Hur åtgärdar du felet "DKIM-signaturen är inte giltig"?
När du väl är bekant med vad som är DKIMär du intresserad av att veta vad du ska göra när din DKIM-signatur inte är giltig. Detta kan ske på grund av en felaktig post i DNS-post, en fördröjning i DNS eller andra orsaker. Den här bloggen kommer endast att fokusera på dessa.
Varför din DKIM-signatur inte är giltig
DKIM-signatur är en rubrik som läggs till i e-postmeddelanden så att mottagarens e-postserver kan autentisera e-postmeddelandena genom att kontrollera avsändarens DKIM-nyckel. Denna process bygger på kryptografibaserad onlinesäkerhet. Förekomsten av en felaktig DKIM-post eller saknade DKIM-huvudfält kan resultera i felet DKIM-signaturen är inte giltig.
När misslyckas DKIM med kontrollen?
Meddelandet "Din DKIM-signatur är inte giltig" visas när kontrollen av DKIM-autentisering misslyckas. Här är de vanligaste orsakerna till detta misslyckande:
- DKIM-signaturdomän och avsändardomän överensstämmer inte.
- Den offentliga DKIM-nyckelpost som publiceras i DNS är inte korrekt.
- Den offentliga DKIM-nyckelpost som publiceras i DNS publiceras inte alls.
- Servern lyckas inte nå avsändarens domän DNS-zon för sökning. Detta är en vanlig situation för dåliga webbhotell.
- DKIM-nyckelns längd är otillräcklig som 1024 och 2048-bitars långa nycklar stöds. När din webmailhostingleverantör signerar e-postmeddelanden med en mindre DKIM-nyckellängd uppstår ett fel med ogiltig DKIM-signatur.
- Vissa ändringar har gjorts i meddelandet under den automatiska vidarebefordringen.
Alla fall, utom det sista, är tekniska frågor som kan lösas av en expert. Det är dock inte realistiskt att undvika det sista fallet eftersom du inte kan kontrollera mottagarna så att de slutar att lägga till sidfötter för överensstämmelse. Vad kan då hända när dessa automatiskt vidarebefordrade meddelanden inte klarar både SPF och DKIM eftersom du har ställt in DMARC-policyn på "reject"?
Tidigare var det ganska svårt för mottagarservrarna att hantera sådana oautentiserade men legitima e-postmeddelanden. Men numera använder alla större e-postleverantörer eller ESP:er följande Autentiserad kedja för mottagna e-postmeddelanden eller ARC-protokollet.
Detta protokoll gör det möjligt för e-postservrar att identifiera den e-postserver som tidigare hanterade den. På så sätt kan de känna till stegen för bedömning av autentisering.
Allmän DKIM-signatur är inte giltig Fel och lösningar
Trots att DKIM-posterna är anpassade kan du se ett fel med ogiltig DKIM-signatur. Låt oss se vilka de möjliga orsakerna till "DKIM-signaturen är inte giltig" är och hur du åtgärdar dem.
1. Felaktig DNS-inmatning
När du har skapat DKIM TXT-posten och lagt till den i DNS-konfigurationsfilen kan du se felet DKIM-signatur ej giltig i cPanel. Detta kan lösas genom att följa de här stegen:
- Logga in på cPanel.
- Klicka på Avancerad redigering av DNS-zon under Domäner.
- Välj domänen i listan.
- Gå till Redigera DNS-poster och kontrollera TXT-posten.
- Ange rätt värde för DKIM-posten.
- Spara filen. Du kan se ändringarna.
2. Fördröjning av DNS-spridning
Du kan se fel trots att du ändrar inställningarna i DNS-konfigurationsfilen. Detta beror vanligtvis på att det tar upp till 24-48 timmar att sprida DNS efter att du har gjort ändringar i DNS-inställningarna. Detta varierar beroende på TTL-värdet som nämns i DNS-posten.
I sådana fall föreslås att du väntar i 3-4 dagar så att DNS sprids fullt ut. Under tiden kan du kontrollera domänens status för DNS-utbredning med hjälp av verktyg eller analysatorer för DNS-utbredning.
Varför ser du DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify")?
Om en DKIM-signatur har statusen "body hash not verified" betyder det helt enkelt att den beräknade hashen i e-postmeddelandet inte stämmer överens med det värde för body hash som läggs till i "bh="-taggen. Många e-postservrar för företag ändrar inline-text i botten av inkommande e-post innan komponenterna bryts ner. Detta leder till en ogiltig hash för kroppen, vilket i slutändan leder till en misslyckad DMARC-kontroll.
I sådana situationer misslyckas källorna med DMARC-kontroller eftersom en hackare har skickat skadlig e-post med hjälp av din domän. Du bör därför noggrant undersöka alla källor som visas i avsnittet som misslyckats för att identifiera dem som giltiga eller skadliga. Om en äkta källa har hamnat i den misslyckade sektionen ska du konfigurera och anpassa SPF och DKIM på rätt sätt.
Några möjliga orsaker till att du ser DKIM= neutral (body hash did not verify) är:
- En vidarebefordrare, en smart-host eller en annan filtreringsagent har ändrat e-postinnehållet.
- Undertecknaren har räknat fel på signaturvärdet.
- En illvillig aktör förfalskade e-postmeddelandet och signerade det utan att ha den rätta privata nyckeln.
- Den offentliga nyckel som anges i DKIM-Signature-huvudet är inte korrekt.
- Den offentliga nyckel som avsändaren publicerar i sin DNS är inte korrekt.
Hur kan du undersöka källan?
- Kontrollera om källan tillhör ditt företags partner.
- Sök efter källan på internet.
- Kontrollera om den finns på webbplatser med svart lista från RBL.
- Undersök de kriminaltekniska DMARC-rapporterna för att se vilka typer av e-postmeddelanden som källan har skickat.
- Sök efter dokument för att konfigurera DMARC korrekt om källan är giltig.
- Kontakta källan.
Filtrerar DKIM e-post?
DKIM filtrerar inte e-post, men de uppgifter som delas av DKIM hjälper filter som används av mottagarens domän. Om ett e-postmeddelande kommer från en betrodd domän och klarar DKIM-kontrollerna kan det alltså ha fått en lägre skräppostpoäng. Om DKIM-kontrollen misslyckas markeras det som skräppost eller kan sättas i karantän eller få en skräpposttagg i ämnesraden.
Domänägare kan alltså inte kontrollera vad som ingår i DMARC-rapporten om fel, eftersom användarna har hand om detta.
Jag har åtgärdat felet DKIM-signaturen är inte giltig, vad händer härnäst?
Nästa steg du kan ta för att stärka din DKIM-överensstämmelse är:
- Navigera till en DKIM-analysator för att övervaka dina DKIM-autentiseringsresultat
- Aktivera SPF och DMARC
- Rotera dina DKIM-nycklar regelbundet
Jag kan fortfarande inte åtgärda felet
Om felet DKIM-signaturen inte är giltig fortfarande kvarstår kan du kontakta din e-postleverantör för att få vägledning, eller kontakta oss för expertråd om allt som rör autentisering av e-post!
- Hur planerar man en smidig övergång från DMARC None till DMARC Reject? - 26 maj 2023
- Hur kontrollerar jag din domäns hälsa? - 26 maj 2023
- Varför ska Microsoft anamma BIMI? - 25 maj 2023