为什么我的 Google DMARC 报告显示“失败“当所有 auth_results 都为“通过”时

为什么我的 Google DMARC 报告显示“失败“当所有 auth_results 都为“通过”时

我们使用 Microsoft 365 (outlook.office.com) 来处理公司电子邮件,并且已经设置了一段时间的 DKIM,但最近添加了 DMARC 记录。我现在从 Google 获得了 DMARC 报告,其中每条记录都显示<dkim>fail</dkim>auth_results通过”,如下所示:

  <record>
    <row>
      <source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
 -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>COMPANYDOMAIN.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>SENDERDOMAIN.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
      </dkim>
      <spf>
        <domain>COMPANYDOMAIN.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

这是什么意思?如何解决 DKIM 验证失败的问题?

当我通过发送到 dkimvalidator.com 进行测试时,它会报告 DKIM(和 SPF)的“结果 = 通过”。

答案1

  1. 您没有使用 outlook.com 收发电子邮件。您正在使用 Microsoft 365。

  2. 您需要为已验证的域创建 DKIM 记录。您可以在 Microsoft 365 安全管理中心 > 电子邮件和协作 > 策略和规则 > 威胁策略 > 电子邮件身份验证设置中为已验证的域启用 DKIM。

  3. 为已验证的域启用 DKIM 后,您需要根据安全管理中心 > 电子邮件和协作 > 策略和规则 > 威胁策略 > 电子邮件身份验证设置中生成的信息在 DNS 中创建 CNAME 记录

答案2

有问题的邮件未通过 DKIM 验证,因为它没有托管在域 上的任何 vlid DKIM 签名COMPANYDOMAIN.com。由于您是从 发送的COMPANYDOMAIN.com,因此您需要有 下的 DKIM 记录COMPANYDOMAIN.com(可以是外部域的 cname)

dkim 的域名必须与发件人相匹配,这样垃圾邮件发送者就不能只指定他们自己的域名,他们可以完全控制域名,从而让 dkim 始终通过。

您的邮件将以 SPF-Only 形式通过 DMARC,要使邮件通过,您需要有效的 DKIM 或有效的 SPF 检查

相关内容