Als u de foutmelding "DKIM signature is not valid" hebt ontvangen, zijn er problemen met uw DKIM-configuratie en moet u deze nu oplossen! Ongeldige DKIM handtekening fouten kunnen optreden als gevolg van:
- Een onjuist DKIM DNS record vermelding
- Vertragingen in DNS-propagatie
- Fouten gevonden tijdens DKIM handtekening evaluatie
- Mogelijke wijzigingen in e-mailberichten of andere redenen.
Deze blog richt zich op een aantal veelvoorkomende redenen voor de "DKIM signature is not valid" foutmelding en een aantal aanbevelingen om je weer op weg te helpen!
Belangrijkste conclusies
- De fout "DKIM-handtekening is niet geldig" treedt op als gevolg van onjuiste DNS-records, DNS-propagatievertragingen of berichtwijzigingen.
- Zorg ervoor dat DKIM DNS-vermeldingen correct zijn geconfigureerd en los fouten op met DKIM-opzoektools.
- Vertragingen in DNS-propagatie kunnen 24-48 uur duren; wacht op volledige propagatie voordat je opnieuw controleert.
- Een DKIM handtekeningfout kan ook het gevolg zijn van een mismatch tussen het domein van de afzender en het DKIM handtekeningdomein.
- Automatisch doorsturen en e-mailaanpassingen kunnen de DKIM-verificatie verstoren, maar kunnen worden beperkt met het ARC-protocol.
- Controleer regelmatig of DKIM wordt nageleefd, roteer sleutels regelmatig en schakel SPF en DMARC in voor extra bescherming.
Over DKIM-handtekeningen
DKIM of Domain Keys Identified Mail is een e-mailverificatieprotocol. DKIM helpt de legitimiteit van e-mailberichten te behouden door ervoor te zorgen dat er geen wijzigingen worden aangebracht tijdens de overdracht. Dit voorkomt dat bedreigers en man-in-the-middle-aanvallers de inhoud van e-mailberichten kunnen wijzigen.
A DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd zodat de mailserver van de ontvanger de e-mails kan verifiëren door de DKIM-sleutel van de afzender te controleren. Dit proces is gebaseerd op op cryptografie gebaseerde online beveiliging.
Enkele veel voorkomende tags in een DKIM signature header zijn als volgt:
- v (Versie): Geeft de gebruikte DKIM-versie aan. Bijvoorbeeld, "v=DKIM1" geeft DKIM versie 1 aan.
- a (Algoritme): Geeft het cryptografische algoritme aan dat gebruikt wordt om de handtekening te genereren. Gebruikelijke algoritmen zijn rsa-sha256 en rsa-sha1. Bijvoorbeeld "a=rsa-sha256".
- d (domein): Specificeert het domein dat eigenaar is van de DKIM-sleutel die wordt gebruikt om de handtekening te genereren. Bijvoorbeeld "d=voorbeeld.com".
- s (Selector): Geeft de specifieke DKIM-sleutelselector aan die wordt gebruikt om de DKIM openbare sleutel in het DNS-record te vinden. Bijvoorbeeld "s=dkim2024".
- h (Ondertekende headers): Toont de headers die zijn meegenomen in de DKIM handtekeningberekening. Dit zorgt ervoor dat elke wijziging in deze headers ervoor zorgt dat de handtekeningverificatie mislukt. Bijvoorbeeld "h=Van:Naar:Onderwerp:Datum".
- b (Handtekening): Bevat de eigenlijke cryptografische handtekening die is gegenereerd voor het volledige e-mailbericht. Bijvoorbeeld "b=AbCdEfGhIjKlMnOp...".
De aanwezigheid van een foutieve DKIM record of ontbrekende DKIM headervelden kan resulteren in de fout DKIM handtekening is niet geldig.
Wanneer kan DKIM mislukken met de foutmelding "Uw DKIM-handtekening is niet geldig"?
U ziet het bericht 'Uw DKIM-handtekening is niet geldig' wanneer de DKIM-verificatiecontrole mislukt. Dit zijn de meest voorkomende redenen voor deze mislukking:
- DKIM handtekening domein en afzender domein komen niet overeen.
- DKIM public key record gepubliceerd in DNS klopt niet.
- DKIM public key record gepubliceerd in DNS wordt helemaal niet gepubliceerd.
- De server slaagt er niet in de DNS-zone van het domein van de afzender te bereiken om op te zoeken. Dit is een veel voorkomende situatie bij slechte hosting providers.
- De lengte van de DKIM-sleutel is onvoldoende als 1024, en 2048-bits lange sleutels worden ondersteund. Wanneer uw webmail hosting provider e-mails ondertekent met een kleinere DKIM sleutellengte, treedt er een ongeldige DKIM handtekening fout op.
- Er werden enkele wijzigingen aangebracht aan het bericht tijdens het automatisch doorsturen.
Alle gevallen, behalve de laatste, zijn technische problemen die door een expert kunnen worden opgelost. Het is echter niet realistisch om de laatste te voorkomen, omdat je de ontvangers niet kunt laten stoppen met het toevoegen van compliance footers. Dus wat kan er gebeuren als deze automatisch doorgestuurde berichten niet voldoen aan zowel SPF als DKIM en je hebt het DMARC beleid op 'weigeren'?
Vroeger was het voor ontvangende servers een hele uitdaging om dergelijke niet-geverifieerde maar legitieme e-mails te beheren. Maar tegenwoordig gebruiken alle grote e-maildienstverleners of ESP's Authenticated Received Chain of ARC-protocol.
Met dit protocol kunnen mailservers de mailserver identificeren die deze eerder beheerde. Dit laat hen weten wat de beoordelingsstappen voor authenticatie zijn.
Hoe de fout 'DKIM-handtekening is niet geldig' oplossen?
Ondanks het afstemmen van DKIM records kunt u een ongeldige DKIM handtekening fout zien. Laten we eens kijken wat de mogelijke oorzaken zijn van "DKIM handtekening is niet geldig" en hoe deze kunnen worden opgelost.
1. Onjuiste DKIM DNS-vermeldingen oplossen
Nadat u het DKIM TXT-record hebt gemaakt en toegevoegd aan het DNS-configuratiebestand, kunt u, als u de foutmelding "DKIM signature is not valid" tegenkomt, deze oplossen door de volgende stappen te volgen:
Stappen om fouten in uw DKIM record te vinden
- Aanmelden op PowerDMARC en navigeer naar de DKIM opzoeken in de Power Toolbox.
- Voer uw domeinnaam en selector in (of laat leeg zodat ons platform uw selector automatisch detecteert). Klik op de knop Opzoeken.
- Onze tool zal je DKIM DNS entry analyseren en fouten in je record syntax markeren.
Fouten in uw DNS herstellen
- Log in op cPanel of een andere DNS-beheerconsole die u gebruikt.
- Klik op Geavanceerde DNS-zone-editor optie onder Domeinen.
- Selecteer het domein uit de lijst.
- Ga naar DNS-records bewerken.
- Voer de juiste waarde in voor de DKIM-record door de huidige waarde te bewerken.
- Klik op Opslaan.
2. Wacht op DNS Propagatievertragingen
U kunt fouten zien ondanks het wijzigen van de instellingen in het DNS-configuratiebestand. Dit gebeurt meestal omdat het tot 24 tot 48 uur duurt voor DNS-propagatie nadat je wijzigingen hebt aangebracht in de DNS-instellingen. Dit is afhankelijk van de TTL-waarde die in het DNS-record wordt vermeld.
In dergelijke scenario's is het raadzaam 3 tot 4 dagen te wachten zodat de DNS zich volledig kan verspreiden. Ondertussen kunt u de DNS-propagatiestatus van het domein controleren met behulp van DNS-propagatietools of analyzers.
Waarom staat er "DKIM-handtekening body hash niet geverifieerd"?
Als de status van een DKIM handtekening 'DKIM-signature body hash not verified' is, betekent dit simpelweg dat de berekende hash van de e-mail niet overeenkomt met de hash-waarde van de body die is toegevoegd in de "bh=" tag.
Veel zakelijke e-mailservers wijzigen de inline tekst naar de onderkant van inkomende e-mails voordat de componenten worden afgebroken. Dit leidt tot een ongeldige hash van de body, waardoor de DKIM-signature body hash not verified error optreedt. Dit veroorzaakt uiteindelijk een mislukte DKIM en vervolgens een mislukte DMARC controle.
In sommige situaties kunnen DKIM- en DMARC-controles mislukken omdat een hacker heeft geknoeid met de inhoud van je e-mail. Dit kan ook leiden tot de fout DKIM-handtekening hash niet geverifieerd.
Enkele mogelijke redenen waarom u DKIM= neutraal (body hash did not verify) ziet, zijn:
- Een forwarder, een smart host of een andere filteragent wijzigt de e-mailinhoud.
- De ondertekenaar heeft de waarde van de handtekening verkeerd berekend.
- Een kwaadwillende heeft de e-mail vervalst en ondertekend zonder de juiste privésleutel te hebben.
- De publieke sleutel in de DKIM-handtekening header is niet correct.
- De publieke sleutel die de afzender in zijn DNS heeft gepubliceerd, is niet correct.
Dit zijn enkele veelvoorkomende redenen die kunnen leiden tot de fout DKIM-handtekening body hash niet geverifieerd.
Hoe kun je de bron onderzoeken?
Als je de fout DKIM-signature body hash not verified tegenkomt, kan het nuttig zijn om de bron van je e-mail te onderzoeken.
- Controleer of de bron behoort tot een geautoriseerde lijst met verzendbronnen voor uw domein.
- Zoek de bron op internet.
- Controleer of het op de RBL staat zwarte lijst websites.
- Bestudeer de forensische DMARC-rapporten om de soorten e-mails te zien die door de bron zijn verzonden.
- Zoek naar de documenten om DMARC correct in te stellen correct in te stellen als de bron geldig is.
- Neem contact op met de bron.
Filtert DKIM e-mail?
DKIM filtert e-mail niet, maar de gedeelde gegevens helpen filters die worden gebruikt door het domein van de ontvanger. Dus als een e-mail afkomstig is van een vertrouwd domein en door de DKIM-controle komt, kan de spamscore worden verlaagd. Als de DKIM-controle mislukt, wordt de e-mail gemarkeerd als spam, kan deze in quarantaine worden geplaatst of kan er een spamtag worden toegevoegd aan de onderwerpregel.
Ik heb de fout "DKIM-handtekening is niet geldig" opgelost, wat nu?
De volgende stappen die u kunt volgen om uw DKIM-compliance te versterken zijn:
- Abonneer u op een DKIM-analysator om uw DKIM-authenticatieresultaten te controleren
- Schakel SPF en DMARC in voor extra beveiliging en nauwkeurige evaluaties
- Draai uw DKIM-sleutels periodiek voor betere bescherming
Ik kan de fout nog steeds niet herstellen
Als de DKIM handtekening niet geldig is, neem dan contact op met uw e-mail service provider voor advies, of neem contact met ons op voor deskundig advies over alles wat met e-mailverificatie te maken heeft!
- Yahoo Japan beveelt DMARC aan voor gebruikers in 2025 - 17 januari 2025
- MikroTik-botnet maakt gebruik van SPF-foutconfiguraties om malware te verspreiden - 17 januari 2025
- DMARC niet-geverifieerde e-mail is verboden [OPGELOST] - 14 januari 2025