Po zapoznaniu się z tym, czym jest DKIM, będziesz chciał wiedzieć, co zrobić, gdy twój podpis DKIM nie jest ważny. Może się to zdarzyć z powodu nieprawidłowego wpisu w Rekord DNS, opóźnienia propagacji DNS, lub innych powodów. Ten blog skupi się tylko na tych.
Dlaczego Twój podpis DKIM nie jest ważny
Podpis DKIM jest nagłówkiem dodawanym do wiadomości e-mail, tak aby serwer pocztowy odbiorcy mógł uwierzytelnić e-maile poprzez sprawdzenie klucza DKIM nadawcy. Proces ten oparty jest na kryptografii bezpieczeństwa online. Obecność błędnego rekordu DKIM lub brakujących pól nagłówka DKIM może spowodować, że podpis DKIM nie jest ważny.
Kiedy DKIM nie sprawdza się?
Zobaczysz komunikat "Twój podpis DKIM nie jest ważny", gdy kontrola uwierzytelniania DKIM nie powiedzie się. Oto wspólne powody tego niepowodzenia:
- Domena podpisu DKIM i domena nadawcy nie są zgodne.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest prawidłowy.
- Rekord klucza publicznego DKIM opublikowany w DNS nie jest w ogóle publikowany.
- Serwerowi nie udaje się dotrzeć do strefy DNS domeny nadawcy w celu wykonania lookupu. Jest to częsta sytuacja u słabych dostawców hostingu.
- Długość klucza DKIM jest niewystarczająca jako 1024, a 2048-bitowe klucze są obsługiwane. Gdy Twój dostawca hostingu webmail podpisuje e-maile z mniejszą długością klucza DKIM, pojawia się błąd nieprawidłowego podpisu DKIM.
- Podczas autoprzesyłania wiadomości wprowadzono pewne modyfikacje.
Wszystkie przypadki, z wyjątkiem ostatniego, są kwestiami technicznymi, które mogą zostać rozwiązane przez eksperta. Jednak uniknięcie ostatniego z nich jest nierealne, ponieważ nie można kontrolować odbiorców, aby przestali dołączać stopki zgodności. Co więc może się stać, gdy te automatycznie przekierowane wiadomości nie spełniają zarówno SPF, jak i DKIM, ponieważ ustawiłeś politykę DMARC na "odrzuć"?
Wcześniej było to dość trudne dla serwerów odbiorców, aby zarządzać takimi nieautentycznymi, ale legalnymi e-mailami. Jednak w dzisiejszych czasach wszyscy główni dostawcy usług emailowych lub ESP używają Authenticated Received Chain lub protokół ARC.
Protokół ten pozwala serwerom pocztowym zidentyfikować serwer pocztowy, który zarządzał nim wcześniej. Dzięki temu wiedzą, jakie są etapy oceny uwierzytelniania.
Ogólna sygnatura DKIM nie jest ważna Błędy i poprawki
Pomimo wyrównania rekordów DKIM, możesz zobaczyć błąd nieprawidłowego podpisu DKIM. Zobaczmy, jakie są możliwe przyczyny "Podpis DKIM nie jest ważny" i jak je naprawić.
1. Nieprawidłowy wpis DNS
Po utworzeniu rekordu DKIM TXT i dodaniu go do pliku konfiguracyjnego DNS, możesz zobaczyć błąd DKIM signature not valid w cPanelu. Można to rozwiązać, wykonując następujące kroki:
- Zaloguj się do cPanelu.
- Kliknij . Zaawansowany edytor stref DNS w sekcji Domeny.
- Wybierz domenę z listy.
- Przejdź do Edytuj rekordy DNS i sprawdź rekord TXT.
- Wprowadź prawidłową wartość dla rekordu DKIM.
- Zapisz plik. Możesz zobaczyć zmiany.
2. Opóźnienie propagacji DNS
Możesz zobaczyć błędy pomimo zmiany ustawień w pliku konfiguracyjnym DNS. Dzieje się tak zazwyczaj dlatego, że propagacja DNS po dokonaniu zmian w ustawieniach DNS trwa do 24 do 48 godzin. Różni się to w zależności od wartości TTL wymienionej w rekordzie DNS.
W takich scenariuszach sugeruje się odczekać 3 do 4 dni, aby DNS propagował się w pełni. W międzyczasie można sprawdzić status propagacji DNS domeny za pomocą narzędzi lub analizatorów propagacji DNS.
Dlaczego widzisz DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?
Jeśli widzisz status podpisu DKIM jako "body hash not verified", oznacza to po prostu, że obliczony hash wiadomości e-mail nie jest zgodny z wartością hash dodaną w tagu "bh=". Wiele biznesowych serwerów pocztowych zmienia tekst inline na dole przychodzących wiadomości e-mail przed rozbiciem komponentów. Prowadzi to do nieprawidłowego skrótu treści, co ostatecznie powoduje niepowodzenie kontroli DMARC.
W takich sytuacjach źródła nie przechodzą kontroli DMARC, ponieważ haker wysyłał złośliwe wiadomości e-mail przy użyciu Twojej domeny. Dlatego powinieneś dokładnie sprawdzić wszystkie źródła widziane w sekcji failed, aby zidentyfikować je jako ważne lub złośliwe. Jeśli prawdziwe źródło wylądowało w sekcji failed, skonfiguruj i wyrównaj SPF i DKIM prawidłowo.
Niektóre możliwe powody, dla których widzisz DKIM= neutralny (body hash nie zweryfikował) to:
- Spedytor, smart-host lub inny agent filtrujący zmienił zawartość wiadomości e-mail.
- Podpisujący źle obliczył wartość podpisu.
- Złośliwy aktor spoofował wiadomość e-mail i podpisał ją nie posiadając prawidłowego klucza prywatnego.
- Klucz publiczny określony w nagłówku DKIM-Signature nie jest poprawny.
- Klucz publiczny opublikowany przez nadawcę w jego DNS nie jest poprawny.
Jak można zbadać źródło?
- Sprawdź, czy źródło należy do partnera Twojej firmy.
- Poszukaj w internecie informacji o źródle.
- Sprawdź, czy pojawia się na czarnych listach RBL.
- Zbadaj raporty DMARC forensic, aby zobaczyć typy e-maili wysyłanych przez źródło.
- Wyszukaj dokumenty, aby poprawnie skonfigurować DMARC, jeśli źródło jest prawidłowe.
- Kontakt ze źródłem.
Czy DKIM filtruje wiadomości e-mail?
DKIM nie filtruje emaili, ale szczegóły udostępnione przez niego pomagają filtrom używanym przez domenę odbiorcy. Tak więc, jeśli email pochodzi z zaufanej domeny i przechodzi kontrolę DKIM, jego wynik spamu może być zmniejszony. Jeśli nie przejdzie kontroli DKIM, zostanie oznaczony jako spam lub może zostać poddany kwarantannie lub mieć tag spam dodany do linii tematu.
Tak więc, właściciele domen nie mogą kontrolować tego, co jest zawarte w raporcie o niepowodzeniu DMARC, ponieważ jest to w rękach użytkowników.
Naprawiłem błąd DKIM signature is not valid, co dalej?
Kolejne kroki, które możesz wykonać, aby wzmocnić swoją zgodność z DKIM to:
- Przejść do Analizator DKIM aby monitorować wyniki uwierzytelniania DKIM
- Włącz SPF i DMARC
- Okresowo zmieniaj swoje klucze DKIM
Nadal nie mogę naprawić błędu
Jeśli błąd podpisu DKIM jest nadal nieprawidłowy, skontaktuj się z dostawcą usług poczty elektronicznej, aby uzyskać wskazówki, lub skontaktuj się z nami po fachową poradę na temat wszystkiego, co dotyczy uwierzytelniania poczty!
- Jak skonfigurować DMARC w Office 365? Przewodnik krok po kroku - 6 maja 2024 r.
- Wyjaśnienie kodów błędów SMTP Yahoo - 1 maja 2024 r.
- SPF Softfail vs Hardfail: Jaka jest różnica? - 26 kwietnia 2024 r.