Defaults.Exposed

Defaults.ExposedDüzeltmelerGuides

"DKIM İmzası Geçerli Değil" — Kontrol Edilecek Sıradaki Nedenler (2026)

Yayımlanma 2026-07-08

Veriler: 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı üzerinde toplam sayım verileri. Bkz. nasıl derecelendiriyoruz.

“DKIM signature not valid” hatasının kontrol edilecek sıradaki beş yaygın nedeni vardır: transit sırasında içerik değiştirilmesi, kesik anahtar kaydı, imzalayanla eşleşmeyen yayınlanan anahtar, yanlış seçici ve kırılgan kanonizasyon. Defaults.Exposed sayımına göre (2026-06-29) derecelendirilen 261,086,232 alan adının yalnızca 10,092,481 tanesi (%3.87) tam SPF + DKIM + zorlayıcı DMARC üçlüsünü tutuyor.

Düzeltme sırası önemlidir çünkü en yaygın neden DNS”inizde değildir. Önce transitte mesajı neyin değiştirdiğini kontrol edin, ardından içeriye doğru çalışın: anahtar kaydının bütünlüğü, posta sunucunuzun gerçekte hangi anahtarla imzaladığıyla eşleşip eşleşmediği, seçici ve son olarak imzalama ayarları. Geçersiz imzaların çoğu birinci veya ikinci adımda düzeltilir.

”DKIM signature not valid” aslında ne anlama gelir?

Her DKIM imzalı mesaj, bir alan adını (d=), bir seçiciyi (s=), mesaj gövdesinin bir karmasını (bh=) ve gövde karması artı seçilmiş başlıklar üzerindeki kriptografik imzayı (b=) adlandıran bir DKIM-Signature başlığı taşır. Alıcı, <selector>._domainkey.<domain> adresindeki DNS”den ortak anahtarınızı alır, her iki karmayı yeniden hesaplar ve imzayı kontrol eder (RFC 6376). “İmza geçerli değil”, denetleyici ve başlık dilinde şu anlama gelir: bu doğrulama çalıştı ve başarısız oldu — anahtar bulundu ama matematiksel sonuç tutmadı.

Bu son cümle tanısal altındır. Anahtarınızı bulamayan bir doğrulayıcı farklı bir şey söyler — genellikle dkim=fail (no key for signature) gibi bir başlık — ve bu bir seçici sorunudur; DKIM “no key for signature” — seçici ve döngü düzeltmeleri bölümünde ele alınmıştır. Farklı bir gövde karması yeniden hesaplayan doğrulayıcı ise genellikle açıkça body hash did not verify ifadesini kullanır — Microsoft bunu dkim=fail (body hash did not verify) olarak raporlarken Gmail aynı teşhisi genellikle dkim=neutral (body hash did not verify) olarak gösterir. Her iki durumda da içerik değişikliğine işaret eder; bkz. “body hash did not verify” — mesajınızı ne değiştirdi. Herhangi bir şeye dokunmadan önce Authentication-Results başlığındaki tam ifadeyi okuyun: taşıdığınız beş nedenden hangisini olduğunu söyler.

Bunu doğru yapmak nadirdir: Defaults.Exposed sayımına göre yalnızca %51.84 alan adı DNS”de keşfedilebilir bir DKIM anahtarı yayınlıyor ve yalnızca %3.87 261 milyon derecelendirilmiş alan adı SPF, DKIM ve zorlayıcı DMARC politikasını birleştiriyor — toplu gönderici kurallarının şimdi varsaydığı yapılandırma. Aşama bazında resim SPF benimseme olgunluk modeli adlı makalededir.

Beş neden sırasıyla nelerdir?

#NedenBelirtiDüzeltme
1Transitte içerik değiştirildi — ağ geçidi altbilgileri, yasal sorumluluk reddi, posta listesi konu etiketleribody hash did not verify, Authentication-Results”ta; harici postalar başarısız, doğrudan postalar geçiyorDeğişiklikten sonra imzalayın ya da değişikliği durdurun — bkz. gövde karması kılavuzu
2Kesik veya bozulmuş uzun anahtarYayınlanan p= oluşturduğunuz anahtardan belirgin biçimde kısa; her alıcı başarısız oluyor2048 bit anahtarı doğru bölünmüş TXT dizeleri olarak yeniden yayınlayın
3Yayınlanan anahtar imzalayanla eşleşmiyorBaşarısızlıklar bir döngüden, geçişten veya sağlayıcı değişikliğinden hemen sonra başlıyorMevcut ortak anahtarı imzalayanın konsolundan yeniden kopyalayın; CNAME delegasyonunu tercih edin
4Yanlış veya eksik seçicino key for signature — arama kendisi başarısız oluyorİmzalayanın gerçekte kullandığı seçiciyi yayınlayın — bkz. seçici kılavuzu
5Kırılgan kanonizasyon veya l= etiketiÖnemsiz biçimde yeniden biçimlendirilmiş mesajlarda aralıklı başarısızlıklarc=relaxed/relaxed; l= etiketini tamamen kaldırın

Neden 1 kalın yazılıdır çünkü mükemmel imzalanmış mesajlardaki imzaları bozar. Bir güvenlik ağ geçidi bir sorumluluk reddi ekler, bir uyumluluk altbilgisi imzalamadan sonra damgalanır, bir posta listesi konuya [listname] ekler — gövde veya imzalanmış başlıklar değişir, karmalar artık eşleşmez ve imza DNS”inizde hiçbir hata olmaksızın geçersiz olur. Başarısızlıklar bir ağ geçidi, liste veya arşivleme atlaması geçiren postayla ilişkiliyse oradan başlayın.

”DKIM signature not valid” nasıl düzeltilir?

  1. DNS”e dokunmadan önce defaults.exposed üzerinde ücretsiz taramayı çalıştırın. Yayınlanan anahtar kaydınızın mevcut, iyi biçimlendirilmiş ve eksiksiz olup olmadığını gösterir — “DNS”inizin bozuk” (nedenler 2-4) ile “DNS”iniz iyi, mesaj değiştiriliyor” (neden 1) arasındaki farkı tek adımda ayırt eder.
  2. Başarısız bir mesajın Authentication-Results başlığını okuyun. body hash did not verify → neden 1, gövde karması kılavuzuna gidin — olağan şüpheliler ağ geçidi altbilgileri ve sorumluluk reddileridir ve düzeltme değişiklikten sonra imzalamaktır. no key for signature → neden 4, seçici kılavuzuna gidin. Düz imza başarısızlığı → devam edin.
  3. Yayınlanan anahtarda kesme olup olmadığını kontrol edin. <selector>._domainkey.<yourdomain> adresini TXT olarak arayın (dig TXT selector._domainkey.example.com). 2048 bit RSA ortak anahtarı tek bir TXT dizesinin 255 karakter sınırını aşar, dolayısıyla alıcıların birleştireceği birden fazla tırnaklı dize olarak yayınlanmalıdır — ve DNS sağlayıcısı web arayüzleri yapıştırılan içeriği sessizce kesmek, bölmeyi bozmak veya p= değerine boşluk ve tırnak eklemekle ünlüdür. İmzalayanın oluşturduğu anahtarla karakter karakter karşılaştırın; DKIM kurulum rehberlerimiz sağlayıcı başına incelikleri kapsar.
  4. Yayınlanan anahtarın imzalayanla eşleştiğini onaylayın. Anahtar döngüsü, sağlayıcı geçişi veya ESP yeniden bağlantısından sonra imzalayanın yeni bir özel anahtarı tutarken DNS”in eski ortak anahtarı sunması yaygındır — her imza yanlış anahtara karşı doğrulanır ve başarısız olur. Mevcut kaydı sağlayıcınızın yönetici konsolundan yeniden kopyalayın. Daha iyisi: sağlayıcı CNAME delegasyonu sunuyorsa kullanın — sağlayıcı anahtarları kendi tarafında döndürür ve bu hata sınıfının tamamı ortadan kalkar. Ve eski bir seçiciyi onunla imzalanmış trafik boşalmadan asla silmeyin.
  5. İmzalama ayarlarını düzeltin, yalnızca kaydı değil. Kanonizasyonu c=relaxed/relaxed olarak ayarlayın; bu, ara sunucuların meşru olarak yaptığı boşluk yeniden sarma ve başlık yeniden katlama işlemlerine tolerans sağlar; simple kanonizasyon bir insanın bile göremeyeceği değişikliklerde başarısız olur. Ve l= gövde uzunluğu etiketini kullanmayın: altbilgilerin geçmesine izin vermek amacıyla tasarlandı ama imzalı mesajınıza geçerli imzanız sonucu etkilemeden herkesin içerik eklemesine izin veriyor — gerçek bir saldırı vektörü — ve yine de çoğu ağ geçidi değişikliğinden kurtulmuyor. l= yok hem daha güvenli hem de daha güvenilir seçimdir.
  6. Yeniden tarayın, ardından hizalamayı kontrol edin. Geçerli bir imza yalnızca d= alanı From alanınızla hizalanırsa DMARC”a yardımcı olur — d=yourcompany.gappssmtp.com olarak doğrulayan imza DKIM”yi geçirir ve yine de DMARC”ta başarısız olur. Buysa, varsayılan imza tuzağı bölümüne bakın, ardından DKIM”i düzeltin sayfasında taramanın işaretlediği diğer her şeyi çözün.

Sık sorulan sorular

“DKIM signature not valid” ile “body hash did not verify” aynı şey mi? Gövde karması mesajı, belirli bir alt vakadır: imzalamadan sonra gövde değişti (altbilgiler, sorumluluk redleri, liste yeniden yazmaları). “İmza geçerli değil”, hatalı anahtarlar ve başlık değişiklikleri dahil herhangi bir başarısız doğrulamanın şemsiye kararıdır — bu nedenle yukarıdaki adım 2 başlığı okumaktır ve gövde karması vakasının kendi kılavuzu vardır.

Geçersiz bir DKIM imzası postamın reddedildiği anlamına mı gelir? Tek başına değil — alıcılar kırık imzayı eksik imza gibi değerlendirir. Zarar DMARC aracılığıyla gelir: SPF de hizalamayla geçmiyorsa mesaj DMARC”ta başarısız olur ve yayınlanan politikanız geçerli olur. 2026-06-29 sayımına göre derecelendirilmiş 261,086,232 alan adının yalnızca %3.87‘i SPF, DKIM ve zorlayıcı DMARC politikasını birlikte tutuyor — ama Gmail ve Microsoft artık tam olarak bunu gönderenlerde bekliyor, dolayısıyla kırık bir DKIM ayağı red olmadan önce teslimi etkiliyor.

1024 bit mi yoksa 2048 bit mi DKIM anahtarı kullanmalıyım? 2048 bit — 1024 bit anahtarlar mevcut kriptografik önerilerin altında kalıyor ve bazı alıcılar bunları aşağı değerlendiriyor. Tek zorluk operasyoneldir: 2048 bit anahtar tek bir 255 karakterlik TXT dizesine sığmaz, dolayısıyla doğru biçimde bölünmesi gerekir (yukarıdaki neden 2). Sağlayıcınıza CNAME delegasyonu bölme sorununu tamamen ortadan kaldırır.

DKIM”im her denetleyicide “pass” geçiyor ama DMARC hâlâ başarısız oluyor — nasıl? Neredeyse kesinlikle hizalama: imza doğrulanıyor ama d= alanı (örneğin yourcompany.gappssmtp.com veya yourtenant.onmicrosoft.com) From alanınızla eşleşmiyor, dolayısıyla DMARC onu kullanamıyor. Sağlayıcınızın özel alan adı imzalamasını etkinleştirin — tam talimatlar varsayılan imza tuzağı kılavuzunda.

Sürekli başarısız oluyorsa DKIM”i kapatsam olmaz mı? Hayır — 2024 toplu gönderici zorunlulukları bu yana Gmail ve Yahoo, hacimli göndericiler için DKIM gerektirir ve zorlayıcı DMARC politikası gerçekçi olarak DKIM gerektirir çünkü SPF tek başına iletimde bozulur. İmzayı düzeltin; yukarıdaki nedenler bir öğleden sonrada hepsi düzeltilebilir.

Sahibine raporu gönderin

Bunu bir müşteri veya işvereniniz için düzeltiyorsanız, kanıtla döngüyü kapatın. Değişikliklerinizden sonra ücretsiz taramayı yeniden çalıştırın ve derecelendirilmiş raporu işletme sahibine iletin: tarihli, sade dilli, DKIM yeşil gösteriyor. Siber sigorta yenilemesinde ve bir sonraki tedarikçi güvenlik anketinde ihtiyaç duyacakları eserdir — “bir DNS şeyini düzelttim” ile alan adının postasını kimlik doğruladığını belgeleyen belgelenmiş bir öncesi-sonrası arasındaki farktır.

Alan adınızı kontrol edin → · “Body hash did not verify” kılavuzu → · DKIM”i düzeltin → · Nasıl derecelendiriyoruz → · Yalnızca toplu veriler. Veriler AB”de depolanır ve işlenir.