Hvordan løser man fejlen "DKIM-signaturen er ikke gyldig"?

DKIM-signaturen er ikke gyldig

Når du er bekendt med, hvad der er DKIMvil du gerne vide, hvad du skal gøre, når din DKIM-signatur ikke er gyldig. Dette kan ske på grund af en forkert indtastning i DNS-optegnelse, en forsinkelse i DNS-spredningen eller andre årsager. Denne blog vil kun fokusere på disse årsager.

Hvorfor din DKIM-signatur ikke er gyldig

DKIM-signatur er en header, der tilføjes til e-mails, så modtagerens mailserver kan autentificere e-mailen ved at kontrollere afsenderens DKIM-nøgle. Denne proces er baseret på kryptografibaseret online-sikkerhed. Tilstedeværelsen af en fejlagtig DKIM-record eller manglende DKIM-headerfelter kan resultere i fejlen DKIM-signatur er ikke gyldig.

Hvornår fejler DKIM kontrollen?

Du vil se meddelelsen "Din DKIM-signatur er ikke gyldig", når kontrollen af DKIM-autentificeringen mislykkes. Her er de almindelige årsager til denne fejl:

  • DKIM-signaturdomæne og afsenderdomæne stemmer ikke overens.
  • Den offentlige DKIM-nøgleoptegnelse, der er offentliggjort i DNS, er ikke korrekt.
  • Den offentlige DKIM-nøglepost, der offentliggøres i DNS, offentliggøres slet ikke.
  • Serveren når ikke frem til afsenderens domæne DNS zone til opslag. Dette er en almindelig situation for dårlige hostingudbydere.
  • DKIM-nøglens længde er utilstrækkelig som 1024, og 2048-bit lange nøgler understøttes. Når din webmail-hostingudbyder signerer e-mails med mindre DKIM-nøglelængde, opstår der en ugyldig DKIM-signaturfejl.
  • Der blev foretaget nogle ændringer i meddelelsen under den automatiske videresendelse. 

Alle sagerne, undtagen den sidste, er tekniske spørgsmål, som kan løses af en ekspert. Det er dog ikke realistisk at undgå det sidste tilfælde, da du ikke kan kontrollere modtagerne til at holde op med at vedhæfte fodnoter om overholdelse af reglerne. Hvad kan der så ske, når disse automatisk videresendte meddelelser ikke opfylder både SPF- og DKIM-kravene, fordi du har indstillet DMARC-politikken til "afvisning"?

Tidligere var det en stor udfordring for modtagerservere at håndtere sådanne uautentificerede, men legitime e-mails. Men i disse dage bruger alle de store e-mail-udbydere eller ESP'er Autentificeret modtaget kæde eller ARC-protokollen.

Denne protokol gør det muligt for mailservere at identificere den mailserver, der tidligere har administreret den. Dette giver dem mulighed for at få kendskab til vurderingstrinene for autentificering. 

Generel DKIM-signatur er ikke gyldig Fejl og rettelser

På trods af at DKIM-poster er tilpasset, kan du se en fejl med en ugyldig DKIM-signatur. Lad os se, hvad de mulige årsager til "DKIM-signaturen er ikke gyldig" er, og hvordan du løser dem. 

1. Forkert DNS-indtastning

Når du har oprettet DKIM TXT-posten og tilføjet den til DNS-konfigurationsfilen, kan du se fejlen DKIM-signatur ikke gyldig i cPanel. Dette kan løses ved at følge disse trin:

  • Log ind på cPanel.
  • Klik på Avanceret redigering af DNS-zone under Domæner.
  • Vælg domænet på listen.
  • Gå til Rediger DNS-poster og kontrollér TXT-posten.
  • Indtast den korrekte værdi for DKIM-posten.
  • Gem filen. Du kan se ændringerne. 

2. Forsinkelse af DNS-udbredelse

Du kan se fejl, selvom du ændrer indstillingerne i DNS-konfigurationsfilen. Dette sker typisk, fordi det tager op til 24 til 48 timer for DNS-udbredelse, efter at du har foretaget ændringer i DNS-indstillingerne. Dette varierer afhængigt af TTL-værdien, der er nævnt i DNS-posten.

I sådanne tilfælde anbefales det at vente 3-4 dage, så DNS'en kan spredes fuldt ud. I mellemtiden kan du kontrollere domænets status for DNS-udbredelse ved hjælp af DNS-udbredelsesværktøjer eller analysatorer. 

Hvorfor ser du DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify")?

Hvis du ser en DKIM-signaturs status som "body hash not verified" betyder det blot, at den beregnede hash for e-mailen ikke stemmer overens med den body hash-værdi, der er tilføjet i "bh="-tagget. Mange e-mail-servere til erhvervslivet ændrer inline-tekst i bunden af indgående e-mails, før komponenterne er opdelt. Dette fører til ugyldig body hash, hvilket i sidste ende medfører en mislykket DMARC-kontrol.

I sådanne situationer mislykkes DMARC-kontrollen af kilder, fordi en hacker har sendt ondsindede e-mails ved hjælp af dit domæne. Du bør derfor grundigt undersøge alle kilder, der er vist i afsnittet med fejl, for at identificere dem som gyldige eller ondsindede. Hvis en ægte kilde er havnet i afsnittet med fejlslagne forsendelser, skal du oprette og tilpasse SPF og DKIM korrekt. 

Nogle mulige årsager til, at du ser DKIM= neutral (body hash did not verify), er følgende:

  • En speditør, en smart-host eller en anden filtreringsagent har ændret indholdet af e-mailen.
  • Underskriveren har fejlberegnet signaturværdien.
  • En ondsindet aktør forfalskede e-mailen og signerede den uden at have den korrekte private nøgle.
  • Den offentlige nøgle, der er angivet i DKIM-Signatur-headeren, er ikke korrekt.
  • Den offentlige nøgle, som afsenderen har offentliggjort i sin DNS, er ikke korrekt.

Hvordan kan du undersøge kilden?

  • Kontroller, om kilden tilhører din virksomheds partner.
  • Søg efter kilden på internettet.
  • Kontroller, om den er opført på hjemmesider på RBL's sortliste.
  • Undersøg de kriminaltekniske DMARC-rapporter for at se, hvilke typer e-mails kilden har sendt.
  • Søg efter dokumenter til korrekt opsætning af DMARC, hvis kilden er gyldig.
  • Kontakt kilden.

Filtrerer DKIM e-mail?

DKIM filtrerer ikke e-mail, men de oplysninger, der deles af DKIM, hjælper de filtre, der anvendes af modtagerens domæne. Så hvis en e-mail kommer fra et betroet domæne og klarer DKIM-kontrollen, kan dens spamscore være blevet reduceret. Hvis den ikke består DKIM-kontrollen, bliver den markeret som spam eller kan sættes i karantæne eller få tilføjet et spamtag i emnelinjen. 

Så domæneejere kan ikke kontrollere, hvad der er inkluderet i DMARC-fejlrapporten, fordi det er i brugernes hænder.

Jeg har rettet fejlen DKIM-signatur er ikke gyldig, hvad nu? 

De næste trin, du kan følge for at styrke din DKIM-overholdelse, er: 

  1. Naviger i en DKIM-analysator for at overvåge dine DKIM-godkendelsesresultater
  2. Aktiver SPF og DMARC
  3. Roter dine DKIM-nøgler med jævne mellemrum 

Jeg kan stadig ikke rette fejlen

Hvis fejlen DKIM-signatur ikke gyldig stadigvæk er gældende, skal du kontakte din e-mail-udbyder for at få vejledning, eller kontakte os for at få ekspertrådgivning om alt inden for e-mail-godkendelse!

dkim-signaturen er ikke gyldig

Nyeste indlæg af Ahona Rudra (se alle)
/af
Europa-Kommissionen anbefaler DMARC til sikkerhed i forbindelse med e-mail-kommunikationEuropa-Kommissionen anbefaler DMARC til sikkerhed i forbindelse med e-mail-kommunikation 1Hvad er spam e-mail, og hvordan du stopper detHvad er spam, og hvordan stopper man det?