とは何かを理解した上で DKIMを理解したら、DKIM署名が有効でない場合にどうしたらよいかを知りたくなることでしょう。このようなことは DNSレコードDNSレコードのエントリーが正しくない、DNSの伝搬遅延、またはその他の理由です。このブログでは、これらの理由にのみ焦点を当てます。

あなたのDKIM署名が有効でない理由

DKIM署名は、受信者のメールサーバーが送信者のDKIMキーを確認することによってメールを認証できるように、電子メールメッセージに追加されるヘッダーです。このプロセスは、暗号技術に基づくオンライン・セキュリティに基づいています。誤ったDKIMレコードが存在したり、DKIMヘッダーフィールドが欠落していると、DKIM署名が有効でないというエラーになることがあります。

DKIMがチェックに失敗するのはどんなときか？

DKIMの認証チェックに失敗すると、「あなたのDKIM署名は有効ではありません」というメッセージが表示されます。以下は、この失敗の一般的な理由です。

DKIMの署名ドメインと送信者ドメインが一致しない。
DNSで公開されているDKIM公開鍵レコードが正しくない。
DNSで公開されているDKIM公開鍵レコードは全く公開されていない。
サーバーが送信者のドメインのDNSゾーンに到達してルックアップに失敗している。これは、貧弱なホスティングプロバイダーにはよくある状況です。
DKIMキーの長さは1024では不十分で、2048ビット長のキーがサポートされています。ウェブメールホスティングプロバイダーがより小さいDKIMキー長で電子メールに署名する場合、無効なDKIM署名エラーが発生します。
自動転送中のメッセージに一部修正を加えました。

最後のケースを除いては、すべて専門家が解決できる技術的な問題です。しかし、最後のケースは、受信者がコンプライアンスフッターの付加をやめるようにコントロールできないので、避けることは現実的ではありません。では、DMARCポリシーを「拒否」に設定したために、自動転送されたメッセージがSPFとDKIMの両方に失敗した場合、何が起こり得るでしょうか？

以前は、認証されていないけれども正当なメールを管理することは、受信者側にとって非常に困難なことでした。しかし、最近では、すべての主要なメールサービスプロバイダ（ESP）が、認証済み受信チェーン（Authenticated Received Chain）を使用しています。認証済み受信チェーンまたはARCプロトコルを使用しています。

このプロトコルにより、メールサーバは、以前管理していたメールサーバを識別することができる。これにより、認証評価の手順を知ることができる。

一般的なDKIM署名が有効でないエラーと解決策

DKIMレコードを揃えているにもかかわらず、無効なDKIM署名のエラーが表示されることがあります。DKIM署名が有効ではありません」の原因として考えられることと、その対処法を見てみましょう。

1.DNSのエントリーが間違っている

DKIM TXTレコードを作成し、DNS設定ファイルに追加した後、cPanelでDKIM署名が有効でないエラーが表示されることがあります。これは、以下の手順で解決できます。

cPanelにログインします。
クリック アドバンスDNSゾーンエディタをクリックします。
リストからドメインを選択します。
に移動します。 DNSレコードの編集をクリックし、TXTレコードを確認します。
DKIMレコードの正しい値を入力してください。
ファイルを保存してください。変更内容を確認することができます。

2.DNSの伝搬遅延

DNS設定ファイルの設定を変更したにもかかわらず、エラーが表示されることがあります。これは、DNSの設定を変更した後、DNSの伝搬に最大24時間から48時間かかるために起こるのが一般的です。これは、DNSレコードに記載されているTTL値によって異なります。

このようなシナリオでは、DNSが完全に伝播するように3～4日間待つことが推奨されます。その間、DNS伝搬ツールまたはアナライザーを使用して、ドメインのDNS伝搬状況を確認することができます。

なぜDKIM=Neutral（DKIM Permfail "Body Hash Did Not Verify"）と表示されるのですか？

DKIM署名のステータスが「body hash not verified」となっている場合、それは単にメールの計算されたハッシュが「bh=」タグで追加されたbodyハッシュ値と一致していないことを意味します。多くのビジネス用メールサーバーは、受信したメールの構成要素が分解される前に、インラインテキストを最下部に変更します。このため、本文のハッシュ値が不正になり、最終的にDMARCチェックに失敗することになります。

このような状況では、ハッカーがお客様のドメインを使用して悪意のあるメールを送信しているため、ソースがDMARCチェックに失敗しています。したがって、失敗したセクションに表示されるすべてのソースを徹底的に調べ、有効なものか悪意のあるものかを識別する必要があります。本物のソースが失敗したセクションに掲載された場合、SPFとDKIMを適切に設定し、調整します。

DKIM=ニュートラル（ボディハッシュが検証されなかった）と表示される理由としては、以下のようなものが考えられます。

フォワーダー、スマートホスト、または他のフィルタリングエージェントが電子メールのコンテンツを修正した。
署名者が署名値を計算し間違えた。
悪意のある行為者が電子メールを偽装し、正しい秘密鍵を持たずに署名した。
DKIM-Signatureヘッダーに指定された公開鍵が正しくありません。
送信者がDNSで公開している公開鍵が正しくない。

出所を調べるにはどうしたらいいのか？

ソースが自社のパートナーに属しているかどうかを確認する。
インターネットで出典について検索する。
RBLブラックリストのサイトに表示されているかどうかを確認する。
DMARCフォレンジックレポートを調べ、送信元から送信されたメールの種類を確認する。
送信元が有効な場合、DMARCを正しく設定するためのドキュメントを検索することができます。
ソースにお問い合わせください。

DKIMはメールをフィルタリングするのか？

DKIMはメールをフィルタリングしませんが、DKIMによって共有された詳細は、受信者のドメインで使用されるフィルタリングに役立ちます。したがって、信頼できるドメインから来たメールがDKIMのチェックをパスすれば、スパムのスコアが下がる可能性があります。DKIMチェックに失敗すると、スパムとしてマークされるか、隔離されるか、件名にスパムタグが追加されます。

そのため、ドメイン所有者は、DMARCの障害レポートに何が含まれるかをコントロールすることができません。