Hvordan fikser du feilen "DKIM-signatur er ikke gyldig"?

DKIM-signaturen er ikke gyldig

Når du er kjent med hva som er DKIM , vil du gjerne vite hva du skal gjøre når DKIM-signaturen din ikke er gyldig. Dette kan skje på grunn av en feil oppføring i DNS-posten , en DNS-utbredelsesforsinkelse eller andre årsaker. Denne bloggen vil kun fokusere på disse.

Hvorfor din DKIM-signatur ikke er gyldig

DKIM-signatur er en overskrift lagt til e-postmeldinger slik at mottakerens e-postserver kan autentisere e-postene ved å sjekke avsenderens DKIM-nøkkel. Denne prosessen er basert på kryptografibasert nettsikkerhet. Tilstedeværelsen av en feilaktig DKIM-post eller manglende DKIM-overskriftsfelt kan føre til at DKIM-signaturen ikke er gyldig feil.

Når mislykkes DKIM i kontrollen?

Du vil se meldingen "Din DKIM-signatur er ikke gyldig" når DKIM-autentiseringskontrollen mislykkes. Her er de vanlige årsakene til denne feilen:

  • DKIM-signaturdomene og avsenderdomene stemmer ikke overens.
  • DKIM offentlig nøkkelpost publisert i DNS er ikke riktig.
  • DKIM offentlig nøkkelpost publisert i DNS publiseres ikke i det hele tatt.
  • Serveren klarer ikke å nå avsenderens domene DNS-sone for oppslag. Dette er en vanlig situasjon for dårlige hostingleverandører.
  • DKIM-nøkkelens lengde er utilstrekkelig da 1024, og 2048-bit lange nøkler støttes. Når vertsleverandøren for nettpost signerer e-poster med mindre DKIM-nøkkellengde, oppstår en ugyldig DKIM-signaturfeil.
  • Noen endringer ble gjort i meldingen under automatisk videresending. 

Alle sakene, bortsett fra den siste, er tekniske problemer som kan løses av en ekspert. Det er imidlertid ikke realistisk å unngå den siste siden du ikke kan kontrollere at mottakerne slutter å legge til bunntekster for samsvar. Så, hva kan muligens skje når disse automatisk videresendte meldingene mislykkes både med SPF og DKIM fordi du har satt DMARC-policyen til å "avvise"?

Tidligere var det ganske utfordrende for mottakerservere å administrere slike uautentiserte, men legitime e-poster. Men i disse dager bruker alle de store e-posttjenesteleverandørene eller ESP-ene Authenticated Received Chain eller ARC-protokollen.

Denne protokollen lar e-postservere identifisere e-postserveren som administrerte den tidligere. Dette lar dem vite trinnene for autentiseringsvurdering. 

Generell DKIM-signatur er ikke gyldig Feil og rettelser

Til tross for justering av DKIM-poster, kan du se en ugyldig DKIM-signaturfeil. La oss se hva de mulige årsakene til "DKIM-signaturen er ikke gyldig" er og hvordan du fikser dem. 

1. Feil DNS-oppføring

Etter at du har opprettet DKIM TXT-posten og lagt den til DNS-konfigurasjonsfilen, kan du se DKIM-signaturen ikke gyldig feil i cPanel. Dette kan løses ved å følge disse trinnene:

  • Logg inn på cPanel.
  • KlikkAvansert DNS Zone Editor- alternativet under Domener.
  • Velg domenet fra listen.
  • Gå til Rediger DNS-poster og sjekk TXT-posten.
  • Angi riktig verdi for DKIM-posten.
  • Lagre filen. Du kan se endringene. 

2. DNS-utbredelsesforsinkelse

Du kan se feil til tross for at du endrer innstillingene i DNS-konfigurasjonsfilen. Dette skjer vanligvis fordi det tar opptil 24 til 48 timer for DNS-utbredelse etter at du har gjort endringer i DNS-innstillingene. Dette varierer avhengig av TTL-verdien nevnt i DNS-posten.

I slike scenarier anbefales det å vente i 3 til 4 dager slik at DNS-en sprer seg fullt ut. I mellomtiden kan du sjekke DNS-utbredelsesstatusen til domenet ved å bruke DNS-utbredelsesverktøy eller -analysatorer. 

Hvorfor ser du DKIM=nøytral (DKIM Permfail "Body Hash Did Not Verify)?

Hvis du ser en DKIM-signaturs status som "body hash not verified", betyr det ganske enkelt at den beregnede hash-verdien til e-posten ikke stemmer overens med body-hash-verdien som er lagt til i "bh="-taggen. Mange bedrifts-e-postservere endrer innebygd tekst til bunnen av innkommende e-poster før komponentene brytes ned. Dette fører til ugyldig body-hash som til slutt forårsaker en mislykket DMARC-sjekk.

I slike situasjoner mislykkes kilder i DMARC-kontroller fordi en hacker har sendt ondsinnede e-poster ved å bruke domenet ditt. Derfor bør du undersøke alle kilder som er sett i den mislykkede delen grundig for å identifisere dem som gyldige eller skadelige. Hvis en ekte kilde har havnet i den feilede delen, konfigurer og juster SPF og DKIM riktig. 

Noen mulige årsaker til at du ser DKIM= nøytral (body hash ble ikke bekreftet) er:

  • En videresending, en smartvert eller en annen filtreringsagent har endret e-postinnhold.
  • Underskriveren feilberegnet signaturverdien.
  • En ondsinnet aktør forfalsket e-posten og signerte den uten å ha den riktige private nøkkelen.
  • Den offentlige nøkkelen som er spesifisert i DKIM-signaturoverskriften er ikke riktig.
  • Den offentlige nøkkelen publisert av avsenderen i deres DNS er ikke korrekt.

Hvordan kan du undersøke kilden?

  • Sjekk om kilden tilhører partneren til bedriften din.
  • Søk etter kilden på internett.
  • Sjekk om det vises på RBL-svartelistenettsteder.
  • Undersøk DMARCs rettsmedisinske rapporter for å se hvilke typer e-poster som sendes av kilden.
  • Søk etter dokumentene for å konfigurere DMARC riktig hvis kilden er gyldig.
  • Kontakt kilden.

Filtrerer DKIM e-post?

DKIM filtrerer ikke e-post, men detaljene som deles av den hjelper filtre som brukes av mottakerens domene. Så hvis en e-post kommer fra et klarert domene og passerer DKIM-sjekker, kan spampoengsummen ha blitt redusert. Hvis den mislykkes i DKIM-kontrollen, blir den merket som spam eller kan settes i karantene eller ha en spam-tag lagt til i emnelinjen. 

Så domeneeiere kan ikke kontrollere hva som er inkludert i DMARC-feilrapporten fordi det er i brukernes hånd.

Jeg har fikset at DKIM-signaturen ikke er gyldig feil, hva neste? 

De neste trinnene du kan følge for å styrke DKIM-samsvaret er: 

  1. Naviger i en DKIM-analysator for å overvåke DKIM-autentiseringsresultatene
  2. Aktiver SPF og DMARC
  3. Roter DKIM-nøklene med jevne mellomrom 

Jeg kan fortsatt ikke fikse feilen

Hvis feilen med ugyldig DKIM-signatur fortsatt vedvarer, ta kontakt med e-postleverandøren din for veiledning, eller kontakt oss for ekspertråd om alt e-postautentisering!

dkim-signaturen er ikke gyldig

Siste innlegg av Ahona Rudra ( se alle )
/av
EU-kommisjonen anbefaler DMARC for e-postkommunikasjonssikkerhetEuropakommisjonen anbefaler DMARC for e-postkommunikasjonssikkerhet 1Hva er spam e-post og hvordan stoppe detHva er spam e-post og hvordan stoppe det?