Comment corriger l'erreur "DKIM Signature is Not Valid" ?
Si vous avez reçu l'erreur "La signature DKIM n'est pas valide", il y a des problèmes avec votre configuration DKIM et vous devez les résoudre maintenant ! Les erreurs de signature DKIM non valide peuvent survenir pour les raisons suivantes :
- Un enregistrement DKIM incorrecte. entrée
- Retards dans la propagation du DNS
- Erreurs constatées lors de l'évaluation de la signature DKIM
- Modifications éventuelles apportées aux messages électroniques ou autres raisons.
Ce blog se concentre sur les raisons les plus courantes de l'erreur "La signature DKIM n'est pas valide" et sur quelques recommandations pour vous remettre sur la bonne voie !
À propos des signatures DKIM
DKIM ou Domain Keys Identified Mail, est un protocole d'authentification du courrier électronique. Il permet de préserver la légitimité des messages électroniques en garantissant qu'aucune modification n'est apportée au cours du transfert. Cela empêche les acteurs de la menace et les attaquants de type "man-in-the-middle" de modifier le contenu des courriels.
A signature DKIM est un en-tête ajouté aux messages électroniques afin que le serveur de messagerie du destinataire puisse authentifier les messages en vérifiant la clé DKIM de l'expéditeur. Ce processus est basé sur basé sur la cryptographie sécurité en ligne basée sur la cryptographie.
Voici quelques balises courantes dans l'en-tête d'une signature DKIM :
- v (Version) : Indique la version DKIM utilisée. Par exemple, "v=DKIM1" indique la version 1 du DKIM.
- a (Algorithme) : Indique l'algorithme cryptographique utilisé pour générer la signature. Les algorithmes courants sont rsa-sha256 et rsa-sha1. Par exemple, "a=rsa-sha256".
- d (Domain) : Indique le domaine qui possède la clé DKIM utilisée pour générer la signature. Par exemple, "d=example.com".
- s (Selector) : Indique le sélecteur de clé DKIM spécifique utilisé pour localiser la clé publique DKIM dans l'enregistrement DNS. Par exemple, "s=dkim2024".
- h (Signed Headers) : Liste les en-têtes qui ont été inclus dans le calcul de la signature DKIM. Cela garantit que toute modification de ces en-têtes entraînera l'échec de la vérification de la signature. Par exemple, "h=From:To:Subject:Date".
- b (Signature) : Contient la signature cryptographique générée pour l'ensemble du message électronique. Par exemple, "b=AbCdEfGhIjKlMnOp...".
La présence d'un enregistrement DKIM erroné ou de champs d'en-tête DKIM manquants peut entraîner l'erreur DKIM signature is not valid.
Quand la signature DKIM peut-elle échouer avec l'erreur "Votre signature DKIM n'est pas valide" ?
Le message "Votre signature DKIM n'est pas valide" s'affiche lorsque la vérification de l'authentification DKIM échoue. Voici les raisons courantes de cet échec :
- Le domaine de signature DKIM et le domaine de l'expéditeur ne sont pas alignés.
- L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas correct.
- L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas publié du tout.
- Le serveur ne parvient pas à atteindre la zone DNS du domaine de l'expéditeur pour la consultation. Il s'agit d'une situation courante chez les fournisseurs d'hébergement médiocres.
- La longueur de la clé DKIM est insuffisante : 1024, et les clés de 2048 bits sont prises en charge. Lorsque votre hébergeur de webmails signe des emails avec une longueur de clé DKIM plus petite, une erreur de signature DKIM invalide se produit.
- Certaines modifications ont été apportées au message pendant le transfert automatique.
Tous les cas, sauf le dernier, sont des problèmes techniques qui peuvent être résolus par un expert. Toutefois, il n'est pas réaliste d'éviter le dernier cas, car vous ne pouvez pas contrôler les destinataires pour qu'ils cessent d'ajouter des pieds de page de conformité. Que se passe-t-il donc lorsque ces messages transférés automatiquement échouent à la fois à SPF et à DKIM et que vous avez mis en place la DMARC sur "rejet" ?
Auparavant, il était assez difficile pour les serveurs de destinataires de gérer ces courriels non authentifiés mais légitimes. Mais aujourd'hui, tous les principaux fournisseurs de services de courrier électronique ou ESP utilisent la Chaîne de réception authentifiée ou protocole ARC.
Ce protocole permet aux serveurs de messagerie d'identifier le serveur de messagerie qui l'a géré précédemment. Ils peuvent ainsi connaître les étapes d'évaluation de l'authentification.
Comment corriger l'erreur "La signature DKIM n'est pas valide" ?
Malgré l'alignement des enregistrements DKIM, vous pouvez voir apparaître une erreur de signature DKIM non valide. Voyons quelles sont les causes possibles du message "DKIM signature is not valid" et comment y remédier.
1. Dépannage des entrées DNS DKIM incorrectes
Après avoir créé l'enregistrement DKIM TXT et l'avoir ajouté au fichier de configuration DNS, si vous rencontrez l'erreur "DKIM signature is not valid", vous pouvez la résoudre en suivant les étapes suivantes :
Étapes à suivre pour trouver des erreurs dans votre enregistrement DKIM
- S'inscrire sur PowerDMARC et naviguez jusqu'à la page Recherche DKIM dans Power Toolbox.
- Saisissez votre nom de domaine et votre sélecteur (ou laissez le champ vide pour que notre plateforme détecte automatiquement votre sélecteur). Cliquez sur le bouton Recherche.
- Notre outil analysera votre entrée DNS DKIM et mettra en évidence les erreurs dans la syntaxe de votre enregistrement.
Corriger les erreurs de votre DNS
- Connectez-vous à cPanel ou à toute autre console de gestion DNS que vous utilisez.
- Cliquez sur Editeur de zone DNS avancé sous Domaines.
- Sélectionnez le domaine dans la liste.
- Allez à Modifier les enregistrements DNS.
- Saisissez la valeur correcte pour l'enregistrement DKIM en modifiant la valeur actuelle.
- Cliquez sur Enregistrer.
2. Attendre les délais de propagation du DNS
Des erreurs peuvent apparaître malgré la modification des paramètres du fichier de configuration DNS. Cela se produit généralement parce qu'il faut 24 à 48 heures pour que la propagation DNS se fasse après que vous avez modifié les paramètres DNS. Ce délai varie en fonction de la valeur TTL mentionnée dans l'enregistrement DNS.
Dans de tels scénarios, il est suggéré d'attendre 3 à 4 jours pour que le DNS se propage complètement. Entre-temps, vous pouvez vérifier l'état de propagation des DNS du domaine à l'aide d'outils ou d'analyseurs de propagation des DNS.
Pourquoi voyez-vous DKIM=Neutre (DKIM Permfail "Body Hash Did Not Verify") ?
Si le statut d'une signature DKIM est "body hash not verified" (hachage du corps non vérifié), cela signifie simplement que le hachage calculé de l'e-mail n'est pas conforme à la valeur de hachage du corps ajoutée dans la balise "bh=". De nombreux serveurs de messagerie professionnelle modifient le texte en ligne au bas des courriels entrants avant que les composants ne soient décomposés. Il en résulte un hachage invalide du corps de l'e-mail, ce qui entraîne l'échec de la procédure DKIM et, par la suite, l'échec de la procédure DMARC a échoué.
Dans certaines situations, les sources peuvent échouer aux contrôles DKIM et DMARC parce qu'un pirate a envoyé des courriels malveillants en utilisant votre domaine. Vous devez donc examiner minutieusement toutes les sources figurant dans la section des échecs afin de déterminer si elles sont valides ou malveillantes. Si une source authentique s'est retrouvée dans la section des échecs, configurez et alignez correctement SPF et/ou DKIM.
Les raisons possibles pour lesquelles vous voyez DKIM= neutre (le hachage du corps n'a pas été vérifié) sont les suivantes :
- Un transitaire, un hôte intelligent ou un autre agent de filtrage a modifié le contenu du courrier électronique.
- Le signataire a mal calculé la valeur de la signature.
- Un acteur malveillant a usurpé le courriel et l'a signé sans disposer de la bonne clé privée.
- La clé publique spécifiée dans l'en-tête DKIM-Signature n'est pas correcte.
- La clé publique publiée par l'expéditeur dans son DNS n'est pas correcte.
Comment pouvez-vous enquêter sur la source ?
- Vérifiez si la source appartient au partenaire de votre entreprise.
- Recherchez la source sur l'internet.
- Vérifier s'il figure sur la RBL liste noire sites web.
- Examinez les rapports DMARC forensic pour voir les types d'e-mails envoyés par la source.
- Recherchez les documents pour configurer DMARC correctement si la source est valide.
- Contactez la source.
Est-ce que DKIM filtre les e-mails ?
DKIM ne filtre pas le courrier électronique, mais les détails qu'il communique aident les filtres utilisés par le domaine du destinataire. Ainsi, si un courriel provient d'un domaine de confiance et passe les contrôles DKIM, son score de spam peut être réduit. S'il échoue au contrôle DKIM, il est marqué comme spam, peut être mis en quarantaine ou une étiquette spam peut être ajoutée à la ligne d'objet.
J'ai corrigé l'erreur "DKIM Signature is Not Valid", que faire ensuite ?
Les prochaines étapes à suivre pour renforcer votre conformité à la norme DKIM sont les suivantes :
- S'abonner à un analyseur DKIM pour surveiller vos résultats d'authentification DKIM
- Activer SPF et DMARC pour une sécurité accrue et des évaluations précises
- Rotation périodique des clés DKIM pour une meilleure protection
Je n'arrive toujours pas à corriger l'erreur
Si l'erreur de signature DKIM non valide persiste, contactez votre fournisseur de services de messagerie pour obtenir des conseils ou contactez-nous pour obtenir des conseils d'experts sur tout ce qui concerne l'authentification des e-mails !
- Comment configurer DMARC dans Office 365 ? Guide étape par étape - 6 mai 2024
- Explication des codes d'erreur SMTP Yahoo - 1er mai 2024
- SPF Softfail Vs Hardfail : Quelle est la différence ? - 26 avril 2024