Defaults.Exposed

Defaults.ExposedKorjauksetGuides

DKIM "Ei avainta allekirjoitukselle": Valitsimen ja kierrätyksen korjaukset (2026)

Julkaistu 2026-07-08

Luvut 2026-06-29 alkaen · metodologia v7. Koottu väestönlaskentatiedot 261 miljoonan arvioidun verkkotunnuksen yli. Katso kuinka arvioimme.

“No key for signature” tarkoittaa, että vastaanottaja kysyi DNS-tietuetta, johon DKIM-allekirjoituksesi osoittaa — selector._domainkey.yourdomain — eikä löytänyt avainta: sitä ei koskaan julkaistu tai se poistettiin kierrätyksen aikana. Julkaise valitsin, jota allekirjoittajasi todella käyttää. Vain 10,092,481 verkkotunnusta — 3.87% — täydentää SPF+DKIM+DMARC-kolmikon Defaults.Exposed-väestönlaskennan mukaan 261,086,232 arvioidusta verkkotunnuksesta.

Korjaus on yksi DNS-tietue, joka löytyy yhdestä otsikosta. Lue s= ja d= -tunnisteet todellisesta DKIM-Signature-otsikosta oppiaksesi, millä valitsimella postisi on allekirjoitettu, julkaise (tai korjaa) tuo täsmällinen tietue, ja suosi CNAME-delegointia, jotta palveluntarjoajasi kierrättää avaimet puolestasi. Sitten kierrätä alla olevan ohjekirjan mukaan — tämä virhe tarkoittaa yleensä, että joku poisti vanhan valitsimen liian aikaisin.

Mitä “dkim no key for signature” tarkoittaa?

Jokainen DKIM-allekirjoitus kantaa kahta tunnistetta, jotka kertovat vastaanottajalle, mistä julkinen avain haetaan: d= (allekirjoittava verkkotunnus) ja s= (valitsin). Vastaanottaja kysyy yhtä DNS-nimeä, joka rakentuu niistä — s._domainkey.d — avaimelle. “No key for signature” tarkoittaa, että kysely palasi tyhjänä: allekirjoitus on olemassa, mutta se nimeää avaimen, jota ei ole.

Sanamuoto esiintyy Authentication-Results-otsikoissa ja DMARC-koosteraporteissa — täsmällinen sanamuoto vaihtelee vastaanottajittain, mutta kaksi muotoa ovat tärkeitä:

Tuloksen merkkijono (ote, laajasti havaittu)Mitä oikeasti tapahtuiOhimenevä?
dkim=temperror (no key for signature)DNS-kysely epäonnistui tai aikakatkaistui — vastaanottaja ei saanut vastausta lainkaanKyllä — uudelleenyritykset läpäisevät usein; tutki vain jos jatkuva
dkim=permerror (no key for signature)DNS-kysely onnistui ja vastaus oli “ei tällaista tietuetta” — valitsin on aidosti poissaEi — tietue puuttuu kunnes julkaiset sen

Kertaluonteinen temperror on DNS:n säävaihtelua. Permerror — tai temperror, joka toistuu päivien ja vastaanottajien yli — tarkoittaa, että allekirjoituksen osoittama tietue ei ole alueessasi. Tämä opas käsittelee sitä.

Seuraus: todentamaton allekirjoitus lasketaan ei DKIM:lle lainkaan, joten DMARC tukeutuu yksin SPF:ään — ja SPF hajoaa edelleenlähetyksessä. Jos allekirjoitus on läsnä mutta virheellinen eikä puuttuva (body hash, vioittunut avain), se on eri epäonnistuminen — katso “DKIM signature not valid”.

Miten löydän, millä valitsimella postini on allekirjoitettu?

Älä arvaa palveluntarjoajasi dokumentaatiosta — lue se todellisesta viestistä:

  1. Lähetä viesti kyseisestä järjestelmästä postilaatikkoon, johon sinulla on pääsy (Gmail-osoite toimii hyvin).
  2. Avaa raaka lähde (Gmailissa “Näytä alkuperäinen”, Outlookissa “Näytä viestin lähde”).
  3. Etsi DKIM-Signature:-otsikko ja lue kaksi tunnistetta: s= on valitsin, d= on allekirjoittava verkkotunnus. Havainnollistava esimerkki: DKIM-Signature: v=1; a=rsa-sha256; d=yourdomain.com; s=mail2026; ...
  4. Tietue, jota vastaanottaja kysyy, on s._domainkey.d — tässä mail2026._domainkey.yourdomain.com. Tarkista se itse: dig TXT mail2026._domainkey.yourdomain.com +short. Tyhjä vastaus = virhe on todellinen jokaiselle vastaanottajalle.
  5. Toista per lähetysjärjestelmä. Viesti voi kantaa useita DKIM-allekirjoituksia — postipalveluntarjoaja, uutiskirjetyökalu, helpdesk — jokainen omalla s=/d=-parilla ja tietueella. Korjaa epäonnistuva, ja huomaa sen d=: vain allekirjoitus, jonka d= vastaa From-verkkotunnustasi, auttaa DMARC:ia.

Miksi valitsin-tietue puuttuu?

Neljä syytä selittää lähes kaikki nämä virheet — tarkista ne tässä järjestyksessä:

  1. Sitä ei koskaan julkaistu. Allekirjoittaja kytkettiin päälle (tai oletuksena päälle) valitsimella, jota kukaan ei lisännyt DNS:ään. Yleistä uusien työkalujen ja yhdyskäytävien kanssa, jotka allekirjoittavat odottamattomasti.
  2. Se poistettiin kierrätyksen aikana. Joku “siivosi” vanhan valitsimen, kun sen allekirjoittamat viestit olivat vielä siirtojonossa, odottamassa uudelleentoimitusta tai edelleenlähetystä. Tuo posti on jo allekirjoitettu s=old:lla; old._domainkey:n poistaminen rikkoo taaksepäin kaikki nuo viestit.
  3. DNS-käyttöliittymäsi vääristsi CNAME-kohteen. Monet palveluntarjoajat delegoivat CNAME:n kautta (s1._domainkey.yourdomain.com → s1.domainkey.u123.esp.com), ja monet DNS-paneellit lisäävät hiljaa alueesi kohteeseen — tallentaen s1.domainkey.u123.esp.com.yourdomain.com, joka ei ratkea mihinkään. Varmista kohde: dig CNAME s1._domainkey.yourdomain.com +short. Sama ansa puree työkalujen migraatioissa — katso DKIM epäonnistuu sähköpostityökalujen vaihdon jälkeen.
  4. Palveluntarjoaja kierrätti, alueesi ei. Palveluntarjoajan avain, joka on liitetty staattisena TXT-tietueena (heidän CNAME:jensa sijaan), jää orvaniksi heidän aikataulutetun kierrätyksensä myötä — allekirjoittaja siirtyy valitsimeen, jota et koskaan julkaissut. Vain 51.84% väestönlaskennan 261 miljoonasta verkkotunnuksesta esittää löydettävän DKIM-avaimen skannaushetkellä (tiedot 2026-06-29 alkaen).

Miten korjaan “no key for signature”?

  1. Aja ilmainen tarkistus osoitteessa defaults.exposed ennen kuin kosket DNS:ään. Se lukee live-DKIM-, SPF- ja DMARC-tietueesi ja näyttää mitä vastaanottajat todella näkevät — mukaan lukien, ratkeaako valitsin ja onko CNAME-kohde vääristynyt.
  2. Julkaise valitsin, jota allekirjoittaja todella käyttää — otsikon s=-arvo, ei vanha ohjekirja. Hanki tietue palveluntarjoajasi hallintakonsolista (Google Workspace DKIM-asennus · Microsoft 365 DKIM-asennus) ja lisää se täsmälleen osoitteeseen s._domainkey.yourdomain.com.
  3. Suosi CNAME-delegointia TXT-avaimen liittämisen sijaan. Jos palveluntarjoajasi tarjoaa DKIM CNAME:ja, käytä niitä: avain on heidän alueessaan, joten he kierrättävät sen ilman, että kosket DNS:ään uudelleen — syy 4 muuttuu mahdottomaksi. Uutiskirjealustat toimivat lähes kaikki näin; katso Mailchimp/Brevo/Klaviyo-sähköpostit epäonnistuvat DMARC:ssa.
  4. Varmista paneelisi ulkopuolelta. dig TXT s._domainkey.yourdomain.com +short (tai dig CNAME … delegoiduille valitsimille) verkon ulkopuoliselta koneelta. Paneeli, joka näyttää tietueen, ei todista mitään, jos alue tarjoilee jotain muuta.
  5. Aja tarkistus uudelleen ja lähetä testiviesti. Authentication-Results-kentän pitäisi nyt lukea dkim=pass. Sitten käy läpi kaikki muut tarkistuksen merkitsemät ongelmat korjaa DKIM -sivulla — läpäisevä allekirjoitus, joka ei kohdistu From-verkkotunnukseesi, epäonnistuu silti DMARC:ssa.

Miten kierrätän DKIM-avaimet aiheuttamatta tätä virhettä?

Kierrätys on se, missä toimivat asetukset hajoavat. Sääntö, joka estää sen: valitsin poistetaan vasta sen jälkeen, kun viimeinen sen allekirjoittama viesti on tyhjennetty — ei koskaan vaihtamishetkellä. Allekirjoitettu posti elää kauemmin kuin luulet: uudelleentoimitusjonot toimivat päiviä, ja edelleenlähetetyt viestit tarkistetaan uudelleen aina kun ne siirtyvät.

VaiheToimintoPortti ennen seuraavaa vaihetta
1. LisääJulkaise uusi valitsin (s2._domainkey…) vanhan rinnalledig vahvistaa, että se ratkeaa ulkopuolelta
2. VaihdaOsoita allekirjoittaja uuteen valitsimeenTestiviesti näyttää s=s2 ja dkim=pass
3. OdotaJätä vanha valitsin julkaistuksi, kun lennossa oleva, jonossa oleva ja edelleenlähetetty liikenne tyhjenee≥ 7 päivää; seuraa DMARC-koosteraportteja kunnes vanha valitsin lakkaa näkymästä
4. PoistaPoista vanha avain — tai parempi, julkaise se uudelleen tyhjällä p=-tunnisteella: “eläköity”, ei “ei koskaan ollut olemassa”Älä koskaan aloita tätä vaihtamishetkellä — ennenaikainen poistaminen on tärkein syy “no key for signature” -virheeseen

CNAME-delegoinnilla palveluntarjoajasi suorittaa tämän täsmällisen ohjekirjan omassa alueessaan, eikä sinun tarvitse koskaan nähdä sitä — vahvin argumentti delegoinnin puolesta.

Usein kysytyt kysymykset

Onko “no key for signature” temperror vai permerror? Molemmat merkkijonot ovat olemassa: temperror on DNS-haku, joka epäonnistui tai aikakatkaistui — ohimenevä, usein poissa uudelleenyrityksessä — kun taas permerror tarkoittaa DNS:n vastanneen “ei tällaista tietuetta”. Temperror, joka toistuu vastaanottajissa, osoittautuu yleensä myös aidosti puuttuvaksi tietueeksi. Tarkista dig:llä ja luota vastaukseen, ei nimikkeeseen.

Tarkoittaako tämä virhe, että joku huijaa verkkotunnustani? Ei — huijaaja ei allekirjoittaisi valitsimellasi. Se tarkoittaa, että oma postisi kantaa allekirjoitusta, jota vastaanottajat eivät voi todentaa, joten se lasketaan allekirjoittamattomaksi ja DMARC tukeutuu yksin SPF:ään. Täydellinen, kohdistettu todennus on harvinaista: vain 10,092,481 261,086,232:sta verkkotunnuksesta (3.87%) täydensi SPF+DKIM+DMARC-kolmikon Defaults.Exposed-väestönlaskennassa (tiedot 2026-06-29 alkaen).

Voinko vain poistaa vanhan valitsimen, kun uusi toimii? Ei heti. Sen allekirjoittamat viestit ovat edelleen uudelleentoimitusjonoissa ja edelleenlähetysreiteissä; avaimen poistaminen rikkoo ne taaksepäin. Pidä vanha tietue vähintään viikon ajan, seuraa DMARC-raporttejasi kunnes vanha valitsin lakkaa näkymästä, sitten eläköitä se — mieluiten tyhjällä p=-tunnisteella eikä poistamalla.

Palveluntarjoajani tarkistustyökalu sanoo DKIM:n olevan konfiguroitu, mutta vastaanottajat raportoivat edelleen “no key”. Miksi? Lähes aina CNAME-kohteen ansa: DNS-paneelisi lisäsi alueesi kohteeseen (…esp.com.yourdomain.com), joten tietue on olemassa mutta ei osoita mihinkään. dig CNAME selector._domainkey.yourdomain.com +short näyttää tallennetun kohteen kirjaimellisesti — vertaa sitä merkki merkiltä siihen, mitä palveluntarjoaja pyysi.

Lähetä omistajalle raportti

Jos korjaat tätä asiakkaan tai työnantajasi puolesta, sulje silmukka todisteella. Aja ilmainen tarkistus uudelleen, kun valitsin ratkeaa, ja välitä arvioitu raportti liike-elämän omistajalle: päivätty, selkokielinen, DKIM todentaa nyt. Se on artefakti, jota he tarvitsevat kyberturvallisuusvakuutuksen uusinnassa ja seuraavassa toimittajan turvallisuuskyselyssä — todiste toimivasta kontrollista, ei vain suljettu tiketti.

Tarkista DKIM ilmaiseksi

Katso, ratkeavatko valitsimesi — ja täsmälleen mitä korjata — yksityisesti ja vain omistajan nähtävissä.

Tarkista verkkotunnuksesi → · “DKIM signature not valid” → · Korjaa DKIM → · Aseta DKIM Google Workspaceen → · Vain koottua tietoa. Tiedot tallennetaan ja käsitellään EU:ssa.