DKIM署名が無効です」というエラーが表示された場合は、DKIMの設定に問題があるため、今すぐ修正する必要があります!無効なDKIM署名エラーは、以下の原因で発生する可能性があります:
- 不正なDKIM DNSレコードエントリ
- DNS伝播の遅延
- DKIMシグネチャ評価中に見つかったエラー
- 電子メールのメッセージやその他の理由で変更された可能性。
このブログでは、「DKIM署名が有効ではありません」というエラーが発生する一般的な理由と、正常な状態に戻すための推奨事項を取り上げます!
主なポイント
- DKIM署名が有効ではありません "エラーは、不正なDNSレコード、DNS伝播の遅延、またはメッセージの変更が原因で発生します。
- DKIM DNSエントリが正しく設定されていることを確認し、DKIMルックアップツールを使用してエラーのトラブルシューティングを行う。
- DNSの伝搬には24~48時間かかることがあるため、完全な伝搬を待ってから再確認すること。
- DKIM署名エラーは、送信者のドメインとDKIM署名ドメインの不一致から生じることもある。
- 自動転送や電子メールの変更はDKIM認証を混乱させるが、ARCプロトコルで軽減できる。
- DKIMのコンプライアンスを定期的に監視し、キーを定期的にローテーションし、SPFとDMARCを有効にして保護を強化する。
DKIM署名について
DKIMまたはDomain Keys Identified Mailは、電子メール認証プロトコルです。DKIMは、転送中に変更が加えられないようにすることで、電子メールメッセージの正当性を維持するのに役立ちます。これにより、脅威行為者や中間者攻撃者による電子メールコンテンツの改ざんを防ぐことができます。
A DKIM署名は、受信者のメールサーバーが送信者のDKIMキーをチェックすることによってメールを認証できるように、メールメッセージに追加されるヘッダーです。このプロセスは 暗号技術に基づくオンライン・セキュリティに基づいている。
DKIM署名ヘッダーの一般的なタグは以下の通りである:
- v(バージョン):使用するDKIMバージョンを指定する。例えば、"v=DKIM1 "はDKIMバージョン1を示す。
- a(アルゴリズム):署名の生成に使用する暗号アルゴリズムを示す。一般的なアルゴリズムはrsa-sha256とrsa-sha1である。たとえば、"a=rsa-sha256 "となる。
- d(ドメイン):署名を生成するために使用されるDKIMキーを所有するドメインを指定する。たとえば、"d=example.com"。
- s(セレクタ):s(セレクタ):DNSレコードでDKIM公開鍵を見つけるために使用される特定のDKIMキーセレクタを示す。例えば、"s=dkim2024"。
- h (Signed Headers):DKIM署名計算に含まれるヘッダをリストアップします。これにより、これらのヘッダーに変更があった場合、署名検証は失敗する。例えば、"h=From:To:Subject:Date "のようになります。
- b(署名):完全な電子メール・メッセージに対して生成された実際の暗号署名を含む。例えば、"b=AbCdEfGhIjKlMnOp..."。
誤ったDKIMレコードが存在するか、DKIMヘッダーフィールドが欠落してい ると、DKIM署名が有効でないというエラーになる可能性がある。
DKIMが "Your DKIM Signature is Not Valid''(あなたのDKIM署名は有効ではありません)というエラーで失敗するのはどんな場合ですか?
DKIMの認証チェックに失敗すると、「あなたのDKIM署名は有効ではありません」というメッセージが表示されます。以下は、この失敗の一般的な理由です。
- DKIMの署名ドメインと送信者ドメインが一致しない。
- DNSで公開されているDKIM公開鍵レコードが正しくない。
- DNSで公開されているDKIM公開鍵レコードは全く公開されていない。
- サーバーが送信者のドメインのDNSゾーンに到達してルックアップに失敗している。これは、貧弱なホスティングプロバイダーにはよくある状況です。
- DKIMキーの長さは1024では不十分で、2048ビット長のキーがサポートされています。ウェブメールホスティングプロバイダーがより小さいDKIMキー長で電子メールに署名する場合、無効なDKIM署名エラーが発生します。
- 自動転送中のメッセージに一部修正を加えました。
最後のケース以外は、専門家が解決できる技術的な問題です。しかし、コンプライアンス・フッターの追加をやめるように受信者をコントロールすることはできないので、最後のケースを避けるのは現実的ではない。では、自動転送されたメッセージがSPFとDKIMの両方に失敗し、DMARCポリシーに DMARCポリシーを「拒否」に設定した場合はどうなるのでしょうか?
以前は、認証されていないけれども正当なメールを管理することは、受信者側にとって非常に困難なことでした。しかし、最近では、すべての主要なメールサービスプロバイダ(ESP)が、認証済み受信チェーン(Authenticated Received Chain)を使用しています。 認証済み受信チェーンまたはARCプロトコルを使用しています。
このプロトコルにより、メールサーバは、以前管理していたメールサーバを識別することができる。これにより、認証評価の手順を知ることができる。
DKIM Signature is Not Valid(DKIM署名が有効ではありません)」エラーを修正するには?
DKIMレコードを揃えているにもかかわらず、無効なDKIM署名のエラーが表示されることがあります。DKIM署名が有効ではありません」の原因として考えられることと、その対処法を見てみましょう。
1.不正なDKIM DNSエントリーのトラブルシューティング
DKIM TXTレコードを作成し、DNS設定ファイルに追加した後、「DKIM署名が有効ではありません」というエラーに遭遇した場合は、以下の手順で解決できます:
DKIMレコードのエラーを見つける手順
- サインアップPowerDMARCにサインアップして DKIMルックアップツールに移動します。
- ドメイン名とセレクタを入力します(または空白のままにしておくと、プラットフォームがセレクタを自動検出します)。検索ボタンをクリックします。
- 当社のツールは、DKIM DNSエントリを分析し、レコード構文のエラーを強調表示します。
DNSのエラーを修正する
- cPanelまたは使用しているDNS管理コンソールにログインします。
- クリック アドバンスDNSゾーンエディタをクリックします。
- リストからドメインを選択します。
- 次のページに進む。 DNSレコードを編集する。
- 現在の値を編集して、DKIMレコードの正しい値を入力します。
- 保存をクリックする。
2.DNSの伝播遅延を待つ
DNS設定ファイルの設定を変更したにもかかわらず、エラーが表示されることがあります。これは通常、DNS設定を変更してからDNSが伝播するまでに最大24~48時間かかるために発生します。これは、DNSレコードに記載されているTTL値によって異なります。
このようなシナリオでは、DNSが完全に伝播するように3~4日間待つことが推奨されます。その間、DNS伝搬ツールまたはアナライザーを使用して、ドメインのDNS伝搬状況を確認することができます。
なぜ "DKIM-Signature Body Hash Not Verified "と表示されるのですか?
DKIM署名のステータスが「DKIM-signature body hash not verified(DKIM署名の本文ハッシュは検証されていません)」と表示されている場合、それは単に、電子メールの計算ハッシュが「bh=」タグで追加された本文ハッシュ値と一致していないことを意味します。
多くのビジネスメールサーバーは、受信メールのインラインテキストを、コンポーネントが分解される前に一番下に変更してしまいます。このため、本文のハッシュが無効となり、DKIM-signature body hash not verifiedエラーが発生します。これは最終的にDKIMに失敗し、その後 DMARCのチェックに失敗します。
状況によっては、ハッカーがメールのコンテンツを改ざんしたために、送信元がDKIMとDMARCのチェックに失敗することがあります。これはDKIM-signature body hash not verifiedエラーにもつながります。
DKIM=ニュートラル(ボディハッシュが検証されなかった)と表示される理由としては、以下のようなものが考えられます。
- フォワーダー、スマートホスト、または他のフィルタリングエージェントが、電子メールコンテンツを修正する。
- 署名者が署名値を計算し間違えた。
- 悪意のある行為者が電子メールを偽装し、正しい秘密鍵を持たずに署名した。
- DKIM-Signatureヘッダーに指定された公開鍵が正しくありません。
- 送信者がDNSで公開している公開鍵が正しくない。
これらは、DKIM-signature body hash not verified エラーの原因となる一般的な理由です。
出所を調べるにはどうしたらいいのか?
DKIM-signature body hash not verifiedエラーに遭遇した場合、メールの送信元を調査することが有効な場合があります。
- 送信元がドメインの送信元認証リストに属しているかどうかを確認します。
- インターネットでソースを検索する。
- RBLに表示されているか確認する ブラックリストウェブサイト
- DMARCフォレンジックレポートを調べ、送信元から送信されたメールの種類を確認する。
- DMARCを設定する DMARCの設定を正しく設定するためのドキュメントを検索してください。
- ソースにお問い合わせください。
DKIMはメールをフィルタリングするのか?
DKIMは電子メールをフィルタリングしないが、それによって共有された詳細は、受信者のドメインで使用されるフィルタを助ける。そのため、信頼できるドメインから来たメールがDKIMチェックを通過すると、スパムスコアが下がる可能性があります。DKIMチェックに失敗すると、スパムとしてマークされたり、隔離されたり、件名にスパムタグが追加されたりします。
DKIM Signature is Not Valid "エラーを修正しました。
DKIMのコンプライアンスを強化するための次のステップは以下の通りです:
- DKIMアナライザ DKIMアナライザーDKIM認証結果をモニターする
- さらなるセキュリティと正確な評価のためにSPFとDMARCを有効にする。
- DKIMキーを定期的にローテーションして保護を強化する
それでもエラーが直らない
それでもDKIM署名が有効でないエラーが発生する場合は、メールサービスプロバイダにお問い合わせいただくか 弊社にご連絡ください。にご相談ください。
- ヤフー、2025年のDMARC導入を推奨- 2025年1月17日
- MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散- 2025年1月17日
- DMARCの認証されていないメールは禁止されている【解決済み- 2025年1月14日