我們使用 Microsoft 365 (outlook.office.com) 作為公司電子郵件,並且已設定 DKIM 一段時間,但最近新增了 DMARC 記錄。我現在從 Google 獲得了一份 DMARC 報告,其中每筆記錄都有<dkim>fail</dkim>“auth_results通過”,如下所示:
<record>
<row>
<source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
-->
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>COMPANYDOMAIN.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>SENDERDOMAIN.onmicrosoft.com</domain>
<result>pass</result>
<selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
</dkim>
<spf>
<domain>COMPANYDOMAIN.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
這是什麼意思?如何解決 DKIM 驗證失敗的原因?
當我透過發送到 dkimvalidator.com 來測試它時,它報告 DKIM(和 SPF)的「結果 = 通過」。
答案1
您沒有使用 Outlook.com 作為您的電子郵件。您正在使用 Microsoft 365。
您需要為已驗證的網域建立 DKIM 記錄。您可以在 Microsoft 365 安全管理中心>電子郵件和協作>政策和規則>威脅原則>電子郵件驗證設定中為已驗證的網域啟用 DKIM。
為已驗證的網域啟用 DKIM 後,您需要根據安全管理中心>電子郵件和協作>政策和規則>威脅原則>電子郵件驗證設定中產生的資訊在 DNS 中建立 CNAME 記錄
答案2
相關郵件未通過 DKIM,因為它沒有在網域上託管的任何 vlid DKIM 簽署COMPANYDOMAIN.com。由於您是從 發送的COMPANYDOMAIN.com,因此您需要有一個 DKIM 記錄COMPANYDOMAIN.com(它可以是外部網域的 cname)
dkim 的域名與來源匹配的要求是,垃圾郵件發送者不能只指定自己的域名,他們完全控制域名,從而可以使 dkim 始終通過。
您的郵件在 DMARC 下作為僅 SPF 傳遞,要使郵件通過,您需要有效的 DKIM 或有效的 SPF 檢查