如何修复 "DKIM签名无效 "的错误?
一旦你熟悉了什么是 DKIM时,你就会很想知道当你的DKIM签名无效时该怎么做。这可能是由于DNS记录中的一个不正确的条目造成的。 记录不正确、DNS传播延迟,或其他原因。本博客将只关注这些。
为什么你的DKIM签名是无效的
DKIM签名是一个添加到电子邮件中的头,以便收件人的邮件服务器能够通过检查发件人的DKIM密钥来验证电子邮件。这个过程是基于密码学的在线安全。存在错误的DKIM记录或丢失的DKIM头域会导致DKIM签名无效的错误。
什么时候DKIM检查失败?
当DKIM认证检查失败时,你会看到 "你的DKIM签名无效 "的消息。以下是造成这种失败的常见原因。
- DKIM签名域和发件人域不一致。
- 在DNS中公布的DKIM公钥记录是不对的。
- 在DNS中公布的DKIM公钥记录根本就没有公布。
- 服务器无法到达发件人的域名DNS区域进行查询。这是不良主机供应商的常见情况。
- DKIM密钥的长度不够为1024,支持2048位长的密钥。当你的网络邮件托管服务商用较小的DKIM密钥长度签署邮件时,会出现无效的DKIM签名错误。
- 在自动转发过程中,对信息进行了一些修改。
所有的情况,除了最后一种,都是技术问题,可以由专家来解决。然而,要避免最后一种情况是不现实的,因为你无法控制收件人停止添加合规的页脚。那么,当这些自动转发的邮件因为你把DMARC策略设置为 "拒绝 "而导致SPF和DKIM都失败时,可能会发生什么?
早些时候,对于收件人服务器来说,管理这种未经认证但合法的电子邮件是相当具有挑战性的。但现在,所有主要的电子邮件服务提供商或ESP都使用了 认证的接收链或ARC协议。
这个协议让邮件服务器识别之前管理它的邮件服务器。这让他们知道认证评估的步骤。
一般DKIM签名无效的错误和修复方法
尽管对准了DKIM记录,你可以看到无效的DKIM签名错误。让我们看看 "DKIM签名无效 "的可能原因是什么,以及如何解决这些问题。
1.不正确的DNS条目
在你创建了DKIM TXT记录并将其添加到DNS配置文件后,你可以在cPanel中看到DKIM签名无效的错误。这可以通过以下步骤解决。
- 登录到cPanel。
- 点击 高级DNS区域编辑域名下的选项。
- 从列表中选择域。
- 转到 编辑DNS记录并检查TXT记录。
- 输入DKIM记录的正确值。
- 保存该文件。你可以看到这些变化。
2.DNS传播延时
尽管改变了DNS配置文件中的设置,你仍然可以看到错误。这通常是因为在你改变DNS设置后,DNS传播需要24至48小时。这取决于DNS记录中提到的TTL值。
在这种情况下,建议等待3到4天,以便DNS完全传播。同时,你可以使用DNS传播工具或分析器检查域名的DNS传播状态。
为什么你看到DKIM=Neutral(DKIM Permfail "Body Hash Did Not Verify")?
如果你看到一个DKIM签名的状态为 "正文哈希值未验证",这只是意味着电子邮件的计算哈希值与 "bh="标签中添加的正文哈希值不一致。许多商业电子邮件服务器在组件被分解之前就把内联文本改到了传入电子邮件的底部。这导致了无效的正文哈希值,最终导致DMARC检查失败。
在这种情况下,来源未能通过DMARC检查是因为有黑客利用你的域名发送恶意的电子邮件。因此,你应该彻底检查在失败部分看到的所有来源,以确定它们是有效还是恶意的。如果一个真正的来源出现在失败部分,请正确地设置和调整SPF和DKIM。
你看到DKIM=中性(主体哈希值没有验证)的一些可能原因是。
- 一个转发者、一个智能主机或另一个过滤代理修正了电子邮件内容。
- 签名者计算错误的签名值。
- 一个恶意的行为者欺骗了电子邮件,并在没有正确的私钥的情况下签署了它。
- DKIM-Signature头中指定的公钥不正确。
- 发件人在其DNS中公布的公钥并不正确。
你如何调查来源?
- 检查该来源是否属于你公司的合作伙伴。
- 在互联网上搜索有关来源。
- 检查它是否出现在RBL黑名单网站上。
- 检查DMARC取证报告,查看源头发送的邮件类型。
- 搜索文件,以正确设置DMARC,如果来源是有效的。
- 联系消息来源。
DKIM是否过滤电子邮件?
DKIM并不过滤电子邮件,但它所分享的细节有助于接收者的域名所使用的过滤器。因此,如果一封邮件来自一个受信任的域并通过了DKIM检查,它的垃圾邮件分数可能已经降低。如果它没有通过DKIM检查,它就会被标记为垃圾邮件,或者被隔离,或者在主题行上添加一个垃圾邮件标签。
因此,域名所有者不能控制DMARC失败报告中包括的内容,因为那是在用户手中。
我已经修复了DKIM签名无效的错误,接下来怎么办?
接下来你可以采取的加强你的DKIM合规性的步骤是。
- 浏览一个 DKIM分析器来监控你的DKIM认证结果
- 启用SPF和DMARC
- 定期轮换你的DKIM密钥
我还是不能解决这个错误
如果DKIM签名无效的错误仍然存在,请与您的电子邮件服务提供商联系以获得指导,或 联系我们以获得关于所有电子邮件认证的专家建议
- 如何计划从DMARC无到DMARC拒绝的平稳过渡?- 2023年5月26日
- 如何检查你的域名的健康状况?- 2023年5月26日
- 微软为什么要拥抱BIMI?- 2023年5月25日