einer Manipulation der Nachrichten zu verringern.
- Aktivieren Sie DMARC-Berichterstellung , damit wiederkehrende Authentifizierungsprobleme leichter frühzeitig erkannt werden können.
Diese Vorgehensweisen werden zwar nicht jedes DKIM-Problem verhindern, tragen jedoch dazu bei, dass Fehler leichter vermieden und schneller diagnostiziert werden können. Je konsequenter diese Maßnahmen umgesetzt werden, desto stabiler wird Ihre E-Mail-Authentifizierung.
Auswirkungen der E-Mail-Weiterleitung auf DKIM und SPF
Die E-Mail-Weiterleitung kann sich auf verschiedene Weise auf , SPF und DKIM auswirken. Das Verständnis dieses Unterschieds hilft zu erklären, warum eine weitergeleitete Nachricht auch dann noch als legitim gelten kann, wenn eine Authentifizierungsprüfung fehlschlägt.
Wie sich die E-Mail-Weiterleitung auf SPF auswirkt
SPF schlägt nach der E-Mail-Weiterleitung häufig fehl, da der Weiterleitungsserver in der Regel nicht im SPF-Eintrag des ursprünglichen Absenders unter autorisiert ist. Die weitergeleitete E-Mail mag zwar weiterhin legitim sein, doch der empfangende Server erkennt eine andere Absender-IP-Adresse als die, die SPF erwartet.
Wie sich die E-Mail-Weiterleitung auf DKIM auswirkt
DKIM bleibt bei der Weiterleitung von E-Mails erhalten, sofern die Nachricht unverändert bleibt und die ursprüngliche Signatur intakt bleibt. Wenn der Weiterleitungsdienst „ “ jedoch die Kopfzeilen oder den Inhalt der Nachricht verändert, kann die DKIM-Überprüfung fehlschlagen, da die signierte Nachricht nicht mehr mit der ursprünglichen Signatur übereinstimmt.
Aus diesem Grund führt die Weiterleitung häufig zu uneinheitlichen Authentifizierungsergebnissen. SPF versagt eher bei der Weiterleitung, während DKIM weiterhin funktioniert, wenn die Nachricht unverändert bleibt.
DKIM-Fehler vorbeugen
Die meisten DKIM-Fehler lassen sich auf dieselben Ursachen zurückführen: DNS-Fehler, Änderungen an der Nachricht nach der Signierung, fehlende oder nicht übereinstimmende Schlüssel sowie Abweichungen bei der Ausrichtung. Um diese Probleme zu beheben, muss in der Regel der gesamte Prozess überprüft werden – von der DKIM-Signierung über die Veröffentlichung der DNS- s bis hin zum weiteren Zustellungsverhalten.
Eine konsequente Validierung und Überwachung sind ebenso wichtig wie die ursprüngliche Fehlerbehebung. Für Unternehmen, die mehrere „ “-Domains, Absender von Drittanbietern und mehrschichtige E-Mail-Umgebungen verwalten, können die Funktionen von Mimecasts E-Mail-Sicherheits- und E-Mail-Authentifizierungs -Lösung dazu beitragen, den Überblick über DKIM, SPF und DMARC in der gesamten Versandumgebung zu verbessern.
