Defaults.Exposed › Διορθώσεις › Guides
DKIM "No Key for Signature": Διορθώσεις Selector και Rotation (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά στοιχεία απογραφής για 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Το “no key for signature” σημαίνει ότι ο παραλήπτης έκανε ερώτημα για την εγγραφή DNS στην οποία δείχνει η υπογραφή DKIM σας — selector._domainkey.yourdomain — και δεν βρήκε κλειδί: είτε δεν δημοσιεύτηκε ποτέ, είτε διαγράφηκε κατά τη διάρκεια αλλαγής κλειδιών. Δημοσιεύστε τον selector που χρησιμοποιεί πραγματικά ο signer σας. Μόνο 10,092,481 domains — 3.87% — ολοκληρώνουν την τριάδα SPF+DKIM+DMARC, σύμφωνα με την απογραφή Defaults.Exposed των 261,086,232 βαθμολογημένων domains.
Η διόρθωση είναι μία εγγραφή DNS, που βρίσκεται σε μία κεφαλίδα. Διαβάστε τις ετικέτες s= και d= από μια πραγματική κεφαλίδα DKIM-Signature για να μάθετε με ποιον selector είναι υπογεγραμμένο το email σας, δημοσιεύστε (ή επιδιορθώστε) ακριβώς αυτή την εγγραφή, και προτιμήστε εκχώρηση CNAME ώστε ο πάροχός σας να αλλάζει κλειδιά για εσάς. Στη συνέχεια αλλάξτε κλειδιά σύμφωνα με το παρακάτω εγχειρίδιο — αυτό το σφάλμα συνήθως σημαίνει ότι κάποιος διέγραψε έναν παλιό selector πολύ νωρίς.
Τι σημαίνει το “dkim no key for signature”;
Κάθε υπογραφή DKIM φέρει δύο ετικέτες που ενημερώνουν τον παραλήπτη πού να ανακτήσει το δημόσιο κλειδί: d= (signing domain) και s= (selector). Ο παραλήπτης κάνει ερώτημα σε ένα όνομα DNS που κατασκευάζεται από αυτά — s._domainkey.d — για το κλειδί. Το “no key for signature” σημαίνει ότι αυτό το ερώτημα επέστρεψε άδειο: η υπογραφή υπάρχει, αλλά το κλειδί που ονομάζει δεν υπάρχει.
Η διατύπωση εμφανίζεται σε κεφαλίδες Authentication-Results και αναφορές συγκεντρωτικών DMARC — η ακριβής φρασολογία ποικίλλει ανά παραλήπτη, αλλά δύο εκδοχές έχουν σημασία:
| Συμβολοσειρά αποτελέσματος (απόσπασμα, όπως παρατηρείται ευρέως) | Τι συνέβη πραγματικά | Προσωρινό; |
|---|---|---|
dkim=temperror (no key for signature) | Το ερώτημα DNS απέτυχε ή εξέπνευσε — ο παραλήπτης δεν μπόρεσε να λάβει απάντηση | Ναι — οι επαναλήψεις συχνά περνούν· διερευνήστε μόνο αν επιμένει |
dkim=permerror (no key for signature) | Το ερώτημα DNS επιτυχώς επέστρεψε “δεν υπάρχει τέτοια εγγραφή” — ο selector είναι πραγματικά απών | Όχι — η εγγραφή λείπει μέχρι να τη δημοσιεύσετε |
Ένα μεμονωμένο temperror είναι κάτι πρόσκαιρο. Ένα permerror — ή ένα temperror που επαναλαμβάνεται σε ημέρες και παραλήπτες — σημαίνει ότι η εγγραφή στην οποία δείχνει η υπογραφή δεν βρίσκεται στη ζώνη σας. Αυτός είναι ο παρών οδηγός.
Η συνέπεια: μια μη επαληθεύσιμη υπογραφή υπολογίζεται ως καθόλου DKIM, οπότε το DMARC πέφτει πίσω μόνο στον SPF — και ο SPF σπάει κατά την προώθηση. Αν η υπογραφή είναι παρούσα αλλά άκυρη αντί για απούσα (body hash, παραποιημένο κλειδί), αυτό είναι διαφορετική αποτυχία — δείτε “DKIM signature not valid”.
Πώς βρίσκω με ποιον selector είναι υπογεγραμμένο το email μου;
Μην μαντεύετε από την τεκμηρίωση του παρόχου σας — διαβάστε το από πραγματικό μήνυμα:
- Στείλτε ένα μήνυμα από το επηρεαζόμενο σύστημα σε γραμματοκιβώτιο που ελέγχετε (μια διεύθυνση Gmail λειτουργεί καλά).
- Ανοίξτε την ακατέργαστη πηγή (“Show original” στο Gmail, “View message source” στο Outlook).
- Βρείτε την κεφαλίδα
DKIM-Signature:και διαβάστε δύο ετικέτες: ηs=είναι ο selector, ηd=είναι το signing domain. Ενδεικτικό παράδειγμα:DKIM-Signature: v=1; a=rsa-sha256; d=yourdomain.com; s=mail2026; ... - Η εγγραφή για την οποία κάνει ερώτημα ο παραλήπτης είναι
s._domainkey.d— εδώ,mail2026._domainkey.yourdomain.com. Ελέγξτε το οι ίδιοι:dig TXT mail2026._domainkey.yourdomain.com +short. Κενή απάντηση = το σφάλμα είναι πραγματικό για κάθε παραλήπτη. - Επαναλάβετε για κάθε σύστημα αποστολής. Ένα μήνυμα μπορεί να φέρει πολλαπλές υπογραφές DKIM — πάροχος γραμματοκιβωτίου, εργαλείο newsletter, helpdesk — καθεμία με το δικό της ζεύγος
s=/d=και εγγραφή. Διορθώστε αυτή που αποτυγχάνει, και σημειώστε τοd=της: μόνο μια υπογραφή της οποίας τοd=ταιριάζει με το domain From σας βοηθά το DMARC.
Γιατί λείπει η εγγραφή selector;
Τέσσερις αιτίες αντιστοιχούν σε σχεδόν όλα αυτά τα σφάλματα — ελέγξτε τα με αυτή τη σειρά:
- Δεν δημοσιεύτηκε ποτέ. Ο signer ενεργοποιήθηκε (ή ενεργοποιήθηκε από προεπιλογή) με έναν selector που κανείς δεν πρόσθεσε στο DNS. Συνηθισμένο με νέα εργαλεία και gateways που υπογράφουν απροσδόκητα.
- Διαγράφηκε κατά τη διάρκεια αλλαγής κλειδιών. Κάποιος “καθάρισε” τον παλιό selector ενώ μηνύματα υπογεγραμμένα με αυτόν βρίσκονταν ακόμα σε transit, στην ουρά επανάληψης, ή σε αναμονή προώθησης. Αυτό το email είναι ήδη υπογεγραμμένο με
s=old· η διαγραφή τουold._domainkeyσπάει αναδρομικά όλα αυτά τα μηνύματα. - Το DNS UI σας παραποίησε έναν στόχο CNAME. Πολλοί πάροχοι εκχωρούν μέσω CNAME (
s1._domainkey.yourdomain.com → s1.domainkey.u123.esp.com), και πολλά DNS panels προσθέτουν σιωπηλά τη ζώνη σας στον στόχο — αποθηκεύονταςs1.domainkey.u123.esp.com.yourdomain.com, που δεν επιλύεται σε τίποτα. Επαληθεύστε τον στόχο:dig CNAME s1._domainkey.yourdomain.com +short. Η ίδια παγίδα εμφανίζεται κατά τις μετακινήσεις εργαλείων — δείτε DKIM που αποτυγχάνει μετά την αλλαγή εργαλείων email. - Ο πάροχος αντικατέστησε κλειδί, η ζώνη σας δεν ενημερώθηκε. Ένα κλειδί παρόχου που επικολλήθηκε ως στατική εγγραφή TXT (αντί για τα CNAMEs τους) ορφανεύεται από την προγραμματισμένη αντικατάσταση — ο signer μετακινείται σε έναν selector που δεν δημοσιεύσατε ποτέ. Μόνο 51.84% από τα 261 εκατομμύρια domains στην απογραφή παρουσιάζουν ανιχνεύσιμο κλειδί DKIM κατά τη σάρωση (δεδομένα ως 2026-06-29).
Πώς διορθώνω το “no key for signature”;
- Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αλλάξετε οτιδήποτε στο DNS. Διαβάζει τις ζωντανές εγγραφές DKIM, SPF και DMARC σας και δείχνει τι βλέπουν πραγματικά οι παραλήπτες — συμπεριλαμβανομένου αν ο selector επιλύεται και αν ένας στόχος CNAME παραποιήθηκε.
- Δημοσιεύστε τον selector που χρησιμοποιεί πραγματικά ο signer — την τιμή
s=από την κεφαλίδα, όχι αυτή σε ένα παλιό εγχειρίδιο. Λάβετε την εγγραφή από την κονσόλα διαχείρισης του παρόχου σας (ρύθμιση DKIM Google Workspace · ρύθμιση DKIM Microsoft 365) και προσθέστε την ακριβώς στοs._domainkey.yourdomain.com. - Προτιμήστε εκχώρηση CNAME αντί επικόλλησης κλειδιού TXT. Αν ο πάροχός σας προσφέρει DKIM CNAMEs, χρησιμοποιήστε τα: το κλειδί βρίσκεται στη δική τους ζώνη, οπότε το αντικαθιστούν χωρίς εσείς να αγγίξετε ξανά το DNS — η αιτία 4 γίνεται αδύνατη. Πλατφόρμες newsletter λειτουργούν σχεδόν όλες έτσι· δείτε emails Mailchimp/Brevo/Klaviyo που αποτυγχάνουν στο DMARC.
- Επαληθεύστε εκτός του panel σας.
dig TXT s._domainkey.yourdomain.com +short(ήdig CNAME …για εκχωρημένους selectors) από μηχάνημα εκτός δικτύου σας. Ότι το panel δείχνει την εγγραφή δεν αποδεικνύει τίποτα αν η ζώνη εξυπηρετεί κάτι διαφορετικό. - Επανεκτελέστε σάρωση και ξαναστείλτε το δοκιμαστικό μήνυμα. Τα
Authentication-Resultsπρέπει τώρα να δείχνουνdkim=pass. Στη συνέχεια διορθώστε οτιδήποτε άλλο επισημαίνει η σάρωση στη σελίδα διόρθωση DKIM — μια επιτυχής υπογραφή που δεν ευθυγραμμίζεται με το domain From σας εξακολουθεί να αποτυγχάνει στο DMARC.
Πώς αλλάζω κλειδιά DKIM χωρίς να προκαλέσω αυτό το σφάλμα;
Η αλλαγή κλειδιών είναι το σημείο όπου καλά ρυθμισμένες εγκαταστάσεις αστοχούν. Ο κανόνας που το αποτρέπει: ένας selector διαγράφεται μόνο αφού αποχετευθεί το τελευταίο μήνυμα που είναι υπογεγραμμένο με αυτόν — ποτέ κατά την εναλλαγή. Το υπογεγραμμένο email ζει περισσότερο από ό,τι νομίζετε: οι ουρές επανάληψης τρέχουν για ημέρες, και τα προωθημένα μηνύματα επαληθεύονται εκ νέου όποτε μετακινούνται.
| Βήμα | Ενέργεια | Πύλη πριν το επόμενο βήμα |
|---|---|---|
| 1. Προσθήκη | Δημοσιεύστε τον νέο selector (s2._domainkey…) παράλληλα με τον παλιό | dig επιβεβαιώνει ότι επιλύεται εκτός δικτύου |
| 2. Εναλλαγή | Κατευθύνετε τον signer στον νέο selector | Δοκιμαστικό μήνυμα δείχνει s=s2 και dkim=pass |
| 3. Αναμονή | Αφήστε τον παλιό selector δημοσιευμένο ενώ αποχετεύεται η κίνηση in-flight, σε ουρά και σε προώθηση | ≥ 7 ημέρες· παρακολουθήστε αναφορές συγκεντρωτικών DMARC μέχρι να σταματήσει να εμφανίζεται ο παλιός selector |
| 4. Συνταξιοδότηση | Αφαιρέστε το παλιό κλειδί — ή καλύτερα, επανεκδώστε το με κενή ετικέτα p=: “συνταξιοδοτημένο”, όχι “δεν υπήρξε ποτέ” | Ποτέ μην ξεκινάτε αυτό κατά την εναλλαγή — η πρόωρη διαγραφή είναι η #1 αιτία του “no key for signature” |
Με εκχώρηση CNAME, ο πάροχός σας εκτελεί ακριβώς αυτό το εγχειρίδιο μέσα στη δική του ζώνη και εσείς δεν το βλέπετε ποτέ — το ισχυρότερο επιχείρημα για την εκχώρηση.
Συχνές ερωτήσεις
Είναι το “no key for signature” temperror ή permerror;
Υπάρχουν και οι δύο συμβολοσειρές: το temperror είναι ερώτημα DNS που απέτυχε ή εξέπνευσε — παροδικό, συχνά εξαφανίζεται με επανάληψη — ενώ το permerror σημαίνει ότι το DNS απάντησε “δεν υπάρχει τέτοια εγγραφή”. Ένα temperror που επαναλαμβάνεται σε παραλήπτες συνήθως αποδεικνύεται επίσης πραγματικά ελλιπής εγγραφή. Ελέγξτε με dig και εμπιστευτείτε την απάντηση, όχι την ετικέτα.
Σημαίνει αυτό το σφάλμα ότι κάποιος πλαστοπροσωπεί το domain μου; Όχι — ένας παλαιοπροσωπητής δεν θα υπέγραφε με τον selector σας. Σημαίνει ότι τα δικά σας emails φέρουν μια υπογραφή που οι παραλήπτες δεν μπορούν να επαληθεύσουν, οπότε υπολογίζεται ως μη υπογεγραμμένο και το DMARC βασίζεται μόνο στον SPF. Η πλήρης, ευθυγραμμισμένη επικύρωση είναι σπάνια: μόνο 10,092,481 από τα 261,086,232 domains (3.87%) ολοκλήρωσαν την τριάδα SPF+DKIM+DMARC στην απογραφή Defaults.Exposed (δεδομένα ως 2026-06-29).
Μπορώ να διαγράψω τον παλιό selector μόλις λειτουργεί ο νέος;
Όχι αμέσως. Μηνύματα υπογεγραμμένα με αυτόν βρίσκονται ακόμα σε ουρές επανάληψης και διαδρομές προώθησης· η διαγραφή του κλειδιού τα σπάει αναδρομικά. Διατηρήστε την παλιά εγγραφή τουλάχιστον μία εβδομάδα, παρακολουθήστε τις αναφορές DMARC μέχρι να σταματήσει να εμφανίζεται ο παλιός selector, στη συνέχεια συνταξιοδοτήστε τον — ιδανικά με κενό p= αντί για διαγραφή.
Ο checker του παρόχου μου λέει ότι το DKIM έχει ρυθμιστεί, αλλά οι παραλήπτες εξακολουθούν να αναφέρουν no key. Πώς;
Σχεδόν πάντα η παγίδα CNAME-target: το DNS panel σας πρόσθεσε τη ζώνη σας στον στόχο (…esp.com.yourdomain.com), οπότε η εγγραφή υπάρχει αλλά δεν δείχνει πουθενά. Το dig CNAME selector._domainkey.yourdomain.com +short δείχνει τον αποθηκευμένο στόχο αυτολεξεί — συγκρίνετε χαρακτήρα-χαρακτήρα με αυτό που ζήτησε ο πάροχος.
Στείλτε στον ιδιοκτήτη την αναφορά
Αν διορθώνετε αυτό για έναν πελάτη ή τον εργοδότη σας, κλείστε τον κύκλο με αποδείξεις. Επανεκτελέστε τη δωρεάν σάρωση μόλις ο selector επιλύεται και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη της επιχείρησης: με ημερομηνία, σε απλή γλώσσα, με το DKIM τώρα επαληθευμένο. Είναι το τεκμήριο που θα χρειαστούν για την ανανέωση ασφάλισης κυβερνοεπιθέσεων και το επόμενο ερωτηματολόγιο ασφάλειας προμηθευτών — απόδειξη λειτουργικού ελέγχου, όχι απλώς ένα κλειστό ticket.
Ελέγξτε το DKIM σας δωρεάν
Δείτε αν οι selectors σας επιλύονται — και ακριβώς τι να διορθώσετε — ιδιωτικά και μόνο για τον ιδιοκτήτη.
Ελέγξτε το domain σας → · “DKIM signature not valid” → · Διόρθωση DKIM → · Ρύθμιση DKIM σε Google Workspace → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.