Se recebeu o erro "A assinatura DKIM não é válida", existem problemas com a sua configuração DKIM e tem de os corrigir já! Os erros de assinatura DKIM inválida podem ocorrer devido a:
- Um registo DKIM registo DNS entrada
- Atrasos na propagação do DNS
- Erros encontrados durante a avaliação da assinatura DKIM
- Eventuais alterações efectuadas em mensagens de correio eletrónico ou outros motivos.
Este blogue centrar-se-á em algumas razões comuns para o erro "A assinatura DKIM não é válida" e em algumas recomendações para voltar a pôr as coisas em ordem!
Takeaways de chaves
- O erro "A assinatura DKIM não é válida" ocorre devido a registos DNS incorrectos, atrasos na propagação de DNS ou alterações de mensagens.
- Certifique-se de que as entradas DNS DKIM estão corretamente configuradas e resolva os erros utilizando as ferramentas de pesquisa DKIM.
- Os atrasos na propagação do DNS podem demorar 24-48 horas; aguarde pela propagação completa antes de voltar a verificar.
- Um erro de assinatura DKIM pode também resultar de uma incompatibilidade entre o domínio do remetente e o domínio da assinatura DKIM.
- O reencaminhamento automático e as modificações de correio eletrónico podem perturbar a autenticação DKIM, mas podem ser atenuados com o protocolo ARC.
- Monitorize regularmente a conformidade com DKIM, rode as chaves periodicamente e active SPF e DMARC para proteção adicional.
Sobre as assinaturas DKIM
DKIM ou Domain Keys Identified Mail (Correio Identificado com Chaves de Domínio) é um protocolo de autenticação de correio eletrónico. O DKIM ajuda a manter a legitimidade das mensagens de correio eletrónico, garantindo que não são feitas alterações durante a transferência. Isto impede que os agentes de ameaças e os atacantes man-in-the-middle alterem o conteúdo do correio eletrónico.
A assinatura DKIM é um cabeçalho adicionado às mensagens de correio eletrónico para que o servidor de correio do destinatário possa autenticar as mensagens verificando a chave DKIM do remetente. Este processo baseia-se em criptografia baseada segurança online baseada em criptografia.
Algumas etiquetas comuns num cabeçalho de assinatura DKIM são as seguintes:
- v (Versão): Especifica a versão DKIM que está a ser utilizada. Por exemplo, "v=DKIM1" indica a versão 1 do DKIM.
- a (Algoritmo): Indica o algoritmo criptográfico utilizado para gerar a assinatura. Os algoritmos comuns incluem rsa-sha256 e rsa-sha1. Por exemplo, "a=rsa-sha256".
- d (Domínio): Especifica o domínio que possui a chave DKIM utilizada para gerar a assinatura. Por exemplo, "d=example.com".
- s (Seletor): Indica o seletor de chave DKIM específico utilizado para localizar a chave pública DKIM no registo DNS. Por exemplo, "s=dkim2024".
- h (Cabeçalhos assinados): Lista os cabeçalhos que foram incluídos no cálculo da assinatura DKIM. Isso garante que qualquer alteração nesses cabeçalhos causará falha na verificação da assinatura. Por exemplo, "h=From:To:Subject:Date".
- b (Assinatura): Contém a assinatura criptográfica real gerada para a mensagem de correio eletrónico completa. Por exemplo, "b=AbCdEfGhIjKlMnOp...".
A presença de um registo DKIM incorreto ou de campos de cabeçalho DKIM em falta pode resultar no erro A assinatura DKIM não é válida.
Quando é que o DKIM pode falhar com o erro "A sua assinatura DKIM não é válida"?
Verá a mensagem 'A sua assinatura DKIM não é válida' quando a verificação da autenticação DKIM falhar. Aqui estão as razões comuns para esta falha:
- DKIM domínio de assinatura e domínio de remetente não alinham.
- O registo de chave pública DKIM publicado no DNS não é correcto.
- O registo de chave pública DKIM publicado no DNS não é de todo publicado.
- O servidor não atinge a zona DNS do domínio do remetente para consulta. Esta é uma situação comum para os fornecedores de alojamento pobres.
- O comprimento da chave DKIM é insuficiente uma vez que são suportadas chaves de 1024, e 2048 bits de comprimento. Quando o seu fornecedor de alojamento de webmail assina e-mails com um comprimento de chave DKIM menor, ocorre um erro de assinatura DKIM inválido.
- Foram feitas algumas modificações à mensagem durante o reencaminhamento automático.
Todos os casos, exceto o último, são questões técnicas que podem ser resolvidas por um especialista. No entanto, não é realista evitar o último caso, uma vez que não é possível controlar os destinatários para que deixem de acrescentar rodapés de conformidade. Assim, o que pode acontecer quando estas mensagens reencaminhadas automaticamente falham tanto no SPF como no DKIM e definiu a política DMARC para "rejeitar"?
Anteriormente, era bastante desafiante para os servidores receptores gerir tais e-mails não autenticados mas legítimos. Mas hoje em dia, todos os principais fornecedores de serviços de correio electrónico ou ESPs utilizam Cadeia de Recebimento Autenticada ou protocolo ARC.
Este protocolo permite aos servidores de correio identificar o servidor de correio que o geriu anteriormente. Isto permite-lhes conhecer os passos de avaliação da autenticação.
Como corrigir o erro "A assinatura DKIM não é válida"?
Apesar do alinhamento dos registos DKIM, é possível ver um erro de assinatura do DKIM inválido. Vejamos quais são as causas possíveis para "a assinatura DKIM não é válida" e como corrigi-las.
1. Resolução de problemas de entradas DNS DKIM incorrectas
Depois de ter criado o registo DKIM TXT e de o ter adicionado ao ficheiro de configuração do DNS, se se deparar com o erro "A assinatura DKIM não é válida", este pode ser resolvido seguindo estes passos:
Passos para encontrar erros no seu registo DKIM
- Inscreva-se no PowerDMARC e navegue até a Pesquisa DKIM na Caixa de ferramentas do Power.
- Introduza o seu nome de domínio e o seletor (ou deixe em branco para que a nossa plataforma detecte automaticamente o seu seletor). Clique no botão Lookup.
- A nossa ferramenta analisará a sua entrada DNS DKIM e destacará os erros na sintaxe do seu registo.
Corrigir os erros no seu DNS
- Inicie sessão no cPanel ou em qualquer consola de gestão de DNS que utilize.
- Clique Editor Avançado de Zona DNS opção em Domínios.
- Seleccione o domínio a partir da lista.
- Aceder a Editar registos DNS.
- Introduza o valor correto para o registo DKIM, editando o valor atual.
- Clique em Guardar.
2. Aguardar os atrasos de propagação do DNS
Podem ocorrer erros apesar de alterar as definições no ficheiro de configuração do DNS. Isto ocorre normalmente porque a propagação do DNS demora até 24 a 48 horas depois de efetuar alterações nas definições de DNS. Isto varia consoante o valor TTL mencionado no registo DNS.
Em tais cenários, sugere-se esperar 3 a 4 dias para que o DNS se propague totalmente. Entretanto, é possível verificar o estado de propagação do DNS do domínio utilizando ferramentas de propagação do DNS ou analisadores.
Porque é que aparece a mensagem "DKIM-Signature Body Hash Not Verified"?
Se vir o estado de uma assinatura DKIM como "hash do corpo da assinatura DKIM não verificado", isso significa simplesmente que o hash calculado do correio eletrónico não está de acordo com o valor do hash do corpo adicionado na etiqueta "bh=".
Muitos servidores de correio eletrónico empresarial alteram o texto em linha para o fundo das mensagens de correio eletrónico recebidas antes de os componentes serem decompostos. Isto leva a um hash de corpo inválido, accionando o erro de hash de corpo de assinatura DKIM não verificado. Isto acaba por causar uma falha no DKIM e, subsequentemente, uma falha no DMARC falhado.
Em algumas situações, as fontes podem falhar as verificações DKIM e DMARC porque um hacker adulterou o conteúdo do seu correio eletrónico. Isto também pode levar ao erro de hash do corpo da assinatura DKIM não verificado.
Algumas das razões possíveis para ver DKIM= neutro (o hash corporal não verificou) são
- Um reencaminhador, um anfitrião inteligente ou outro agente de filtragem altera o conteúdo do correio eletrónico.
- O signatário calculou mal o valor da assinatura.
- Um actor malicioso falsificou o e-mail e assinou-o sem ter a chave privada correcta.
- A chave pública especificada no cabeçalho do DKIM-Signature não está correcta.
- A chave pública publicada pelo remetente no seu DNS não está correcta.
Estas são algumas razões comuns que podem levar ao erro DKIM-signature body hash not verified.
Como se pode investigar a Fonte?
Quando se depara com o erro DKIM-signature body hash not verified, pode ser útil investigar a fonte do correio eletrónico.
- Verifique se a fonte pertence a uma lista autorizada de fontes de envio para o seu domínio.
- Procurar a fonte na Internet.
- Verificar se aparece na RBL lista negra sites.
- Examinar os relatórios forenses DMARC para ver os tipos de e-mails enviados pela fonte.
- Procurar os documentos para configurar corretamente o DMARC corretamente se a fonte for válida.
- Contactar a fonte.
O DKIM filtra e-mail?
O DKIM não filtra o correio eletrónico, mas os detalhes por ele partilhados ajudam os filtros utilizados pelo domínio do destinatário. Assim, se uma mensagem de correio eletrónico for proveniente de um domínio de confiança e passar nas verificações DKIM, a sua pontuação de spam pode ser reduzida. Se falhar a verificação DKIM, é marcado como spam ou pode ser colocado em quarentena ou ter uma etiqueta de spam adicionada à linha de assunto.
Corrigi o erro "A assinatura DKIM não é válida", e agora?
Os próximos passos que pode seguir para reforçar a sua conformidade com o DKIM são:
- Subscrever um analisador DKIM para monitorizar os seus resultados de autenticação DKIM
- Ativar SPF e DMARC para segurança adicional e avaliações precisas
- Rodar as suas chaves DKIM periodicamente proteção melhorada
Ainda não consigo corrigir o erro
Se o erro não válido da assinatura DKIM ainda persistir, contacte o seu fornecedor de serviços de correio electrónico para orientação, ou contacte-nos para aconselhamento especializado em tudo o que diz respeito à autenticação de correio electrónico!
- Como corrigir 550 SPF Check Failed? [SOLVIDO] - janeiro 7, 2025
- Vulnerabilidades do DNS: As 5 principais ameaças e estratégias de mitigação - 1 de janeiro de 2025
- Como corrigir o erro "A assinatura DKIM não é válida"? - 24 de dezembro de 2024