Warum enthält mein DMARC-Bericht von Google „scheitern" wenn alle Auth_Resultate "pass" lauten

Warum enthält mein DMARC-Bericht von Google „scheitern" wenn alle Auth_Resultate "pass" lauten

Wir verwenden Microsoft 365 (outlook.office.com) für unsere Firmen-E-Mails und haben DKIM schon seit einiger Zeit eingerichtet, aber vor kurzem einen DMARC-Eintrag hinzugefügt. Ich habe jetzt einen DMARC-Bericht von Google erhalten, in dem jeder Eintrag mit <dkim>fail</dkim>auth_resultsbestanden“ gekennzeichnet ist, wie folgt:

  <record>
    <row>
      <source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
 -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>COMPANYDOMAIN.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>SENDERDOMAIN.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
      </dkim>
      <spf>
        <domain>COMPANYDOMAIN.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Was bedeutet das? Wie behebe ich das Problem, wenn die DKIM-Validierung hier fehlschlägt?

Wenn ich es teste, indem ich es an dkimvalidator.com sende, meldet es „Ergebnis = bestanden“ für DKIM (und für SPF).

Antwort1

  1. Sie verwenden für Ihre E-Mails nicht Outlook.com. Sie verwenden Microsoft 365.

  2. Sie müssen einen DKIM-Eintrag für Ihre verifizierte Domäne erstellen. Sie können DKIM für Ihre verifizierte Domäne im Microsoft 365 Security Admin Center > E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > E-Mail-Authentifizierungseinstellungen aktivieren.

  3. Sobald Sie DKIM für Ihre verifizierte Domäne aktiviert haben, müssen Sie CNAME-Einträge in Ihrem DNS erstellen, basierend auf den im Security Admin Center>E-Mail & Zusammenarbeit>Richtlinien & Regeln>Bedrohungsrichtlinien>E-Mail-Authentifizierungseinstellungen generierten Informationen.

Antwort2

Die betreffende E-Mail besteht DKIM nicht, da sie keine vlid DKIM-Signatur hat, die auf der Domäne gehostet wird COMPANYDOMAIN.com. Da Sie sie von senden COMPANYDOMAIN.com, benötigen Sie einen DKIM-Eintrag unter COMPANYDOMAIN.com(es kann ein CNAME für eine externe Domäne sein).

Die Anforderung, dass die Domäne des DKIM mit der Absenderadresse übereinstimmen muss, besteht darin, dass ein Spammer nicht einfach seinen eigenen Domänennamen angeben kann, über den er die vollständige Kontrolle hat und der somit dafür sorgt, dass DKIM immer durchkommt.

Ihre Nachricht wird unter DMARC als SPF-Only weitergeleitet. Damit die Nachricht weitergeleitet wird, benötigen Sie entweder eine gültige DKIM- oder eine gültige SPF-Prüfung.

verwandte Informationen