Come risolvere l'errore "La firma DKIM non è valida"?

Una volta acquisita familiarità con il DKIMsarete curiosi di sapere cosa fare quando la vostra firma DKIM non è valida. Ciò può accadere a causa di una voce non corretta nel record record DNSun ritardo nella propagazione del DNS o per altri motivi. Questo blog si concentrerà solo su questi ultimi.

Perché la firma DKIM non è valida

Firma DKIM è un'intestazione aggiunta ai messaggi di posta elettronica in modo che il server di posta del destinatario possa autenticare le e-mail controllando la chiave DKIM del mittente. Questo processo si basa sulla sicurezza online basata sulla crittografia. La presenza di un record DKIM errato o di campi di intestazione DKIM mancanti può causare un errore di firma DKIM non valida.

Quando il DKIM fallisce il controllo?

Quando il controllo dell'autenticazione DKIM fallisce, viene visualizzato il messaggio "La firma DKIM non è valida". Ecco le ragioni più comuni di questo fallimento:

• Il dominio della firma DKIM e il dominio del mittente non sono allineati.
• Il record della chiave pubblica DKIM pubblicato nel DNS non è corretto.
• Il record della chiave pubblica DKIM pubblicato nel DNS non viene pubblicato affatto.
• Il server non riesce a raggiungere la zona DNS del dominio del mittente per la ricerca. Questa è una situazione comune per i fornitori di hosting scadenti.
• La lunghezza della chiave DKIM è insufficiente (1024) e sono supportate chiavi di 2048 bit. Quando il provider di hosting webmail firma le e-mail con una chiave DKIM di lunghezza inferiore, si verifica un errore di firma DKIM non valida.
• Sono state apportate alcune modifiche al messaggio durante l'inoltro automatico. 

Tutti i casi, tranne l'ultimo, sono problemi tecnici che possono essere risolti da un esperto. Tuttavia, non è realistico evitare l'ultimo caso, poiché non è possibile controllare i destinatari affinché smettano di aggiungere piè di pagina di conformità. Quindi, che cosa può succedere quando questi messaggi inoltrati automaticamente non superano sia SPF che DKIM perché avete impostato il criterio DMARC su "rifiuta"?

In passato era piuttosto impegnativo per i server dei destinatari gestire queste e-mail non autenticate ma legittime. Ma al giorno d'oggi, tutti i principali fornitori di servizi di posta elettronica o ESP utilizzano Catena di ricezione autenticata o protocollo ARC.

Questo protocollo consente ai server di posta di identificare il server di posta che lo ha gestito in precedenza. Ciò consente di conoscere le fasi di valutazione dell'autenticazione. 

La firma DKIM generale non è valida Errori e soluzioni

Nonostante l'allineamento dei record DKIM, è possibile visualizzare un errore di firma DKIM non valida. Vediamo quali sono le possibili cause di "DKIM signature is not valid" e come risolverle. 

1. Inserimento DNS errato

Dopo aver creato il record TXT DKIM e averlo aggiunto al file di configurazione DNS, è possibile visualizzare l'errore Firma DKIM non valida in cPanel. Questo problema può essere risolto seguendo i seguenti passaggi:

• Accedere a cPanel.
• Fare clic su Editor zone DNS avanzato sotto la voce Domini.
• Selezionare il dominio dall'elenco.
• Andare a Modifica record DNS e controllare il record TXT.
• Inserire il valore corretto per il record DKIM.
• Salvare il file. È possibile vedere le modifiche. 

2. Ritardo di propagazione DNS

È possibile che si verifichino errori nonostante la modifica delle impostazioni nel file di configurazione DNS. Questo si verifica in genere perché sono necessarie da 24 a 48 ore per la propagazione del DNS dopo aver apportato le modifiche alle impostazioni DNS. Questo varia a seconda del valore TTL indicato nel record DNS.

In questi casi, si consiglia di attendere 3 o 4 giorni in modo che il DNS si propaghi completamente. Nel frattempo, è possibile verificare lo stato di propagazione DNS del dominio utilizzando strumenti di propagazione DNS o analizzatori. 

Perché si vede DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify")?

Se lo stato di una firma DKIM è "body hash not verified", significa semplicemente che l'hash calcolato dell'e-mail non è in accordo con il valore dell'hash del corpo aggiunto nel tag "bh=". Molti server di posta elettronica aziendali modificano il testo in linea in fondo alle e-mail in arrivo prima che i componenti vengano scomposti. Questo porta a un hash del corpo non valido che alla fine causa un controllo DMARC fallito.

In queste situazioni, le fonti non superano i controlli DMARC perché un hacker ha inviato e-mail dannose utilizzando il vostro dominio. Pertanto, è necessario esaminare a fondo tutte le fonti visualizzate nella sezione non riuscita per identificarle come valide o dannose. Se una fonte autentica è finita nella sezione non riuscita, impostare e allineare correttamente SPF e DKIM. 

Alcuni possibili motivi per cui si vede DKIM= neutral (l'hash del corpo non è stato verificato) sono:

• Un forwarder, uno smart-host o un altro agente di filtraggio ha modificato il contenuto delle e-mail.
• Il firmatario ha calcolato male il valore della firma.
• Un attore malintenzionato ha effettuato lo spoofing dell'e-mail e l'ha firmata senza disporre della chiave privata corretta.
• La chiave pubblica specificata nell'intestazione DKIM-Signature non è corretta.
• La chiave pubblica pubblicata dal mittente nel suo DNS non è corretta.

Come si può indagare sulla fonte?

• Verificate se la fonte appartiene al partner della vostra azienda.
• Cercate la fonte su Internet.
• Verificare se è presente nei siti web della lista nera RBL.
• Esaminare i rapporti forensi DMARC per vedere i tipi di e-mail inviati dalla fonte.
• Cercare i documenti per impostare correttamente il DMARC se la fonte è valida.
• Contattare la fonte.

Il DKIM filtra le e-mail?

Il DKIM non filtra le e-mail, ma i dettagli da esso condivisi aiutano i filtri utilizzati dal dominio del destinatario. Quindi, se un'e-mail proviene da un dominio affidabile e supera i controlli DKIM, il suo punteggio di spam potrebbe essere ridotto. Se non supera il controllo DKIM, viene contrassegnata come spam, può essere messa in quarantena o può essere aggiunto un tag spam all'oggetto. 

Quindi, i proprietari dei domini non possono controllare ciò che viene incluso nel rapporto di fallimento DMARC, perché è in mano agli utenti.

Ho risolto l'errore di firma DKIM non valida, e poi? 

I passi successivi da seguire per rafforzare la conformità DKIM sono: 

1. Navigare in un analizzatore DKIM per monitorare i risultati dell'autenticazione DKIM
2. Abilitare SPF e DMARC
3. Ruotare periodicamente le chiavi DKIM 

Non riesco ancora a risolvere l'errore

Se l'errore di firma DKIM non valida persiste, contattate il vostro provider di servizi di posta elettronica per avere indicazioni, oppure contattateci per una consulenza esperta su tutto ciò che riguarda l'autenticazione delle e-mail!

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Responsabile marketing digitale e scrittore di contenuti presso PowerDMARC

Ahona lavora come responsabile marketing digitale e content writer presso PowerDMARC. È una scrittrice, blogger e specialista di marketing appassionata di cybersicurezza e informatica.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• ChatGPT e sicurezza informatica - 23 marzo 2023
• Spoofing e impersonificazione di e-mail SVB - 22 marzo 2023
• PowerDMARC si unisce a Secureism per espandere le operazioni in Pakistan - 21 marzo 2023