Come risolvere l'errore "La firma DKIM non è valida"?

Se avete ricevuto l'errore "La firma DKIM non è valida", ci sono problemi con la vostra configurazione DKIM e dovete risolverli subito! Gli errori di firma DKIM non valida possono essere dovuti a: 

• Un record DKIM errato record DNS voce
• Ritardi nella propagazione del DNS
• Errori riscontrati durante la valutazione della firma DKIM
• Eventuali modifiche apportate ai messaggi di posta elettronica o altri motivi. 

Questo blog si concentrerà su alcune ragioni comuni per l'errore "La firma DKIM non è valida" e su alcuni consigli per rimettersi in carreggiata! 

Informazioni sulle firme DKIM

DKIM o Domain Keys Identified Mail è un protocollo di autenticazione delle e-mail. DKIM aiuta a mantenere la legittimità dei messaggi e-mail garantendo che non vengano apportate modifiche durante il trasferimento. Ciò impedisce agli attori delle minacce e agli aggressori man-in-the-middle di alterare il contenuto delle e-mail.

A firma DKIM è un'intestazione aggiunta ai messaggi di posta elettronica in modo che il server di posta del destinatario possa autenticare le e-mail controllando la chiave DKIM del mittente. Questo processo si basa su crittografia sicurezza online.

Alcuni tag comuni in un'intestazione di firma DKIM sono i seguenti: 

1. v (Versione): Specifica la versione DKIM utilizzata. Ad esempio, "v=DKIM1" indica la versione 1 del DKIM.
2. a (Algoritmo): Indica l'algoritmo crittografico usato per generare la firma. Gli algoritmi più comuni sono rsa-sha256 e rsa-sha1. Ad esempio, "a=rsa-sha256".
3. d (Dominio): Specifica il dominio che possiede la chiave DKIM utilizzata per generare la firma. Ad esempio, "d=example.com".
4. s (selettore): Indica il selettore specifico della chiave DKIM utilizzato per individuare la chiave pubblica DKIM nel record DNS. Ad esempio, "s=dkim2024".
5. h (Intestazioni firmate): Elenca le intestazioni che sono state incluse nel calcolo della firma DKIM. Ciò garantisce che qualsiasi modifica a queste intestazioni provocherà il fallimento della verifica della firma. Ad esempio, "h=Da:A:Oggetto:Data".
6. b (Firma): Contiene la firma crittografica effettiva generata per l'intero messaggio e-mail. Ad esempio, "b=AbCdEfGhIjKlMnOp...".

La presenza di un record DKIM errato o di campi di intestazione DKIM mancanti può causare l'errore DKIM signature is not valid.

Semplificate il DKIM con PowerDMARC!

Quando il DKIM può fallire con l'errore "La tua firma DKIM non è valida"?

Quando il controllo dell'autenticazione DKIM fallisce, viene visualizzato il messaggio "La firma DKIM non è valida". Ecco le ragioni più comuni di questo fallimento:

• Il dominio della firma DKIM e il dominio del mittente non sono allineati.
• Il record della chiave pubblica DKIM pubblicato nel DNS non è corretto.
• Il record della chiave pubblica DKIM pubblicato nel DNS non viene pubblicato affatto.
• Il server non riesce a raggiungere la zona DNS del dominio del mittente per la ricerca. Questa è una situazione comune per i fornitori di hosting scadenti.
• La lunghezza della chiave DKIM è insufficiente (1024) e sono supportate chiavi di 2048 bit. Quando il provider di hosting webmail firma le e-mail con una chiave DKIM di lunghezza inferiore, si verifica un errore di firma DKIM non valida.
• Sono state apportate alcune modifiche al messaggio durante l'inoltro automatico. 

Tutti i casi, tranne l'ultimo, sono problemi tecnici che possono essere risolti da un esperto. Tuttavia, non è realistico evitare l'ultimo caso, poiché non è possibile controllare i destinatari affinché smettano di aggiungere piè di pagina di conformità. Quindi, cosa può succedere quando questi messaggi inoltrati automaticamente non superano sia l'SPF che il DKIM e avete impostato il criterio DMARC su "rifiuta"?

In passato era piuttosto impegnativo per i server dei destinatari gestire queste e-mail non autenticate ma legittime. Ma al giorno d'oggi, tutti i principali fornitori di servizi di posta elettronica o ESP utilizzano Catena di ricezione autenticata o protocollo ARC.

Questo protocollo consente ai server di posta di identificare il server di posta che lo ha gestito in precedenza. Ciò consente di conoscere le fasi di valutazione dell'autenticazione. 

Come risolvere l'errore "La firma DKIM non è valida"? 

Nonostante l'allineamento dei record DKIM, è possibile visualizzare un errore di firma DKIM non valida. Vediamo quali sono le possibili cause di "DKIM signature is not valid" e come risolverle. 

1. Risoluzione dei problemi relativi alle voci DNS DKIM non corrette

Dopo aver creato il record TXT DKIM e averlo aggiunto al file di configurazione DNS, se si verifica l'errore "La firma DKIM non è valida", è possibile risolverlo seguendo i seguenti passaggi:

Passi per trovare errori nel vostro record DKIM

• Registrarsi su PowerDMARC e andare alla voce Ricerca DKIM in Power Toolbox.
• Inserite il vostro nome di dominio e il selettore (o lasciate vuoto per far sì che la nostra piattaforma rilevi automaticamente il vostro selettore). Fare clic sul pulsante Cerca.
• Il nostro strumento analizza la voce DNS DKIM ed evidenzia gli errori nella sintassi del record.

Correggere gli errori nel DNS

• Accedere a cPanel o a qualsiasi console di gestione DNS utilizzata.
• Fare clic su Editor zone DNS avanzato sotto la voce Domini.
• Selezionare il dominio dall'elenco.
• Andare a Modifica record DNS.
• Inserire il valore corretto per il record DKIM modificando il valore attuale.
• Fare clic su Salva.

2. Attendere i ritardi di propagazione del DNS

È possibile che si verifichino errori nonostante la modifica delle impostazioni nel file di configurazione DNS. Ciò si verifica in genere perché la propagazione del DNS richiede fino a 24-48 ore dopo le modifiche apportate alle impostazioni DNS. Ciò varia a seconda del valore TTL indicato nel record DNS.

In questi casi, si consiglia di attendere 3 o 4 giorni in modo che il DNS si propaghi completamente. Nel frattempo, è possibile verificare lo stato di propagazione DNS del dominio utilizzando strumenti di propagazione DNS o analizzatori. 

Perché si vede "DKIM-Signature Body Hash Not Verified"?

Se lo stato di una firma DKIM è "DKIM-signature body hash not verified", significa semplicemente che l'hash calcolato dell'e-mail non è in accordo con il valore dell'hash del corpo aggiunto nel tag "bh=". 

Molti server di posta elettronica aziendali modificano il testo in linea in fondo alle e-mail in arrivo prima che i componenti vengano scomposti. Questo porta a un hash del corpo non valido, innescando l'errore DKIM-signature body hash not verified. Ciò causa un DKIM fallito e, di conseguenza, un DMARC fallito. DMARC e quindi un controllo DMARC fallito.

In alcune situazioni, le fonti possono fallire i controlli DKIM e DMARC perché un hacker ha manomesso il contenuto dell'e-mail. Questo può anche portare all'errore di hash del corpo della firma DKIM non verificato. 

Alcuni possibili motivi per cui si vede DKIM= neutral (l'hash del corpo non è stato verificato) sono:

• Un forwarder, uno smart host o un altro agente di filtraggio ha modificato il contenuto delle e-mail.
• Il firmatario ha calcolato male il valore della firma.
• Un attore malintenzionato ha effettuato lo spoofing dell'e-mail e l'ha firmata senza disporre della chiave privata corretta.
• La chiave pubblica specificata nell'intestazione DKIM-Signature non è corretta.
• La chiave pubblica pubblicata dal mittente nel suo DNS non è corretta.

Questi sono alcuni motivi comuni che possono portare all'errore DKIM - body hash non verificato. 

Come si può indagare sulla fonte?

Quando ci si imbatte nell'errore DKIM-signature body hash not verified, può essere utile indagare sulla fonte dell'e-mail. 

• Controllare se la fonte appartiene a un elenco autorizzato di fonti di invio per il proprio dominio.
• Cercate la fonte su Internet.
• Controllare se è presente nella RBL lista nera siti web.
• Esaminare i rapporti forensi DMARC per vedere i tipi di e-mail inviati dalla fonte.
• Cercare i documenti per impostare DMARC correttamente se la fonte è valida.
• Contattare la fonte.

Il DKIM filtra le e-mail?

Il DKIM non filtra le e-mail, ma i dettagli da esso condivisi aiutano i filtri utilizzati dal dominio del destinatario. Quindi, se un'e-mail proviene da un dominio affidabile e supera i controlli DKIM, il suo punteggio di spam può essere ridotto. Se non supera il controllo DKIM, viene contrassegnata come spam, può essere messa in quarantena o può essere aggiunto un tag spam all'oggetto. 

Ho risolto l'errore "DKIM Signature is Not Valid", e poi? 

I passi successivi che potete seguire per rafforzare la vostra conformità DKIM sono: 

1. Abbonarsi a un analizzatore DKIM per monitorare i risultati dell'autenticazione DKIM
2. Abilitare SPF e DMARC per una maggiore sicurezza e valutazioni accurate.
3. Ruotare periodicamente le chiavi DKIM per una maggiore protezione

Non riesco ancora a risolvere l'errore

Se l'errore di firma DKIM non valida persiste, contattate il vostro provider di servizi di posta elettronica per avere indicazioni, oppure contattateci per una consulenza esperta su tutto ciò che riguarda l'autenticazione delle e-mail!

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Attacchi di salting via e-mail: Come il testo nascosto aggira la sicurezza - 26 febbraio 2025
• Appiattimento della SPF: Cos'è e perché ne avete bisogno? - 26 febbraio 2025
• DMARC vs DKIM: differenze chiave e funzionamento comune - 16 febbraio 2025