פתרון בעיות שקשורות ל-DKIM

ההוראות במאמר הזה יוכלו לעזור לכם אם הגדרתם DomainKeys Identified Mail ‏(DKIM), אבל ההודעות שנשלחות מהדומיין שלכם עדיין:

• לא עברו אימות DKIM.
• נדחות על ידי השרתים המקבלים
• נשלחות לתיקיית הספאם של הנמענים

בדף הזה

• הבעיות הנפוצות ביותר
• פתרון בעיות מתקדם

הפתרונות הנפוצים ביותר

• מוודאים שיש לכם רשומת DKIM
• הוספה של רשומת ה-DKIM לדומיין
• פתרון שגיאות אימות
• בדיקה של ערכי רשומת ה-DKIM
• איך מגדירים הצלחה?

מוודאים שיש לכם רשומת DKIM

בודקים אם יש לכם רשומת DKIM:

• אם אתם לא משתמשים ב-Google Workspace, השתמשו באחד הכלים שזמינים באינטרנט.
• אם אתם משתמשים ב-Google Workspace, בקטע הזה אנחנו מסבירים מה אתם צריכים לעשות.

1. במסוף Google Admin, נכנסים לתפריט אפליקציות Google Workspace Gmail.

   ל-Gmail

   כדי לעשות את זה צריך הרשאות אדמין להגדרות של Gmail.

2. לוחצים על אימות האימייל.
3. בתפריט הדומיין שנבחר, בוחרים את הדומיין שבו רוצים להגדיר DKIM.
4. אם השדות של שם המארח ב-DNS ושל ערכי רשומת ה-TXT ריקים, סימן שאין לכם רשומת DKIM.

כדי ליצור רשומת DKIM חדשה, עוברים אל יצירת זוג מפתחות DKIM. אחר כך, עוברים אל הוספה של רשומת ה-DKIM לדומיין (בדף הזה).

הוספה של רשומת ה-DKIM לדומיין

אחרי שיוצרים רשומת DKIM, צריך להוסיף את הרשומה (שמכילה את מפתח ה-DKIM) לדומיין.

פעולות מומלצות

1. נכנסים למערכת של מארח הדומיין.
2. עוברים לדף שבו מעדכנים את רשומות ה-TXT של DNS בדומיין.
3. מוסיפים או מעדכנים את רשומת ה-TXT עם שם המארח של DKIM והערך המומלץ.

עוברים אל הוספה של מפתח ה-DKIM לדומיין.

פתרון שגיאות באימות

אם אחרי שיוצרים רשומת DKIM ומוסיפים אותה לדומיין מופיעה השגיאה 'לא מתבצע אימות', צריך להשלים את ההגדרה.

שלב מומלץ: עוברים לדף אימות האימייל ולוחצים על התחלת האימות. איך מפעילים ומאמתים DKIM

בדיקה של ערכי רשומת ה-DKIM

מוודאים שרשומת ה-DKIM מכילה את שם המארח או את השם של רשומת ה-TXT הנכונים, ואת הערך של רשומת ה-TXT או את מפתח ה-DKIM הנכונים. איך מוסיפים את מפתח ה-DKIM לדומיין

איך מגדירים הצלחה?

אחרי שיוצרים רשומת DKIM, מוסיפים אותה לדומיין, מתקנים שגיאות אימות ומוודאים שהערכים ברשומת ה-DKIM נכונים, הסטטוס של DKIM אמור להופיע כ'מתבצע אימות של האימייל באמצעות DKIM'. ההגדרה הושלמה.

פתרון בעיות מתקדם

• בדיקה שההודעות עוברות את אימות ה-DKIM
• בדיקה שמפתח ה-DKIM בספק הדומיין תקין
• בדיקה של העברת הודעות
• בדיקת מגבלות התווים של רשומות TXT
• בדיקה של מספר חתימות DKIM
• בדיקת השיטות לשליחת אימייל
• פנייה לאדמינים של השרתים שדחו הודעות שחתומות באמצעות DKIM

בדיקה שההודעות עוברות את אימות ה-DKIM

אתם יכולים לראות ב-Gmail אם אימייל עבר אימות DKIM.

פעולות מומלצות:

1. פותחים את Gmail בדפדפן.
2. פותחים את הודעת האימייל שאת הכותרות שלה רוצים לבדוק.
3. לצד סמל התשובה , לוחצים על סמל האפשרויות הנוספות הצגת המקור.
   • הכותרת המלאה מוצגת בחלון חדש.
4. לוחצים על העתקה ללוח.

שלבים נוספים:

• אם ההודעה לא עוברת אימות DKIM, מנסים לשלוח אותה לנמען אחר, למשל לכתובת Gmail אישית. כך תוכלו לשלול בעיות שקשורות לשרת המקבל.
• מזינים את הכותרות של ההודעה בכלי Messageheader של ארגז הכלים של Google Admin ובודקים את הסטטוס של אימות DKIM.
• כדאי לעיין במאמרים מעקב אחר הודעת אימייל לפי הכותרת המלאה שלה ואיך בודקים אם הודעת Gmail מאומתת

בדיקה שמפתח ה-DKIM בספק הדומיין תקין

רוב רשומות ה-TXT של DKIM יכולות להכיל עד 255 תווים. אי אפשר להזין מפתח של 2048 ביט כמחרוזת טקסט אחת, כי לרשומת TXT יש מגבלה של 255 תווים. יכול להיות שמפתח ה-DKIM ייחתך או שרשומות ה-DKIM יישלחו לא לפי הסדר.

פעולות מומלצות:

• אם אין אפשרות להזין את ערך רשומת ה-TXT המלאה של DKIM כמחרוזת טקסט אחת, פועלים לפי השלבים המפורטים במאמר בדיקת מגבלות התווים של רשומות TXT.
• משווים את הערך של רשומת ה-TXT של DKIM שמופיע אצל הספק לערך שמופיע במסוף Admin, ומוודאים שמפתח ה-DKIM תקין:
  1. מוצאים את ערך רשומת ה-TXT של DKIM במסוף Admin, לדוגמה google._domainkey.
  2. עוברים לכלי Dig בארגז הכלים של Google Admin.
  3. לוחצים על TXT.
  4. מזינים את הערך של רשומת ה-TXT של DKIM משלב 1 ומוסיפים לערך הזה נקודה (.) ואת שם הדומיין.
  5. משווים את התוצאות לערך שמופיע במסוף Admin. אם כל התווים של המפתח נכללים ומופיעים בסדר הנכון, מפתח ה-DKIM יכול להיות מפוצל לשני חלקים.

בודקים שההודעות מועברות בצורה תקינה

גם אם DKIM מוגדר בצורה נכונה בדומיין, עדיין יכול להיות מצב שבו הודעות שהועברו לא יעברו את אימות ה-DKIM. זה יכול לקרות בגלל האופן שבו שרת האימייל מעביר הודעות.

פעולות מומלצות לשולחי אימיילים:

• מוודאים שההודעה לא שונתה במהלך ההעברה. מוצאים את הכותרת Authentication-results:‎. אם הטקסט שמופיע ליד רשומת ה-DKIM הוא body hash did not verify (גיבוב של גוף ההודעה לא אומת), ההודעה שונתה במהלך ההעברה.
• אם משתמשים בשער להודעות אימייל יוצאות, מוודאים שהוא לא משנה את ההודעות היוצאות לפני שהן נשלחות. לדוגמה, חלק מהשערים להודעות אימייל יוצאות מוסיפים כותרת תחתונה בחלק התחתון של כל הודעה יוצאת. כתוצאה, יכול להיות שאימות DKIM ייכשל כי תוכן ההודעה שונה אחרי שההודעה נשלחה.

פעולות מומלצות למקבלי אימיילים:

• משתמשים בחיפוש ביומן אימייל (ELS) כדי לוודא שההודעה הועברה. אם האדם שדיווח על ההודעה בתור ספאם הוא לא הנמען המקורי, סביר להניח שההודעה הועברה.
• פונים לשירות שהעביר את ההודעה כדי לבדוק אם הם יכולים לשנות את אופן העברת ההודעות.

כדאי לעיין גם במאמר שיטות מומלצות להעברת אימייל ל-Gmail.

בדיקת מגבלות התווים של רשומות TXT

אם מופיעה הודעת שגיאה כשאתם מזינים ערך DKIM, יכול להיות שספק הדומיין שלכם הגביל את מספר התווים של רשומת ה-TXT ב-DNS.

פעולות מומלצות:

אם אתם משתמשים במפתח DKIM של 2048 ביט, אתם לא יכולים להזין אותו כמחרוזת טקסט אחת ברשומת DNS עם מגבלה של 255 תווים. במקום זאת, פועלים לפי השלבים הבאים:

1. מפצלים את תווי המפתח לכמה מחרוזות טקסט.
2. מזינים מירכאות סביב כל מחרוזת.
3. מזינים את המחרוזות בזו אחר זו בשדה של ערך רשומת ה-TXT אצל ספק הדומיין שלכם.

בדוגמה הזו, מפתח DKIM ארוך מפוצל לשתי מחרוזות טקסט, וכל מחרוזת מופיעה בין מירכאות:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

אתם יכולים לנסות גם:

• להשתמש במפתח של 1024 ביט. כדי לעשות את זה, אתם צריכים לבחור את האפשרות הזאת כשאתם יוצרים זוג מפתחות DKIM.
• לפנות למארח הדומיינים שלכם ולברר אם הוא יכול לתמוך ברשומות TXT שמכילות יותר מ-255 תווים. אם הוא יכול לתמוך בהן, אתם יכולים לעדכן את רשומת ה-DNS ולהוסיף לה מפתח DKIM של 2048 ביט. כדי לעשות את זה, אתם צריכים לפעול לפי השלבים המפורטים במאמר יצירת זוג מפתחות DKIM.

מומלץ להוסיף 49 רשומות TXT לכל היותר אצל ספק הדומיין כי זה המספר המקסימלי שרוב ספקי הדומיין תומכים בו.

בדיקה של מספר חתימות DKIM

אפשר לחתום על הודעות באמצעות יותר מחתימת DKIM אחת. עם זאת, מערכת Gmail בודקת רק את 5 החתימות הראשונות שמפורטות בכותרת ההודעה Authentication-Results: ‎. מערכת Gmail בודקת את החתימות לפי הסדר שבו הן מופיעות בכותרת. אם חתימת האימות לא מופיעה בין 5 החתימות הראשונות שמפורטות בכותרת, ההודעה לא עוברת אימות DKIM. יכול להיות שבגלל זה ההודעה לא תעבור גם אימות DMARC.

החתימות שמערכת Gmail בודקת בהודעות, נמצאות בכותרת ההודעה Authentication-Results: ‎. במאמר בנושא מעקב אחר הודעת אימייל לפי הכותרת המלאה שלה מפורטים השלבים לבדיקת כותרות של הודעות ב-Gmail.

בדיקת השיטות לשליחת אימייל

אם ה-DKIM מוגדר בצורה נכונה אבל ההודעות נשלחות לתיקיית הספאם, יכול להיות שהסיבה לא קשורה ל-DKIM.

פעולה מומלצת:

• מקפידים לפעול לפי ההנחיות המומלצות לשליחת אימיילים למשתמשי Gmail, במיוחד אם אתם שולחים כמויות גדולות של אימיילים.

פנייה לאדמינים של השרתים שדחו הודעות שחתומות באמצעות DKIM

אם ה-DKIM מוגדר בצורה נכונה, יכול להיות שהשרתים המקבלים בכל זאת ידחו הודעות שנשלחו מהדומיין שלכם, או ישלחו הודעות לתיקיית הספאם של הנמענים.

פעולות מומלצות:

• פונים לאדמינים של שרתי האימייל שדחו את ההודעות.
• מגדירים DMARC כדי לקבל דוחות לגבי התוצאות של אימות DKIM. איך מגדירים DMARC
• אם אתם מגדירים DKIM למערכת אימיילים שהיא לא Google Workspace, אל תשתמשו בתג האורך של DKIM ‏ (l=) בהודעות יוצאות. הודעות עם התג הזה חשופות יותר להתנהלות פוגעת. מידע נוסף זמין בסעיף 8.2 של RFC 6376.

‫Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.