Jak naprawić błąd "DKIM Signature is Not Valid"?
Jeśli otrzymałeś błąd "Podpis DKIM jest nieprawidłowy", występują problemy z konfiguracją DKIM i musisz je natychmiast naprawić! Nieprawidłowe błędy podpisu DKIM mogą wystąpić z powodu:
- Nieprawidłowy rekord DKIM rekord DNS wpis
- Opóźnienia w propagacji DNS
- Błędy znalezione podczas oceny sygnatury DKIM
- Potencjalne zmiany dokonane w wiadomościach e-mail lub z innych powodów.
Ten blog skupi się na niektórych typowych przyczynach błędu "Podpis DKIM jest nieprawidłowy" i kilku zaleceniach, które pomogą ci wrócić na właściwe tory!
Informacje o podpisach DKIM
DKIM lub Domain Keys Identified Mail to protokół uwierzytelniania wiadomości e-mail. DKIM pomaga utrzymać legalność wiadomości e-mail, zapewniając, że podczas przesyłania nie zostaną wprowadzone żadne zmiany. Zapobiega to modyfikowaniu treści wiadomości e-mail przez podmioty stanowiące zagrożenie i atakujących typu man-in-the-middle.
A Podpis DKIM to nagłówek dodawany do wiadomości e-mail, dzięki któremu serwer pocztowy odbiorcy może uwierzytelnić wiadomości e-mail, sprawdzając klucz DKIM nadawcy. Proces ten opiera się na oparte na kryptografii bezpieczeństwo online.
Niektóre typowe znaczniki w nagłówku sygnatury DKIM są następujące:
- v (Version): Określa używaną wersję DKIM. Na przykład "v=DKIM1" oznacza DKIM w wersji 1.
- a (Algorithm): Wskazuje algorytm kryptograficzny użyty do wygenerowania podpisu. Typowe algorytmy obejmują rsa-sha256 i rsa-sha1. Na przykład "a=rsa-sha256".
- d (Domain): Określa domenę, która jest właścicielem klucza DKIM używanego do generowania podpisu. Na przykład "d=example.com".
- s (Selektor): Wskazuje konkretny selektor klucza DKIM używany do zlokalizowania klucza publicznego DKIM w rekordzie DNS. Na przykład "s=dkim2024".
- h (Signed Headers): Wyświetla nagłówki, które zostały uwzględnione w obliczeniach podpisu DKIM. Gwarantuje to, że wszelkie zmiany w tych nagłówkach spowodują niepowodzenie weryfikacji podpisu. Na przykład "h=From:To:Subject:Date".
- b (Podpis): Zawiera rzeczywisty podpis kryptograficzny wygenerowany dla całej wiadomości e-mail. Na przykład "b=AbCdEfGhIjKlMnOp...".
Obecność błędnego rekordu DKIM lub brakujących pól nagłówka DKIM może skutkować błędem DKIM signature is not valid.
Kiedy DKIM może zawieść z błędem "Twój podpis DKIM jest nieprawidłowy"?
Zobaczysz komunikat "Twój podpis DKIM nie jest ważny", gdy kontrola uwierzytelniania DKIM nie powiedzie się. Oto wspólne powody tego niepowodzenia:
- Domena podpisu DKIM i domena nadawcy nie są zgodne.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest prawidłowy.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest w ogóle publikowany.
- Serwerowi nie udaje się dotrzeć do strefy DNS domeny nadawcy w celu wykonania lookupu. Jest to częsta sytuacja u słabych dostawców hostingu.
- Długość klucza DKIM jest niewystarczająca jako 1024, a 2048-bitowe klucze są obsługiwane. Gdy Twój dostawca hostingu webmail podpisuje e-maile z mniejszą długością klucza DKIM, pojawia się błąd nieprawidłowego podpisu DKIM.
- Podczas autoprzesyłania wiadomości wprowadzono pewne modyfikacje.
Wszystkie przypadki, z wyjątkiem ostatniego, są kwestiami technicznymi, które mogą zostać rozwiązane przez eksperta. Jednak uniknięcie ostatniego z nich nie jest realistyczne, ponieważ nie można kontrolować odbiorców, aby przestali dołączać stopki zgodności. Co więc może się stać, gdy te automatycznie przekierowane wiadomości nie spełniają zarówno SPF, jak i DKIM, a Ty ustawiłeś politykę DMARC policy na "odrzuć"?
Wcześniej było to dość trudne dla serwerów odbiorców, aby zarządzać takimi nieautentycznymi, ale legalnymi e-mailami. Jednak w dzisiejszych czasach wszyscy główni dostawcy usług emailowych lub ESP używają Authenticated Received Chain lub protokół ARC.
Protokół ten pozwala serwerom pocztowym zidentyfikować serwer pocztowy, który zarządzał nim wcześniej. Dzięki temu wiedzą, jakie są etapy oceny uwierzytelniania.
Jak naprawić błąd "Podpis DKIM jest nieprawidłowy"?
Pomimo wyrównania rekordów DKIM, możesz zobaczyć błąd nieprawidłowego podpisu DKIM. Zobaczmy, jakie są możliwe przyczyny "Podpis DKIM nie jest ważny" i jak je naprawić.
1. Rozwiązywanie problemów z nieprawidłowymi wpisami DNS DKIM
Po utworzeniu rekordu DKIM TXT i dodaniu go do pliku konfiguracyjnego DNS, jeśli napotkasz błąd "Podpis DKIM jest nieprawidłowy", możesz go rozwiązać, wykonując następujące kroki:
Kroki w celu znalezienia błędów w rekordzie DKIM
- Zarejestruj się w PowerDMARC i przejdź do sekcji Wyszukiwanie DKIM w Power Toolbox.
- Wprowadź nazwę domeny i selektor (lub pozostaw puste, aby nasza platforma automatycznie wykryła selektor). Kliknij przycisk Wyszukaj.
- Nasze narzędzie przeanalizuje wpis DNS DKIM i wskaże błędy w składni rekordu.
Naprawianie błędów w systemie DNS
- Zaloguj się do cPanel lub dowolnej używanej konsoli zarządzania DNS.
- Kliknij . Zaawansowany edytor stref DNS w sekcji Domeny.
- Wybierz domenę z listy.
- Przejdź do Edytuj rekordy DNS.
- Wprowadź poprawną wartość dla rekordu DKIM, edytując bieżącą wartość.
- Kliknij przycisk Zapisz.
2. Odczekać opóźnienia propagacji DNS
Błędy mogą być widoczne pomimo zmiany ustawień w pliku konfiguracyjnym DNS. Dzieje się tak zazwyczaj dlatego, że propagacja DNS po wprowadzeniu zmian w ustawieniach DNS zajmuje od 24 do 48 godzin. Zależy to od wartości TTL podanej w rekordzie DNS.
W takich scenariuszach sugeruje się odczekać 3 do 4 dni, aby DNS propagował się w pełni. W międzyczasie można sprawdzić status propagacji DNS domeny za pomocą narzędzi lub analizatorów propagacji DNS.
Dlaczego widzisz DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?
Jeśli widzisz status podpisu DKIM jako "body hash not verified", oznacza to po prostu, że obliczony hash wiadomości e-mail nie jest zgodny z wartością hash dodaną w tagu "bh=". Wiele biznesowych serwerów poczty e-mail zmienia tekst inline na dole przychodzących wiadomości e-mail przed rozbiciem komponentów. Prowadzi to do nieprawidłowego skrótu treści, co ostatecznie powoduje niepowodzenie DKIM, a następnie niepowodzenie DMARC check.
W niektórych sytuacjach źródła mogą nie przejść kontroli DKIM i DMARC, ponieważ haker wysyłał złośliwe wiadomości e-mail przy użyciu Twojej domeny. Dlatego należy dokładnie sprawdzić wszystkie źródła widoczne w sekcji z niepowodzeniem, aby zidentyfikować je jako prawidłowe lub złośliwe. Jeśli prawdziwe źródło wylądowało w sekcji z niepowodzeniem, należy skonfigurować i odpowiednio wyrównać SPF i/lub DKIM.
Niektóre możliwe powody, dla których widzisz DKIM= neutralny (body hash nie zweryfikował) to:
- Przekierowanie, inteligentny host lub inny agent filtrujący zmienił zawartość wiadomości e-mail.
- Podpisujący źle obliczył wartość podpisu.
- Złośliwy aktor spoofował wiadomość e-mail i podpisał ją nie posiadając prawidłowego klucza prywatnego.
- Klucz publiczny określony w nagłówku DKIM-Signature nie jest poprawny.
- Klucz publiczny opublikowany przez nadawcę w jego DNS nie jest poprawny.
Jak można zbadać źródło?
- Sprawdź, czy źródło należy do partnera Twojej firmy.
- Poszukaj źródła w Internecie.
- Sprawdź, czy pojawia się na RBL czarna lista strony internetowe.
- Zbadaj raporty DMARC forensic, aby zobaczyć typy e-maili wysyłanych przez źródło.
- Wyszukaj dokumenty, aby skonfigurować DMARC poprawnie, jeśli źródło jest prawidłowe.
- Kontakt ze źródłem.
Czy DKIM filtruje wiadomości e-mail?
DKIM nie filtruje wiadomości e-mail, ale udostępniane przez niego szczegóły pomagają filtrom używanym przez domenę odbiorcy. Tak więc, jeśli wiadomość e-mail pochodzi z zaufanej domeny i przejdzie testy DKIM, jej ocena spamu może zostać zmniejszona. Jeśli nie przejdzie kontroli DKIM, zostanie oznaczony jako spam, może zostać poddany kwarantannie lub może mieć tag spamu dodany do wiersza tematu.
Naprawiłem błąd "Podpis DKIM jest nieprawidłowy", co dalej?
Kolejne kroki, które możesz wykonać, aby zwiększyć zgodność z DKIM, to:
- Subskrybuj Analizator DKIM aby monitorować wyniki uwierzytelniania DKIM
- Włącz SPF i DMARC dla dodatkowego bezpieczeństwa i dokładnych ocen.
- Okresowa rotacja kluczy DKIM zwiększa ochronę.
Nadal nie mogę naprawić błędu
Jeśli błąd podpisu DKIM jest nadal nieprawidłowy, skontaktuj się z dostawcą usług poczty elektronicznej, aby uzyskać wskazówki, lub skontaktuj się z nami po fachową poradę na temat wszystkiego, co dotyczy uwierzytelniania poczty!
- Jak skonfigurować DMARC w Office 365? Przewodnik krok po kroku - 6 maja 2024 r.
- Wyjaśnienie kodów błędów SMTP Yahoo - 1 maja 2024 r.
- SPF Softfail vs Hardfail: Jaka jest różnica? - 26 kwietnia 2024 r.