Jeśli otrzymałeś błąd "Podpis DKIM jest nieprawidłowy", występują problemy z konfiguracją DKIM i musisz je natychmiast naprawić! Nieprawidłowe błędy podpisu DKIM mogą wystąpić z powodu:
- Nieprawidłowy rekord DKIM rekord DNS wpis
- Opóźnienia w propagacji DNS
- Błędy znalezione podczas oceny sygnatury DKIM
- Potencjalne zmiany dokonane w wiadomościach e-mail lub z innych powodów.
Ten blog skupi się na niektórych typowych przyczynach błędu "Podpis DKIM jest nieprawidłowy" i kilku zaleceniach, które pomogą ci wrócić na właściwe tory!
Kluczowe wnioski
- Błąd "Podpis DKIM jest nieprawidłowy" występuje z powodu nieprawidłowych rekordów DNS, opóźnień propagacji DNS lub zmian wiadomości.
- Upewnij się, że wpisy DNS DKIM są poprawnie skonfigurowane i rozwiąż błędy za pomocą narzędzi wyszukiwania DKIM.
- Opóźnienia w propagacji DNS mogą potrwać 24-48 godzin; poczekaj na pełną propagację przed ponownym sprawdzeniem.
- Błąd podpisu DKIM może również wynikać z niezgodności między domeną nadawcy a domeną podpisu DKIM.
- Automatyczne przekierowania i modyfikacje wiadomości e-mail mogą zakłócać uwierzytelnianie DKIM, ale można je złagodzić za pomocą protokołu ARC.
- Regularnie monitoruj zgodność z DKIM, okresowo rotuj klucze i włącz SPF i DMARC dla dodatkowej ochrony.
Informacje o podpisach DKIM
DKIM lub Domain Keys Identified Mail to protokół uwierzytelniania wiadomości e-mail. DKIM pomaga utrzymać legalność wiadomości e-mail, zapewniając, że podczas przesyłania nie zostaną wprowadzone żadne zmiany. Zapobiega to modyfikowaniu treści wiadomości e-mail przez podmioty stanowiące zagrożenie i atakujących typu man-in-the-middle.
A Podpis DKIM to nagłówek dodawany do wiadomości e-mail, dzięki któremu serwer pocztowy odbiorcy może uwierzytelnić wiadomości e-mail, sprawdzając klucz DKIM nadawcy. Proces ten opiera się na oparte na kryptografii bezpieczeństwo online.
Niektóre typowe znaczniki w nagłówku sygnatury DKIM są następujące:
- v (Version): Określa używaną wersję DKIM. Na przykład "v=DKIM1" oznacza DKIM w wersji 1.
- a (Algorithm): Wskazuje algorytm kryptograficzny użyty do wygenerowania podpisu. Typowe algorytmy obejmują rsa-sha256 i rsa-sha1. Na przykład "a=rsa-sha256".
- d (Domain): Określa domenę, która jest właścicielem klucza DKIM używanego do generowania podpisu. Na przykład "d=example.com".
- s (Selektor): Wskazuje konkretny selektor klucza DKIM używany do zlokalizowania klucza publicznego DKIM w rekordzie DNS. Na przykład "s=dkim2024".
- h (Signed Headers): Wyświetla nagłówki, które zostały uwzględnione w obliczeniach podpisu DKIM. Gwarantuje to, że wszelkie zmiany w tych nagłówkach spowodują niepowodzenie weryfikacji podpisu. Na przykład "h=From:To:Subject:Date".
- b (Podpis): Zawiera rzeczywisty podpis kryptograficzny wygenerowany dla całej wiadomości e-mail. Na przykład "b=AbCdEfGhIjKlMnOp...".
Obecność błędnego rekordu DKIM lub brakujących pól nagłówka DKIM może skutkować błędem DKIM signature is not valid.
Kiedy DKIM może zawieść z błędem "Twój podpis DKIM jest nieprawidłowy"?
Zobaczysz komunikat "Twój podpis DKIM nie jest ważny", gdy kontrola uwierzytelniania DKIM nie powiedzie się. Oto wspólne powody tego niepowodzenia:
- Domena podpisu DKIM i domena nadawcy nie są zgodne.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest prawidłowy.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest w ogóle publikowany.
- Serwerowi nie udaje się dotrzeć do strefy DNS domeny nadawcy w celu wykonania lookupu. Jest to częsta sytuacja u słabych dostawców hostingu.
- Długość klucza DKIM jest niewystarczająca jako 1024, a 2048-bitowe klucze są obsługiwane. Gdy Twój dostawca hostingu webmail podpisuje e-maile z mniejszą długością klucza DKIM, pojawia się błąd nieprawidłowego podpisu DKIM.
- Podczas autoprzesyłania wiadomości wprowadzono pewne modyfikacje.
Wszystkie przypadki, z wyjątkiem ostatniego, są kwestiami technicznymi, które mogą zostać rozwiązane przez eksperta. Jednak uniknięcie ostatniego z nich nie jest realistyczne, ponieważ nie można kontrolować odbiorców, aby przestali dołączać stopki zgodności. Co więc może się stać, gdy te automatycznie przekierowane wiadomości nie spełniają zarówno SPF, jak i DKIM, a Ty ustawiłeś politykę DMARC policy na "odrzuć"?
Wcześniej było to dość trudne dla serwerów odbiorców, aby zarządzać takimi nieautentycznymi, ale legalnymi e-mailami. Jednak w dzisiejszych czasach wszyscy główni dostawcy usług emailowych lub ESP używają Authenticated Received Chain lub protokół ARC.
Protokół ten pozwala serwerom pocztowym zidentyfikować serwer pocztowy, który zarządzał nim wcześniej. Dzięki temu wiedzą, jakie są etapy oceny uwierzytelniania.
Jak naprawić błąd "Podpis DKIM jest nieprawidłowy"?
Pomimo wyrównania rekordów DKIM, możesz zobaczyć błąd nieprawidłowego podpisu DKIM. Zobaczmy, jakie są możliwe przyczyny "Podpis DKIM nie jest ważny" i jak je naprawić.
1. Rozwiązywanie problemów z nieprawidłowymi wpisami DNS DKIM
Po utworzeniu rekordu DKIM TXT i dodaniu go do pliku konfiguracyjnego DNS, jeśli napotkasz błąd "Podpis DKIM jest nieprawidłowy", możesz go rozwiązać, wykonując następujące kroki:
Kroki w celu znalezienia błędów w rekordzie DKIM
- Zarejestruj się w PowerDMARC i przejdź do sekcji Wyszukiwanie DKIM w Power Toolbox.
- Wprowadź nazwę domeny i selektor (lub pozostaw puste, aby nasza platforma automatycznie wykryła selektor). Kliknij przycisk Wyszukaj.
- Nasze narzędzie przeanalizuje wpis DNS DKIM i wskaże błędy w składni rekordu.
Naprawianie błędów w systemie DNS
- Zaloguj się do cPanel lub dowolnej używanej konsoli zarządzania DNS.
- Kliknij . Zaawansowany edytor stref DNS w sekcji Domeny.
- Wybierz domenę z listy.
- Przejdź do Edytuj rekordy DNS.
- Wprowadź poprawną wartość dla rekordu DKIM, edytując bieżącą wartość.
- Kliknij przycisk Zapisz.
2. Odczekać opóźnienia propagacji DNS
Błędy mogą być widoczne pomimo zmiany ustawień w pliku konfiguracyjnym DNS. Dzieje się tak zazwyczaj dlatego, że propagacja DNS po wprowadzeniu zmian w ustawieniach DNS zajmuje od 24 do 48 godzin. Zależy to od wartości TTL podanej w rekordzie DNS.
W takich scenariuszach sugeruje się odczekać 3 do 4 dni, aby DNS propagował się w pełni. W międzyczasie można sprawdzić status propagacji DNS domeny za pomocą narzędzi lub analizatorów propagacji DNS.
Dlaczego pojawia się komunikat "DKIM-Signature Body Hash Not Verified"?
Jeśli widzisz status podpisu DKIM jako "DKIM-signature body hash not verified", oznacza to po prostu, że obliczony skrót wiadomości e-mail nie jest zgodny z wartością skrótu ciała dodaną w tagu "bh=".
Wiele biznesowych serwerów poczty e-mail zmienia tekst inline na dole przychodzących wiadomości e-mail przed rozbiciem komponentów. Prowadzi to do nieprawidłowego skrótu treści, wywołując błąd DKIM-signature body hash not verified. To ostatecznie powoduje niepowodzenie DKIM, a następnie niepowodzenie DMARC check.
W niektórych sytuacjach źródła mogą nie przejść kontroli DKIM i DMARC, ponieważ haker manipulował zawartością wiadomości e-mail. Może to również prowadzić do błędu DKIM-signature body hash not verified.
Niektóre możliwe powody, dla których widzisz DKIM= neutralny (body hash nie zweryfikował) to:
- Przekierowanie, inteligentny host lub inny agent filtrujący zmienił zawartość wiadomości e-mail.
- Podpisujący źle obliczył wartość podpisu.
- Złośliwy aktor spoofował wiadomość e-mail i podpisał ją nie posiadając prawidłowego klucza prywatnego.
- Klucz publiczny określony w nagłówku DKIM-Signature nie jest poprawny.
- Klucz publiczny opublikowany przez nadawcę w jego DNS nie jest poprawny.
Oto kilka typowych powodów, które mogą prowadzić do błędu niezweryfikowanego hasha podpisu DKIM.
Jak można zbadać źródło?
W przypadku napotkania błędu DKIM-signature body hash not verified, przydatne może być zbadanie źródła wiadomości e-mail.
- Sprawdź, czy źródło należy do autoryzowanej listy źródeł wysyłania dla Twojej domeny.
- Poszukaj źródła w Internecie.
- Sprawdź, czy pojawia się na RBL czarna lista strony internetowe.
- Zbadaj raporty DMARC forensic, aby zobaczyć typy e-maili wysyłanych przez źródło.
- Wyszukaj dokumenty, aby skonfigurować DMARC poprawnie, jeśli źródło jest prawidłowe.
- Kontakt ze źródłem.
Czy DKIM filtruje wiadomości e-mail?
DKIM nie filtruje wiadomości e-mail, ale udostępniane przez niego szczegóły pomagają filtrom używanym przez domenę odbiorcy. Tak więc, jeśli wiadomość e-mail pochodzi z zaufanej domeny i przejdzie testy DKIM, jej ocena spamu może zostać zmniejszona. Jeśli nie przejdzie kontroli DKIM, zostanie oznaczony jako spam, może zostać poddany kwarantannie lub może mieć tag spamu dodany do wiersza tematu.
Naprawiłem błąd "Podpis DKIM jest nieprawidłowy", co dalej?
Kolejne kroki, które możesz wykonać, aby zwiększyć zgodność z DKIM, to:
- Subskrybuj Analizator DKIM aby monitorować wyniki uwierzytelniania DKIM
- Włącz SPF i DMARC dla dodatkowego bezpieczeństwa i dokładnych ocen.
- Okresowa rotacja kluczy DKIM zwiększa ochronę.
Nadal nie mogę naprawić błędu
Jeśli błąd podpisu DKIM jest nadal nieprawidłowy, skontaktuj się z dostawcą usług poczty elektronicznej, aby uzyskać wskazówki, lub skontaktuj się z nami po fachową poradę na temat wszystkiego, co dotyczy uwierzytelniania poczty!
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.