我们使用 Microsoft 365 (outlook.office.com) 来处理公司电子邮件,并且已经设置了一段时间的 DKIM,但最近添加了 DMARC 记录。我现在从 Google 获得了 DMARC 报告,其中每条记录都显示<dkim>fail</dkim>“auth_results通过”,如下所示:
<record>
<row>
<source_ip>2a01:111:f403:260d::601</source_ip> <!-- mail-db5eur01on0601.outbound.protection.outlook.com.
-->
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>COMPANYDOMAIN.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>SENDERDOMAIN.onmicrosoft.com</domain>
<result>pass</result>
<selector>selector2-SENDERDOMAIN-onmicrosoft-com</selector>
</dkim>
<spf>
<domain>COMPANYDOMAIN.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
这是什么意思?如何解决 DKIM 验证失败的问题?
当我通过发送到 dkimvalidator.com 进行测试时,它会报告 DKIM(和 SPF)的“结果 = 通过”。
答案1
您没有使用 outlook.com 收发电子邮件。您正在使用 Microsoft 365。
您需要为已验证的域创建 DKIM 记录。您可以在 Microsoft 365 安全管理中心 > 电子邮件和协作 > 策略和规则 > 威胁策略 > 电子邮件身份验证设置中为已验证的域启用 DKIM。
为已验证的域启用 DKIM 后,您需要根据安全管理中心 > 电子邮件和协作 > 策略和规则 > 威胁策略 > 电子邮件身份验证设置中生成的信息在 DNS 中创建 CNAME 记录
答案2
有问题的邮件未通过 DKIM 验证,因为它没有托管在域 上的任何 vlid DKIM 签名COMPANYDOMAIN.com。由于您是从 发送的COMPANYDOMAIN.com,因此您需要有 下的 DKIM 记录COMPANYDOMAIN.com(可以是外部域的 cname)
dkim 的域名必须与发件人相匹配,这样垃圾邮件发送者就不能只指定他们自己的域名,他们可以完全控制域名,从而让 dkim 始终通过。
您的邮件将以 SPF-Only 形式通过 DMARC,要使邮件通过,您需要有效的 DKIM 或有效的 SPF 检查