Als u eenmaal weet wat DKIM, zult u graag willen weten wat u moet doen wanneer uw DKIM handtekening niet geldig is. Dit kan gebeuren door een onjuiste vermelding in het DNS record, een DNS propagatie vertraging, of andere redenen. Deze blog richt zich alleen op deze redenen.
Waarom uw DKIM-handtekening niet geldig is
DKIM-handtekening is een header die aan e-mailberichten wordt toegevoegd zodat de mailserver van de ontvanger de e-mails kan verifiëren door de DKIM-sleutel van de afzender te controleren. Dit proces is gebaseerd op online beveiliging op basis van cryptografie. De aanwezigheid van een foutief DKIM record of ontbrekende DKIM header velden kunnen resulteren in de fout DKIM handtekening is niet geldig.
Wanneer faalt DKIM in de controle?
U ziet het bericht 'Uw DKIM-handtekening is niet geldig' wanneer de DKIM-verificatiecontrole mislukt. Dit zijn de meest voorkomende redenen voor deze mislukking:
- DKIM handtekening domein en afzender domein komen niet overeen.
- DKIM public key record gepubliceerd in DNS klopt niet.
- DKIM public key record gepubliceerd in DNS wordt helemaal niet gepubliceerd.
- De server slaagt er niet in de DNS-zone van het domein van de afzender te bereiken om op te zoeken. Dit is een veel voorkomende situatie bij slechte hosting providers.
- De lengte van de DKIM-sleutel is onvoldoende als 1024, en 2048-bits lange sleutels worden ondersteund. Wanneer uw webmail hosting provider e-mails ondertekent met een kleinere DKIM sleutellengte, treedt er een ongeldige DKIM handtekening fout op.
- Er werden enkele wijzigingen aangebracht aan het bericht tijdens het automatisch doorsturen.
Alle gevallen, behalve de laatste, zijn technische problemen die door een expert kunnen worden opgelost. Het is echter niet realistisch om de laatste te vermijden, omdat je de ontvangers niet kunt controleren om te stoppen met het toevoegen van compliance footers. Dus wat kan er gebeuren als deze automatisch doorgestuurde berichten niet voldoen aan zowel SPF als DKIM omdat je het DMARC beleid hebt ingesteld op 'weigeren'?
Vroeger was het voor ontvangende servers een hele uitdaging om dergelijke niet-geverifieerde maar legitieme e-mails te beheren. Maar tegenwoordig gebruiken alle grote e-maildienstverleners of ESP's Authenticated Received Chain of ARC-protocol.
Met dit protocol kunnen mailservers de mailserver identificeren die deze eerder beheerde. Dit laat hen weten wat de beoordelingsstappen voor authenticatie zijn.
Algemene DKIM-handtekening is niet geldig Fouten & oplossingen
Ondanks het afstemmen van DKIM records kunt u een ongeldige DKIM handtekening fout zien. Laten we eens kijken wat de mogelijke oorzaken zijn van "DKIM handtekening is niet geldig" en hoe deze kunnen worden opgelost.
1. Onjuiste DNS-invoer
Nadat u het DKIM TXT record hebt aangemaakt en toegevoegd aan het DNS configuratiebestand, ziet u in cPanel de foutmelding DKIM handtekening niet geldig. Dit kan worden opgelost door deze stappen te volgen:
- Inloggen op cPanel.
- Klik op Geavanceerde DNS-zone-editor optie onder Domeinen.
- Selecteer het domein uit de lijst.
- Ga naar DNS Records bewerken en controleer het TXT record.
- Voer de juiste waarde in voor het DKIM record.
- Sla het bestand op. U kunt de wijzigingen zien.
2. DNS Propagatievertraging
U kunt fouten zien ondanks het wijzigen van de instellingen in het DNS-configuratiebestand. Dit gebeurt meestal omdat het tot 24 tot 48 uur duurt voor DNS-propagatie nadat u wijzigingen hebt aangebracht in de DNS-instellingen. Dit hangt af van de TTL-waarde die in het DNS-record staat vermeld.
In dergelijke scenario's is het raadzaam 3 tot 4 dagen te wachten zodat de DNS zich volledig kan verspreiden. Ondertussen kunt u de DNS-propagatiestatus van het domein controleren met behulp van DNS-propagatietools of analyzers.
Waarom ziet u DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?
Als de status van een DKIM handtekening 'body hash not verified' is, betekent dit simpelweg dat de berekende hash van de e-mail niet overeenkomt met de body hash waarde die is toegevoegd in de "bh=" tag. Veel zakelijke e-mailservers wijzigen inline tekst naar de onderkant van inkomende e-mails voordat de componenten worden afgebroken. Dit leidt tot een ongeldige hash van de body die uiteindelijk een mislukte DMARC-controle veroorzaakt.
In dergelijke situaties mislukken DMARC-controles omdat een hacker schadelijke e-mails heeft verzonden via uw domein. U moet dus alle bronnen die in de mislukte sectie staan grondig onderzoeken om ze te identificeren als geldig of kwaadaardig. Als een echte bron in de mislukte sectie terecht is gekomen, stelt u SPF en DKIM correct in en stemt u deze op elkaar af.
Enkele mogelijke redenen waarom u DKIM= neutraal (body hash did not verify) ziet, zijn:
- Een forwarder, een smart-host of een andere filteraar heeft de inhoud van de e-mail gewijzigd.
- De ondertekenaar heeft de waarde van de handtekening verkeerd berekend.
- Een kwaadwillende heeft de e-mail vervalst en ondertekend zonder de juiste privésleutel te hebben.
- De publieke sleutel in de DKIM-handtekening header is niet correct.
- De publieke sleutel die de afzender in zijn DNS heeft gepubliceerd, is niet correct.
Hoe kun je de bron onderzoeken?
- Controleer of de bron behoort tot de partner van uw bedrijf.
- Zoek over de bron op het internet.
- Controleer of het voorkomt op websites met zwarte lijsten van RBL.
- Bestudeer de forensische DMARC-rapporten om de soorten e-mails te zien die door de bron zijn verzonden.
- Zoek naar de documenten om DMARC correct in te stellen als de bron geldig is.
- Neem contact op met de bron.
Filtert DKIM e-mail?
DKIM filtert e-mail niet, maar de gedeelde gegevens helpen de filters van het domein van de ontvanger. Dus als een e-mail afkomstig is van een vertrouwd domein en de DKIM-controle doorstaat, kan de spamscore zijn verlaagd. Als de DKIM-controle mislukt, wordt hij gemarkeerd als spam of kan hij in quarantine worden geplaatst of een spamtag aan de onderwerpregel worden toegevoegd.
Domeineigenaars kunnen dus niet controleren wat er in het DMARC-faalverslag staat, want dat is in handen van de gebruikers.
Ik heb de DKIM handtekening is niet geldig fout opgelost, wat nu?
De volgende stappen die u kunt volgen om uw DKIM-compliance te versterken zijn:
- Een DKIM-analyzer om uw DKIM-verificatie resultaten te controleren
- SPF en DMARC inschakelen
- Draai uw DKIM-sleutels regelmatig
Ik kan de fout nog steeds niet herstellen
Als de DKIM handtekening niet geldig is, neem dan contact op met uw e-mail service provider voor advies, of neem contact met ons op voor deskundig advies over alles wat met e-mailverificatie te maken heeft!
- Hoe DMARC instellen in Office 365? Stap voor stap handleiding - 6 mei 2024
- SMTP Yahoo foutcodes uitgelegd - 1 mei 2024
- SPF Softfail Vs Hardfail: Wat is het verschil? - 26 april 2024