Rozwiązywanie problemów z DKIM

Postępuj zgodnie z instrukcjami podanymi w tym artykule, jeśli konfigurujesz DKIM, ale wiadomości wysyłane z Twojej domeny nadal:

• nie przechodzą uwierzytelniania DKIM,
• są odrzucane przez serwery odbierające,
• trafiają do folderów spamu adresatów.

 Informacje dostępne na tej stronie

• Najczęstsze problemy
• Bardziej zaawansowane rozwiązania

Najczęstsze rozwiązania

• Sprawdzanie, czy ma się rekord DKIM
• Dodawanie rekordu DKIM do domeny
• Naprawianie błędów uwierzytelniania
• Sprawdzanie wartości rekordu DKIM
• Jak wygląda sukces?

Sprawdź, czy masz rekord DKIM

Sprawdź, czy masz rekord DKIM:

• Jeśli nie korzystasz z Google Workspace, użyj narzędzia dostępnego w internecie.
• Jeśli korzystasz z Google Workspace, wykonaj czynności opisane w tej sekcji.

1. W konsoli administracyjnej Google otwórz Menu  Aplikacje Google Workspace Gmail.

   Otwórz Gmaila

   Wymaga uprawnień administratora Ustawienia Gmaila.

2. Kliknij Uwierzytelniaj pocztę e-mail.
3. W menu Wybrana domena wybierz domenę, w której chcesz skonfigurować DKIM.
4. Jeśli nazwa hosta DNS i wartości rekordu TXT są puste, nie masz rekordu DKIM.

Aby utworzyć nowy rekord DKIM, zapoznaj się z artykułem Generowanie pary kluczy DKIM. Następnie przejdź do sekcji Dodawanie rekordu DKIM do domeny (na tej stronie).

Dodawanie rekordu DKIM do domeny

Po utworzeniu rekordu DKIM musisz dodać go (zawierającego klucz DKIM) do domeny.

Zalecane kroki

1. Zaloguj się na swoje konto w systemie dostawcy hostingu domeny.
2. Otwórz stronę, na której możesz zaktualizować rekordy DNS typu TXT swojej domeny.
3. Dodaj lub zaktualizuj rekord TXT, podając nazwę hosta DKIM i zalecaną wartość.

Przejdź do sekcji Dodawanie klucza DKIM do domeny.

Naprawianie błędów uwierzytelniania

Jeśli po utworzeniu rekordu DKIM i dodaniu go do domeny pojawi się błąd „Nie uwierzytelnia”, musisz dokończyć konfigurację.

Zalecany krok: otwórz stronę Uwierzytelnianie poczty e-mail i kliknij Rozpocznij uwierzytelnianie. Zobacz Włączanie i sprawdzanie DKIM.

Sprawdzanie wartości rekordu DKIM

Upewnij się, że rekord DKIM zawiera prawidłową nazwę hosta lub nazwę rekordu TXT oraz wartość rekordu TXT lub klucz DKIM. Zapoznaj się z artykułem Dodawanie klucza DKIM do domeny.

Jak wygląda sukces?

Gdy utworzysz rekord DKIM, dodasz go do domeny, naprawisz błędy uwierzytelniania i sprawdzisz, czy rekord DKIM ma prawidłowe wartości, stan DKIM powinien zmienić się na „Uwierzytelnianie poczty e-mail przy użyciu DKIM”. Konfiguracja została zakończona.

Bardziej zaawansowane rozwiązania

• Sprawdzanie, czy wiadomości przechodzą uwierzytelnianie DKIM
• Sprawdzanie klucza DKIM u dostawcy domeny
• Sprawdzanie przekazywania wiadomości dalej
• Sprawdzanie limitów znaków w rekordach TXT
• Sprawdzanie liczby podpisów DKIM
• Przeanalizuj sposób postępowania przy wysyłaniu wiadomości.
• Kontaktowanie się z administratorami serwerów odrzucających wiadomości podpisane przez DKIM

Sprawdzanie, czy wiadomości przechodzą uwierzytelnianie DKIM

W Gmailu możesz sprawdzić, czy e-mail przeszedł uwierzytelnianie DKIM.

Zalecane kroki:

1. Otwórz Gmaila w przeglądarce.
2. Otwórz e-maila, w którym chcesz sprawdzić nagłówki.
3. Obok Odpowiedz  kliknij Więcej  Pokaż oryginał.
   • W nowym oknie wyświetli się pełny nagłówek.
4. Kliknij Kopiuj do schowka.

Dodatkowe czynności:

• Jeśli wiadomość nie przechodzi uwierzytelniania DKIM, wyślij ją do innego adresata, na przykład na prywatny adres Gmail. Pozwoli to wykluczyć problemy z serwerem odbierającym.
• Wpisz nagłówki wiadomości w narzędziu Nagłówek wiadomości w Narzędziach administracyjnych Google i sprawdź stan DKIM.
• Przeczytaj artykuły Śledzenie drogi e-maila za pomocą jego pełnego nagłówka i Sprawdzanie, czy wiadomości w Gmailu są uwierzytelnione.

Sprawdzanie klucza DKIM u dostawcy domeny

Większość rekordów TXT DKIM może mieć maksymalnie 255 znaków. W przypadku limitu długości rekordu TXT równego 255 znaków nie możesz wpisać 2048-bitowego klucza w postaci pojedynczego ciągu tekstowego. Twój klucz DKIM może zostać skrócony lub rekordy DKIM mogą być wysyłane w złej kolejności.

Zalecane kroki:

• Jeśli nie możesz wpisać całej wartości rekordu TXT DKIM w postaci pojedynczego ciągu tekstowego, wykonaj czynności opisane w artykule o limitach znaków w rekordach TXT.
• Porównaj wartość rekordu TXT DKIM w systemie dostawcy z wartością w konsoli administracyjnej i sprawdź, czy klucz DKIM jest prawidłowy:
  1. Uzyskaj wartość rekordu TXT DKIM z konsoli administracyjnej, na przykład google._domainkey.
  2. Otwórz narzędzie Dig z Narzędzi administracyjnych Google.
  3. Kliknij TXT.
  4. Wpisz wartość rekordu TXT DKIM z kroku 1, a potem dodaj do niej kropkę (.) i nazwę domeny.
  5. Porównaj wyniki z wartością w konsoli administracyjnej. Jeśli wszystkie znaki z klucza są uwzględnione i ułożone w prawidłowej kolejności, klucz DKIM może składać się z 2 części.

Sprawdzanie przekazywania wiadomości dalej

Nawet jeśli konfiguracja DKIM jest prawidłowa w domenie, przekazywane wiadomości mogą nie przechodzić uwierzytelniania DKIM. Może to być spowodowane sposobem przekazywania wiadomości przez serwer poczty.

Zalecany krok dla nadawców wiadomości e-mail:

• Sprawdź, czy wiadomość nie została zmieniona podczas przesyłania. Znajdź nagłówek Authentication-results:. Jeśli tekst obok wpisu dkim to body hash did not verify,wiadomość została zmieniona podczas przesyłania.
• Jeśli używasz bramy poczty wychodzącej, upewnij się, że nie zmienia ona wiadomości wychodzących przed wysłaniem. Na przykład niektóre bramy poczty wychodzącej dodają stopkę u dołu każdej wiadomości wychodzącej. Może to spowodować błąd uwierzytelniania DKIM, ponieważ treść wiadomości zmienia się po wysłaniu.

Zalecane kroki dla adresatów wiadomości e-mail:

• Skorzystaj z przeszukiwania dzienników poczty e-mail, aby sprawdzić, czy wiadomość została przekazana dalej. Jeśli osoba, która zgłosiła wiadomość jako spam, nie jest pierwotnym odbiorcą, prawdopodobnie wiadomość została przekazana dalej.
• Skontaktuj się z usługą, która przekazała dalej wiadomość, aby dowiedzieć się, czy może zmienić sposób przekazywania wiadomości.

Przeczytaj też artykuł Sprawdzone metody przekazywania e-maili do Gmaila.

Sprawdzanie limitów znaków w rekordach TXT

Jeśli podczas wpisywania wartości DKIM wyświetli się komunikat o błędzie, może to oznaczać, że dostawca domeny ogranicza liczbę znaków dozwoloną w rekordzie DNS typu TXT.

Zalecane kroki:

Jeśli używasz 2048-bitowego klucza DKIM, nie możesz go wpisać jako pojedynczego ciągu tekstowego w rekordzie DNS z limitem 255 znaków. Zamiast tego wykonaj następujące czynności:

1. Podziel klucz na wiele ciągów tekstowych.
2. Umieść każdy ciąg w cudzysłowach.
3. Wpisz ciągi kolejno po sobie w polu Wartość rekordu TXT w systemie dostawcy domeny.

W tym przykładzie długi klucz DKIM został podzielony na 2 ciągi tekstowe, z których każdy jest ujęty w cudzysłowy:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Możesz też wypróbować te rozwiązania:

• Użyj klucza 1024-bitowego, wybierając tę opcję podczas generowania pary kluczy DKIM.
• Skontaktuj się z dostawcą hostingu domeny w celu ustalenia, czy można stosować rekordy TXT dłuższe niż 255 znaków. Jeśli tak, możesz zaktualizować rekord DNS przy użyciu 2048-bitowego klucza DKIM, wykonując czynności opisane w kroku Wygeneruj parę kluczy DKIM.

Zalecamy dodanie maksymalnie 49 rekordów TXT u dostawcy domeny, ponieważ jest to maksymalna liczba obsługiwana przez większość dostawców domen.

Sprawdzanie liczby podpisów DKIM

Wiadomości mogą być podpisane więcej niż jednym podpisem DKIM. Gmail sprawdza jednak tylko pierwsze 5 podpisów wymienionych w nagłówku wiadomości Authentication-Results (Wyniki uwierzytelniania). Gmail sprawdza podpisy w kolejności, w jakiej występują w nagłówku. Jeśli podpis uwierzytelniający nie jest jednym z pierwszych 5 podpisów wymienionych w nagłówku, uwierzytelnianie DKIM zakończy się niepowodzeniem. Może to też spowodować, że wiadomość nie przejdzie uwierzytelniania DMARC.

Aby sprawdzić podpisy, które Gmail sprawdza w przypadku każdej wiadomości, sprawdź nagłówek wiadomości Authentication-Results (Wyniki uwierzytelniania). Szczegółowe instrukcje sprawdzania nagłówków wiadomości w Gmailu znajdziesz w artykule Śledzenie drogi e-maila za pomocą jego pełnego nagłówka.

Przeanalizuj sposób postępowania przy wysyłaniu wiadomości.

Jeśli konfiguracja DKIM jest prawidłowa, ale wiadomości są uznawane za spam, przyczyna może być niezwiązana z DKIM.

Zalecany krok:

• Upewnij się, że postępujesz zgodnie z zalecanymi wskazówkami dotyczącymi wysyłania wiadomości do użytkowników Gmaila, szczególnie jeśli wysyłasz dużo wiadomości.

Kontaktowanie się z administratorami serwerów odrzucających wiadomości podpisane przez DKIM

Nawet jeśli konfiguracja DKIM jest prawidłowa, serwery odbierające nadal mogą odrzucać wiadomości wysyłane z Twojej domeny lub wysyłać wiadomości do folderu ze spamem adresatów.

Zalecane kroki:

• Skontaktuj się z administratorem serwera poczty e-mail, który odrzuca wiadomości.
• Skonfiguruj DMARC, aby otrzymywać raporty o wynikach uwierzytelniania DKIM. Otwórz Konfigurowanie DMARC.
• Jeśli konfigurujesz DKIM za pomocą systemu poczty e-mail innego niż Google Workspace, nie używaj tagu długości DKIM (l=) w przypadku wiadomości wychodzących. Wiadomości używające tego tagu są narażone na nadużycia. Więcej informacji znajdziesz w sekcji 8.2 poświęconej standardowi RFC 6376.

Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.