Defaults.Exposed › Διορθώσεις › Guides
'DKIM Signature Not Valid' — Οι Αιτίες, κατά Σειρά Ελέγχου (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά στοιχεία απογραφής για 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Το “DKIM signature not valid” έχει πέντε συνηθισμένες αιτίες, που ελέγχονται καλύτερα με τη σειρά: τροποποιημένο περιεχόμενο κατά τη μεταφορά, κολοβωμένη εγγραφή κλειδιού, δημοσιευμένο κλειδί που δεν ταιριάζει με τον signer, λάθος selector, και εύθραυστο canonicalization. Μόνο 10,092,481 από τα 261,086,232 βαθμολογημένα domains (3.87%) κατέχουν την πλήρη τριάδα SPF + DKIM + enforcing-DMARC, σύμφωνα με την απογραφή Defaults.Exposed (2026-06-29).
Η σειρά διόρθωσης έχει σημασία γιατί η πιο συνηθισμένη αιτία δεν βρίσκεται καθόλου στο DNS σας. Ελέγξτε πρώτα τι τροποποίησε το μήνυμα κατά τη μεταφορά, στη συνέχεια εργαστείτε προς τα μέσα: η ακεραιότητα της εγγραφής κλειδιού, αν ταιριάζει με αυτό που ο διακομιστής email σας χρησιμοποιεί πραγματικά για υπογραφή, ο selector, και τέλος οι ρυθμίσεις υπογραφής. Οι περισσότερες άκυρες υπογραφές διορθώνονται στο βήμα ένα ή δύο.
Τι σημαίνει πραγματικά το “DKIM signature not valid”;
Κάθε DKIM-υπογεγραμμένο μήνυμα φέρει μια κεφαλίδα DKIM-Signature που ονομάζει ένα domain (d=), έναν selector (s=), ένα hash του σώματος του μηνύματος (bh=), και μια κρυπτογραφική υπογραφή του body hash συν επιλεγμένες κεφαλίδες (b=). Ο παραλήπτης ανακτά το δημόσιο κλειδί σας από το DNS στο <selector>._domainkey.<domain>, υπολογίζει εκ νέου και τα δύο hashes, και ελέγχει την υπογραφή (RFC 6376). Το “Signature not valid” είναι η ορολογία του checker για: αυτή η επαλήθευση εκτελέστηκε και απέτυχε — το κλειδί βρέθηκε, αλλά τα μαθηματικά δεν βγήκαν σωστά.
Αυτή η τελευταία ρήτρα είναι το διαγνωστικό χρυσάφι. Ένας επαληθευτής που δεν βρίσκει το κλειδί σας λέει κάτι διαφορετικό — συνήθως μια κεφαλίδα όπως dkim=fail (no key for signature) — και αυτό είναι πρόβλημα selector, που καλύπτεται στο DKIM “no key for signature” — διορθώσεις selector και rotation. Και ένας επαληθευτής που υπολογίζει εκ νέου διαφορετικό body hash συνήθως το δηλώνει ρητά: body hash did not verify — η Microsoft το αναφέρει ως dkim=fail (body hash did not verify), ενώ το Gmail συχνά αποδίδει την ίδια διάγνωση ως dkim=neutral (body hash did not verify). Σε κάθε περίπτωση δείχνει τροποποίηση περιεχομένου, που καλύπτεται στο “body hash did not verify”. Διαβάστε την ακριβή διατύπωση στην κεφαλίδα Authentication-Results πριν αλλάξετε οτιδήποτε: σας λέει ποια από τις πέντε αιτίες αντιμετωπίζετε.
Το να το πετύχετε αυτό είναι σπάνιο: μόνο 51.84% των βαθμολογημένων domains δημοσιεύουν ανιχνεύσιμο κλειδί DKIM στο DNS, σύμφωνα με την απογραφή Defaults.Exposed, και μόνο 3.87% από 261 εκατομμύρια βαθμολογημένα domains συνδυάζουν SPF, DKIM και enforcing DMARC policy — τη ρύθμιση που οι κανόνες μαζικής αποστολής υποθέτουν τώρα. Η εικόνα ανά στάδιο βρίσκεται στο μοντέλο ωριμότητας υιοθέτησης SPF.
Ποιες είναι οι πέντε αιτίες, κατά σειρά;
| # | Αιτία | Το σημάδι | Η διόρθωση |
|---|---|---|---|
| 1 | Τροποποιημένο περιεχόμενο κατά τη μεταφορά — υποσέλιδα gateway, νομικές αποποιήσεις, ετικέτες θέματος mailing-list | body hash did not verify στο Authentication-Results· εξωτερικό email αποτυγχάνει, άμεσο email περνά | Υπογράψτε μετά την τροποποίηση, ή σταματήστε την τροποποίηση — δείτε τον οδηγό body-hash |
| 2 | Κολοβωμένο ή παραποιημένο μακρύ κλειδί | Το δημοσιευμένο p= είναι ορατά κοντύτερο από το κλειδί που δημιουργήσατε· κάθε παραλήπτης αποτυγχάνει | Επανεκδώστε το κλειδί 2048-bit ως σωστά χωρισμένες συμβολοσειρές TXT |
| 3 | Δημοσιευμένο κλειδί δεν ταιριάζει με τον signer | Αποτυχίες ξεκινούν αμέσως μετά από αλλαγή κλειδιού, μετακίνηση ή αλλαγή παρόχου | Αντιγράψτε ξανά την τρέχουσα εγγραφή από τον signer· προτιμήστε εκχώρηση CNAME |
| 4 | Λάθος ή ελλιπής selector | no key for signature — το ερώτημα αποτυγχάνει | Δημοσιεύστε τον selector που χρησιμοποιεί ο signer — δείτε τον οδηγό selector |
| 5 | Εύθραυστο canonicalization ή ετικέτα l= | Διαλείπουσες αποτυχίες σε ασήμαντα αναδιαμορφωμένα μηνύματα | c=relaxed/relaxed· αφαιρέστε εντελώς το l= |
Η αιτία 1 είναι έντονη γιατί σπάει υπογραφές σε μηνύματα που υπογράφηκαν τέλεια. Ένα gateway ασφαλείας προσαρτά μια αποποίηση, ένα footer συμμόρφωσης σφραγίζεται μετά από υπογραφή, μια mailing list προσθέτει [listname] στο θέμα — το σώμα ή οι υπογεγραμμένες κεφαλίδες αλλάζουν, τα hashes δεν ταιριάζουν πλέον, και η υπογραφή είναι άκυρη χωρίς δική σας ευθύνη. Αν οι αποτυχίες συσχετίζονται με email που πέρασε από gateway, list, ή hop αρχειοθέτησης, ξεκινήστε εκεί.
Πώς διορθώνω το “DKIM signature not valid”;
- Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αλλάξετε οτιδήποτε στο DNS. Δείχνει αν η δημοσιευμένη εγγραφή κλειδιού σας είναι παρούσα, σωστά διαμορφωμένη και πλήρης — διαχωρίζοντας “το DNS σας είναι σπασμένο” (αιτίες 2–4) από “το DNS σας είναι εντάξει, το μήνυμα αλλάζεται” (αιτία 1) σε ένα βήμα.
- Διαβάστε την κεφαλίδα
Authentication-Resultsενός αποτυχημένου μηνύματος.body hash did not verify→ αιτία 1, πηγαίνετε στον οδηγό body-hash — οι συνήθεις ύποπτοι είναι footers gateway και αποποιήσεις, και η διόρθωση είναι να υπογράφετε μετά από τροποποίηση.no key for signature→ αιτία 4, πηγαίνετε στον οδηγό selector. Απλή αποτυχία υπογραφής → συνεχίστε. - Ελέγξτε το δημοσιευμένο κλειδί για αποκοπή. Αναζητήστε
<selector>._domainkey.<yourdomain>ως TXT (dig TXT selector._domainkey.example.com). Ένα δημόσιο κλειδί RSA 2048-bit είναι μεγαλύτερο από το όριο 255 χαρακτήρων μιας συμβολοσειράς TXT, οπότε πρέπει να δημοσιευτεί ως πολλαπλές συμβολοσειρές σε εισαγωγικά που οι παραλήπτες ενώνουν — και τα web UI DNS-παρόχων είναι γνωστά για σιωπηλή αποκοπή κατά την επικόλληση, παραμόρφωση διαχωρισμού, ή εισαγωγή κενών και εισαγωγικών στην τιμήp=. Συγκρίνετε χαρακτήρα-χαρακτήρα με το κλειδί που δημιούργησε ο signer σας· οι οδηγοί ρύθμισης DKIM καλύπτουν τα ιδιαίτερα χαρακτηριστικά ανά πάροχο. - Επιβεβαιώστε ότι το δημοσιευμένο κλειδί ταιριάζει με τον signer. Μετά από αλλαγή κλειδιού, μετακίνηση παρόχου, ή επανασύνδεση ESP, είναι συνηθισμένο ο signer να κατέχει νέο ιδιωτικό κλειδί ενώ το DNS εξακολουθεί να εξυπηρετεί το παλιό δημόσιο κλειδί — κάθε υπογραφή επαληθεύεται έναντι του λάθους κλειδιού και αποτυγχάνει. Αντιγράψτε ξανά την τρέχουσα εγγραφή από την κονσόλα διαχείρισης του παρόχου σας. Καλύτερα: όπου ο πάροχος προσφέρει εκχώρηση CNAME, χρησιμοποιήστε την — ο πάροχος αλλάζει κλειδιά από τη δική του πλευρά και ολόκληρη αυτή η κατηγορία αποτυχιών εξαφανίζεται. Και ποτέ μη διαγράφετε παλιό selector μέχρι να αποχετευτεί η κίνηση υπογεγραμμένη με αυτόν.
- Διορθώστε τις ρυθμίσεις υπογραφής, όχι μόνο την εγγραφή. Ορίστε canonicalization σε
c=relaxed/relaxed, που ανέχεται την αναδίπλωση κενών και την αναδιπλωσία κεφαλίδων που οι ενδιάμεσοι διακομιστές κάνουν νόμιμα· τοsimplecanonicalization αποτυγχάνει σε αλλαγές που άνθρωπος δεν μπορεί καν να δει. Και μην χρησιμοποιείτε την ετικέταl=body-length: σχεδιάστηκε για να αφήνει footers να περνούν, αλλά επιτρέπει σε οποιονδήποτε να προσαρτά περιεχόμενο στο υπογεγραμμένο μήνυμά σας χωρίς να σπάει την υπογραφή — ένα πραγματικό διάνυσμα επίθεσης — και εξακολουθεί να μην επιβιώνει στις περισσότερες τροποποιήσεις gateway. Κανέναl=είναι και η πιο ασφαλής και η πιο αξιόπιστη επιλογή. - Επανεκτελέστε σάρωση, στη συνέχεια ελέγξτε ευθυγράμμιση. Μια έγκυρη υπογραφή βοηθά το DMARC μόνο αν το domain
d=ευθυγραμμίζεται με το domain From σας — μια υπογραφή που επικυρώνεται ωςd=yourcompany.gappssmtp.comπερνά DKIM και εξακολουθεί να αποτυγχάνει στο DMARC. Αν αυτό σας αφορά, δείτε την παγίδα της προεπιλεγμένης υπογραφής, και εργαστείτε μέσα από οτιδήποτε άλλο επισημαίνει η σάρωση στη σελίδα διόρθωση DKIM.
Συχνές ερωτήσεις
Είναι το “DKIM signature not valid” το ίδιο με το “body hash did not verify”; Το μήνυμα body-hash είναι μια συγκεκριμένη υποπερίπτωση: το σώμα άλλαξε μετά από υπογραφή (footers, αποποιήσεις, ανεγγραφές list). Το “Signature not valid” είναι η ομπρέλα για οποιαδήποτε αποτυχημένη επαλήθευση, συμπεριλαμβανομένων κακών κλειδιών και αλλαγών κεφαλίδων — γι’ αυτό το βήμα 2 παραπάνω είναι η ανάγνωση κεφαλίδας, και γιατί η περίπτωση body-hash έχει τον δικό της οδηγό.
Σημαίνει άκυρη υπογραφή DKIM ότι το email μου απορρίπτεται; Όχι αυτόματα — οι παραλήπτες αντιμετωπίζουν μια σπασμένη υπογραφή όπως μια ελλιπή. Η ζημιά έρχεται μέσω DMARC: αν ο SPF δεν περνά επίσης με ευθυγράμμιση, το μήνυμα αποτυγχάνει στο DMARC και ισχύει η δημοσιευμένη policy σας. Ως 2026-06-29, μόνο 3.87% από τα 261,086,232 βαθμολογημένα domains κατέχουν SPF, DKIM και enforcing DMARC policy μαζί — αλλά το Gmail και η Microsoft τώρα το αναμένουν από τους αποστολείς, οπότε ένα σπασμένο σκέλος DKIM κοστίζει deliverability ακόμα και πριν από απόρριψη.
Πρέπει να χρησιμοποιώ κλειδί DKIM 1024-bit ή 2048-bit; 2048-bit — τα κλειδιά 1024-bit είναι κάτω από τις τρέχουσες κρυπτογραφικές συστάσεις και ορισμένοι παραλήπτες τα βαθμολογούν χαμηλότερα. Η μοναδική πρακτική δυσκολία είναι επιχειρησιακή: ένα κλειδί 2048-bit δεν χωράει σε μία συμβολοσειρά TXT 255 χαρακτήρων, οπότε πρέπει να χωριστεί σωστά (αιτία 2 παραπάνω). Η εκχώρηση CNAME στον πάροχό σας παρακάμπτει εντελώς το πρόβλημα διαχωρισμού.
Το DKIM μου περνά σε checker αλλά το DMARC εξακολουθεί να αποτυγχάνει — πώς;
Σχεδόν σίγουρα ευθυγράμμιση: η υπογραφή επικυρώνεται, αλλά το domain d= της (ας πούμε, yourcompany.gappssmtp.com ή yourtenant.onmicrosoft.com) δεν ταιριάζει με το domain From σας, οπότε το DMARC δεν μπορεί να το χρησιμοποιήσει. Ενεργοποιήστε την προσαρμοσμένη-domain υπογραφή του παρόχου σας — η πλήρης καθοδήγηση βρίσκεται στον οδηγό παγίδας προεπιλεγμένης υπογραφής.
Μπορώ απλώς να απενεργοποιήσω το DKIM αν συνεχίζει να αποτυγχάνει; Όχι — από τις εντολές μαζικής αποστολής του 2024, το Gmail και το Yahoo απαιτούν DKIM για αποστολείς όγκου, και μια enforcing DMARC policy χρειάζεται ρεαλιστικά το DKIM επειδή ο SPF μόνος του σπάει κατά την προώθηση. Διορθώστε την υπογραφή· οι αιτίες παραπάνω είναι όλες διορθώσιμες σε ένα απόγευμα.
Στείλτε στον ιδιοκτήτη την αναφορά
Αν διορθώνετε αυτό για έναν πελάτη ή τον εργοδότη σας, κλείστε τον κύκλο με αποδείξεις. Επανεκτελέστε τη δωρεάν σάρωση μετά τις αλλαγές σας και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη της επιχείρησης: με ημερομηνία, σε απλή γλώσσα, με το DKIM να δείχνει πράσινο. Είναι το τεκμήριο που θα χρειαστούν για την ανανέωση ασφάλισης κυβερνοεπιθέσεων και το επόμενο ερωτηματολόγιο ασφάλειας προμηθευτών — η διαφορά μεταξύ “διόρθωσα κάτι στο DNS” και ενός τεκμηριωμένου πριν-και-μετά που δηλώνει ότι το domain επικυρώνει το email του.
Ελέγξτε το domain σας → · Οδηγός “Body hash did not verify” → · Διόρθωση DKIM → · Πώς βαθμολογούμε → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.