Если вы получили ошибку "DKIM-подпись недействительна", значит, в вашей конфигурации DKIM есть проблемы, и вам нужно срочно их исправить! Ошибки недействительной подписи DKIM могут возникать по следующим причинам:

Неправильная DKIM запись DNS запись
Задержки при распространении DNS
Ошибки, обнаруженные при оценке подписи DKIM
Возможные изменения, внесенные в сообщения электронной почты, или другие причины.

В этом блоге мы рассмотрим некоторые распространенные причины ошибки "DKIM-подпись не действительна" и дадим несколько рекомендаций, которые помогут вам вернуться к нормальной работе!

Ключевые выводы

Ошибка "DKIM-подпись не действительна" может возникнуть из-за неправильных записей DNS, задержки распространения или изменения сообщения.
Для диагностики потенциальных проблем необходимо проверять записи DKIM DNS с помощью инструментов поиска DKIM.
Задержки в распространении DNS могут длиться 24-48 часов, поэтому после внесения изменений в настройки DNS необходимо набраться терпения.
Несоответствие между доменом отправителя и доменом подписи DKIM может привести к ошибке подписи DKIM.
Решение проблем с автопереадресацией может улучшить проверку подлинности DKIM, а использование протокола ARC поможет смягчить последствия сбоев.

О подписях DKIM

DKIM или Domain Keys Identified Mail - это протокол аутентификации электронной почты. DKIM помогает поддерживать легитимность сообщений электронной почты, гарантируя отсутствие изменений при передаче. Это не позволяет злоумышленникам изменять содержимое электронных сообщений.

A DKIM-подпись это заголовок, добавляемый к сообщениям электронной почты, чтобы почтовый сервер получателя мог проверить подлинность писем, проверив DKIM-ключ отправителя. Этот процесс основан на криптографии . онлайн-безопасности.

Ниже приведены некоторые общие теги в заголовке подписи DKIM:

v (Версия): Указывает используемую версию DKIM. Например, "v=DKIM1" означает DKIM версии 1.
a (Алгоритм): Указывает криптографический алгоритм, используемый для создания подписи. К распространенным алгоритмам относятся rsa-sha256 и rsa-sha1. Например, "a=rsa-sha256".
d (Domain): Указывает домен, которому принадлежит ключ DKIM, используемый для генерации подписи. Например, "d=example.com".
s (Селектор): Указывает конкретный селектор ключа DKIM, используемый для нахождения открытого ключа DKIM в записи DNS. Например, "s=dkim2024".
h (Подписанные заголовки): Перечисляет заголовки, которые были включены в вычисление подписи DKIM. Это гарантирует, что любые изменения в этих заголовках приведут к сбою проверки подписи. Например, "h=From:To:Subject:Date".
b (Подпись): Содержит фактическую криптографическую подпись, созданную для всего сообщения электронной почты. Например, "b=AbCdEfGhIjKlMnOp...".

Наличие ошибочной записи DKIM или отсутствие полей заголовка DKIM может привести к ошибке DKIM signature is not valid.

Упростите DKIM с помощью PowerDMARC!

15-дн. пр. версия Заказать демо

В каких случаях DKIM может выдать ошибку "Ваша DKIM-подпись недействительна"?

Вы увидите сообщение 'Your DKIM signature is not valid', когда проверка подлинности DKIM не прошла. Вот распространенные причины этого сбоя:

Домен подписи DKIM и домен отправителя не совпадают.
Запись открытого ключа DKIM, опубликованная в DNS, неверна.
Запись открытого ключа DKIM, опубликованная в DNS, вообще не публикуется.
Серверу не удается достичь DNS-зоны домена отправителя для поиска. Это обычная ситуация для плохих хостинг-провайдеров.
Длина ключа DKIM недостаточна - 1024, поддерживаются ключи длиной 2048 бит. Когда хостинг-провайдер веб-почты подписывает электронные письма с меньшей длиной ключа DKIM, возникает ошибка недействительной подписи DKIM.
Во время автопересылки в сообщение были внесены некоторые изменения.

Все случаи, кроме последнего, являются техническими проблемами, которые могут быть решены специалистом. Однако избежать последнего случая нереально, поскольку вы не можете контролировать получателей, чтобы они перестали добавлять нижние колонтитулы в соответствии с требованиями. Итак, что может произойти, если сообщения с автоматической переадресацией не проходят проверку SPF и DKIM, а вы установили политику политика DMARC на 'reject'?

Ранее серверам получателей было довольно сложно обрабатывать такие неаутентифицированные, но легитимные электронные письма. Но в наши дни все крупные поставщики услуг электронной почты или ESP используют Аутентифицированная полученная цепочка или протокол ARC.

Этот протокол позволяет почтовым серверам идентифицировать почтовый сервер, который управлял им ранее. Это позволяет им узнать этапы оценки аутентификации.

Как исправить ошибку 'DKIM-подпись не действительна'?

Несмотря на выравнивание записей DKIM, вы можете увидеть ошибку "Подпись DKIM недействительна". Давайте посмотрим, каковы возможные причины ошибки "Подпись DKIM недействительна" и как их устранить.

1. Устранение неполадок с неправильными DNS-записями DKIM

После того как вы создали DKIM TXT-запись и добавили ее в файл конфигурации DNS, если вы столкнулись с ошибкой "DKIM-подпись не действительна", ее можно устранить, выполнив следующие действия:

Шаги по поиску ошибок в записи DKIM

Зарегистрируйтесь В PowerDMARC и перейдите к разделу поиск DKIM в панели инструментов Power Toolbox.
Введите доменное имя и селектор (или оставьте пустым, чтобы наша платформа автоматически определила ваш селектор). Нажмите на кнопку "Поиск".
Наш инструмент проанализирует вашу DNS-запись DKIM и выделит ошибки в синтаксисе записи.

Исправление ошибок в DNS

Войдите в cPanel или любую другую используемую вами консоль управления DNS.
Нажмите Расширенный редактор зон DNS в разделе Домены.
Выберите домен из списка.
Перейдите в раздел Редактировать записи DNS.
Введите правильное значение для записи DKIM, отредактировав текущее значение.
Нажмите кнопку Сохранить.

2. Подождите задержки распространения DNS

Вы можете видеть ошибки, несмотря на изменение настроек в файле конфигурации DNS. Обычно это происходит потому, что после внесения изменений в настройки DNS на их распространение уходит от 24 до 48 часов. Это зависит от значения TTL, указанного в записи DNS.

В таких случаях рекомендуется подождать 3-4 дня, чтобы DNS распространился полностью. Тем временем вы можете проверить статус распространения DNS для домена с помощью инструментов распространения DNS или анализаторов.

Почему вы видите сообщение "DKIM-Signature Body Hash Not Verified"?

Если вы видите статус DKIM-подписи как 'DKIM-signature body hash not verified', это означает, что вычисленный хэш письма не совпадает со значением хэша тела, добавленным в тег "bh=".

Многие серверы деловой электронной почты изменяют встроенный текст в нижней части входящих писем до того, как компоненты будут разбиты на части. Это приводит к недействительному хэшу тела, вызывая ошибку DKIM-signature body hash not verified. В конечном итоге это приводит к сбою DKIM и, как следствие, к сбою DMARC проверка.

В некоторых ситуациях источники могут не пройти проверку DKIM и DMARC, потому что хакер подделал содержимое вашего письма. Это также может привести к ошибке DKIM-signature body hash not verified.

Некоторые возможные причины, по которым вы видите DKIM= neutral (хэш тела не проверен), следующие:

Переадресатор, интеллектуальный хост или другой фильтрующий агент корректирует содержимое электронной почты.
Подписывающее лицо неправильно рассчитало значение подписи.
Вредоносный агент подделал электронное письмо и подписал его, не имея правильного закрытого ключа.
Открытый ключ, указанный в заголовке DKIM-Signature, неверен.
Открытый ключ, опубликованный отправителем в его DNS, не соответствует действительности.

Вот некоторые распространенные причины, которые могут привести к ошибке DKIM-signature body hash not verified.

Как вы можете исследовать источник?

Если вы столкнулись с ошибкой DKIM-signature body hash not verified, может быть полезно проверить источник электронной почты.

Проверьте, входит ли источник в список авторизованных источников отправки для вашего домена.
Найдите источник в Интернете.
Проверьте, не появился ли он в RBL черный список веб-сайты.
Изучите отчеты судебной экспертизы DMARC, чтобы увидеть типы электронных писем, отправленных источником.
Поиск документов для настройка DMARC правильно, если источник является действительным.
Свяжитесь с источником.

Фильтрует ли DKIM электронную почту?

DKIM не фильтрует почту, но данные, передаваемые им, помогают фильтрам, используемым доменом получателя. Таким образом, если письмо приходит с доверенного домена и проходит проверку DKIM, его оценка за спам может быть снижена. Если письмо не проходит проверку DKIM, оно помечается как спам, может быть помещено в карантин или в строку темы добавлен тег "спам".

Я исправил ошибку "DKIM-подпись не действительна", что дальше?

Следующие шаги, которые вы можете предпринять для повышения соответствия DKIM, - это:

Подписаться на DKIM-анализатор чтобы отслеживать результаты проверки подлинности DKIM
Включите SPF и DMARC для дополнительной безопасности и точных оценок
Периодически чередуйте ключи DKIM для усиления защиты

Я все еще не могу исправить ошибку

Если ошибка DKIM signature not valid все еще сохраняется, обратитесь за консультацией к поставщику услуг электронной почты или свяжитесь с нами для получения экспертной консультации по всем вопросам аутентификации электронной почты!

О сайте
Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.
Выравнивание SPF: Что это такое и зачем вам это нужно? - 26 февраля 2025 г.
DMARC против DKIM: ключевые различия и их совместная работа - 16 февраля 2025 г.

Как исправить ошибку "DKIM Signature is Not Valid"?