Por que meu relatório DMARC do Google tem "falhar" quando todos os auth_results tiverem "pass"

tag-icon tag-icon dkim dmarc
Por que meu relatório DMARC do Google tem "falhar" quando todos os auth_results tiverem "pass"

Estamos usando o Microsoft 365 (outlook.office.com) para os e-mails de nossa empresa e já configuramos o DKIM há algum tempo, mas recentemente adicionamos um registro DMARC. Agora recebi um relatório DMARC do Google onde cada registro tem, <dkim>fail</dkim>enquanto todos auth_resultsnele têm "pass", assim:

  <record>
    <row>
      <source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
 -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>COMPANYDOMAIN.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>SENDERDOMAIN.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
      </dkim>
      <spf>
        <domain>COMPANYDOMAIN.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

O que isto significa? Como resolvo por que a validação DKIM falha aqui?

Quando eu testo enviando para dkimvalidator.com ele informa "resultado = aprovado" para DKIM (e para SPF).

Responder1

  1. Você não está usando o Outlook.com para seu e-mail. Você está usando o Microsoft 365.

  2. Você precisa criar um registro DKIM para seu domínio verificado. Você pode habilitar o DKIM para seu domínio verificado no Centro de administração de segurança do Microsoft 365>E-mail e colaboração>Políticas e regras>Políticas de ameaças>Configurações de autenticação de email.

  3. Depois de ativar o DKIM para seu domínio verificado, você precisará criar registros CNAME em seu DNS com base nas informações geradas no Centro de administração de segurança>E-mail e colaboração>Políticas e regras>Políticas de ameaças>Configurações de autenticação de e-mail

Responder2

O e-mail em questão falha no DKIM, porque não possui nenhuma assinatura vlid DKIM hospedada no domínio COMPANYDOMAIN.com. Como você está enviando de COMPANYDOMAIN.com, você precisa ter um registro DKIM abaixo COMPANYDOMAIN.com(pode ser um cname para um domínio externo)

O requisito para que o domínio do dkim corresponda ao from é que um spammer não possa apenas especificar seu próprio nome de domínio, que ele controla totalmente e, portanto, pode fazer com que o dkim sempre passe.

Sua mensagem está passando no DMARC como somente SPF. Para que a mensagem seja aprovada, você precisa de um DKIM válido ou de uma verificação SPF válida

informação relacionada