Hoe de fout "DKIM-handtekening is niet geldig" oplossen?

Als u de foutmelding "DKIM signature is not valid" hebt ontvangen, zijn er problemen met uw DKIM-configuratie en moet u deze nu oplossen! Ongeldige DKIM handtekening fouten kunnen optreden als gevolg van: 

• Een onjuist DKIM DNS record vermelding
• Vertragingen in DNS-propagatie
• Fouten gevonden tijdens DKIM handtekening evaluatie
• Mogelijke wijzigingen in e-mailberichten of andere redenen. 

Deze blog richt zich op een aantal veelvoorkomende redenen voor de "DKIM signature is not valid" foutmelding en een aantal aanbevelingen om je weer op weg te helpen! 

Over DKIM-handtekeningen

DKIM of Domain Keys Identified Mail is een e-mailverificatieprotocol. DKIM helpt de legitimiteit van e-mailberichten te behouden door ervoor te zorgen dat er geen wijzigingen worden aangebracht tijdens de overdracht. Dit voorkomt dat bedreigers en man-in-the-middle-aanvallers de inhoud van e-mailberichten kunnen wijzigen.

A DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd zodat de mailserver van de ontvanger de e-mails kan verifiëren door de DKIM-sleutel van de afzender te controleren. Dit proces is gebaseerd op op cryptografie gebaseerde online beveiliging.

Enkele veel voorkomende tags in een DKIM signature header zijn als volgt: 

1. v (Versie): Geeft de gebruikte DKIM-versie aan. Bijvoorbeeld, "v=DKIM1" geeft DKIM versie 1 aan.
2. a (Algoritme): Geeft het cryptografische algoritme aan dat gebruikt wordt om de handtekening te genereren. Gebruikelijke algoritmen zijn rsa-sha256 en rsa-sha1. Bijvoorbeeld "a=rsa-sha256".
3. d (domein): Specificeert het domein dat eigenaar is van de DKIM-sleutel die wordt gebruikt om de handtekening te genereren. Bijvoorbeeld "d=voorbeeld.com".
4. s (Selector): Geeft de specifieke DKIM-sleutelselector aan die wordt gebruikt om de DKIM openbare sleutel in het DNS-record te vinden. Bijvoorbeeld "s=dkim2024".
5. h (Ondertekende headers): Toont de headers die zijn meegenomen in de DKIM handtekeningberekening. Dit zorgt ervoor dat elke wijziging in deze headers ervoor zorgt dat de handtekeningverificatie mislukt. Bijvoorbeeld "h=Van:Naar:Onderwerp:Datum".
6. b (Handtekening): Bevat de eigenlijke cryptografische handtekening die is gegenereerd voor het volledige e-mailbericht. Bijvoorbeeld "b=AbCdEfGhIjKlMnOp...".

De aanwezigheid van een foutieve DKIM record of ontbrekende DKIM headervelden kan resulteren in de fout DKIM handtekening is niet geldig.

Vereenvoudig DKIM met PowerDMARC!

Wanneer kan DKIM mislukken met de foutmelding "Uw DKIM-handtekening is niet geldig"?

U krijgt het bericht 'Uw DKIM-handtekening is niet geldig' te zien wanneer de DKIM-verificatiecontrole mislukt. Dit zijn de meest voorkomende redenen voor deze mislukking:

• DKIM handtekeningdomein en afzenddomein komen niet overeen.
• DKIM public key record gepubliceerd in DNS klopt niet.
• DKIM public key record gepubliceerd in DNS wordt helemaal niet gepubliceerd.
• De server slaagt er niet in om de DNS-zone van het domein van de afzender te bereiken om op te zoeken. Dit is een veelvoorkomende situatie bij slechte hostingproviders.
• De lengte van de DKIM-sleutel is onvoldoende als 1024, en 2048-bits lange sleutels worden ondersteund. Wanneer uw webmailhostingprovider e-mails ondertekent met een kleinere DKIM-sleutellengte, treedt er een ongeldige DKIM-handtekeningfout op.
• Er werden enkele wijzigingen aangebracht aan het bericht tijdens het automatisch doorsturen. 

Alle gevallen, behalve de laatste, zijn technische problemen die door een expert kunnen worden opgelost. Het is echter niet realistisch om de laatste te voorkomen, omdat je de ontvangers niet kunt laten stoppen met het toevoegen van compliance footers. Dus wat kan er gebeuren als deze automatisch doorgestuurde berichten niet voldoen aan zowel SPF als DKIM en je hebt het DMARC beleid op 'weigeren'?

Vroeger was het een hele uitdaging voor ontvangende servers om zulke niet-geverifieerde maar legitieme e-mails te beheren. Maar tegenwoordig gebruiken alle grote e-mail service providers of ESP's Authenticated Received Chain of ARC-protocol.

Dit protocol laat mailservers de mailserver identificeren die het eerder beheerde. Hierdoor weten ze wat de stappen zijn om de authenticatie te beoordelen. 

Hoe de fout 'DKIM-handtekening is niet geldig' oplossen? 

Ondanks het afstemmen van DKIM-records kunt u een ongeldige DKIM-handtekeningfout zien. Laten we eens kijken wat de mogelijke oorzaken zijn van "DKIM handtekening is niet geldig" en hoe deze kunnen worden opgelost. 

1. Onjuiste DKIM DNS-vermeldingen oplossen

Nadat u het DKIM TXT-record hebt gemaakt en toegevoegd aan het DNS-configuratiebestand, kunt u, als u de foutmelding "DKIM signature is not valid" tegenkomt, deze oplossen door de volgende stappen te volgen:

Stappen om fouten in uw DKIM record te vinden

• Aanmelden op PowerDMARC en navigeer naar de DKIM opzoeken in de Power Toolbox.
• Voer uw domeinnaam en selector in (of laat leeg zodat ons platform uw selector automatisch detecteert). Klik op de knop Opzoeken.
• Onze tool zal je DKIM DNS entry analyseren en fouten in je record syntax markeren.

Fouten in uw DNS herstellen

• Log in op cPanel of een andere DNS-beheerconsole die u gebruikt.
• Klik op Geavanceerde DNS-zone-editor optie onder Domeinen.
• Selecteer het domein uit de lijst.
• Ga naar DNS-records bewerken.
• Voer de juiste waarde in voor de DKIM-record door de huidige waarde te bewerken.
• Klik op Opslaan.

2. Wacht op DNS Propagatievertragingen

U kunt fouten zien ondanks het wijzigen van de instellingen in het DNS-configuratiebestand. Dit gebeurt meestal omdat het tot 24 tot 48 uur duurt voor DNS-propagatie nadat je wijzigingen hebt aangebracht in de DNS-instellingen. Dit is afhankelijk van de TTL-waarde die in het DNS-record wordt vermeld.

In dergelijke scenario's wordt aangeraden om 3 tot 4 dagen te wachten zodat de DNS zich volledig kan verspreiden. Ondertussen kun je de DNS-propagatiestatus van het domein controleren met DNS-propagatietools of analyzers. 

Waarom staat er "DKIM-handtekening body hash niet geverifieerd"?

Als de status van een DKIM handtekening 'DKIM-signature body hash not verified' is, betekent dit simpelweg dat de berekende hash van de e-mail niet overeenkomt met de hash-waarde van de body die is toegevoegd in de "bh=" tag. 

Veel zakelijke e-mailservers wijzigen de inline tekst naar de onderkant van inkomende e-mails voordat de componenten worden afgebroken. Dit leidt tot een ongeldige hash van de body, waardoor de DKIM-signature body hash not verified error optreedt. Dit veroorzaakt uiteindelijk een mislukte DKIM en vervolgens een mislukte DMARC controle.

In sommige situaties kunnen DKIM- en DMARC-controles mislukken omdat een hacker heeft geknoeid met de inhoud van je e-mail. Dit kan ook leiden tot de fout DKIM-handtekening hash niet geverifieerd. 

Enkele mogelijke redenen waarom je DKIM= neutraal (body hash niet geverifieerd) ziet, zijn:

• Een forwarder, een smart host of een andere filteragent wijzigt de e-mailinhoud.
• De ondertekenaar heeft de waarde van de handtekening verkeerd berekend.
• Een kwaadwillende heeft de e-mail nagemaakt en ondertekend zonder de juiste privésleutel te hebben.
• De openbare sleutel in de DKIM-handtekeningheader is niet correct.
• De publieke sleutel die de afzender in zijn DNS heeft gepubliceerd, is niet correct.

Dit zijn enkele veelvoorkomende redenen die kunnen leiden tot de fout DKIM-handtekening body hash niet geverifieerd. 

Hoe kun je de bron onderzoeken?

Als je de fout DKIM-signature body hash not verified tegenkomt, kan het nuttig zijn om de bron van je e-mail te onderzoeken. 

• Controleer of de bron behoort tot een geautoriseerde lijst met verzendbronnen voor uw domein.
• Zoek de bron op internet.
• Controleer of het op de RBL staat zwarte lijst websites.
• Bestudeer de forensische DMARC-rapporten om de typen e-mails te zien die door de bron zijn verzonden.
• Zoek naar de documenten om DMARC correct in te stellen correct in te stellen als de bron geldig is.
• Neem contact op met de bron.

Filtert DKIM e-mail?

DKIM filtert e-mail niet, maar de gedeelde gegevens helpen filters die worden gebruikt door het domein van de ontvanger. Dus als een e-mail afkomstig is van een vertrouwd domein en door de DKIM-controle komt, kan de spamscore worden verlaagd. Als de DKIM-controle mislukt, wordt de e-mail gemarkeerd als spam, kan deze in quarantaine worden geplaatst of kan er een spamtag worden toegevoegd aan de onderwerpregel. 

Ik heb de fout "DKIM-handtekening is niet geldig" opgelost, wat nu? 

De volgende stappen die u kunt volgen om uw DKIM-compliance te versterken zijn: 

1. Abonneer u op een DKIM-analysator om uw DKIM-authenticatieresultaten te controleren
2. Schakel SPF en DMARC in voor extra beveiliging en nauwkeurige evaluaties
3. Draai uw DKIM-sleutels periodiek voor betere bescherming

Ik kan de fout nog steeds niet herstellen

Als de DKIM-handtekening nog steeds niet geldig is, neem dan contact op met uw e-mailserviceprovider voor advies, of neem contact met ons op voor deskundig advies over alles wat met e-mailverificatie te maken heeft!

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• SPF Neutraal Mechanisme uitgelegd: Wanneer en hoe te gebruiken - 23 juni 2025
• DKIM domein uitlijning mislukt - RFC 5322 oplossingen - 5 juni 2025
• DMARCbis uitgelegd - wat verandert er en hoe bereid je je voor? - 19 mei 2025