ESAがDKIM認証結果「permfail」を「hardfail」として処理するのはなぜですか。

概要

このドキュメントでは、Eメールセキュリティアプライアンス(ESA)がDomainKeys Identified Mail(DKIM)認証結果を処理する方法について説明します。

ESAがDKIM認証結果「permfail」を「hardfail」として処理するのはなぜですか。

次の図に示すように、ESAコンテンツフィルタ条件DKIM認証にはいくつかのオプションがあります。

条件が DKIM Authentication Result がHardfailに設定されている場合、次の例に示すように、permfailメッセージがメールログファイルと追跡メッセージに表示されます。

Message 815204 DKIM: permfail body hash did not verify [final] (d=sub.example.com s=selector1-sub-com i=@sub.example.com)

ESAはpermfailをhardfailと同じものと見なし、結果をdkim=hardfailとしてAuthentication-Resultsヘッダーに含めます。DKIMイベントのESA名は、RFC6376の名前とは異なります。認証結果ヘッダー（および追跡されるメッセージ）では、ESAは適切なRFC6376文字列を表示する必要がありますが、コンテンツフィルタは異なるイベント名を使用します。

次のイベントがマッピングされます。RFC6376.PERMFAIL == ESA Content Filter Hardfail

署名とメッセージ本文のハッシュ検証エラーは、検証エラーの大部分を構成します。本文ハッシュ検証エラーは、メッセージの本文が署名のハッシュ（ダイジェスト）値と一致しないことを示します。署名検証エラーは、署名値がメッセージの署名付きヘッダーフィールド（署名自体を含む）を正しく検証していないことを示しています。

この2つのエラーには、いくつかの原因が考えられます。メッセージは送信中に（おそらくメーリングリストやフォワーダによって）変更された可能性があります。シグニチャまたはハッシュ値は、署名者によって計算されたか、正しく適用されていない可能性があります。間違った公開キー値がドメインネームシステム(DNS)で公開されている可能性があります。または、正しい署名を計算するために必要な秘密キーを持たないエンティティによってメッセージがスプーフィングされている可能性があります。

メッセージの分析によってこれらの原因を区別することは非常に困難ですが、送信元IPアドレスは、スプーフィングされたメッセージの場合に役立つフォレンジックを提供できます。ただし、プライバシー上の理由から、メッセージ自体にはアクセスできないため、そのような分析は不可能です。

DNSで公開される公開キー（セレクタ）レコードの設定エラーを容易に回避できることから、他の理由で署名が検証されないメッセージがあります。