Jak naprawić błąd "DKIM Signature is Not Valid"?

Podpis DKIM nie jest ważny

Po zapoznaniu się z tym, czym jest DKIM, będziesz chciał wiedzieć, co zrobić, gdy twój podpis DKIM nie jest ważny. Może się to zdarzyć z powodu nieprawidłowego wpisu w Rekord DNS, opóźnienia propagacji DNS, lub innych powodów. Ten blog skupi się tylko na tych.

Dlaczego Twój podpis DKIM nie jest ważny

Podpis DKIM jest nagłówkiem dodawanym do wiadomości e-mail, tak aby serwer pocztowy odbiorcy mógł uwierzytelnić e-maile poprzez sprawdzenie klucza DKIM nadawcy. Proces ten oparty jest na kryptografii bezpieczeństwa online. Obecność błędnego rekordu DKIM lub brakujących pól nagłówka DKIM może spowodować, że podpis DKIM nie jest ważny.

Kiedy DKIM nie sprawdza się?

Zobaczysz komunikat "Twój podpis DKIM nie jest ważny", gdy kontrola uwierzytelniania DKIM nie powiedzie się. Oto wspólne powody tego niepowodzenia:

  • Domena podpisu DKIM i domena nadawcy nie są zgodne.
  • Rekord klucza publicznego DKIM opublikowany w DNS nie jest prawidłowy.
  • Rekord klucza publicznego DKIM opublikowany w DNS nie jest w ogóle publikowany.
  • Serwerowi nie udaje się dotrzeć do strefy DNS domeny nadawcy w celu wykonania lookupu. Jest to częsta sytuacja u słabych dostawców hostingu.
  • Długość klucza DKIM jest niewystarczająca jako 1024, a 2048-bitowe klucze są obsługiwane. Gdy Twój dostawca hostingu webmail podpisuje e-maile z mniejszą długością klucza DKIM, pojawia się błąd nieprawidłowego podpisu DKIM.
  • Podczas autoprzesyłania wiadomości wprowadzono pewne modyfikacje. 

Wszystkie przypadki, poza ostatnim, są kwestiami technicznymi, które mogą być rozwiązane przez eksperta. Jednak uniknięcie ostatniego nie jest realistyczne, ponieważ nie można kontrolować odbiorców, aby przestali dołączać stopki zgodności. Więc, co może się stać, gdy te automatycznie przekierowane wiadomości nie spełniają zarówno SPF jak i DKIM, ponieważ ustawiłeś politykę DMARC na "odrzucenie"?

Wcześniej było to dość trudne dla serwerów odbiorców, aby zarządzać takimi nieautentycznymi, ale legalnymi e-mailami. Jednak w dzisiejszych czasach wszyscy główni dostawcy usług emailowych lub ESP używają Authenticated Received Chain lub protokół ARC.

Protokół ten pozwala serwerom pocztowym zidentyfikować serwer pocztowy, który zarządzał nim wcześniej. Dzięki temu wiedzą, jakie są etapy oceny uwierzytelniania. 

Ogólna sygnatura DKIM nie jest ważna Błędy i poprawki

Pomimo wyrównania rekordów DKIM, możesz zobaczyć błąd nieprawidłowego podpisu DKIM. Zobaczmy, jakie są możliwe przyczyny "Podpis DKIM nie jest ważny" i jak je naprawić. 

1. Nieprawidłowy wpis DNS

Po utworzeniu rekordu DKIM TXT i dodaniu go do pliku konfiguracyjnego DNS, możesz zobaczyć błąd DKIM signature not valid w cPanelu. Można to rozwiązać, wykonując następujące kroki:

  • Zaloguj się do cPanelu.
  • Kliknij . Zaawansowany edytor stref DNS w sekcji Domeny.
  • Wybierz domenę z listy.
  • Przejdź do Edytuj rekordy DNS i sprawdź rekord TXT.
  • Wprowadź prawidłową wartość dla rekordu DKIM.
  • Zapisz plik. Możesz zobaczyć zmiany. 

2. Opóźnienie propagacji DNS

Możesz zobaczyć błędy pomimo zmiany ustawień w pliku konfiguracyjnym DNS. Dzieje się tak zazwyczaj dlatego, że propagacja DNS po dokonaniu zmian w ustawieniach DNS trwa do 24 do 48 godzin. Różni się to w zależności od wartości TTL wymienionej w rekordzie DNS.

W takich scenariuszach sugeruje się odczekać 3 do 4 dni, aby DNS propagował się w pełni. W międzyczasie można sprawdzić status propagacji DNS domeny za pomocą narzędzi lub analizatorów propagacji DNS. 

Dlaczego widzisz DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?

Jeśli widzisz status sygnatury DKIM jako "body hash not verified" oznacza to po prostu, że obliczony hash wiadomości nie jest zgodny z wartością body hash dodaną w tagu "bh=". Wiele biznesowych serwerów pocztowych zmienia tekst inline na dole przychodzących emaili, zanim ich elementy zostaną rozbite. Prowadzi to do niepoprawnego body hash, co ostatecznie powoduje nieudaną kontrolę DMARC.

W takich sytuacjach źródła nie przechodzą kontroli DMARC, ponieważ haker wysyłał złośliwe wiadomości e-mail przy użyciu Twojej domeny. Dlatego powinieneś dokładnie sprawdzić wszystkie źródła widziane w sekcji failed, aby zidentyfikować je jako ważne lub złośliwe. Jeśli prawdziwe źródło wylądowało w sekcji failed, skonfiguruj i wyrównaj SPF i DKIM prawidłowo. 

Niektóre możliwe powody, dla których widzisz DKIM= neutralny (body hash nie zweryfikował) to:

  • Spedytor, smart-host lub inny agent filtrujący zmienił zawartość wiadomości e-mail.
  • Podpisujący źle obliczył wartość podpisu.
  • Złośliwy aktor spoofował wiadomość e-mail i podpisał ją nie posiadając prawidłowego klucza prywatnego.
  • Klucz publiczny określony w nagłówku DKIM-Signature nie jest poprawny.
  • Klucz publiczny opublikowany przez nadawcę w jego DNS nie jest poprawny.

Jak można zbadać źródło?

  • Sprawdź, czy źródło należy do partnera Twojej firmy.
  • Poszukaj w internecie informacji o źródle.
  • Sprawdź, czy pojawia się na stronach internetowych z czarną listą RBL.
  • Zbadaj raporty DMARC forensic, aby zobaczyć typy e-maili wysyłanych przez źródło.
  • Wyszukaj dokumenty, aby skonfigurować DMARC poprawnie, jeśli źródło jest ważne.
  • Kontakt ze źródłem.

Czy DKIM filtruje wiadomości e-mail?

DKIM nie filtruje emaili, ale szczegóły udostępnione przez niego pomagają filtrom używanym przez domenę odbiorcy. Tak więc, jeśli email pochodzi z zaufanej domeny i przechodzi kontrolę DKIM, jego wynik spamu może być zmniejszony. Jeśli nie przejdzie kontroli DKIM, zostanie oznaczony jako spam lub może zostać poddany kwarantannie lub mieć tag spam dodany do linii tematu. 

Tak więc, właściciele domen nie mogą kontrolować tego, co jest zawarte w raporcie o niepowodzeniu DMARC, ponieważ jest to w rękach użytkowników.

Naprawiłem błąd DKIM signature is not valid, co dalej? 

Kolejne kroki, które możesz wykonać, aby wzmocnić swoją zgodność z DKIM to: 

  1. Przejść do Analizator DKIM aby monitorować wyniki uwierzytelniania DKIM
  2. Włącz SPF i DMARC
  3. Okresowo zmieniaj swoje klucze DKIM 

Nadal nie mogę naprawić błędu

Jeśli błąd podpisu DKIM jest nadal nieprawidłowy, skontaktuj się z dostawcą usług poczty elektronicznej, aby uzyskać wskazówki, lub skontaktuj się z nami po fachową poradę na temat wszystkiego, co dotyczy uwierzytelniania poczty!

podpis dkim nie jest ważny

Latest posts by Ahona Rudra (zobacz wszystkie)
/przez
Komisja Europejska zaleca DMARC dla bezpieczeństwa komunikacji elektronicznejKomisja Europejska zaleca DMARC dla bezpieczeństwa komunikacji e-mailowej 1Czym jest spam w poczcie elektronicznej i jak go powstrzymaćCo to jest Spam Email i jak go zatrzymać?