Errori DKIM: tipologie di errori e come risolverli

Cosa significa un errore DKIM?

Un errore DKIM indica che il server di ricezione non è riuscito a convalidare la firma crittografica allegata a un’e-mail. Nel protocollo DomainKeys Identified Mail (), il sistema mittente firma alcune parti del messaggio con una chiave privata, mentre il server ricevente verifica la validità di tale firma confrontandola con la chiave pubblica pubblicata nel DNS.

L'errore si verifica solitamente per uno dei due motivi seguenti: il messaggio non corrisponde più a quanto originariamente firmato, oppure il server di ricezione non è in grado di recuperare o convalidare la chiave pubblica corretta. Quando ciò accade, il messaggio potrebbe essere esposto a un maggiore rischio di spam , a una ridotta capacità di consegna o al rifiuto definitivo, con errori quali “550 DKIM validation failed”.

Inoltre, ciò aiuta a distinguere gli errori DKIM dai risultati correlati:

• Un errore DKIM indica che è presente una firma DKIM, ma che questa non risulta valida.
• L'assenza di una firma DKIM indica che il messaggio non è mai stato firmato.
• L'errore DMARC ha una portata più ampia e dipende dal fatto che DKIM o SPF superino il controllo con un allineamento corretto.

Tipi di errori DKIM

Gli errori DKIM non si verificano tutti per lo stesso motivo. I casi più comuni riportati di seguito illustrano in quali situazioni il DKIM può non funzionare correttamente e quali sono le cause più frequenti di ciascun problema .

Errore nella sintassi del record DKIM

Un record DKIM non corretto è una delle cause più dirette del fallimento del DKIM. Stringhe interrotte, tag mancanti, caratteri non validi o errori di pubblicazione possono impedire al server ricevente di leggere correttamente la chiave pubblica.

Errore di allineamento della firma DKIM

Un messaggio può superare la verifica DKIM e tuttavia causare un problema DMARC se il dominio di firma non corrisponde al dominio "From" visibile all'indirizzo . In tal caso, il DKIM risulta tecnicamente valido, ma non soddisfa i requisiti di allineamento DMARC.

Nessuna configurazione DKIM per i servizi di terze parti

Gli strumenti di terze parti spesso inviano e-mail per conto di un dominio, ma non tutti sono configurati di default per la firma DKIM da parte di . Se tali servizi non sono configurati correttamente, i loro flussi di posta potrebbero non superare la verifica DKIM o contribuire a problemi più ampi di autenticazione .

Problemi relativi alla comunicazione con il server

Eventuali problemi nel percorso di invio, nella catena di inoltro o nell’ambiente di ricezione possono interferire con il modo in cui la firma DKIM viene generata, trasmessa o convalidata . Questi casi sono meno evidenti degli errori relativi al DNS, ma possono comunque compromettere l’autenticazione DKIM .

Modifiche ai messaggi da parte degli MTA

Questa è una delle cause più comuni di errori nella firma DKIM. Se un MTA, un gateway, uno strumento di inoltro o un livello di sicurezza modifica il corpo o le intestazioni firmate dopo la firma DKIM, la firma originale potrebbe non corrispondere più al messaggio.

Interruzione del servizio DNS o inattività del DNS

La verifica DKIM dipende dalla disponibilità del DNS. Se il server destinatario non è in grado di recuperare la chiave pubblica a causa di un'interruzione del servizio DNS o di problemi di ricerca, la convalida DKIM potrebbe fallire anche se l'e-mail è stata firmata correttamente.

Configurazione errata di OpenDKIM

Quando si utilizza OpenDKIM, un errore DKIM può derivare da discrepanze nei selettori, da errori nella tabella di firma o da riferimenti errati al file delle chiavi . Questi problemi di configurazione si manifestano spesso come errori DKIM generici, a meno che non si esamini attentamente la configurazione della firma .

ID mittente errati

Una discrepanza tra il dominio firmato, il dominio “Da” visibile e l’identità del mittente può causare problemi di allineamento e di autenticazione . Ciò assumerà maggiore importanza una volta che sarà entrata in vigore l'applicazione delle norme DMARC.

Chiavi scadute o mancanti

Se la chiave pubblica richiesta non è presente nel DNS, è stata rimossa troppo presto o non corrisponde più alla chiave privata attiva, la verifica DKIM non andrà a buon fine. Ciò accade spesso in caso di cambi di chiave incompleti o di sincronizzazione DNS non ottimale.

Messaggi di errore comuni relativi al DKIM

Gli errori DKIM si manifestano spesso attraverso risultati di autenticazione specifici presenti nelle intestazioni dei messaggi o nei registri di posta. I messaggi relativi agli errori comuni riportati di seguito possono aiutarLa a capire se il problema è legato alla formattazione, al recupero delle chiavi o alle modifiche apportate al messaggio dopo la firma.

dkim=neutrale (formato non corretto)

Ciò significa solitamente che è presente un record DKIM del tipo o una firma DKIM del tipo, ma che la struttura è errata o illeggibile nel formato previsto. Il problema risiede spesso nella sintassi del record DKIM piuttosto che nel flusso di posta stesso.

dkim=errore (firma non valida)

Ciò significa che il server destinatario ha individuato una firma DKIM, ma la chiave pubblica non è riuscita a convalidarla. Tra le cause più comuni dell'errore " " figurano modifiche al messaggio dopo la firma, discrepanze nei selettori o discrepanze nelle chiavi.

dkim=fail (hash del corpo della firma DKIM non verificato)

Ciò indica una discrepanza nell'hash del corpo del messaggio. Nella maggior parte dei casi, ciò significa che il contenuto dell’e-mail è stato modificato dopo che è stata effettuata la firma DKIM originale .

dkim=fail (nessuna chiave per la firma)

Ciò significa che il server ricevente non è riuscito a trovare nel DNS una chiave pubblica valida per il selettore e il dominio indicati nella firma . La causa è spesso la mancanza di un record TXT, una mancata corrispondenza del selettore o un ritardo nella propagazione del DNS.

Questi messaggi sono utili perché consentono di individuare il problema più rapidamente. Una volta appurato se il problema deriva dalla sintassi, dalla ricerca delle chiavi o dalle modifiche apportate al messaggio dopo la firma, il passo successivo consiste nel risolvere la causa alla radice e assicurarsi che non si ripeta.

Come risolvere gli errori DKIM e prevenirne il verificarsi

Per risolvere gli errori DKIM è solitamente necessario verificare più di una fase del flusso di posta. I passaggi seguenti si concentrano sui casi più comuni in cui si verificano problemi con DKIM e sulle modifiche pratiche che contribuiscono a evitare il ripetersi degli stessi problemi.

1. Verifica dei record DNS e della corrispondenza dei selettori

Iniziando con la verifica che la chiave pubblica DKIM sia pubblicata nel DNS, accessibile e associata allo stesso selettore indicato all'indirizzo nell'intestazione dell'e-mail. Se il selettore contenuto nel messaggio non corrisponde a quello presente nel DNS, la convalida DKIM non andrà a buon fine.

2. Correggere i problemi di sintassi e formattazione

Ricostruite con attenzione i record DKIM non validi, anziché correggerli alla cieca. Verifichi la presenza di errori di formattazione, troncamenti, tag mancanti e posizionamento errato dei record TXT. Piccoli errori nel DNS possono causare problemi ricorrenti con il DKIM.

3. Verificare il contenuto dell’e-mail dopo la firma

Una firma DKIM può risultare non valida anche se la configurazione della chiave è corretta, qualora il messaggio subisca modifiche dopo la firma. Si assicuri che nessun sistema a valle di modifichi il corpo del messaggio o le intestazioni firmate dopo l'applicazione del DKIM.

4. Verifica dei gateway e dei relay di posta elettronica

I gateway, i servizi di inoltro, gli strumenti di posta elettronica sicura e gli MTA possono tutti riscrivere parti di un messaggio. Quando si risolve un problema relativo a un errore DKIM di , si raccomanda di verificare l'intero percorso di consegna anziché limitarsi al solo server di posta di origine.

5. Attendere il completamento della propagazione del DNS

Se ha aggiornato il record DKIM o ha modificato i selettori, attenda che la propagazione DNS abbia avuto il tempo di completarsi prima di ripetere il test. Un nuovo record può sembrare non aggiornato semplicemente perché la modifica non è ancora visibile su tutti i resolver.

6. Verifica dei mittenti terzi

È necessario verificare tutti i servizi esterni che utilizzano il vostro dominio. Verifichi che ciascuno di essi sia configurato per la firma DKIM, che l’ i il dominio previsto e che supporti il modello di allineamento richiesto dalla Sua politica DMARC.

7. Verificare nuovamente l’identità e l’allineamento del mittente

Si assicuri che il dominio di firma DKIM e il dominio "Da" visibile siano configurati in modo da garantire un allineamento valido. Una valida firma DKIM non è di per sé sufficiente se la relazione tra i domini non è corretta ai fini dell'autenticazione DMARC.

Migliori pratiche per prevenire errori DKIM

La riduzione nel tempo degli errori DKIM dipende dall’adozione di alcune abitudini di manutenzione costanti. Queste best practice contribuiscono a evitare che i problemi relativi alla firma, al DNS e all’allineamento di si trasformino in problemi ricorrenti di autenticazione.

• Aggiorni regolarmente le chiavi DKIM in modo che quelle obsolete non rimangano in uso troppo a lungo.
• Verifichi attentamente le configurazioni DNS prima e dopo ogni modifica.
• Utilizzi standard crittografici robusti ed eviti impostazioni delle chiavi obsolete.
• Per evitare modifiche al contenuto dopo la firma, si raccomanda di inserire la firma DKIM il più tardi possibile nel percorso di consegna.
• Utilizzi il protocollo TLS in modo sistematico durante il trasferimento dei dati per ridurre il rischio di alterazione dei messaggi.
• Abilitare la segnalazione DMARC in modo che i problemi ricorrenti di autenticazione possano essere individuati più facilmente in fase precoce.

Queste pratiche non consentiranno di prevenire ogni problema legato al DKIM, ma rendono più facile evitare gli errori e più rapida la loro diagnosi. Più vengono applicate con coerenza, più stabile diventa la vostra configurazione di autenticazione delle e-mail.

Impatto dell'inoltro delle e-mail su DKIM e SPF

L'inoltro delle e-mail può influire in modi diversi sull',sull'SPF e sul DKIM. Comprendere tale differenza aiuta a spiegare perché un messaggio inoltrato possa comunque essere legittimo anche quando un controllo di autenticazione fallisce.

In che modo l'inoltro delle e-mail influisce sull'SPF

Spesso l’SPF risulta non valido dopo l’inoltro di un’e-mail, poiché il server di inoltro non è solitamente autorizzato nel record SPF del mittente originale . L'e-mail inoltrata potrebbe comunque essere legittima, ma il server di destinazione rileva un indirizzo IP di provenienza diverso da quello previsto dall'SPF.

In che modo l'inoltro delle e-mail influisce sul DKIM

Il DKIM può sopravvivere all'inoltro delle e-mail se il messaggio rimane invariato e la firma originale rimane intatta. Tuttavia, se il servizio di inoltro modifica le intestazioni o il contenuto del corpo del messaggio, la verifica DKIM potrebbe fallire poiché il messaggio firmato non corrisponde più alla firma originale.

Ecco perché l'inoltro spesso genera risultati di autenticazione contrastanti. È più probabile che l’SPF venga violato durante l’inoltro, mentre il DKIM può continuare a funzionare se il messaggio rimane invariato.

Prevenire gli errori DKIM

La maggior parte degli errori DKIM è riconducibile alle stesse cause principali: errori DNS, modifica del messaggio dopo la firma, chiavi mancanti o non corrispondenti e discrepanze di allineamento. Per risolvere tali problemi è solitamente necessario esaminare l’intero percorso, dalla firma DKIM alla pubblicazione dell’ e nel DNS, fino al comportamento di consegna a valle.

Una verifica e un monitoraggio costanti sono importanti tanto quanto la correzione iniziale. Per le organizzazioni che gestiscono più domini , mittenti di terze parti e ambienti di posta elettronica a più livelli, le funzionalità di sicurezza e autenticazione della posta elettronica di Mimecast possono contribuire a migliorare la visibilità su DKIM, SPF e DMARC nell’intero ambiente di invio.