Wie behebt man den Fehler "DKIM-Signatur ist nicht gültig"?

Sobald Sie wissen, was ein DKIMkennen, werden Sie wissen wollen, was zu tun ist, wenn Ihre DKIM-Signatur ungültig ist. Dies kann durch einen falschen Eintrag im DNS-Eintrageine Verzögerung bei der DNS-Übertragung oder andere Gründe. Dieser Blog wird sich nur auf diese Gründe konzentrieren.

Warum Ihre DKIM-Signatur nicht gültig ist

DKIM-Signatur ist eine Kopfzeile, die zu E-Mail-Nachrichten hinzugefügt wird, damit der Mailserver des Empfängers die E-Mails durch Überprüfung des DKIM-Schlüssels des Absenders authentifizieren kann. Dieses Verfahren basiert auf kryptographischer Online-Sicherheit. Das Vorhandensein eines fehlerhaften DKIM-Eintrags oder fehlender DKIM-Header-Felder kann zu dem Fehler DKIM-Signatur ist nicht gültig führen.

Wann schlägt die DKIM-Prüfung fehl?

Wenn die DKIM-Authentifizierungsprüfung fehlschlägt, wird die Meldung "Ihre DKIM-Signatur ist nicht gültig" angezeigt. Hier sind die häufigsten Gründe für diesen Fehler:

• DKIM-Signaturdomäne und Absenderdomäne stimmen nicht überein.
• Der im DNS veröffentlichte DKIM-Datensatz für öffentliche Schlüssel ist nicht richtig.
• Der im DNS veröffentlichte DKIM-Datensatz für öffentliche Schlüssel wird überhaupt nicht veröffentlicht.
• Der Server kann die DNS-Zone der Absenderdomäne für die Suche nicht erreichen. Dies ist eine häufige Situation bei schlechten Hosting-Anbietern.
• Die Länge des DKIM-Schlüssels ist mit 1024 nicht ausreichend, und es werden 2048-Bit lange Schlüssel unterstützt. Wenn Ihr Webmail-Hosting-Anbieter E-Mails mit einer kleineren DKIM-Schlüssellänge signiert, tritt ein Fehler bei der DKIM-Signatur auf.
• Bei der automatischen Weiterleitung wurden einige Änderungen an der Nachricht vorgenommen. 

Bis auf den letzten Fall handelt es sich in allen Fällen um technische Probleme, die von einem Experten gelöst werden können. Es ist jedoch nicht realistisch, den letzten Fall zu vermeiden, da Sie die Empfänger nicht dazu bringen können, keine Fußzeilen zur Einhaltung der Vorschriften anzuhängen. Was kann also passieren, wenn diese automatisch weitergeleiteten Nachrichten sowohl SPF als auch DKIM nicht erfüllen, weil Sie die DMARC-Richtlinie auf "ablehnen" eingestellt haben?

Früher war es für Empfängerserver recht schwierig, solche nicht authentifizierten, aber legitimen E-Mails zu verwalten. Heutzutage verwenden jedoch alle großen E-Mail-Dienstanbieter oder ESPs Authentifizierte Empfangskette oder ARC-Protokoll.

Mit diesem Protokoll können Mailserver den Mailserver identifizieren, der sie zuvor verwaltet hat. Dadurch können sie die Schritte der Authentifizierungsprüfung erkennen. 

Allgemeine DKIM-Signatur ist nicht gültig Fehler & Korrekturen

Trotz des Abgleichs der DKIM-Datensätze wird ein Fehler mit einer ungültigen DKIM-Signatur angezeigt. Sehen wir uns an, was die möglichen Ursachen für "DKIM-Signatur ist nicht gültig" sind und wie man sie beheben kann. 

1. Falscher DNS-Eintrag

Nachdem Sie den DKIM-TXT-Eintrag erstellt und zur DNS-Konfigurationsdatei hinzugefügt haben, wird im cPanel der Fehler DKIM-Signatur nicht gültig angezeigt. Dies kann mit den folgenden Schritten behoben werden:

• Anmeldung bei cPanel.
• Klicken Sie auf . Erweiterter DNS-Zonen-Editor Option unter Domains.
• Wählen Sie die Domäne aus der Liste aus.
• Gehe zu DNS-Einträge bearbeiten und überprüfen Sie den TXT-Eintrag.
• Geben Sie den richtigen Wert für den DKIM-Eintrag ein.
• Speichern Sie die Datei. Sie können die Änderungen sehen. 

2. DNS-Ausbreitungsverzögerung

Trotz Änderung der Einstellungen in der DNS-Konfigurationsdatei können Fehler auftreten. Dies liegt in der Regel daran, dass die DNS-Weiterleitung nach einer Änderung der DNS-Einstellungen 24 bis 48 Stunden dauert. Dies hängt von dem im DNS-Eintrag angegebenen TTL-Wert ab.

In solchen Fällen wird empfohlen, 3 bis 4 Tage zu warten, damit sich der DNS vollständig ausbreitet. In der Zwischenzeit können Sie den DNS-Propagationsstatus der Domäne mit DNS-Propagationstools oder -Analysatoren überprüfen. 

Warum sehen Sie DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?

Wenn Sie bei einer DKIM-Signatur den Status "body hash not verified" sehen, bedeutet dies lediglich, dass der berechnete Hash der E-Mail nicht mit dem im "bh="-Tag hinzugefügten body hash-Wert übereinstimmt. Viele geschäftliche E-Mail-Server ändern den Inline-Text am Ende eingehender E-Mails, bevor die Komponenten zerlegt werden. Dies führt zu einem ungültigen Body-Hash, der schließlich eine fehlgeschlagene DMARC-Prüfung verursacht.

In solchen Situationen scheitern die Quellen an der DMARC-Prüfung, weil ein Hacker bösartige E-Mails über Ihre Domäne versendet hat. Daher sollten Sie alle Quellen, die in der fehlgeschlagenen Sektion erscheinen, gründlich untersuchen, um sie als gültig oder bösartig zu identifizieren. Wenn eine echte Quelle im Abschnitt "Nicht bestanden" gelandet ist, sollten Sie SPF und DKIM ordnungsgemäß einrichten und abgleichen. 

Einige mögliche Gründe, warum Sie DKIM= neutral (body hash didn't verify) sehen, sind:

• Ein Forwarder, ein Smart-Host oder ein anderer Filteragent hat den E-Mail-Inhalt verändert.
• Der Unterzeichner hat den Wert der Signatur falsch berechnet.
• Ein böswilliger Akteur hat die E-Mail gefälscht und signiert, ohne den richtigen privaten Schlüssel zu besitzen.
• Der im DKIM-Signatur-Header angegebene öffentliche Schlüssel ist nicht korrekt.
• Der vom Absender in seinem DNS veröffentlichte öffentliche Schlüssel ist nicht korrekt.

Wie können Sie die Quelle untersuchen?

• Prüfen Sie, ob die Quelle dem Partner Ihres Unternehmens gehört.
• Suchen Sie im Internet nach der Quelle.
• Prüfen Sie, ob sie auf der schwarzen Liste der RBL-Websites steht.
• Untersuchen Sie die DMARC-Forensikberichte, um zu sehen, welche Arten von E-Mails von der Quelle gesendet wurden.
• Suchen Sie die Dokumente, um DMARC korrekt einzurichten, wenn die Quelle gültig ist.
• Kontaktieren Sie die Quelle.

Kann DKIM E-Mails filtern?

DKIM filtert keine E-Mails, aber die von DKIM weitergegebenen Details helfen den Filtern, die von der Domäne des Empfängers verwendet werden. Wenn also eine E-Mail von einer vertrauenswürdigen Domäne kommt und die DKIM-Prüfung besteht, könnte die Spam-Bewertung reduziert worden sein. Wenn sie die DKIM-Prüfung nicht besteht, wird sie als Spam markiert, kann in Quarantäne gestellt oder in der Betreffzeile mit einem Spam-Tag versehen werden. 

Die Domänenbesitzer können also nicht kontrollieren, was in den DMARC-Fehlerbericht aufgenommen wird, da dieser in der Hand der Benutzer liegt.

Ich habe den Fehler "DKIM-Signatur ist ungültig" behoben, was nun? 

Die nächsten Schritte, die Sie unternehmen können, um Ihre DKIM-Konformität zu verbessern, sind: 

1. Navigieren Sie zu einem DKIM-Analysator um die Ergebnisse Ihrer DKIM-Authentifizierung zu überwachen
2. Aktivieren Sie SPF und DMARC
3. Wechseln Sie Ihre DKIM-Schlüssel regelmäßig 

Ich kann den Fehler immer noch nicht beheben

Wenn der Fehler "DKIM-Signatur nicht gültig" weiterhin besteht, wenden Sie sich an Ihren E-Mail-Anbieter, um Hilfe zu erhalten, oder kontaktieren Sie uns für eine fachkundige Beratung zu allen Fragen der E-Mail-Authentifizierung!

• Über
• Neueste Beiträge

Yunes Tarada

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024
• FTC berichtet, dass E-Mail ein beliebtes Medium für Betrügereien mit falschen Namen ist - 16. April 2024
• SubdoMailing und das Aufkommen von Subdomain-Phishing - 18. März 2024