Como corrigir o erro "A assinatura do DKIM não é válida"?

A assinatura do DKIM não é válida

Quando estiver familiarizado com o que é DKIMo que deve fazer quando a sua assinatura DKIM não for válida. Isto pode acontecer devido a uma entrada incorrecta no Registo DNSum atraso na propagação do DNS, ou outras razões. Este blog irá incidir apenas sobre estes.

Porque é que a Sua Assinatura DKIM não é válida

assinatura DKIM é um cabeçalho adicionado às mensagens de correio electrónico para que o servidor de correio do destinatário possa autenticar as mensagens, verificando a chave DKIM do remetente. Este processo baseia-se na segurança online baseada na criptografia. A presença de um registo DKIM errado ou campos de cabeçalho DKIM em falta pode resultar em que a assinatura DKIM não é um erro válido.

Quando é que o DKIM falha a verificação?

Verá a mensagem 'A sua assinatura DKIM não é válida' quando a verificação da autenticação DKIM falhar. Aqui estão as razões comuns para esta falha:

  • DKIM domínio de assinatura e domínio de remetente não alinham.
  • O registo de chave pública DKIM publicado no DNS não é correcto.
  • O registo de chave pública DKIM publicado no DNS não é de todo publicado.
  • O servidor não atinge a zona DNS do domínio do remetente para consulta. Esta é uma situação comum para os fornecedores de alojamento pobres.
  • O comprimento da chave DKIM é insuficiente uma vez que são suportadas chaves de 1024, e 2048 bits de comprimento. Quando o seu fornecedor de alojamento de webmail assina e-mails com um comprimento de chave DKIM menor, ocorre um erro de assinatura DKIM inválido.
  • Foram feitas algumas modificações à mensagem durante o reencaminhamento automático. 

Todos os casos, excepto o último, são questões técnicas que podem ser resolvidas por um perito. No entanto, não é realista evitar o último, pois não se pode controlar os destinatários para deixar de anexar rodapés de conformidade. Então, o que pode acontecer quando estas mensagens auto-encaminhadas falham tanto no SPF como no DKIM por ter definido a política DMARC para "rejeitar"?

Anteriormente, era bastante desafiante para os servidores receptores gerir tais e-mails não autenticados mas legítimos. Mas hoje em dia, todos os principais fornecedores de serviços de correio electrónico ou ESPs utilizam Cadeia de Recebimento Autenticada ou protocolo ARC.

Este protocolo permite aos servidores de correio identificar o servidor de correio que o geriu anteriormente. Isto permite-lhes conhecer os passos de avaliação da autenticação. 

Assinatura Geral DKIM não é válida Erros e Correcções

Apesar do alinhamento dos registos DKIM, é possível ver um erro de assinatura do DKIM inválido. Vejamos quais são as causas possíveis para "a assinatura DKIM não é válida" e como corrigi-las. 

1. Entrada DNS incorrecta

Depois de ter criado o registo DKIM TXT e de o ter adicionado ao ficheiro de configuração DNS, pode ver a assinatura DKIM não válida no cPanel. Isto pode ser resolvido seguindo estes passos:

  • Login no cPanel.
  • Clique Editor Avançado de Zona DNS opção em Domínios.
  • Seleccione o domínio a partir da lista.
  • Ir para Editar Registos DNS e verificar o registo do TXT.
  • Introduzir o valor correcto para o registo DKIM.
  • Guardar o ficheiro. Pode ver as alterações. 

2. Atraso de Propagação DNS

É possível ver erros apesar de alterar as definições no ficheiro de configuração DNS. Isto ocorre tipicamente porque demora até 24 a 48 horas para propagação do DNS depois de se efectuarem alterações nas definições do DNS. Isto varia em função do valor TTL mencionado no registo DNS.

Em tais cenários, sugere-se esperar 3 a 4 dias para que o DNS se propague totalmente. Entretanto, é possível verificar o estado de propagação do DNS do domínio utilizando ferramentas de propagação do DNS ou analisadores. 

Porque Vê DKIM=Neutro (DKIM Permfail "Body Hash Did Not Verify")?

Se vir uma assinatura DKIM como "body hash not verified" significa simplesmente que o hash calculado do e-mail não está de acordo com o valor acrescentado do hash corporal na etiqueta "bh=". Muitos servidores de correio electrónico empresarial mudam o texto em linha para o fundo das mensagens de correio electrónico recebidas antes de os componentes serem decompostos. Isto leva a um hash de corpo inválido que eventualmente causa uma verificação DMARC falhada.

Nessas situações, as fontes falham as verificações DMARC porque um hacker tem vindo a enviar e-mails maliciosos utilizando o seu domínio. Assim, deve examinar minuciosamente todas as fontes vistas na secção falhada para as identificar como válidas ou maliciosas. Se uma fonte genuína tiver desembarcado na secção falhada, crie e alinhe SPF e DKIM adequadamente. 

Algumas das razões possíveis para ver DKIM= neutro (o hash corporal não verificou) são

  • Um reencaminhador, um hospedeiro inteligente, ou outro agente de filtragem alterou o conteúdo do correio electrónico.
  • O signatário calculou mal o valor da assinatura.
  • Um actor malicioso falsificou o e-mail e assinou-o sem ter a chave privada correcta.
  • A chave pública especificada no cabeçalho do DKIM-Signature não está correcta.
  • A chave pública publicada pelo remetente no seu DNS não está correcta.

Como se pode investigar a Fonte?

  • Verifique se a fonte pertence ao parceiro da sua empresa.
  • Pesquisa sobre a fonte na Internet.
  • Verificar se aparece nos sites da lista negra da RBL.
  • Examinar os relatórios forenses DMARC para ver os tipos de e-mails enviados pela fonte.
  • Procurar os documentos para configurar correctamente o DMARC se a fonte for válida.
  • Contactar a fonte.

O DKIM filtra e-mail?

O DKIM não filtra o correio electrónico, mas os detalhes por ele partilhados ajudam os filtros utilizados pelo domínio do destinatário. Assim, se um e-mail provém de um domínio de confiança e passa nas verificações DKIM, a sua pontuação de spam poderia ter sido reduzida. Se falhar a verificação DKIM, é marcado como spam ou pode ser colocado em quarentena ou ter uma etiqueta de spam adicionada à linha de assunto. 

Portanto, os proprietários de domínios não podem controlar o que está incluído no relatório de falhas DMARC porque isso está nas mãos dos utilizadores.

Corrigi a assinatura DKIM não é um erro válido, o que se segue? 

Os próximos passos que pode seguir para reforçar a sua conformidade com o DKIM são: 

  1. Navegar a Analisador DKIM para monitorizar os seus resultados de autenticação DKIM
  2. Habilitar SPF e DMARC
  3. Rode as suas chaves DKIM periodicamente 

Ainda não consigo corrigir o erro

Se o erro não válido da assinatura DKIM ainda persistir, contacte o seu fornecedor de serviços de correio electrónico para orientação, ou contacte-nos para aconselhamento especializado em tudo o que diz respeito à autenticação de correio electrónico!

A assinatura dkim não é válida

Últimos posts de Ahona Rudra (ver todos)
/por
A Comissão Europeia recomenda DMARC para Segurança da Comunicação por Correio ElectrónicoA Comissão Europeia recomenda o DMARC para a segurança das comunicações por correio electrónico 1O que é spam no correio electrónico e como o impedirO que é o e-mail Spam e como pará-lo?