Comment corriger l'erreur "DKIM Signature is Not Valid" ?

Blog

L'erreur "DKIM signature is not valid" peut se produire en raison d'une entrée incorrecte dans l'enregistrement DNS DKIM.

par YunesTarada

Temps de lecture : 6 min
Comment corriger l'erreur "DKIM Signature is Not Valid" ?
Table des matières-

Si vous avez reçu l'erreur "La signature DKIM n'est pas valide", il y a des problèmes avec votre configuration DKIM et vous devez les résoudre maintenant ! Les erreurs de signature DKIM non valide peuvent survenir pour les raisons suivantes : 

  • Un enregistrement DKIM incorrecte. entrée
  • Retards dans la propagation du DNS
  • Erreurs constatées lors de l'évaluation de la signature DKIM
  • Modifications éventuelles apportées aux messages électroniques ou autres raisons. 

Ce blog se concentre sur les raisons les plus courantes de l'erreur "La signature DKIM n'est pas valide" et sur quelques recommandations pour vous remettre sur la bonne voie ! 

Points clés à retenir

  1. L'erreur "La signature DKIM n'est pas valide" peut être due à des enregistrements DNS incorrects, à des retards de propagation ou à des modifications du message.
  2. Il est essentiel de vérifier les entrées DNS DKIM à l'aide d'outils de recherche DKIM pour diagnostiquer les problèmes potentiels.
  3. Les délais de propagation du DNS peuvent durer de 24 à 48 heures. Il faut donc faire preuve de patience après avoir modifié les paramètres du DNS.
  4. Une non-concordance entre le domaine de l'expéditeur et le domaine de la signature DKIM peut entraîner une erreur de signature DKIM.
  5. La résolution des problèmes de transfert automatique peut améliorer l'authentification DKIM, et l'utilisation du protocole ARC peut contribuer à atténuer les perturbations.

À propos des signatures DKIM

DKIM ou Domain Keys Identified Mail, est un protocole d'authentification du courrier électronique. Il permet de préserver la légitimité des messages électroniques en garantissant qu'aucune modification n'est apportée au cours du transfert. Cela empêche les acteurs de la menace et les attaquants de type "man-in-the-middle" de modifier le contenu des courriels.

A signature DKIM est un en-tête ajouté aux messages électroniques afin que le serveur de messagerie du destinataire puisse authentifier les messages en vérifiant la clé DKIM de l'expéditeur. Ce processus est basé sur basé sur la cryptographie sécurité en ligne basée sur la cryptographie.

Voici quelques balises courantes dans l'en-tête d'une signature DKIM : 

  1. v (Version) : Indique la version DKIM utilisée. Par exemple, "v=DKIM1" indique la version 1 du DKIM.
  2. a (Algorithme) : Indique l'algorithme cryptographique utilisé pour générer la signature. Les algorithmes courants sont rsa-sha256 et rsa-sha1. Par exemple, "a=rsa-sha256".
  3. d (Domain) : Indique le domaine qui possède la clé DKIM utilisée pour générer la signature. Par exemple, "d=example.com".
  4. s (Selector) : Indique le sélecteur de clé DKIM spécifique utilisé pour localiser la clé publique DKIM dans l'enregistrement DNS. Par exemple, "s=dkim2024".
  5. h (Signed Headers) : Liste les en-têtes qui ont été inclus dans le calcul de la signature DKIM. Cela garantit que toute modification de ces en-têtes entraînera l'échec de la vérification de la signature. Par exemple, "h=From:To:Subject:Date".
  6. b (Signature) : Contient la signature cryptographique générée pour l'ensemble du message électronique. Par exemple, "b=AbCdEfGhIjKlMnOp...".

La présence d'un enregistrement DKIM erroné ou de champs d'en-tête DKIM manquants peut entraîner l'erreur DKIM signature is not valid.

Simplifiez DKIM avec PowerDMARC !

15 jours d'essaiRéservez une démo

Quand la signature DKIM peut-elle échouer avec l'erreur "Votre signature DKIM n'est pas valide" ?

Le message "Votre signature DKIM n'est pas valide" s'affiche lorsque la vérification de l'authentification DKIM échoue. Voici les raisons courantes de cet échec :

  • Le domaine de signature DKIM et le domaine de l'expéditeur ne sont pas alignés.
  • L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas correct.
  • L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas publié du tout.
  • Le serveur ne parvient pas à atteindre la zone DNS du domaine de l'expéditeur pour la consultation. Il s'agit d'une situation courante chez les fournisseurs d'hébergement médiocres.
  • La longueur de la clé DKIM est insuffisante : 1024, et les clés de 2048 bits sont prises en charge. Lorsque votre hébergeur de webmails signe des emails avec une longueur de clé DKIM plus petite, une erreur de signature DKIM invalide se produit.
  • Certaines modifications ont été apportées au message pendant le transfert automatique. 

Tous les cas, sauf le dernier, sont des problèmes techniques qui peuvent être résolus par un expert. Toutefois, il n'est pas réaliste d'éviter le dernier cas, car vous ne pouvez pas contrôler les destinataires pour qu'ils cessent d'ajouter des pieds de page de conformité. Que se passe-t-il donc lorsque ces messages transférés automatiquement échouent à la fois à SPF et à DKIM et que vous avez mis en place la DMARC sur "rejet" ?

Auparavant, il était assez difficile pour les serveurs de destinataires de gérer ces courriels non authentifiés mais légitimes. Mais aujourd'hui, tous les principaux fournisseurs de services de courrier électronique ou ESP utilisent la Chaîne de réception authentifiée ou protocole ARC.

Ce protocole permet aux serveurs de messagerie d'identifier le serveur de messagerie qui l'a géré précédemment. Ils peuvent ainsi connaître les étapes d'évaluation de l'authentification. 

Comment corriger l'erreur "La signature DKIM n'est pas valide" ? 

Malgré l'alignement des enregistrements DKIM, vous pouvez voir apparaître une erreur de signature DKIM non valide. Voyons quelles sont les causes possibles du message "DKIM signature is not valid" et comment y remédier. 

1. Dépannage des entrées DNS DKIM incorrectes

Après avoir créé l'enregistrement DKIM TXT et l'avoir ajouté au fichier de configuration DNS, si vous rencontrez l'erreur "DKIM signature is not valid", vous pouvez la résoudre en suivant les étapes suivantes :

Étapes à suivre pour trouver des erreurs dans votre enregistrement DKIM

  • S'inscrire sur PowerDMARC et naviguez jusqu'à la page Recherche DKIM dans Power Toolbox.
  • Saisissez votre nom de domaine et votre sélecteur (ou laissez le champ vide pour que notre plateforme détecte automatiquement votre sélecteur). Cliquez sur le bouton Recherche.
  • Notre outil analysera votre entrée DNS DKIM et mettra en évidence les erreurs dans la syntaxe de votre enregistrement.

Corriger les erreurs de votre DNS

  • Connectez-vous à cPanel ou à toute autre console de gestion DNS que vous utilisez.
  • Cliquez sur Editeur de zone DNS avancé sous Domaines.
  • Sélectionnez le domaine dans la liste.
  • Allez à Modifier les enregistrements DNS.
  • Saisissez la valeur correcte pour l'enregistrement DKIM en modifiant la valeur actuelle.
  • Cliquez sur Enregistrer.

2. Attendre les délais de propagation du DNS

Des erreurs peuvent apparaître malgré la modification des paramètres du fichier de configuration DNS. Cela se produit généralement parce qu'il faut 24 à 48 heures pour que la propagation DNS se fasse après que vous avez modifié les paramètres DNS. Ce délai varie en fonction de la valeur TTL mentionnée dans l'enregistrement DNS.

Dans de tels scénarios, il est suggéré d'attendre 3 à 4 jours pour que le DNS se propage complètement. Entre-temps, vous pouvez vérifier l'état de propagation des DNS du domaine à l'aide d'outils ou d'analyseurs de propagation des DNS. 

Pourquoi le message "DKIM-Signature Body Hash Not Verified" apparaît-il ?

Si le statut d'une signature DKIM est "DKIM-signature body hash not verified", cela signifie simplement que le hash calculé de l'e-mail ne correspond pas à la valeur de hash du corps ajoutée dans la balise "bh=". 

De nombreux serveurs de messagerie professionnelle modifient le texte en ligne au bas des courriels entrants avant que les composants ne soient décomposés. Cela entraîne un hachage invalide du corps, déclenchant l'erreur DKIM-signature body hash not verified (hachage du corps non vérifié). Cette erreur entraîne l'échec de la signature DKIM et, par la suite, l'échec de la signature DMARC a échoué.

Dans certains cas, les sources peuvent échouer aux contrôles DKIM et DMARC parce qu'un pirate informatique a modifié le contenu de votre courrier électronique. Cela peut également conduire à l'erreur DKIM - le hachage du corps de la signature n'a pas été vérifié. 

Les raisons possibles pour lesquelles vous voyez DKIM= neutre (le hachage du corps n'a pas été vérifié) sont les suivantes :

  • Un transitaire, un hôte intelligent ou un autre agent de filtrage a modifié le contenu du courrier électronique.
  • Le signataire a mal calculé la valeur de la signature.
  • Un acteur malveillant a usurpé le courriel et l'a signé sans disposer de la bonne clé privée.
  • La clé publique spécifiée dans l'en-tête DKIM-Signature n'est pas correcte.
  • La clé publique publiée par l'expéditeur dans son DNS n'est pas correcte.

Voici quelques raisons courantes qui peuvent entraîner l'erreur DKIM-signature body hash not verified (hachage du corps de la signature non vérifié). 

Comment pouvez-vous enquêter sur la source ?

Lorsque vous rencontrez l'erreur DKIM-signature body hash not verified, il peut être utile d'examiner la source de votre courrier électronique. 

  • Vérifiez si la source appartient à une liste autorisée de sources d'envoi pour votre domaine.
  • Recherchez la source sur l'internet.
  • Vérifier s'il figure sur la RBL liste noire sites web.
  • Examinez les rapports DMARC forensic pour voir les types d'e-mails envoyés par la source.
  • Recherchez les documents pour configurer DMARC correctement si la source est valide.
  • Contactez la source.

Est-ce que DKIM filtre les e-mails ?

DKIM ne filtre pas le courrier électronique, mais les détails qu'il communique aident les filtres utilisés par le domaine du destinataire. Ainsi, si un courriel provient d'un domaine de confiance et passe les contrôles DKIM, son score de spam peut être réduit. S'il échoue au contrôle DKIM, il est marqué comme spam, peut être mis en quarantaine ou une étiquette spam peut être ajoutée à la ligne d'objet. 

J'ai corrigé l'erreur "DKIM Signature is Not Valid", que faire ensuite ? 

Les prochaines étapes à suivre pour renforcer votre conformité à la norme DKIM sont les suivantes : 

  1. S'abonner à un analyseur DKIM pour surveiller vos résultats d'authentification DKIM
  2. Activer SPF et DMARC pour une sécurité accrue et des évaluations précises
  3. Rotation périodique des clés DKIM pour une meilleure protection

Je n'arrive toujours pas à corriger l'erreur

Si l'erreur de signature DKIM non valide persiste, contactez votre fournisseur de services de messagerie pour obtenir des conseils ou contactez-nous pour obtenir des conseils d'experts sur tout ce qui concerne l'authentification des e-mails !

Derniers messages de Yunes Tarada (voir tous)
Les meilleurs outils d'aplanissement des FPS en 2025Le courrier non authentifié DMARC est interditLe courrier non authentifié DMARC est interdit [SOLVÉ]