Defaults.Exposed › সমাধান › Guides
'DKIM স্বাক্ষর বৈধ নয়' — কারণগুলি, চেক করার ক্রমে (২০২৬)
প্রকাশিত 2026-07-08
2026-06-29 তারিখের তথ্য · পদ্ধতি v7। 261 মিলিয়ন গ্রেডকৃত ডোমেইন জুড়ে সমন্বিত জনগণনা তথ্য। দেখুন আমরা কীভাবে গ্রেড করি।
“DKIM স্বাক্ষর বৈধ নয়”-এর পাঁচটি সাধারণ কারণ আছে, চেক করার সেরা ক্রম: ট্রানজিটে পরিবর্তিত কন্টেন্ট, কাটা-ছাঁটা কী রেকর্ড, signer-এর সাথে না মেলা প্রকাশিত কী, ভুল selector, এবং ভঙ্গুর canonicalization। Defaults.Exposed জনগণনা অনুযায়ী 261,086,232 গ্রেডকৃত ডোমেইনের মাত্র 10,092,481 (3.87%) সম্পূর্ণ SPF + DKIM + enforcing-DMARC ত্রয়ী ধারণ করে (2026-06-29)।
সমাধানের ক্রম গুরুত্বপূর্ণ কারণ সবচেয়ে সাধারণ কারণ আপনার DNS-এ মোটেই নেই। প্রথমে পরীক্ষা করুন ট্রানজিটে বার্তা কী পরিবর্তন করেছে, তারপর ভেতরে কাজ করুন: কী রেকর্ডের অখণ্ডতা, আপনার মেইল সার্ভার আসলে যা দিয়ে স্বাক্ষর করছে তার সাথে মিলছে কিনা, selector এবং শেষে signing সেটিংস। বেশিরভাগ অবৈধ স্বাক্ষর পদক্ষেপ এক বা দুইতে ঠিক হয়।
“DKIM স্বাক্ষর বৈধ নয়” আসলে কী মানে?
প্রতিটি DKIM-স্বাক্ষরিত বার্তায় একটি DKIM-Signature হেডার থাকে যা একটি ডোমেইন (d=), একটি selector (s=), বার্তা বডির হ্যাশ (bh=), এবং বডি হ্যাশ এবং নির্বাচিত হেডারের উপর ক্রিপ্টোগ্রাফিক স্বাক্ষর (b=) নাম করে। রিসিভার <selector>._domainkey.<domain>-এ DNS থেকে আপনার পাবলিক কী আনে, উভয় হ্যাশ পুনরায় গণনা করে এবং স্বাক্ষর পরীক্ষা করে (RFC 6376)। “স্বাক্ষর বৈধ নয়” হল চেকার এবং হেডার-ভাষার: সেই যাচাই চলেছে এবং ব্যর্থ হয়েছে — কী পাওয়া গেছে, কিন্তু গণিত বের হয়নি।
পাঁচটি কারণ কী, ক্রমে?
| # | কারণ | চিহ্ন | সমাধান |
|---|---|---|---|
| ১ | ট্রানজিটে পরিবর্তিত কন্টেন্ট — গেটওয়ে ফুটার, আইনি দাবিত্যাগ, মেইলিং-লিস্ট বিষয় ট্যাগ | Authentication-Results-এ body hash did not verify; বাইরের মেইল ব্যর্থ, সরাসরি মেইল পাস | পরিবর্তনের পরে স্বাক্ষর করুন, বা পরিবর্তন বন্ধ করুন — দেখুন বডি-হ্যাশ গাইড |
| ২ | কাটা-ছাঁটা বা বিকৃত দীর্ঘ কী | প্রকাশিত p= আপনি যা তৈরি করেছেন তার চেয়ে স্পষ্টতই ছোট; প্রতিটি রিসিভার ব্যর্থ হয় | 2048-bit কী সঠিকভাবে বিভক্ত TXT স্ট্রিং হিসেবে পুনরায় প্রকাশ করুন |
| ৩ | প্রকাশিত কী signer-এর সাথে মেলে না | একটি রোটেশন, মাইগ্রেশন বা প্রদানকারী পরিবর্তনের পরে ব্যর্থতা শুরু হয় | আপনার প্রদানকারীর admin console থেকে বর্তমান রেকর্ড পুনরায় কপি করুন; CNAME delegation পছন্দ করুন |
| ৪ | ভুল বা অনুপস্থিত selector | no key for signature — লুকআপ নিজেই ব্যর্থ হয় | signer আসলে যে selector ব্যবহার করে তা প্রকাশ করুন — দেখুন selector গাইড |
| ৫ | ভঙ্গুর canonicalization বা l= ট্যাগ | সামান্য পুনর্গঠিত বার্তায় বিক্ষিপ্ত ব্যর্থতা | c=relaxed/relaxed; l= সম্পূর্ণ সরিয়ে দিন |
”DKIM স্বাক্ষর বৈধ নয়” কীভাবে ঠিক করব?
- DNS স্পর্শ করার আগে defaults.exposed এ বিনামূল্যে স্ক্যান চালান। এটি দেখায় আপনার প্রকাশিত কী রেকর্ড উপস্থিত, সুগঠিত এবং সম্পূর্ণ কিনা।
- একটি ব্যর্থ বার্তার
Authentication-Resultsহেডার পড়ুন।body hash did not verify→ কারণ ১, যান বডি-হ্যাশ গাইডে।no key for signature→ কারণ ৪, যান selector গাইডে। সরল স্বাক্ষর ব্যর্থতা → চালিয়ে যান। - প্রকাশিত কী কাটা-ছাঁটার জন্য পরীক্ষা করুন।
<selector>._domainkey.<yourdomain>TXT হিসেবে দেখুন। একটি 2048-bit RSA পাবলিক কী একটি একক TXT স্ট্রিংয়ের 255-অক্ষর সীমার চেয়ে দীর্ঘ, তাই এটি একাধিক উদ্ধৃত স্ট্রিং হিসেবে প্রকাশিত হতে হবে — এবং DNS-provider ওয়েব UIs প্রায়শই নীরবে paste কাটা-ছাঁটা করে। - নিশ্চিত করুন প্রকাশিত কী signer-এর সাথে মেলে। একটি কী রোটেশন, প্রদানকারী মাইগ্রেশন বা ESP reconnect-এর পর, signer একটি নতুন private কী ধারণ করতে পারে যখন DNS পুরানো public কী পরিবেশন করে। আপনার প্রদানকারীর admin console থেকে বর্তমান রেকর্ড পুনরায় কপি করুন। আরও ভালো: যেখানে প্রদানকারী CNAME delegation অফার করে, তা ব্যবহার করুন।
- Signing সেটিংস ঠিক করুন। Canonicalization
c=relaxed/relaxed-এ সেট করুন।l=body-length ট্যাগ ব্যবহার করবেন না। - পুনরায় স্ক্যান করুন, তারপর সংযুক্তি পরীক্ষা করুন। একটি বৈধ স্বাক্ষর DMARC সাহায্য করে শুধুমাত্র যদি
d=ডোমেইন আপনার From ডোমেইনের সাথে সংযুক্ত হয়।
সচরাচর জিজ্ঞাসিত প্রশ্ন
“DKIM স্বাক্ষর বৈধ নয়” কি “body hash did not verify”-এর মতো? বডি-হ্যাশ বার্তা হল একটি নির্দিষ্ট উপ-ক্ষেত্র: বডি signing-এর পরে পরিবর্তিত হয়েছে। “স্বাক্ষর বৈধ নয়” হল যেকোনো ব্যর্থ যাচাইয়ের ছত্রছায়া রায়, খারাপ কী এবং হেডার পরিবর্তন সহ।
একটি অবৈধ DKIM স্বাক্ষর কি মানে আমার মেইল প্রত্যাখ্যান হচ্ছে? নিজে থেকে নয় — রিসিভাররা একটি ভাঙা স্বাক্ষরকে অনুপস্থিত একটির মতো গণ্য করে। ক্ষতি DMARC-এর মাধ্যমে আসে।
আমার কি 1024-bit নাকি 2048-bit DKIM কী ব্যবহার করা উচিত? 2048-bit — 1024-bit কী বর্তমান ক্রিপ্টোগ্রাফিক সুপারিশের নিচে।
মালিককে রিপোর্ট পাঠান
যদি আপনি একটি ক্লায়েন্ট বা নিয়োগকর্তার জন্য এটি ঠিক করছেন, পরিবর্তনের পর বিনামূল্যে স্ক্যান পুনরায় চালান এবং গ্রেডকৃত রিপোর্টটি ব্যবসার মালিকের কাছে ফরওয়ার্ড করুন: তারিখযুক্ত, সরল-ভাষায়, DKIM সবুজ দেখাচ্ছে।
আপনার ডোমেইন পরীক্ষা করুন → · “Body hash did not verify” গাইড → · DKIM ঠিক করুন → · আমরা কীভাবে গ্রেড করি → · শুধুমাত্র সমন্বিত তথ্য। EU-তে তথ্য সংরক্ষিত এবং প্রক্রিয়া করা হয়।