Как исправить ошибку "DKIM Signature is Not Valid"?

Как только вы узнаете, что такое DKIMвам будет интересно узнать, что делать, если ваша DKIM-подпись недействительна. Это может произойти из-за неправильной записи в запись DNS, задержки распространения DNS или по другим причинам. Этот блог будет посвящен только этим причинам.

Почему ваша DKIM-подпись не действительна

DKIM-подпись это заголовок, добавляемый к сообщениям электронной почты, чтобы почтовый сервер получателя мог проверить подлинность писем, проверив DKIM-ключ отправителя. Этот процесс основан на криптографической онлайн-безопасности. Наличие ошибочной записи DKIM или отсутствие полей заголовка DKIM может привести к ошибке DKIM signature is not valid.

Когда DKIM не проходит проверку?

Вы увидите сообщение 'Your DKIM signature is not valid', когда проверка подлинности DKIM не прошла. Вот распространенные причины этого сбоя:

• Домен подписи DKIM и домен отправителя не совпадают.
• Запись открытого ключа DKIM, опубликованная в DNS, неверна.
• Запись открытого ключа DKIM, опубликованная в DNS, вообще не публикуется.
• Серверу не удается достичь DNS-зоны домена отправителя для поиска. Это обычная ситуация для плохих хостинг-провайдеров.
• Длина ключа DKIM недостаточна - 1024, поддерживаются ключи длиной 2048 бит. Когда хостинг-провайдер веб-почты подписывает электронные письма с меньшей длиной ключа DKIM, возникает ошибка недействительной подписи DKIM.
• Во время автопересылки в сообщение были внесены некоторые изменения. 

Все случаи, кроме последнего, являются техническими проблемами, которые могут быть решены специалистом. Однако избежать последнего случая нереально, поскольку вы не можете контролировать получателей, чтобы они перестали добавлять колонтитулы, соответствующие требованиям. Итак, что же может произойти, если сообщения с автоматической переадресацией не проходят проверку SPF и DKIM, поскольку в политике DMARC установлено значение 'reject'?

Ранее серверам получателей было довольно сложно обрабатывать такие неаутентифицированные, но легитимные электронные письма. Но в наши дни все крупные поставщики услуг электронной почты или ESP используют Аутентифицированная полученная цепочка или протокол ARC.

Этот протокол позволяет почтовым серверам идентифицировать почтовый сервер, который управлял им ранее. Это позволяет им узнать этапы оценки аутентификации. 

Общая подпись DKIM не действительна Ошибки и исправления

Несмотря на выравнивание записей DKIM, вы можете увидеть ошибку "Подпись DKIM недействительна". Давайте посмотрим, каковы возможные причины ошибки "Подпись DKIM недействительна" и как их устранить. 

1. Неправильный ввод DNS

После создания DKIM TXT записи и добавления ее в файл конфигурации DNS, вы можете увидеть ошибку DKIM signature not valid In cPanel. Эту проблему можно решить, выполнив следующие действия:

• Войдите в cPanel.
• Нажмите Расширенный редактор зон DNS в разделе Домены.
• Выберите домен из списка.
• Перейти к Редактировать записи DNS и проверьте запись TXT.
• Введите правильное значение для записи DKIM.
• Сохраните файл. Вы можете увидеть изменения. 

2. Задержка распространения DNS

Вы можете видеть ошибки, несмотря на изменение настроек в файле конфигурации DNS. Обычно это происходит потому, что после внесения изменений в настройки DNS для распространения DNS требуется от 24 до 48 часов. Это зависит от значения TTL, указанного в записи DNS.

В таких случаях рекомендуется подождать 3-4 дня, чтобы DNS распространился полностью. Тем временем вы можете проверить статус распространения DNS для домена с помощью инструментов распространения DNS или анализаторов. 

Почему вы видите DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?

Если вы видите в подписи DKIM статус "хэш тела не проверен", это означает, что рассчитанный хэш письма не совпадает со значением хэша тела, добавленным в тег "bh=". Многие серверы деловой электронной почты изменяют встроенный текст в нижней части входящих писем до того, как компоненты будут разбиты на части. Это приводит к некорректному хэшу тела, что в конечном итоге вызывает неудачную проверку DMARC.

В таких ситуациях источники не проходят проверку DMARC, потому что хакер отправляет вредоносные письма, используя ваш домен. Таким образом, вы должны тщательно изучить все источники, попавшие в раздел неудач, чтобы определить, являются ли они действительными или вредоносными. Если подлинный источник попал в раздел неудач, настройте и выровняйте SPF и DKIM должным образом. 

Некоторые возможные причины, по которым вы видите DKIM= neutral (хэш тела не проверен), следующие:

• Переадресатор, смарт-хост или другой агент фильтрации вносит изменения в содержимое электронной почты.
• Подписывающее лицо неправильно рассчитало значение подписи.
• Вредоносный агент подделал электронное письмо и подписал его, не имея правильного закрытого ключа.
• Открытый ключ, указанный в заголовке DKIM-Signature, неверен.
• Открытый ключ, опубликованный отправителем в его DNS, не соответствует действительности.

Как вы можете исследовать источник?

• Проверьте, принадлежит ли источник партнеру вашей компании.
• Поищите информацию об источнике в Интернете.
• Проверьте, есть ли он в черном списке RBL.
• Изучите отчеты судебной экспертизы DMARC, чтобы увидеть типы электронных писем, отправленных источником.
• Поиск документов для корректной настройки DMARC, если источник является действительным.
• Свяжитесь с источником.

Фильтрует ли DKIM электронную почту?

DKIM не фильтрует электронную почту, но передаваемые им данные помогают фильтрам, используемым доменом получателя. Таким образом, если письмо приходит из доверенного домена и проходит проверку DKIM, его оценка за спам может быть снижена. Если письмо не проходит проверку DKIM, оно помечается как спам, может быть помещено в карантин или в строку темы добавляется тег спама. 

Таким образом, владельцы доменов не могут контролировать то, что включается в отчет об отказе DMARC, поскольку это находится в руках пользователей.

Я исправил ошибку DKIM signature is not valid, что дальше? 

Следующие шаги, которые вы можете предпринять для повышения соответствия DKIM: 

1. Перейдите к DKIM-анализатор для мониторинга результатов проверки подлинности DKIM
2. Включить SPF и DMARC
3. Периодически меняйте ключи DKIM 

Я все еще не могу исправить ошибку

Если ошибка DKIM signature not valid все еще сохраняется, обратитесь за консультацией к поставщику услуг электронной почты или свяжитесь с нами для получения экспертной консультации по всем вопросам аутентификации электронной почты!

• О сайте
• Последние сообщения

Юнес Тарада

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
• ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.
• SubdoMailing и рост фишинга на субдоменах - 18 марта 2024 г.