弊社では、会社のメールに Microsoft 365 (outlook.office.com) を使用しており、しばらく前から DKIM を設定していましたが、最近 DMARC レコードを追加しました。Google から DMARC レポートを受け取りましたが、そのレポートに<dkim>fail</dkim>は、すべてのレコードauth_resultsに「合格」と記載されています。次のようになります。
<record>
<row>
<source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
-->
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>COMPANYDOMAIN.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>SENDERDOMAIN.onmicrosoft.com</domain>
<result>pass</result>
<selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
</dkim>
<spf>
<domain>COMPANYDOMAIN.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
これはどういう意味ですか? ここで DKIM 検証が失敗する原因をトラブルシューティングするにはどうすればよいですか?
dkimvalidator.com に送信してテストすると、DKIM (および SPF) に対して「結果 = 合格」が報告されます。
答え1
電子メールに outlook.com を使用しておらず、Microsoft 365 を使用しています。
検証済みドメインの DKIM レコードを作成する必要があります。検証済みドメインの DKIM は、Microsoft 365 セキュリティ管理センター > メールとコラボレーション > ポリシーとルール > 脅威ポリシー > メール認証設定で有効にできます。
検証済みドメインでDKIMを有効にしたら、セキュリティ管理センター>メールとコラボレーション>ポリシーとルール>脅威ポリシー>メール認証設定で生成された情報に基づいてDNSにCNAMEレコードを作成する必要があります。
答え2
問題のメールは、ドメイン でホストされている vlid DKIM 署名がないため、DKIM に失敗しますCOMPANYDOMAIN.com。 から送信しているためCOMPANYDOMAIN.com、 の下にある DKIM レコードが必要ですCOMPANYDOMAIN.com(外部ドメインへの cname でもかまいません)。
DKIM のドメインが送信元と一致するという要件は、スパマーが自分のドメイン名を指定するだけでは不十分で、スパマーが完全に制御できるため、DKIM が常に通過できるようになります。
あなたのメッセージはDMARCの下でSPFのみとして通過します。メッセージが通過するには、有効なDKIMまたは有効なSPFチェックが必要です。