¿Por qué mi informe DMARC de Google tiene "fallar"cuando todos los auth_results tienen "pass"

tag-icon tag-icon dkim dmarc
¿Por qué mi informe DMARC de Google tiene "fallar"cuando todos los auth_results tienen "pass"

Estamos usando Microsoft 365 (outlook.office.com) para los correos electrónicos de nuestra empresa y hemos tenido DKIM configurado por un tiempo, pero recientemente agregamos un registro DMARC. Ahora recibí un informe DMARC de Google donde cada registro tiene, <dkim>fail</dkim>mientras que todos auth_resultsen él tienen "aprobado", como este:

  <record>
    <row>
      <source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
 -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>COMPANYDOMAIN.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>SENDERDOMAIN.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
      </dkim>
      <spf>
        <domain>COMPANYDOMAIN.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

¿Qué quiere decir esto? ¿Cómo soluciono el problema por el cual falla la validación DKIM aquí?

Cuando lo pruebo enviándolo a dkimvalidator.com, informa "resultado = aprobado" para DKIM (y para SPF).

Respuesta1

  1. No estás utilizando outlook.com para tu correo electrónico. Estás usando Microsoft 365.

  2. Debe crear un registro DKIM para su dominio verificado. Puede habilitar DKIM para su dominio verificado en el Centro de administración de seguridad de Microsoft 365>Correo electrónico y colaboración>Políticas y reglas>Políticas de amenazas>Configuración de autenticación de correo electrónico.

  3. Una vez que habilite DKIM para su dominio verificado, deberá crear registros CNAME en su DNS según la información generada en el Centro de administración de seguridad>Correo electrónico y colaboración>Políticas y reglas>Políticas de amenazas>Configuración de autenticación de correo electrónico

Respuesta2

El correo en cuestión falla DKIM porque no tiene ninguna firma DKIM válida alojada en el dominio COMPANYDOMAIN.com. Como lo estás enviando desde COMPANYDOMAIN.com, necesitas tener un registro DKIM que esté debajo COMPANYDOMAIN.com(puede ser un cname para un dominio externo)

El requisito para que el dominio de dkim coincida con el de es que un spammer no pueda simplemente especificar su propio nombre de dominio, que controla completamente y, por lo tanto, puede hacer que dkim siempre pase.

Su mensaje se transmite bajo DMARC como solo SPF; para que el mensaje se transmita, necesita un DKIM válido o una verificación SPF válida

información relacionada