Hoe de fout "DKIM-handtekening is niet geldig" oplossen?

Als u eenmaal weet wat DKIM, zult u graag willen weten wat u moet doen wanneer uw DKIM handtekening niet geldig is. Dit kan gebeuren door een onjuiste vermelding in het DNS record, een DNS propagatie vertraging, of andere redenen. Deze blog richt zich alleen op deze redenen.

Waarom uw DKIM-handtekening niet geldig is

DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd zodat de mailserver van de ontvanger de e-mails kan verifiëren door de DKIM-sleutel van de afzender te controleren. Dit proces is gebaseerd op online beveiliging op basis van cryptografie. De aanwezigheid van een foutief DKIM record of ontbrekende DKIM header velden kunnen resulteren in de fout DKIM handtekening is niet geldig.

Wanneer faalt DKIM in de controle?

U ziet het bericht 'Uw DKIM-handtekening is niet geldig' wanneer de DKIM-verificatiecontrole mislukt. Dit zijn de meest voorkomende redenen voor deze mislukking:

• DKIM handtekening domein en afzender domein komen niet overeen.
• DKIM public key record gepubliceerd in DNS klopt niet.
• DKIM public key record gepubliceerd in DNS wordt helemaal niet gepubliceerd.
• De server slaagt er niet in de DNS-zone van het domein van de afzender te bereiken om op te zoeken. Dit is een veel voorkomende situatie bij slechte hosting providers.
• De lengte van de DKIM-sleutel is onvoldoende als 1024, en 2048-bits lange sleutels worden ondersteund. Wanneer uw webmail hosting provider e-mails ondertekent met een kleinere DKIM sleutellengte, treedt er een ongeldige DKIM handtekening fout op.
• Er werden enkele wijzigingen aangebracht aan het bericht tijdens het automatisch doorsturen. 

Alle gevallen, behalve het laatste, zijn technische kwesties die door een deskundige kunnen worden opgelost. Het is echter niet realistisch om de laatste te vermijden, omdat je de ontvangers niet kunt controleren om te stoppen met het toevoegen van compliance footers. Dus wat kan er gebeuren als deze automatisch doorgestuurde berichten niet voldoen aan SPF en DKIM omdat u het DMARC-beleid hebt ingesteld op "weigeren"?

Vroeger was het voor ontvangende servers een hele uitdaging om dergelijke niet-geverifieerde maar legitieme e-mails te beheren. Maar tegenwoordig gebruiken alle grote e-maildienstverleners of ESP's Authenticated Received Chain of ARC-protocol.

Met dit protocol kunnen mailservers de mailserver identificeren die deze eerder beheerde. Dit laat hen weten wat de beoordelingsstappen voor authenticatie zijn. 

Algemene DKIM-handtekening is niet geldig Fouten & oplossingen

Ondanks het afstemmen van DKIM records kunt u een ongeldige DKIM handtekening fout zien. Laten we eens kijken wat de mogelijke oorzaken zijn van "DKIM handtekening is niet geldig" en hoe deze kunnen worden opgelost. 

1. Onjuiste DNS-invoer

Nadat u het DKIM TXT record hebt aangemaakt en toegevoegd aan het DNS configuratiebestand, ziet u in cPanel de foutmelding DKIM handtekening niet geldig. Dit kan worden opgelost door deze stappen te volgen:

• Inloggen op cPanel.
• Klik op Geavanceerde DNS-zone-editor optie onder Domeinen.
• Selecteer het domein uit de lijst.
• Ga naar DNS Records bewerken en controleer het TXT record.
• Voer de juiste waarde in voor het DKIM record.
• Sla het bestand op. U kunt de wijzigingen zien. 

2. DNS Propagatievertraging

U kunt fouten zien ondanks het wijzigen van de instellingen in het DNS-configuratiebestand. Dit gebeurt meestal omdat het tot 24 tot 48 uur duurt voor DNS-propagatie nadat u wijzigingen hebt aangebracht in de DNS-instellingen. Dit hangt af van de TTL-waarde die in het DNS-record staat vermeld.

In dergelijke scenario's is het raadzaam 3 tot 4 dagen te wachten zodat de DNS zich volledig kan verspreiden. Ondertussen kunt u de DNS-propagatiestatus van het domein controleren met behulp van DNS-propagatietools of analyzers. 

Waarom ziet u DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?

Als u de status van een DKIM handtekening ziet als 'body hash not verified', betekent dit gewoon dat de berekende hash van de e-mail niet overeenkomt met de hash-waarde van de body die is toegevoegd in de "bh=" tag. Veel zakelijke e-mailservers wijzigen inline tekst naar de onderkant van inkomende e-mails voordat de componenten worden afgebroken. Dit leidt tot een ongeldige hash van de body, die uiteindelijk een mislukte DMARC-controle veroorzaakt.

In dergelijke situaties mislukken DMARC-controles omdat een hacker schadelijke e-mails heeft verzonden via uw domein. U moet dus alle bronnen die in de mislukte sectie staan grondig onderzoeken om ze te identificeren als geldig of kwaadaardig. Als een echte bron in de mislukte sectie terecht is gekomen, stelt u SPF en DKIM correct in en stemt u deze op elkaar af. 

Enkele mogelijke redenen waarom u DKIM= neutraal (body hash did not verify) ziet, zijn:

• Een forwarder, een smart-host of een andere filteraar heeft de inhoud van de e-mail gewijzigd.
• De ondertekenaar heeft de waarde van de handtekening verkeerd berekend.
• Een kwaadwillende heeft de e-mail vervalst en ondertekend zonder de juiste privésleutel te hebben.
• De publieke sleutel in de DKIM-handtekening header is niet correct.
• De publieke sleutel die de afzender in zijn DNS heeft gepubliceerd, is niet correct.

Hoe kun je de bron onderzoeken?

• Controleer of de bron behoort tot de partner van uw bedrijf.
• Zoek over de bron op het internet.
• Controleer of het voorkomt op de zwarte lijst websites van de RBL.
• Bestudeer de forensische DMARC-rapporten om de soorten e-mails te zien die door de bron zijn verzonden.
• Zoek naar de documenten om DMARC correct in te stellen als de bron geldig is.
• Neem contact op met de bron.

Filtert DKIM e-mail?

DKIM filtert e-mail niet, maar de gedeelde gegevens helpen de filters van het domein van de ontvanger. Dus als een e-mail afkomstig is van een vertrouwd domein en de DKIM-controle doorstaat, kan de spamscore zijn verlaagd. Als de DKIM-controle mislukt, wordt hij gemarkeerd als spam of kan hij in quarantaine worden geplaatst of een spamtag aan de onderwerpregel worden toegevoegd. 

Domeineigenaars kunnen dus niet controleren wat er in het DMARC-faalverslag staat, want dat is in handen van de gebruikers.

Ik heb de DKIM handtekening is niet geldig fout opgelost, wat nu? 

De volgende stappen die u kunt volgen om uw DKIM-compliance te versterken zijn: 

1. Een DKIM-analyzer om uw DKIM-verificatie resultaten te controleren
2. SPF en DMARC inschakelen
3. Draai uw DKIM-sleutels regelmatig 

Ik kan de fout nog steeds niet herstellen

Als de DKIM handtekening niet geldig is, neem dan contact op met uw e-mail service provider voor advies, of neem contact met ons op voor deskundig advies over alles wat met e-mailverificatie te maken heeft!

• Over
• Laatste berichten

Ahona Rudra

Digital Marketing & Content Writer Manager bij PowerDMARC

Ahona werkt als Digital Marketing en Content Writer Manager bij PowerDMARC. Ze is een gepassioneerd schrijver, blogger en marketingspecialist op het gebied van cyberveiligheid en informatietechnologie.

Nieuwste berichten van Ahona Rudra (zie alle)

• Hoe e-mail authenticeren? - 28 maart 2023
• Hoe werkt DNS? - 27 maart 2023
• Wat is bestandloze malware? - 27 maart 2023