Une fois que vous êtes familiarisé avec ce qu'est DKIMvous aurez envie de savoir ce qu'il faut faire lorsque votre signature DKIM n'est pas valide. Cela peut se produire en raison d'une entrée incorrecte dans l'enregistrement enregistrement DNSun retard de propagation du DNS, ou d'autres raisons. Ce blog se concentrera uniquement sur ces dernières.

Pourquoi votre signature DKIM n'est pas valide

Signature DKIM est un en-tête ajouté aux messages électroniques afin que le serveur de messagerie du destinataire puisse authentifier les messages en vérifiant la clé DKIM de l'expéditeur. Ce processus est basé sur la sécurité en ligne par cryptographie. La présence d'un enregistrement DKIM erroné ou de champs d'en-tête DKIM manquants peut entraîner l'erreur "DKIM signature is not valid".

Quand DKIM échoue-t-il à la vérification ?

Le message "Votre signature DKIM n'est pas valide" s'affiche lorsque la vérification de l'authentification DKIM échoue. Voici les raisons courantes de cet échec :

• Le domaine de signature DKIM et le domaine de l'expéditeur ne sont pas alignés.
• L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas correct.
• L'enregistrement de la clé publique DKIM publié dans le DNS n'est pas publié du tout.
• Le serveur ne parvient pas à atteindre la zone DNS du domaine de l'expéditeur pour la consultation. Il s'agit d'une situation courante chez les fournisseurs d'hébergement médiocres.
• La longueur de la clé DKIM est insuffisante : 1024, et les clés de 2048 bits sont prises en charge. Lorsque votre hébergeur de webmails signe des emails avec une longueur de clé DKIM plus petite, une erreur de signature DKIM invalide se produit.
• Certaines modifications ont été apportées au message pendant le transfert automatique. 

Tous les cas, sauf le dernier, sont des problèmes techniques qui peuvent être résolus par un expert. Cependant, il n'est pas réaliste d'éviter le dernier cas, car vous ne pouvez pas contrôler les destinataires pour qu'ils cessent d'ajouter des pieds de page de conformité. Alors, que peut-il se passer lorsque ces messages transférés automatiquement échouent à la fois à SPF et DKIM parce que vous avez défini la politique DMARC sur "rejet" ?

Auparavant, il était assez difficile pour les serveurs de destinataires de gérer ces courriels non authentifiés mais légitimes. Mais aujourd'hui, tous les principaux fournisseurs de services de courrier électronique ou ESP utilisent la Chaîne de réception authentifiée ou protocole ARC.

Ce protocole permet aux serveurs de messagerie d'identifier le serveur de messagerie qui l'a géré précédemment. Ils peuvent ainsi connaître les étapes d'évaluation de l'authentification. 

Général La signature DKIM n'est pas valide Erreurs et corrections

Malgré l'alignement des enregistrements DKIM, vous pouvez voir apparaître une erreur de signature DKIM non valide. Voyons quelles sont les causes possibles du message "DKIM signature is not valid" et comment y remédier. 

1. Entrée DNS incorrecte

Après avoir créé l'enregistrement DKIM TXT et l'avoir ajouté au fichier de configuration DNS, vous pouvez voir l'erreur DKIM signature not valid dans cPanel. Ce problème peut être résolu en suivant les étapes suivantes :

• Connectez-vous à cPanel.
• Cliquez sur Editeur de zone DNS avancé sous Domaines.
• Sélectionnez le domaine dans la liste.
• Aller à Modifier les enregistrements DNS et vérifiez l'enregistrement TXT.
• Entrez la valeur correcte pour l'enregistrement DKIM.
• Sauvegardez le fichier. Vous pouvez voir les changements. 

2. Délai de propagation du DNS

Vous pouvez voir des erreurs malgré la modification des paramètres dans le fichier de configuration DNS. Cela se produit généralement parce que la propagation du DNS prend jusqu'à 24 à 48 heures après que vous ayez modifié les paramètres du DNS. Cela varie en fonction de la valeur TTL mentionnée dans l'enregistrement DNS.

Dans de tels scénarios, il est suggéré d'attendre 3 à 4 jours pour que le DNS se propage complètement. Entre-temps, vous pouvez vérifier l'état de propagation des DNS du domaine à l'aide d'outils ou d'analyseurs de propagation des DNS. 

Pourquoi voyez-vous DKIM=Neutre (DKIM Permfail "Body Hash Did Not Verify") ?

Si le statut d'une signature DKIM est "body hash not verified", cela signifie simplement que le hachage calculé de l'e-mail ne correspond pas à la valeur de hachage du corps ajoutée dans la balise "bh=". De nombreux serveurs de messagerie professionnelle modifient le texte en ligne au bas des e-mails entrants avant que les composants ne soient décomposés. Cela conduit à un hash du corps invalide, ce qui entraîne l'échec de la vérification DMARC.

Dans de telles situations, les sources échouent aux vérifications DMARC parce qu'un pirate a envoyé des courriels malveillants en utilisant votre domaine. Vous devez donc examiner minutieusement toutes les sources figurant dans la section des échecs afin de les identifier comme valides ou malveillantes. Si une source authentique a atterri dans la section des échecs, configurez et alignez SPF et DKIM correctement. 

Les raisons possibles pour lesquelles vous voyez DKIM= neutre (le hachage du corps n'a pas été vérifié) sont les suivantes :

• Un transitaire, un hôte intelligent ou un autre agent de filtrage a modifié le contenu du courriel.
• Le signataire a mal calculé la valeur de la signature.
• Un acteur malveillant a usurpé le courriel et l'a signé sans disposer de la bonne clé privée.
• La clé publique spécifiée dans l'en-tête DKIM-Signature n'est pas correcte.
• La clé publique publiée par l'expéditeur dans son DNS n'est pas correcte.

Comment pouvez-vous enquêter sur la source ?

• Vérifiez si la source appartient au partenaire de votre entreprise.
• Faites une recherche sur la source sur Internet.
• Vérifiez s'il figure sur les sites de la liste noire RBL.
• Examinez les rapports DMARC forensic pour voir les types d'e-mails envoyés par la source.
• Recherchez les documents pour configurer correctement DMARC si la source est valide.
• Contactez la source.

Est-ce que DKIM filtre les e-mails ?

DKIM ne filtre pas le courrier électronique, mais les détails qu'il partage aident les filtres utilisés par le domaine du destinataire. Ainsi, si un courriel provient d'un domaine de confiance et passe les contrôles DKIM, son score de spam pourrait avoir été réduit. S'il échoue à la vérification DKIM, il est marqué comme spam ou peut être mis en quarantaine ou avoir une étiquette spam ajoutée à la ligne d'objet. 

Les propriétaires de domaines ne peuvent donc pas contrôler ce qui est inclus dans le rapport d'échec DMARC, car cela est entre les mains des utilisateurs.

J'ai corrigé l'erreur DKIM signature is not valid, quelle est la suite ? 

Les prochaines étapes que vous pouvez suivre pour renforcer votre conformité DKIM sont les suivantes : 

1. Naviguer dans un analyseur DKIM pour surveiller les résultats de votre authentification DKIM
2. Activez SPF et DMARC
3. Faites tourner vos clés DKIM périodiquement 

Je n'arrive toujours pas à réparer l'erreur

Si l'erreur de signature DKIM non valide persiste, contactez votre fournisseur de services de messagerie pour obtenir des conseils ou contactez-nous pour obtenir des conseils d'experts sur tout ce qui concerne l'authentification des e-mails !