Defaults.Exposed › Διορθώσεις › Guides
DKIM Περνά αλλά DMARC Αποτυγχάνει: Η Παγίδα Προεπιλεγμένης Υπογραφής gappssmtp.com / onmicrosoft.com (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά στοιχεία απογραφής για 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Το email σας περνά DKIM με την προεπιλεγμένη υπογραφή του παρόχου — d= που τελειώνει σε gappssmtp.com (Google Workspace) ή onmicrosoft.com (Microsoft 365) — αλλά αυτό το domain δεν ταιριάζει με το domain From σας, οπότε το DMARC δεν λαμβάνει ευθυγραμμισμένο pass. Ενεργοποιήστε την υπογραφή προσαρμοσμένου-domain για να το διορθώσετε. Από τα 12,145,313 domains που εξουσιοδοτούν τους διακομιστές email της Google, μόνο 18.5% επιβάλλουν DMARC, σύμφωνα με την απογραφή Defaults.Exposed των 261,086,232 βαθμολογημένων domains.
Η διόρθωση είναι μία από τις πιο καθαρές στην επικύρωση email: ενεργοποιήστε την υπογραφή DKIM προσαρμοσμένου-domain. Στο Google Workspace αυτή είναι η οθόνη “Authenticate email” της κονσόλας διαχείρισης — δημιουργήστε το κλειδί, δημοσιεύστε μία εγγραφή TXT, ενεργοποιήστε. Στο Microsoft 365 είναι η σελίδα DKIM του Defender portal — δημοσιεύστε δύο selector CNAMEs, ενεργοποιήστε. Είκοσι λεπτά εργασίας, και το DMARC επιτέλους λαμβάνει το ευθυγραμμισμένο pass που περιμένει.
Γιατί περνά ο DKIM αλλά εξακολουθεί να αποτυγχάνει το DMARC;
Επειδή το DMARC δεν ρωτά “υπάρχει έγκυρη υπογραφή DKIM;” — ρωτά “υπάρχει έγκυρη υπογραφή DKIM για το domain στην κεφαλίδα From;” Αυτή η δεύτερη προϋπόθεση ονομάζεται ευθυγράμμιση, και είναι ολόκληρο το νόημα του DMARC: να αποδεικνύει ότι το domain που βλέπει ο παραλήπτης σας είναι το domain που υπέγραψε.
Εξ αρχής, το Google Workspace υπογράφει το email σας με domain όπως yourdomain-com.20230601.gappssmtp.com (η χρονοσφραγίδα ποικίλλει ανά domain) και το Microsoft 365 υπογράφει με yourtenant.onmicrosoft.com. Και οι δύο υπογραφές είναι κρυπτογραφικά έγκυρες — οι DKIM checkers λένε pass — αλλά το domain d= ανήκει στη Google ή τη Microsoft, όχι σε εσάς. Ακόμα και κάτω από τη relaxed ευθυγράμμιση του DMARC, που απαιτεί μόνο να ταιριάζουν τα organizational domains, το gappssmtp.com δεν είναι το yourdomain.com. Καμία αντιστοιχία, κανένα ευθυγραμμισμένο pass, και αν ο SPF δεν ευθυγραμμίζεται επίσης (συχνά δεν μπορεί — οι παραλήπτες αξιολογούν τον SPF έναντι του domain Return-Path, όχι της κεφαλίδας From, και η προώθηση τον σπάει εντελώς), το DMARC αποτυγχάνει.
Αυτή είναι η ορισμένη παγίδα των προεπιλογών παρόχου: η προεπιλογή σας δίνει deliverability, όχι προστασία — η ευθυγράμμιση είναι η χαμένη στροφή του κλειδιού. Η απογραφή δείχνει πόσοι αποστολείς σταματούν στην προεπιλογή: από τα 12,145,313 domains που εξουσιοδοτούν τους διακομιστές email της Google μέσω _spf.google.com (από 138,927,207 εκδότες SPF παγκοσμίως), μόνο 18.5% επιβάλλουν DMARC. Η εικόνα της Microsoft έχει το ίδιο σχήμα: 10,205,070 domains εξουσιοδοτούν spf.protection.outlook.com, 85.0% φέρουν την strict εγγραφή SPF που τους δίνει η ρύθμιση M365 — και μόνο 21.7% επιβάλλουν DMARC. Πλήρης σύγκριση στον πίνακα κατάταξης SPF παρόχου email.
Η παγίδα είναι αόρατη στην καθημερινή χρήση: το email παραδίδεται, οι inbox tests φαίνονται καλές, τίποτα δεν εκδίδει σφάλμα — μέχρι να δημοσιεύσετε DMARC policy και το δικό σας email αρχίσει να αποτυγχάνει σε αυτήν. Η δωρεάν σάρωση μας εντοπίζει ακριβώς αυτό το κενό.
Πώς εντοπίζω την παγίδα προεπιλεγμένης υπογραφής στα Authentication-Results;
Ανοίξτε ένα μήνυμα που στείλατε (σε γραμματοκιβώτιο Gmail ή Outlook), δείτε την αρχική/ακατέργαστη πηγή, και βρείτε την κεφαλίδα Authentication-Results. Το σημάδι είναι ένα DKIM pass με λάθος d= — ένα παράδειγμα που ελήφθη στο Gmail μοιάζει ως εξής:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
Διαβάστε το ως τρεις ερωτήσεις:
| Απόσπασμα κεφαλίδας | Τι σημαίνει | Απόφαση |
|---|---|---|
dkim=pass header.d=yourdomain.com | Υπογραφή έγκυρη ΚΑΙ ταιριάζει με το domain From σας | Ευθυγραμμισμένο — αυτός είναι ο στόχος |
dkim=pass header.d=…gappssmtp.com ή …onmicrosoft.com | Υπογραφή έγκυρη αλλά είναι το προεπιλεγμένο domain του παρόχου — το DMARC το αγνοεί για ευθυγράμμιση | Η παγίδα: pass χωρίς προστασία |
dkim=fail (οποιοδήποτε d=) | Υπογραφή άκυρη — διαφορετικό πρόβλημα | Δείτε πώς να διορθώσετε DKIM |
Σε email που λαμβάνεται στη Microsoft, η ίδια ιστορία εμφανίζεται ως dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com παράλληλα με compauth=fail — το μοτίβο που καλύπτεται στον οδηγό απόρριψης Outlook.
Αν η κεφαλίδα σας δείχνει αντίθετα και dkim=pass και spf=pass με DMARC fail, βρίσκεστε στη γενικότερη περίπτωση ευθυγράμμισης — ο οδηγός DMARC fails but SPF and DKIM pass ξεπερνά relaxed vs strict ευθυγράμμιση πλήρως.
Πώς ενεργοποιώ υπογραφή DKIM προσαρμοσμένου-domain;
- Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αλλάξετε οτιδήποτε. Δείχνει αν το domain σας έχει ευθυγραμμισμένο DKIM, ποια είναι η DMARC policy σας πραγματικά, και αν κάτι άλλο (σύνταξη SPF, εγγραφή DMARC) θα σας εμποδίζει ακόμα μετά από αυτή τη διόρθωση — ώστε να κάνετε ολόκληρη τη δουλειά μία φορά.
- Εντοπίστε ποια προεπιλογή χρησιμοποιείτε για υπογραφή. Ελέγξτε
header.d=στα Authentication-Results όπως παραπάνω:gappssmtp.comσημαίνει προεπιλογή Google Workspace,onmicrosoft.comσημαίνει προεπιλογή Microsoft 365. - Google Workspace: δημιουργήστε και δημοσιεύστε το δικό σας κλειδί. Στην κονσόλα διαχείρισης πηγαίνετε σε Apps → Google Workspace → Gmail → Authenticate email, επιλέξτε το domain σας και κάντε κλικ στο Generate New Record (2048-bit εκτός αν ο DNS host σας δεν μπορεί να το αποθηκεύσει). Δημοσιεύστε την εγγραφή TXT που σας δίνει στο
google._domainkey.yourdomain.com, περιμένετε για DNS (έως 48 ώρες), στη συνέχεια — το βήμα που χάνουν οι άνθρωποι — κάντε κλικ στο Start authentication. Η δημιουργία της εγγραφής δεν κάνει τίποτα μέχρι να ενεργοποιήσετε την υπογραφή. Πλήρης καθοδήγηση: ρύθμιση DKIM σε Google Workspace. - Microsoft 365: δημοσιεύστε τα δύο selector CNAMEs και ενεργοποιήστε. Στο Defender portal πηγαίνετε σε Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, επιλέξτε το προσαρμοσμένο domain σας και δημιουργήστε τα κλειδιά. Δημοσιεύστε και τα δύο CNAMEs —
selector1._domainkeyκαιselector2._domainkey, που δείχνουν στους στόχους που σας δείχνει η Microsoft (αντιγράψτε τους ακριβείς στόχους από το portal — τα domains που ενεργοποιήθηκαν πριν τον Μάιο 2025 τελειώνουν στο.onmicrosoft.comτου tenant σας· τα νεότερα τελειώνουν στο.dkim.mail.microsoft) — στη συνέχεια ενεργοποιήστε την υπογραφή. Δύο selectors δεν είναι προαιρετικό: η Microsoft εναλλάσσει κλειδιά μεταξύ τους. Πλήρης καθοδήγηση: ρύθμιση DKIM σε Microsoft 365. - Επαληθεύστε τη νέα υπογραφή. Στείλτε νέο μήνυμα σε εξωτερικό γραμματοκιβώτιο και ξανελέγξτε τα Authentication-Results: το
dkim=passπρέπει τώρα να δείχνειheader.d=yourdomain.com. Αν το DNS panel σας πρόσθεσε αυτόματα τη ζώνη σας στον στόχο CNAME ή παραποίησε την μακρά τιμή TXT, η υπογραφή δεν θα αλλάξει — ιδιαίτερα χαρακτηριστικά panel, όχι ο πάροχος, προκαλούν τις περισσότερες αποτυχίες εδώ. - Επανεκτελέστε σάρωση και αξιοποιήστε το ευθυγραμμισμένο pass. Επιβεβαιώστε ότι η σάρωση δείχνει ευθυγραμμισμένο DKIM, στη συνέχεια χρησιμοποιήστε το: μια DMARC policy στο
p=noneδεν προστατεύει τίποτα. Σε όλα τα 261,086,232 βαθμολογημένα domains, μόνο 10.59% επιβάλλουν DMARC (δεδομένα ως 2026-06-29) — ο ευθυγραμμισμένος DKIM είναι αυτό που κάνει ασφαλή την αύξηση επιβολής. Ξεκινήστε από το πώς να διορθώσετε DMARC.
Θα σπάσει η ενεργοποίηση προσαρμοσμένου DKIM κάτι;
Όχι — αυτή είναι η σπάνια διόρθωση επικύρωσης email με ουσιαστικά μηδενική έκταση επιπτώσεων: email που έβγαινε με την προεπιλεγμένη υπογραφή απλώς βγαίνει με μια καλύτερη, και ο πάροχος συνεχίζει να διαχειρίζεται τα κλειδιά (η Microsoft αλλάζει αυτόματα μεταξύ των δύο selectors). Η πραγματική λειτουργία αποτυχίας είναι το να γίνει μισή δουλειά — να δημοσιεύσετε το TXT της Google αλλά να μην κάνετε ποτέ κλικ στο Start authentication, ή να δημοσιεύσετε έναν M365 selector αντί και των δύο. Και μη διαγράψετε αργότερα τις εγγραφές DNS “για τακτοποίηση”· η υπογραφή σταματά τη στιγμή που εξαφανίζεται το κλειδί.
Μία σημείωση πεδίου εφαρμογής: αυτό διορθώνει email που αποστέλλεται μέσω Google ή Microsoft. Εργαλεία newsletter και CRMs υπογράφουν επίσης με τις δικές τους προεπιλογές, και κάθε ένα χρειάζεται το δικό του προσαρμοσμένο-domain DKIM ενεργοποιημένο — αυτό το μοτίβο, και οι κανόνες μαζικής αποστολής Gmail που τώρα το απαιτούν, καλύπτονται στον οδηγό 550-5.7.26.
Συχνές ερωτήσεις
Το DKIM δείχνει “pass” σε κάθε εργαλείο δοκιμής — γιατί χρειάζεται κάτι να διορθωθεί;
Επειδή τα εργαλεία απαντούν σε πιο στενή ερώτηση από ό,τι το DMARC. Η υπογραφή είναι έγκυρη — αλλά είναι αυτή του gappssmtp.com ή του onmicrosoft.com, όχι δική σας, οπότε δεν μετράει σε τίποτα για την ευθυγράμμιση DMARC. Γι’ αυτό τόσοι αποστολείς σταματούν στην προεπιλογή: από τα 12,145,313 domains που εξουσιοδοτούν Google, μόνο 18.5% επιβάλλουν DMARC (δεδομένα ως 2026-06-29).
Επιτρέπει η relaxed ευθυγράμμιση DMARC να περάσει η προεπιλεγμένη υπογραφή;
Όχι. Η relaxed ευθυγράμμιση μόνο χαλαρώνει την αντιστοιχία στα organizational domains — mail.yourdomain.com ευθυγραμμίζεται με yourdomain.com. Το organizational domain της προεπιλεγμένης υπογραφής είναι gappssmtp.com ή onmicrosoft.com, που δεν μοιράζεται τίποτα με το δικό σας. Κανένα alignment mode δεν σώζει ένα d= τρίτου.
Είναι κακή η υπογραφή gappssmtp.com / onmicrosoft.com; Πρέπει να την αφαιρέσω; Δεν είναι κακή — εξασφαλίζει ότι το email σας φέρει κάποια έγκυρη υπογραφή, που βοηθά στο φιλτράρισμα spam. Απλώς δεν είναι δική σας. Δεν την αφαιρείτε· την αντικαθιστάτε ενεργοποιώντας υπογραφή προσαρμοσμένου-domain.
Το domain μου βρίσκεται στο Microsoft 365 με strict SPF — είμαι ήδη καλυμμένος;
Πιθανώς όχι: αυτή η strict εγγραφή είναι η προεπιλογή M365 που κάνει τη μία της δουλειά. Από τα 10,205,070 domains που εξουσιοδοτούν spf.protection.outlook.com, 85.0% έχουν strict SPF αλλά μόνο 21.7% επιβάλλουν DMARC (δεδομένα ως 2026-06-29). Ο SPF επίσης σπάει κατά την προώθηση, γιατί αξιολογείται έναντι του Return-Path αντί της κεφαλίδας From — ο ευθυγραμμισμένος DKIM είναι το σκέλος που επιβιώνει, που είναι ακριβώς γιατί αυτή η διόρθωση έχει σημασία.
Πόσο καιρό χρειάζεται η διόρθωση; Η εργασία στην κονσόλα είναι λίγα λεπτά ανά πάροχο. Το DNS είναι η αναμονή: η Google λέει να επιτρέψετε έως 48 ώρες πριν ξεκινήσετε επικύρωση· τα CNAMEs της Microsoft είναι συνήθως ζωντανά εντός ωρών. Υπολογίστε μία εργάσιμη ημέρα συνολικά, που το μεγαλύτερο μέρος της είναι αναμονή.
Στείλτε στον ιδιοκτήτη την αναφορά
Αν διορθώνετε αυτό για έναν πελάτη ή τον εργοδότη σας, κλείστε τον κύκλο με αποδείξεις. Επανεκτελέστε τη δωρεάν σάρωση μόλις η νέα υπογραφή είναι ζωντανή και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη: με ημερομηνία, σε απλή γλώσσα, που δείχνει DKIM ευθυγραμμισμένο με το domain τους. Αυτό είναι το τεκμήριο για την ανανέωση ασφάλισης κυβερνοεπιθέσεων και το επόμενο ερωτηματολόγιο ασφάλειας προμηθευτών — απόδειξη ότι το domain επικυρώνεται ως ο ίδιος, όχι ως υπο-ενοικιαστής του gappssmtp.com.
Ελέγξτε δωρεάν την ευθυγράμμιση DKIM σας
Δείτε αν το email σας υπογράφει ως το δικό σας domain — και ακριβώς τι να διορθώσετε — ιδιωτικά και μόνο για τον ιδιοκτήτη.
Ελέγξτε το domain σας → · DMARC αποτυγχάνει αλλά SPF και DKIM περνούν → · Διόρθωση DKIM → · Ρύθμιση DKIM σε Google Workspace → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.