Почему в моем отчете DMARC от Google есть "неудача" когда все auth_results имеют значение "pass"

tag-icon tag-icon dkim dmarc
Почему в моем отчете DMARC от Google есть "неудача" когда все auth_results имеют значение "pass"

Мы используем Microsoft 365 (outlook.office.com) для корпоративной электронной почты и уже некоторое время настраиваем DKIM, но недавно добавили запись DMARC. Теперь я получил отчет DMARC от Google, в котором каждая запись имеет, <dkim>fail</dkim>а все auth_resultsв ней имеют "pass", как здесь:

  <record>
    <row>
      <source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
 -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>COMPANYDOMAIN.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>SENDERDOMAIN.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
      </dkim>
      <spf>
        <domain>COMPANYDOMAIN.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Что это значит? Как устранить неполадки, из-за которых здесь не проходит проверка DKIM?

Когда я тестирую его, отправляя запрос на dkimvalidator.com, он сообщает «result = pass» для DKIM (и для SPF).

решение1

  1. Вы не используете outlook.com для своей электронной почты. Вы используете Microsoft 365.

  2. Вам необходимо создать запись DKIM для вашего проверенного домена. Вы можете включить DKIM для вашего проверенного домена в Центре администрирования безопасности Microsoft 365>Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры аутентификации электронной почты.

  3. После включения DKIM для вашего проверенного домена вам необходимо будет создать записи CNAME в DNS на основе информации, сгенерированной в Центре администрирования безопасности>Электронная почта и совместная работа>Политики и правила>Политики угроз>Настройки аутентификации электронной почты.

решение2

Рассматриваемое письмо не проходит DKIM, поскольку у него нет подписи vlid DKIM, размещенной на домене COMPANYDOMAIN.com. Поскольку вы отправляете его из COMPANYDOMAIN.com, вам необходимо иметь запись DKIM, которая находится под COMPANYDOMAIN.com(это может быть cname для внешнего домена)

Требование к домену dkim соответствовать from необходимо для того, чтобы спамер не мог просто указать свое собственное доменное имя, которое он полностью контролирует, и, таким образом, заставить dkim всегда проходить.

Ваше сообщение проходит по протоколу DMARC как SPF-Only. Чтобы сообщение прошло, вам нужна либо действительная проверка DKIM, либо действительная проверка SPF.

Связанный контент