Defaults.Exposed

Defaults.ExposedΔιορθώσειςGuides

Αποτυχία DMARC ενώ SPF και DKIM Περνούν; Η Διόρθωση Ευθυγράμμισης (2026)

Δημοσιεύτηκε 2026-07-08

Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά στοιχεία απογραφής για 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.

Το DMARC χρειάζεται κάτι παραπάνω από ένα pass — το domain που πέρασε SPF ή DKIM πρέπει να ταιριάζει με το domain From σας. Το μεγαλύτερο μέρος του email “SPF pass, DMARC fail” πέρασε SPF στο bounce domain του πωλητή, όχι δικό σας. Μόνο 7.4% από τα 261,086,232 βαθμολογημένα domains περνούν SPF με ευθυγράμμιση υπό enforcing DMARC policy, σύμφωνα με την απογραφή Defaults.Exposed (2026-06-29).

Η διόρθωση είναι πιο γρήγορη από όσο η σύγχυση υπαινίσσεται. Διαβάστε την κεφαλίδα Authentication-Results για να δείτε ποιο σκέλος — SPF ή DKIM — περνά στο λάθος domain· στη συνέχεια ενεργοποιήστε είτε την προσαρμοσμένη-domain DKIM υπογραφή της υπηρεσίας αποστολής σας (συνήθως μερικά CNAMEs, και η διόρθωση που επιβιώνει της προώθησης), είτε ορίστε το προσαρμοσμένο return-path ώστε ο SPF να περνά στο domain σας. Ένα ευθυγραμμισμένο σκέλος είναι αρκετό για το DMARC.

Πώς μπορεί να αποτύχει το DMARC ενώ SPF και DKIM περνούν και οι δύο;

Επειδή το DMARC δεν ρωτά ποτέ “πέρασε ο SPF;” Ρωτά: πέρασε SPF ή DKIM για domain που ταιριάζει με τη διεύθυνση From που βλέπει ο παραλήπτης σας; Αυτή η επιπλέον προϋπόθεση ονομάζεται ευθυγράμμιση, και είναι ολόκληρο το νόημα του DMARC — χωρίς αυτή, οποιοσδήποτε θα μπορούσε να περάσει SPF σε domain που κατέχει ενώ εμφανίζει το δικό σας στην κεφαλίδα From.

Κάθε έλεγχος επικυρώνει διαφορετικό domain:

ΈλεγχοςDomain που αξιολογεί πραγματικάΠού να το δείτε
SPFΤο Return-Path (RFC5321.MailFrom, η διεύθυνση bounce/envelope-from) — όχι η κεφαλίδα Fromsmtp.mailfrom= στα Authentication-Results
DKIMΤο domain στην ετικέτα d= της υπογραφής — ό,τι επέλεξε ο signerheader.d= στα Authentication-Results
DMARCΤο domain κεφαλίδας From σας — και απαιτεί το domain SPF ή το d= DKIM να ταιριάζει με αυτόheader.from= στα Authentication-Results

Έτσι συνήθως πάνε λάθος τα πράγματα: η πλατφόρμα newsletter ή CRM σας αποστέλλει με Return-Path όπως [email protected], ο SPF ελέγχεται έναντι vendor.com και περνά, ο DKIM περνά με d=vendor.com — και το DMARC αποτυγχάνει, γιατί κανένα από τα δύο domain που πέρασαν δεν ταιριάζει με το yourcompany.com. Κάθε έλεγχος είπε την αλήθεια· κανένας δεν επικύρωσε εσάς. Η επεξεργασία της δικής σας εγγραφής SPF δεν μπορεί να το διορθώσει αυτό — δεν συμβουλεύτηκε ποτέ. Είναι η ίδια παγίδα που καλύπτεται στο SPF που αποτυγχάνει για εργαλεία SaaS σας.

Η απογραφή δείχνει πόσο λίγοι αποστολείς ολοκληρώνουν αυτό το τελευταίο βήμα: 27,640,987 από τα 261,086,232 βαθμολογημένα domains (10.59%) έχουν enforcing DMARC policy καθόλου, και μόνο 7.4% περνούν SPF με ευθυγράμμιση κάτω από αυτήν. Μεταξύ των 77.5 εκατομμυρίων domains που ο SPF τους τελειώνει σε softfail (~all), μόνο 9.2% βρίσκονται κάτω από enforcing DMARC policy· μεταξύ των δημοσιευτών hardfail (-all), 12,142,351 επιβάλλονται ενώ 42,514,532 δεν επιβάλλονται. Τα περισσότερα domains σταματούν στο “SPF περνά” — το οποίο, χωρίς DMARC να ενεργεί σε αυτό, δεν προστατεύει σχεδόν τίποτα.

Πώς διαβάζω τα Authentication-Results για να δω ποιο σκέλος δεν είναι ευθυγραμμισμένο;

Στείλτε στον εαυτό σας μήνυμα μέσω της αποτυχημένης υπηρεσίας, ανοίξτε την ακατέργαστη πηγή, και βρείτε την κεφαλίδα Authentication-Results. Ένα τυπικό μη ευθυγραμμισμένο αποτέλεσμα μοιάζει ως εξής:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounces.espmail.net;
       dkim=pass header.d=espmail.net;
       dmarc=fail (p=NONE) header.from=yourcompany.com

Διαβάστε το σε τρεις συγκρίσεις:

Ποιο σκέλος ήδη αφορά το δικό σας domain (ή μπορεί να γίνει να αφορά) είναι αυτό που πρέπει να διορθώσετε. Χρειάζεστε μόνο ένα.

Ποια είναι η διαφορά μεταξύ relaxed και strict ευθυγράμμισης;

Το DMARC προσφέρει δύο modes αντιστοίχισης, που ορίζονται με τις ετικέτες aspf (SPF) και adkim (DKIM) στην εγγραφή DMARC σας:

Αν η εγγραφή σας δεν αναφέρει aspf ή adkim, είστε σε relaxed mode — και σχεδόν σίγουρα θέλετε να παραμείνετε εκεί. Το strict mode δεν προσθέτει ουσιαστική ασφάλεια για τους περισσότερους αποστολείς και σπάει σιωπηλά κάθε νόμιμο αποστολέα subdomain που ρυθμίζετε. Αν το DMARC αποτυγχάνει και η εγγραφή σας περιέχει aspf=s ή adkim=s, αυτό από μόνο του μπορεί να είναι το πρόβλημα.

Πώς διορθώνω την ευθυγράμμιση DMARC;

  1. Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αλλάξετε οτιδήποτε στο DNS. Δείχνει την εγγραφή και policy DMARC σας, αν SPF και DKIM είναι ρυθμισμένα να ευθυγραμμίζονται, και τι άλλο είναι σπασμένο — ώστε να διορθώσετε πρώτα το σωστό σκέλος.
  2. Δοκιμάστε κάθε υπηρεσία αποστολής και διαβάστε τα Authentication-Results της (όπως παραπάνω). Καταγράψτε κάθε πηγή — πάροχο γραμματοκιβωτίου, εργαλείο newsletter, CRM, εφαρμογή τιμολόγησης — και σημειώστε ανά πηγή αν το smtp.mailfrom και το header.d είναι το domain σας ή αυτό του πωλητή.
  3. Ενεργοποιήστε προσαρμοσμένη-domain DKIM υπογραφή για κάθε πωλητή — η διόρθωση που διαρκεί. Κάθε σοβαρή υπηρεσία αποστολής προσφέρει “επικύρωση domain”: μερικές εγγραφές CNAME που της επιτρέπουν να υπογράφει ως d=yourcompany.com (ή subdomain, που ευθυγραμμίζεται σε relaxed mode). Ο ευθυγραμμισμένος DKIM είναι συνήθως η ευκολότερη διόρθωση και η μόνη που επιβιώνει της προώθησης, επειδή η προώθηση σπάει τον SPF εκ σχεδιασμού.
  4. Για ευθυγράμμιση SPF, ενεργοποιήστε το προσαρμοσμένο return-path του πωλητή (συχνά ονομάζεται προσαρμοσμένο bounce domain) — συνήθως ένα CNAME όπως bounce.yourcompany.com που δείχνει στον πωλητή. Ο SPF τότε περνά στο organizational domain σας και ευθυγραμμίζεται. Κάντε το όπου προσφέρεται, αλλά αντιμετωπίστε το ως δεύτερο σκέλος, όχι υποκατάστατο ευθυγραμμισμένου DKIM.
  5. Αφήστε την ευθυγράμμιση σε relaxed mode εκτός αν έχετε συγκεκριμένο, κατανοητό λόγο για aspf=s/adkim=s.
  6. Επανεκτελέστε σάρωση και επιβεβαιώστε και τα δύο σκέλη, στη συνέχεια προχωρήστε προς επιβολή. Μια DMARC policy p=none αναφέρει αλλά δεν αποκλείει τίποτα· μόλις ευθυγραμμιστούν οι πραγματικοί σας αποστολείς, η πλήρης διαδρομή προς policy που σας προστατεύει βρίσκεται στη σελίδα διόρθωση DMARC, και οδηγοί παρόχου όπως DMARC σε IONOS καλύπτουν τα κλικ DNS-panel.

Πρέπει να διορθώσω την ευθυγράμμιση SPF ή DKIM;

Χρειάζεστε ένα ευθυγραμμισμένο σκέλος ανά πηγή αποστολής. Αν μπορείτε να κάνετε μόνο ένα, η επιλογή δεν είναι αμφίβολη:

ΔιόρθωσηΤι απαιτείΕπιβιώνει της προώθησης;
Ευθυγραμμισμένος DKIM (υπογραφή προσαρμοσμένου-domain)Μερικά CNAMEs στο panel “επικύρωσης domain” του πωλητήΝαι — η υπογραφή ταξιδεύει με το μήνυμα
Ευθυγραμμισμένος SPF (προσαρμοσμένο return-path/bounce domain)Ένα CNAME, όπου ο πωλητής το προσφέρειΌχι — η IP οποιουδήποτε forwarder αντικαθιστά αυτήν του πωλητή

Η ειδική περίπτωση αξίζει να γνωρίζετε: Google Workspace και Microsoft 365 DKIM-υπογράφουν το email σας από προεπιλογή με τα δικά τους fallback domains (gappssmtp.com, onmicrosoft.com) — οπότε το DKIM δείχνει pass ενώ το DMARC εξακολουθεί να αποτυγχάνει. Είναι η πιο συνηθισμένη συγκεκριμένη παρουσία ολόκληρου αυτού του προβλήματος, και έχει τον δικό του οδηγό: DKIM περνά αλλά DMARC εξακολουθεί να αποτυγχάνει: η παγίδα προεπιλεγμένης υπογραφής.

Συχνές ερωτήσεις

Χρειάζεται και SPF και DKIM να ευθυγραμμίζονται για να περάσει το DMARC; Όχι — αρκεί ένα ευθυγραμμισμένο pass. Η βέλτιστη πρακτική είναι να ευθυγραμμίζετε και τα δύο ούτως ή άλλως, ώστε όταν η προώθηση σπάει το σκέλος SPF, το σκέλος DKIM να εξακολουθεί να μεταφέρει το DMARC pass. Από τα 261,086,232 domains που βαθμολογήθηκαν στην απογραφή 2026-06-29, μόνο 3.87% ολοκληρώνουν την πλήρη τριάδα SPF + DMARC + DKIM.

Το dashboard του ESP μου λέει ότι SPF και DKIM είναι “verified” — γιατί εξακολουθεί να αποτυγχάνει το DMARC; Το “Verified” συνήθως σημαίνει ότι η δική τους αποστολή περνά στα δικά τους domains. Εκτός αν ολοκληρώσατε τα βήματα προσαρμοσμένου domain τους (DKIM CNAMEs, προσαρμοσμένο return-path), το email επικυρώνεται ως πωλητής, όχι ως εσείς — και το DMARC συγκρίνει με το domain From σας.

Αρκεί ένα strict -all SPF record χωρίς ευθυγράμμιση; Όχι. Ένας strict qualifier ενισχύει την απόφαση SPF στο domain Return-Path, αλλά το DMARC εξακολουθεί να χρειάζεται αυτό το domain να είναι δικό σας. Ως απογραφή 2026-06-29, μόνο 12,142,351 από τα domains που δημοσιεύουν -all βρίσκονται κάτω από enforcing DMARC policy — τα άλλα 42,514,532 έχουν strict εγγραφή επί της οποίας καμία policy δεν ενεργεί.

Πρέπει να αλλάξω σε strict ευθυγράμμιση (aspf=s/adkim=s) για περισσότερη ασφάλεια; Σχεδόν ποτέ. Η relaxed ευθυγράμμιση ήδη απαιτεί το ίδιο registrable domain, το οποίο δεν ελέγχει ένας παλαιοπροσωπητής. Το strict mode κυρίως σπάει τους δικούς σας αποστολείς subdomain — ελέγξτε για αυτό κάθε φορά που η ευθυγράμμιση αποτυγχάνει απρόσμενα.

Το DMARC αποτυγχάνει μόνο σε email που παραλήπτες προωθούν — ίδια διόρθωση; Αυτό είναι το σκέλος SPF που πεθαίνει κατά τη μεταφορά: ο διακομιστής του forwarder δεν βρίσκεται στην εγγραφή SPF κανενός για το return-path σας. Δεν μπορείτε να διορθώσετε τον SPF για προωθημένο email· ο ευθυγραμμισμένος DKIM είναι η απάντηση, αφού η υπογραφή επιβιώνει της προώθησης άθικτη. Λεπτομέρειες στο προωθημένο email που αποτυγχάνει στον SPF.

Στείλτε στον ιδιοκτήτη την αναφορά

Αν διορθώνετε αυτό για έναν πελάτη ή τον εργοδότη σας, κλείστε τον κύκλο με αποδείξεις. Επανεκτελέστε τη δωρεάν σάρωση αφού τα CNAMEs φορτωθούν και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη: με ημερομηνία, σε απλή γλώσσα, που δείχνει SPF, DKIM και DMARC ευθυγραμμισμένα και να περνούν. Αυτό είναι το τεκμήριο για την ανανέωση ασφάλισης κυβερνοεπιθέσεων και το επόμενο ερωτηματολόγιο ασφάλειας προμηθευτών — απόδειξη λειτουργικής ρύθμισης, όχι απλώς “πρόσθεσα μερικές εγγραφές DNS”.

Ελέγξτε το domain σας → · DKIM περνά αλλά DMARC εξακολουθεί να αποτυγχάνει → · Διόρθωση DMARC → · Πώς βαθμολογούμε → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.