Wenn Sie die Fehlermeldung "DKIM-Signatur ist ungültig" erhalten haben, gibt es Probleme mit Ihrer DKIM-Konfiguration und Sie müssen diese jetzt beheben! Ungültige DKIM-Signatur-Fehler können auftreten aufgrund von:
- Ein fehlerhafter DKIM DNS-Eintrag Eintrag
- Verzögerungen bei der DNS-Verbreitung
- Bei der DKIM-Signaturbewertung gefundene Fehler
- Mögliche Änderungen von E-Mail-Nachrichten oder andere Gründe.
In diesem Blog geht es um einige häufige Gründe für die Fehlermeldung "DKIM-Signatur ist nicht gültig" und einige Empfehlungen, wie Sie wieder auf den richtigen Weg kommen können!
Wichtigste Erkenntnisse
- Der Fehler "DKIM-Signatur ist nicht gültig" tritt aufgrund falscher DNS-Einträge, Verzögerungen bei der DNS-Übertragung oder Änderungen der Nachricht auf.
- Stellen Sie sicher, dass die DKIM-DNS-Einträge korrekt konfiguriert sind, und beheben Sie Fehler mit DKIM-Lookup-Tools.
- Verzögerungen bei der DNS-Verbreitung können 24-48 Stunden dauern; warten Sie die vollständige Verbreitung ab, bevor Sie erneut prüfen.
- Ein DKIM-Signaturfehler kann auch durch eine Nichtübereinstimmung zwischen der Domäne des Absenders und der DKIM-Signaturdomäne entstehen.
- Automatische Weiterleitung und E-Mail-Änderungen können die DKIM-Authentifizierung stören, können aber mit dem ARC-Protokoll entschärft werden.
- Überwachen Sie regelmäßig die Einhaltung der DKIM-Richtlinien, wechseln Sie die Schlüssel regelmäßig und aktivieren Sie SPF und DMARC für zusätzlichen Schutz.
Über DKIM-Signaturen
DKIM oder Domain Keys Identified Mail ist ein E-Mail-Authentifizierungsprotokoll. DKIM trägt zur Aufrechterhaltung der Legitimität von E-Mail-Nachrichten bei, indem es sicherstellt, dass während der Übertragung keine Änderungen vorgenommen werden. Dadurch wird verhindert, dass Bedrohungsakteure und Man-in-the-Middle-Angreifer E-Mail-Inhalte verändern können.
A DKIM-Signatur ist eine Kopfzeile, die zu E-Mail-Nachrichten hinzugefügt wird, damit der Mailserver des Empfängers die E-Mails durch Überprüfung des DKIM-Schlüssels des Absenders authentifizieren kann. Dieser Prozess basiert auf Kryptographie-basierten Online-Sicherheit.
Einige übliche Tags in einem DKIM-Signatur-Header sind wie folgt
- v (Version): Gibt die DKIM-Version an, die verwendet wird. Beispiel: "v=DKIM1" bedeutet DKIM Version 1.
- a (Algorithmus): Gibt den kryptografischen Algorithmus an, der für die Erstellung der Signatur verwendet wird. Übliche Algorithmen sind rsa-sha256 und rsa-sha1. Zum Beispiel: "a=rsa-sha256".
- d (Domäne): Gibt die Domäne an, die Eigentümerin des DKIM-Schlüssels ist, der zur Erzeugung der Signatur verwendet wird. Zum Beispiel: "d=example.com".
- s (Selektor): Gibt den spezifischen DKIM-Schlüsselselektor an, der zum Auffinden des öffentlichen DKIM-Schlüssels im DNS-Eintrag verwendet wird. Zum Beispiel: "s=dkim2024".
- h (Signierte Kopfzeilen): Listet die Kopfzeilen auf, die in die DKIM-Signaturberechnung einbezogen wurden. Dadurch wird sichergestellt, dass jede Änderung dieser Kopfzeilen zu einem Fehlschlag der Signaturprüfung führt. Zum Beispiel: "h=Vom:An:Betreff:Datum".
- b (Signatur): Enthält die tatsächliche kryptografische Signatur, die für die gesamte E-Mail-Nachricht erstellt wurde. Zum Beispiel: "b=AbCdEfGhIjKlMnOp...".
Das Vorhandensein eines fehlerhaften DKIM-Datensatzes oder fehlender DKIM-Header-Felder kann zu dem Fehler DKIM-Signatur ist nicht gültig führen.
Wann kann DKIM mit der Fehlermeldung "Ihre DKIM-Signatur ist nicht gültig" fehlschlagen?
Wenn die DKIM-Authentifizierungsprüfung fehlschlägt, wird die Meldung "Ihre DKIM-Signatur ist nicht gültig" angezeigt. Hier sind die häufigsten Gründe für diesen Fehler:
- DKIM-Signaturdomäne und Absenderdomäne stimmen nicht überein.
- Der im DNS veröffentlichte DKIM-Datensatz für öffentliche Schlüssel ist nicht richtig.
- Der im DNS veröffentlichte DKIM-Datensatz für öffentliche Schlüssel wird überhaupt nicht veröffentlicht.
- Der Server kann die DNS-Zone der Absenderdomäne für die Suche nicht erreichen. Dies ist eine häufige Situation bei schlechten Hosting-Anbietern.
- Die Länge des DKIM-Schlüssels ist mit 1024 nicht ausreichend, und es werden 2048-Bit lange Schlüssel unterstützt. Wenn Ihr Webmail-Hosting-Anbieter E-Mails mit einer kleineren DKIM-Schlüssellänge signiert, tritt ein Fehler bei der DKIM-Signatur auf.
- Bei der automatischen Weiterleitung wurden einige Änderungen an der Nachricht vorgenommen.
Bis auf den letzten Fall handelt es sich in allen Fällen um technische Probleme, die von einem Experten gelöst werden können. Es ist jedoch nicht realistisch, den letzten Fall zu vermeiden, da Sie die Empfänger nicht dazu bringen können, keine Fußzeilen zur Einhaltung der Vorschriften mehr hinzuzufügen. Was kann also passieren, wenn diese automatisch weitergeleiteten Nachrichten sowohl SPF als auch DKIM nicht erfüllen und Sie die DMARC-Richtlinie auf "ablehnen" gesetzt haben?
Früher war es für Empfängerserver recht schwierig, solche nicht authentifizierten, aber legitimen E-Mails zu verwalten. Heutzutage verwenden jedoch alle großen E-Mail-Dienstanbieter oder ESPs Authentifizierte Empfangskette oder ARC-Protokoll.
Mit diesem Protokoll können Mailserver den Mailserver identifizieren, der sie zuvor verwaltet hat. Dadurch können sie die Schritte der Authentifizierungsprüfung erkennen.
Wie behebt man den Fehler "DKIM-Signatur ist nicht gültig"?
Trotz des Abgleichs der DKIM-Datensätze wird ein Fehler mit einer ungültigen DKIM-Signatur angezeigt. Sehen wir uns an, was die möglichen Ursachen für "DKIM-Signatur ist nicht gültig" sind und wie man sie beheben kann.
1. Fehlerbehebung bei fehlerhaften DKIM-DNS-Einträgen
Wenn Sie den DKIM-TXT-Eintrag erstellt und zur DNS-Konfigurationsdatei hinzugefügt haben und die Fehlermeldung "DKIM-Signatur ist ungültig" auftritt, können Sie diesen Fehler mit den folgenden Schritten beheben:
Schritte zum Auffinden von Fehlern in Ihrem DKIM-Datensatz
- Registrieren Sie sich bei PowerDMARC und navigieren Sie zum DKIM-Suche Werkzeug in der Power Toolbox.
- Geben Sie Ihren Domänennamen und Ihren Selektor ein (oder lassen Sie ihn leer, damit unsere Plattform Ihren Selektor automatisch erkennen kann). Klicken Sie auf die Schaltfläche Lookup.
- Unser Tool analysiert Ihren DKIM-DNS-Eintrag und zeigt Fehler in der Syntax Ihres Eintrags auf.
Behebung von Fehlern in Ihrem DNS
- Melden Sie sich bei cPanel oder einer anderen DNS-Verwaltungskonsole an, die Sie verwenden.
- Klicken Sie auf . Erweiterter DNS-Zonen-Editor Option unter Domains.
- Wählen Sie die Domäne aus der Liste aus.
- Gehen Sie zu DNS-Einträge bearbeiten.
- Geben Sie den richtigen Wert für den DKIM-Eintrag ein, indem Sie den aktuellen Wert bearbeiten.
- Klicken Sie auf Speichern.
2. Warten auf DNS-Verbreitungsverzögerungen
Es können Fehler auftreten, obwohl Sie die Einstellungen in der DNS-Konfigurationsdatei geändert haben. Dies liegt in der Regel daran, dass die DNS-Weiterleitung nach der Änderung der DNS-Einstellungen 24 bis 48 Stunden dauert. Dies hängt von dem im DNS-Eintrag angegebenen TTL-Wert ab.
In solchen Fällen wird empfohlen, 3 bis 4 Tage zu warten, damit sich der DNS vollständig ausbreitet. In der Zwischenzeit können Sie den DNS-Propagationsstatus der Domäne mit DNS-Propagationstools oder -Analysatoren überprüfen.
Warum sehen Sie "DKIM-Signaturkörperhash nicht verifiziert"?
Wenn Sie den Status einer DKIM-Signatur als "DKIM-signature body hash not verified" sehen, bedeutet dies einfach, dass der berechnete Hash der E-Mail nicht mit dem im "bh="-Tag hinzugefügten Body-Hash-Wert übereinstimmt.
Viele E-Mail-Server für Unternehmen ändern den Inline-Text am unteren Ende eingehender E-Mails, bevor die Komponenten zerlegt werden. Dies führt zu einem ungültigen Body-Hash, der den Fehler "DKIM-signature body hash not verified" auslöst. Dies führt schließlich zu einem fehlgeschlagenen DKIM und anschließend zu einem fehlgeschlagenen DMARC Prüfung.
In manchen Situationen können Quellen DKIM- und DMARC-Prüfungen nicht bestehen, weil ein Hacker den Inhalt Ihrer E-Mail manipuliert hat. Dies kann auch zu dem Fehler "DKIM-Signaturkörper-Hash nicht verifiziert" führen.
Einige mögliche Gründe, warum Sie DKIM= neutral (body hash didn't verify) sehen, sind:
- Ein Forwarder, ein Smart Host oder ein anderer Filteragent ändert den E-Mail-Inhalt.
- Der Unterzeichner hat den Wert der Signatur falsch berechnet.
- Ein böswilliger Akteur hat die E-Mail gefälscht und signiert, ohne den richtigen privaten Schlüssel zu besitzen.
- Der im DKIM-Signatur-Header angegebene öffentliche Schlüssel ist nicht korrekt.
- Der vom Absender in seinem DNS veröffentlichte öffentliche Schlüssel ist nicht korrekt.
Dies sind einige häufige Gründe, die zu dem Fehler DKIM-Signaturkörper-Hash nicht verifiziert führen können.
Wie können Sie die Quelle untersuchen?
Wenn Sie auf den Fehler DKIM-signature body hash not verified stoßen, kann es sinnvoll sein, Ihre E-Mail-Quelle zu untersuchen.
- Prüfen Sie, ob die Quelle zu einer Liste der autorisierten Sendequellen für Ihre Domäne gehört.
- Suchen Sie im Internet nach der Quelle.
- Prüfen Sie, ob es auf der RBL erscheint schwarzen Liste Websites.
- Untersuchen Sie die DMARC-Forensikberichte, um zu sehen, welche Arten von E-Mails von der Quelle gesendet wurden.
- Suchen Sie nach den Dokumenten zur DMARC einrichten korrekt einzurichten, wenn die Quelle gültig ist.
- Kontaktieren Sie die Quelle.
Kann DKIM E-Mails filtern?
DKIM filtert keine E-Mails, aber die von DKIM weitergegebenen Details helfen den Filtern, die von der Domäne des Empfängers verwendet werden. Wenn also eine E-Mail von einer vertrauenswürdigen Domäne kommt und die DKIM-Prüfung besteht, kann ihre Spam-Bewertung reduziert werden. Wenn sie die DKIM-Prüfung nicht besteht, wird sie als Spam markiert, kann in Quarantäne gestellt oder in der Betreffzeile mit einem Spam-Tag versehen werden.
Ich habe den Fehler "DKIM-Signatur ist nicht gültig" behoben, was nun?
Die nächsten Schritte, die Sie unternehmen können, um Ihre DKIM-Konformität zu verbessern, sind:
- Abonnieren Sie einen DKIM-Analysator um die Ergebnisse Ihrer DKIM-Authentifizierung zu überwachen
- Aktivieren Sie SPF und DMARC für zusätzliche Sicherheit und genaue Auswertungen
- Drehen Sie Ihre DKIM-Schlüssel regelmäßig, um den Schutz zu erhöhen.
Ich kann den Fehler immer noch nicht beheben
Wenn der Fehler "DKIM-Signatur nicht gültig" weiterhin besteht, wenden Sie sich an Ihren E-Mail-Anbieter, um Hilfe zu erhalten, oder kontaktieren Sie uns für eine fachkundige Beratung zu allen Fragen der E-Mail-Authentifizierung!
- Yahoo Japan empfiehlt die Einführung von DMARC für Nutzer im Jahr 2025 - 17. Januar 2025
- MikroTik Botnet nutzt SPF-Fehlkonfigurationen zur Verbreitung von Malware aus - 17. Januar 2025
- Unauthentifizierte DMARC-Mails sind verboten [SOLVED] - 14. Januar 2025