Defaults.Exposed › সমাধান › Guides
DKIM পাস হয় কিন্তু DMARC ব্যর্থ হয়: gappssmtp.com / onmicrosoft.com ডিফল্ট-স্বাক্ষর ফাঁদ (২০২৬)
প্রকাশিত 2026-07-08
2026-06-29 তারিখের তথ্য · পদ্ধতি v7। 261 মিলিয়ন গ্রেডকৃত ডোমেইন জুড়ে সমন্বিত জনগণনা তথ্য। দেখুন আমরা কীভাবে গ্রেড করি।
আপনার মেইল প্রদানকারীর ডিফল্ট স্বাক্ষর দিয়ে DKIM পাস করে — d= যা gappssmtp.com (Google Workspace) বা onmicrosoft.com (Microsoft 365)-এ শেষ হয় — কিন্তু সেই ডোমেইন আপনার From ডোমেইনের সাথে মেলে না, তাই DMARC কোনো সংযুক্ত পাস পায় না। কাস্টম-ডোমেইন DKIM signing চালু করুন এটি ঠিক করতে। Defaults.Exposed জনগণনা অনুযায়ী 261,086,232 গ্রেডকৃত ডোমেইনের মধ্যে Google-এর মেইল সার্ভার অনুমোদনকারী 12,145,313 ডোমেইনের মাত্র 18.5% DMARC প্রয়োগ করে।
সমাধান হল ইমেইল প্রমাণীকরণের সবচেয়ে পরিষ্কার: কাস্টম-ডোমেইন DKIM signing চালু করুন। Google Workspace-এ এটি হল Admin console-এর “Authenticate email” স্ক্রিন — কী তৈরি করুন, একটি TXT রেকর্ড প্রকাশ করুন, চালু করুন। Microsoft 365-এ এটি হল Defender portal-এর DKIM পৃষ্ঠা — দুটি selector CNAME প্রকাশ করুন, সক্ষম করুন। কুড়ি মিনিটের কাজ, এবং DMARC অবশেষে সেই সংযুক্ত পাস পায় যার জন্য অপেক্ষা করছিল।
DKIM পাস হয় কিন্তু DMARC তবুও কেন ব্যর্থ হয়?
কারণ DMARC জিজ্ঞাসা করে না “DKIM স্বাক্ষর বৈধ কিনা?” — এটি জিজ্ঞাসা করে “From হেডারের ডোমেইনের জন্য একটি বৈধ DKIM স্বাক্ষর আছে কিনা?” সেই দ্বিতীয় শর্তকে সংযুক্তি বলা হয়, এবং এটি হল DMARC-এর পুরো বিষয়: প্রমাণ করা যে আপনার প্রাপক দেখছে সেই ডোমেইনটি স্বাক্ষরিত।
ডিফল্টরূপে, Google Workspace আপনার মেইল একটি ডোমেইন দিয়ে স্বাক্ষর করে যেমন yourdomain-com.20230601.gappssmtp.com এবং Microsoft 365 yourtenant.onmicrosoft.com দিয়ে। উভয় স্বাক্ষর ক্রিপ্টোগ্রাফিক্যালি বৈধ — DKIM চেকার pass বলে — কিন্তু d= ডোমেইন Google বা Microsoft-এর, আপনার নয়। এমনকি DMARC-এর relaxed সংযুক্তির অধীনেও, যা শুধু সাংগঠনিক ডোমেইন মেলা প্রয়োজন, gappssmtp.com হল না yourdomain.com। মিল নেই, সংযুক্ত পাস নেই, এবং যদি SPF-ও সংযুক্ত না হয় (প্রায়ই পারে না — রিসিভাররা From হেডার নয় Return-Path ডোমেইনের বিপরীতে SPF মূল্যায়ন করে, এবং forwarding এটি সম্পূর্ণ ভাঙে), DMARC ব্যর্থ হয়।
এটি প্রদানকারী ডিফল্টের সংজ্ঞায়িত ফাঁদ: ডিফল্ট আপনাকে ডেলিভারেবিলিটি পায়, সুরক্ষা নয় — সংযুক্তি হল মিসিং টার্ন অফ দ্য কী। জনগণনা দেখায় কতজন প্রেরক ডিফল্টে থামে: _spf.google.com-এর মাধ্যমে Google-এর মেইল সার্ভার অনুমোদনকারী 12,145,313 ডোমেইনের মধ্যে (বিশ্বব্যাপী 138,927,207 SPF প্রকাশকের মধ্যে), মাত্র 18.5% DMARC প্রয়োগ করে।
Authentication-Results-এ ডিফল্ট-স্বাক্ষর ফাঁদ কীভাবে চিনব?
একটি বার্তা খুলুন যা আপনি পাঠিয়েছেন (Gmail বা Outlook মেইলবক্সে), কাঁচা উৎস দেখুন, এবং Authentication-Results হেডার খুঁজুন। চিহ্নটি হল DKIM pass কিন্তু ভুল d= — একটি Gmail-গৃহীত উদাহরণ দেখতে এরকম:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
তিনটি প্রশ্ন হিসেবে পড়ুন:
| হেডার টুকরো | এর মানে | রায় |
|---|---|---|
dkim=pass header.d=yourdomain.com | স্বাক্ষর বৈধ এবং আপনার From ডোমেইনের সাথে মেলে | সংযুক্ত — এটি লক্ষ্য |
dkim=pass header.d=…gappssmtp.com বা …onmicrosoft.com | স্বাক্ষর বৈধ কিন্তু এটি প্রদানকারীর ডিফল্ট ডোমেইন — DMARC এটি সংযুক্তির জন্য উপেক্ষা করে | ফাঁদ: সুরক্ষা ছাড়া পাস |
dkim=fail (যেকোনো d=) | স্বাক্ষর অবৈধ — ভিন্ন সমস্যা | দেখুন DKIM কীভাবে ঠিক করবেন |
কাস্টম-ডোমেইন DKIM signing কীভাবে সক্ষম করব?
- কিছু স্পর্শ করার আগে defaults.exposed এ বিনামূল্যে স্ক্যান চালান। এটি আপনার ডোমেইনে সংযুক্ত DKIM আছে কিনা, আপনার DMARC নীতি আসলে কী এবং এই ঠিকের পরেও অন্য কী (SPF, DMARC রেকর্ড সিনট্যাক্স) আপনাকে বাধা দেবে তা দেখায়।
- কোন ডিফল্ট দিয়ে স্বাক্ষর করছেন তা শনাক্ত করুন। উপরের মতো Authentication-Results-এ
header.d=পরীক্ষা করুন:gappssmtp.comমানে Google Workspace ডিফল্ট,onmicrosoft.comমানে Microsoft 365 ডিফল্ট। - Google Workspace: আপনার নিজের কী তৈরি করুন এবং প্রকাশ করুন। Admin console-এ Apps → Google Workspace → Gmail → Authenticate email যান, আপনার ডোমেইন নির্বাচন করুন এবং Generate New Record ক্লিক করুন (2048-bit যদি না আপনার DNS হোস্ট এটি সংরক্ষণ করতে না পারে)। এটি যে TXT রেকর্ড দেয় তা
google._domainkey.yourdomain.com-এ প্রকাশ করুন, DNS-এর জন্য অপেক্ষা করুন (৪৮ ঘন্টা পর্যন্ত), তারপর — যে পদক্ষেপটি লোকে মিস করে — Start authentication ক্লিক করুন। রেকর্ড তৈরি করা signing চালু না করা পর্যন্ত কিছুই করে না। - Microsoft 365: দুটি selector CNAME প্রকাশ করুন এবং সক্ষম করুন। Defender portal-এ Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM যান, আপনার কাস্টম ডোমেইন নির্বাচন করুন এবং কী তৈরি করুন। উভয় CNAME প্রকাশ করুন —
selector1._domainkeyএবংselector2._domainkey, portal যে টার্গেট দেখায় তার দিকে নির্দেশ করুন — তারপর signing চালু করুন। দুটি selector ঐচ্ছিক নয়: Microsoft তাদের মধ্যে কী রোটেট করে। - নতুন স্বাক্ষর যাচাই করুন। একটি বাইরের মেইলবক্সে একটি নতুন বার্তা পাঠান এবং Authentication-Results পুনরায় পরীক্ষা করুন:
dkim=passএখনheader.d=yourdomain.comদেখাতে হবে। - পুনরায় স্ক্যান করুন এবং সংযুক্ত পাসটি কোথাও নিয়ে যান। স্ক্যান সংযুক্ত DKIM দেখায় নিশ্চিত করুন, তারপর এটি ব্যবহার করুন:
p=none-এ একটি DMARC নীতি কিছুই রক্ষা করে না। DMARC কীভাবে ঠিক করবেন পৃষ্ঠায় শুরু করুন।
কাস্টম DKIM সক্ষম করলে কি কিছু ভাঙবে?
না — এটি ইমেইল প্রমাণীকরণের বিরল ঠিক যা কার্যত কোনো বিস্ফোরণ ব্যাসার্ধ নেই: ডিফল্ট স্বাক্ষর দিয়ে যে মেইল বের হয়েছিল তা শুধু একটি ভালো স্বাক্ষর দিয়ে বের হয়। প্রকৃত ব্যর্থতার ধরন হল অর্ধেক করা — Google-এর TXT প্রকাশ করা কিন্তু Start authentication ক্লিক না করা, বা উভয়ের পরিবর্তে একটি M365 selector প্রকাশ করা। এবং DNS রেকর্ডগুলি পরে “পরিষ্কার করতে” মুছবেন না; কী অদৃশ্য হওয়ার সাথে সাথে signing বন্ধ হয়।
সচরাচর জিজ্ঞাসিত প্রশ্ন
DKIM প্রতিটি পরীক্ষা সরঞ্জামে “pass” দেখায় — কেন কিছু ঠিক করা দরকার?
কারণ সরঞ্জামগুলি DMARC-এর চেয়ে সংকীর্ণ প্রশ্নের উত্তর দেয়। স্বাক্ষর বৈধ — কিন্তু এটি gappssmtp.com-এর বা onmicrosoft.com-এর, আপনার নয়, তাই এটি DMARC সংযুক্তিতে কিছুই গণনা করে না। এটিই এত প্রেরক ডিফল্টে থামার কারণ: 12,145,313 Google-অনুমোদনকারী ডোমেইনের মাত্র 18.5% DMARC প্রয়োগ করে।
Relaxed DMARC সংযুক্তি কি ডিফল্ট স্বাক্ষর পাস করতে দেয়?
না। Relaxed সংযুক্তি শুধু সাংগঠনিক ডোমেইনে মিল শিথিল করে। ডিফল্ট স্বাক্ষরের সাংগঠনিক ডোমেইন gappssmtp.com বা onmicrosoft.com, যা আপনার সাথে কিছুই শেয়ার করে না।
gappssmtp.com / onmicrosoft.com স্বাক্ষর কি খারাপ? আমার কি এটি সরিয়ে দেওয়া উচিত? এটি খারাপ নয় — এটি নিশ্চিত করে আপনার মেইলে কিছু বৈধ স্বাক্ষর আছে। এটি শুধু আপনার নয়। আপনি এটি সরান না; কাস্টম-ডোমেইন signing সক্ষম করে এটি প্রতিস্থাপন করুন।
ঠিক করতে কতক্ষণ লাগে? কনসোল কাজ প্রতি প্রদানকারী মিনিট। DNS হল অপেক্ষা: Google ৪৮ ঘন্টা পর্যন্ত অনুমতি দিতে বলে; Microsoft-এর CNAME সাধারণত কয়েক ঘন্টার মধ্যে লাইভ হয়। শেষ থেকে শেষ একটি কর্মদিন বাজেট করুন, বেশিরভাগ অপেক্ষায়।
মালিককে রিপোর্ট পাঠান
আপনি যদি একটি ক্লায়েন্ট বা নিয়োগকর্তার জন্য এটি ঠিক করছেন, প্রমাণ দিয়ে বন্ধ করুন। নতুন স্বাক্ষর লাইভ হলে বিনামূল্যে স্ক্যান পুনরায় চালান এবং গ্রেডকৃত রিপোর্টটি ব্যবসার মালিকের কাছে ফরওয়ার্ড করুন: তারিখযুক্ত, সরল-ভাষায়, DKIM তাদের ডোমেইনের সাথে সংযুক্ত দেখাচ্ছে।
আপনার DKIM সংযুক্তি বিনামূল্যে পরীক্ষা করুন
দেখুন আপনার মেইল আপনার নিজস্ব ডোমেইন হিসেবে স্বাক্ষর করে কিনা — এবং ঠিক কী ঠিক করতে হবে — ব্যক্তিগতভাবে এবং মালিক-শুধুমাত্র।
আপনার ডোমেইন পরীক্ষা করুন → · DMARC ব্যর্থ হয় কিন্তু SPF এবং DKIM পাস → · DKIM ঠিক করুন → · Google Workspace-এ DKIM সেটআপ করুন → · শুধুমাত্র সমন্বিত তথ্য। EU-তে তথ্য সংরক্ষিত এবং প্রক্রিয়া করা হয়।