المقدمة
يوضح هذا المستند كيفية معالجة جهاز أمان البريد الإلكتروني (ESA) لنتائج مصادقة DomainKeys المحددة للبريد (DKIM).
لماذا تتعامل ESA مع نتيجة مصادقة DKIM "permfail" على أنها "hardfail"؟
تتضمن مصادقة DKIM لشرط مرشح محتوى ESA عدة خيارات، كما هو موضح في هذه الصورة:
عندما يكون الشرط DKIM Authentication Result
إلى Hardfail، تظهر رسائل الخطأ في ملف سجل البريد والرسائل المتتبعة، كما هو موضح في هذا المثال:
Message 815204 DKIM: permfail body hash did not verify [final] (d=sub.example.com s=selector1-sub-com i=@sub.example.com)
تعتبر ESA أن permfail هو نفسه hardfail وتتضمن النتيجة في رأس Authentication-Results مثل dkim=hardfail. تختلف أسماء ESA لأحداث DKIM عن أسماء RFC6376. في رؤوس نتائج المصادقة (والرسائل المتتبعة)، يجب على ESA إظهار سلاسل RFC6376 المناسبة، بينما يستخدم عامل تصفية المحتوى أسماء أحداث مختلفة.
تم تعيين هذه الأحداث: RFC6376.Permfail == ESA Content Filter Hardfail
تشكل حالات فشل التحقق من تجزئة النص الأساسي للتوقيع والرسائل غالبية حالات فشل التحقق. تشير أخطاء التحقق من تجزئة النص الأساسي إلى أن نص الرسالة لا يوافق على قيمة التجزئة (الملخص) في التوقيع. تشير أخطاء التحقق من التوقيع إلى أن قيمة التوقيع لا تتحقق بشكل صحيح من حقول الرأس الموقع (والتي تتضمن التوقيع نفسه) على الرسالة.
هناك العديد من الأسباب المحتملة لهذين الخطأين. ربما تم تعديل الرسالة أثناء النقل (ربما من خلال قائمة مراسلة أو مرسل)، أو ربما تم حساب التوقيع أو قيم التجزئة أو تطبيقها بشكل غير صحيح من قبل الموقع، أو قد تم نشر قيمة المفتاح العام الخطأ في نظام اسم المجال (DNS)، أو قد تم انتحال الرسالة من قبل كيان لا يمتلك المفتاح الخاص المطلوب لحساب التوقيع الصحيح.
من الصعب جدا التمييز بين هذه الأسباب بتحليل الرسالة، رغم أن عنوان IP الأصلي يمكن أن يوفر بعض الأدلة الجنائية المفيدة في حالة الرسالة المنتحلة. ومع ذلك، ولأسباب تتعلق بالخصوصية، ليس لدينا إمكانية الوصول إلى الرسائل نفسها، وبالتالي فإن أي تحليل من هذا القبيل غير ممكن.
هناك رسائل لم يتم التحقق من توقيعات لها لأسباب أخرى، غالبا بسبب أخطاء التكوين التي يتم تجنبها بسهولة في سجلات المفتاح العام (المحدد) التي يتم نشرها في DNS.