Defaults.Exposed › Korjaukset › Guides
DKIM läpäisee mutta DMARC epäonnistuu: gappssmtp.com / onmicrosoft.com oletusallekirjoitusansa (2026)
Julkaistu 2026-07-08
Luvut päivätty 2026-06-29 · metodologia v7. Aggregoitu väestölaskentadata 261 miljoonan arvioidun verkkotunnuksen yli. Katso miten arvioimme.
Postisi läpäisee DKIMin tarjoajan oletusallekirjoituksella — d= päättyy gappssmtp.com:iin (Google Workspace) tai onmicrosoft.com:iin (Microsoft 365) — mutta kyseinen verkkotunnus ei vastaa From-verkkotunnustasi, joten DMARC ei saa linjautunutta läpäisyä. Ota käyttöön oman verkkotunnuksen allekirjoitus korjataksesi tämä. 12,145,313:stä Googlen postipalvelimia valtuuttavasta verkkotunnuksesta vain 18.5% valvoo DMARC:ia Defaults.Exposed-palvelun 261,086,232 arvioidun verkkotunnuksen väestölaskennan mukaan.
Korjaus on yksi sähköpostitodennuksen puhtaimmista: kytke päälle oman verkkotunnuksen DKIM-allekirjoitus. Google Workspacessa se on hallintakonsolin “Authenticate email” -näyttö — luo avain, julkaise yksi TXT-tietue, kytke päälle. Microsoft 365:ssä se on Defender-portaalin DKIM-sivu — julkaise kaksi selector-CNAMEa, ota käyttöön. Kaksikymmentä minuuttia työtä, ja DMARC saa vihdoin odottamansa linjautuneen läpäisyn.
Miksi DKIM läpäisee mutta DMARC epäonnistuu silti?
Koska DMARC ei kysy “onko kelvollinen DKIM-allekirjoitus?” — se kysyy “onko kelvollinen DKIM-allekirjoitus From-otsakkeen verkkotunnukselle?” Tätä toista ehtoa kutsutaan linjautumiseksi, ja se on DMARC:n koko pointti: todistaa, että verkkotunnus, jonka vastaanottajasi näkee, on se verkkotunnus, joka allekirjoitti.
Oletuksena Google Workspace allekirjoittaa postisi verkkotunnuksella kuten sinunverkkotunnuksesi-com.20230601.gappssmtp.com (päivämääräleima vaihtelee per verkkotunnus) ja Microsoft 365 allekirjoittaa sinuntenant.onmicrosoft.com:lla. Molemmat allekirjoitukset ovat kryptografisesti kelvollisia — DKIM-tarkistimet sanovat pass — mutta d=-verkkotunnus kuuluu Googlelle tai Microsoftille, ei sinulle. Jopa DMARC:n rennon linjautumisen alla, joka vaatii vain organisaatioiden verkkotunnusten vastaavuutta, gappssmtp.com ei ole sinunverkkotunnuksesi.com. Ei vastaavuutta, ei linjautunutta läpäisyä, ja jos SPF ei myöskään linjaudu (se usein ei pysty — vastaanottajat arvioivat SPF:n Return-Path-verkkotunnusta vastaan, ei From-otsiketta, ja edelleenlähetys rikkoo sen kokonaan), DMARC epäonnistuu.
Tämä on tarjoajan oletuksen määrittävä ansa: oletus antaa sinulle toimitettavuuden, ei suojan — linjautuminen on puuttuva avaimen käänto. Väestölaskenta näyttää, kuinka monet lähettäjät pysähtyvät oletukseen: 12,145,313:stä verkkotunnuksesta, jotka valtuuttavat Googlen postipalvelimet _spf.google.com:n kautta (138,927,207:sta SPF-julkaisijasta maailmanlaajuisesti), vain 18.5% valvoo DMARC:ia. Microsoftin kuva on sama muoto: 10,205,070 verkkotunnusta valtuuttaa spf.protection.outlook.com:n, 85.0%:lla on tiukka SPF-tietue, jonka M365-asennus antaa heille — ja vain 21.7% valvoo DMARC:ia. Täydellinen vertailu sähköpostipalveluntarjoajan SPF-liigataulu -artikkelissamme.
Ansa on näkymätön päivittäisessä käytössä: posti toimitetaan, postilaatikkotestit näyttävät hyvältä, mikään ei ilmoita virheistä — kunnes julkaiset DMARC-käytännön ja oma postisi alkaa epäonnistua siinä. Ilmainen skannauksemme tuo juuri tämän aukon esille.
Miten tunnistan oletusallekirjoitusansan Authentication-Results:ssä?
Avaa lähettämäsi viesti (Gmail- tai Outlook-postilaatikkoon), katso alkuperäinen/raa’an lähde, ja etsi Authentication-Results-otsake. Merkki on DKIM pass väärällä d=:llä — Gmailin vastaanottama esimerkki näyttää tältä:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=sinunverkkotunnuksesi.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=sinunverkkotunnuksesi.com
Lue se kolmena kysymyksenä:
| Otsakefragmentti | Mitä se tarkoittaa | Tuomio |
|---|---|---|
dkim=pass header.d=sinunverkkotunnuksesi.com | Allekirjoitus kelvollinen JA vastaa From-verkkotunnustasi | Linjautunut — tämä on tavoite |
dkim=pass header.d=…gappssmtp.com tai …onmicrosoft.com | Allekirjoitus kelvollinen mutta se on tarjoajan oletusverkkotunnus — DMARC jättää sen huomiotta linjautumisessa | Ansa: läpäisy ilman suojaa |
dkim=fail (mikä tahansa d=) | Allekirjoitus virheellinen — eri ongelma | Katso miten korjata DKIM |
Microsoft-vastaanotetussa postissa sama tarina näkyy dkim=pass (signature was verified) header.d=sinuntenant.onmicrosoft.com rinnalla compauth=fail — kaava käsitellään Outlook-hylkäysoppaassa.
Jos otsikkeesi näyttää sen sijaan sekä dkim=pass että spf=pass DMARC-epäonnistumisella, olet laajemmassa linjautumistilanteessa — DMARC epäonnistuu mutta SPF ja DKIM läpäisevät -opas käy läpi rennon vs tiukan linjautumisen kokonaan.
Miten otan käyttöön oman verkkotunnuksen DKIM-allekirjoituksen?
- Aja ilmainen skannaus osoitteessa defaults.exposed ennen kuin kosket mihinkään. Se näyttää, linjautuuko verkkotunnuksellasi DKIM, mikä DMARC-käytäntösi todella on, ja estääkö jokin muu (SPF, DMARC-tietueen syntaksi) sinut vielä tämän korjauksen jälkeen — jotta teet koko työn kerralla.
- Tunnista, millä oletuksella allekirjoitat. Tarkista
header.d=Authentication-Results:ssä yllä kuvatulla tavalla:gappssmtp.comtarkoittaa Google Workspace -oletusta,onmicrosoft.comtarkoittaa Microsoft 365 -oletusta. - Google Workspace: luo ja julkaise oma avaimesi. Hallintakonsolissa mene kohtaan Apps → Google Workspace → Gmail → Authenticate email, valitse verkkotunnuksesi ja napsauta Generate New Record (2048-bittinen ellei DNS-isäntäsi pysty tallentamaan sitä). Julkaise TXT-tietue, jonka se antaa sinulle, kohdassa
google._domainkey.sinunverkkotunnuksesi.com, odota DNS:ää (enintään 48 tuntia), sitten — vaihe, jonka ihmiset jättävät väliin — napsauta Start authentication. Tietueen luominen ei tee mitään ennen kuin kytket allekirjoituksen päälle. Täydellinen läpikäynti: aseta DKIM Google Workspacelle. - Microsoft 365: julkaise molemmat selector-CNAMEt ja ota käyttöön. Defender-portaalissa mene kohtaan Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, valitse mukautettu verkkotunnuksesi ja luo avaimet. Julkaise molemmat CNAMEt —
selector1._domainkeyjaselector2._domainkey, osoittaen Microsoftin näyttämiin kohteisiin (kopioi tarkat kohteet portaalista — ennen toukokuuta 2025 käyttöön otetut verkkotunnukset päättyvät tenantisi.onmicrosoft.com:iin; uudemmat.dkim.mail.microsoft:iin) — sitten vaihda allekirjoitus päälle. Kaksi selektoria ei ole valinnainen: Microsoft kierrättää avaimia niiden välillä. Täydellinen läpikäynti: aseta DKIM Microsoft 365:lle. - Varmista uusi allekirjoitus. Lähetä uusi viesti ulkoiseen postilaatikkoon ja tarkista uudelleen Authentication-Results:
dkim=passpitäisi nyt näyttääheader.d=sinunverkkotunnuksesi.com. Jos DNS-paneelisi lisäsi automaattisesti vyöhykkeesi CNAME-kohteeseen tai mutkitti pitkän TXT-arvon, allekirjoitus ei vaihdu — paneeliominaisuudet, ei tarjoaja, aiheuttavat useimmat epäonnistumiset tässä. - Skannaa uudelleen ja vie linjautunut läpäisy johonkin. Vahvista, että skannaus näyttää linjautuneen DKIMin, sitten käytä sitä: DMARC-käytäntö
p=none:lla ei suojaa mitään. Kaikkien 261,086,232 arvioidun verkkotunnuksen joukossa vain 10.59% valvoo DMARC:ia (tiedot päivätty 2026-06-29) — linjautunut DKIM on se mitä tekee valvonnan turvalliseksi nostaa. Aloita kohdasta miten korjata DMARC.
Rikkoonko jotain ottamalla mukautetun DKIMin käyttöön?
Ei — tämä on harvinainen sähköpostitodennuksen korjaus, jolla on käytännössä nolla räjähdyssäde: posti, joka lähti oletusallekirjoituksella, yksinkertaisesti lähtee paremmalla, ja tarjoaja jatkaa avainten hallintaa (Microsoft kierrättää kahden selektorin välillä automaattisesti). Todellinen vikatila on puoli-tekeminen — Googlen TXT:n julkaiseminen mutta Start authentication -napsautuksen jättäminen väliin, tai yhden M365-selektorin julkaiseminen molempien sijaan. Äläkä myöhemmin poista DNS-tietueita “siistimiseksi”; allekirjoitus pysähtyy hetkessä kun avain häviää.
Yksi soveltamisalahuomautus: tämä korjaa Googlen tai Microsoftin kautta lähetetyn postin. Uutiskirjotyökalut ja CRM:t allekirjoittavat myös omilla oletuksillaan, ja jokainen tarvitsee oman oman verkkotunnuksen DKIMin kytkettynä päälle — kyseinen kaava, ja Gmailin joukkolähetysohjeet, jotka nyt vaativat sen, käsitellään 550-5.7.26 -oppaassa.
Usein kysytyt kysymykset
DKIM näyttää “pass” jokaisessa testityökalussa — miksi mitään pitää korjata?
Koska työkalut vastaavat suppeampaan kysymykseen kuin DMARC. Allekirjoitus on kelvollinen — mutta se on gappssmtp.com:n tai onmicrosoft.com:n, ei sinun, joten se ei laske mihinkään DMARC-linjautumisessa. Siksi niin monet lähettäjät pysähtyvät oletukseen: 12,145,313:stä Googlea valtuuttavasta verkkotunnuksesta vain 18.5% valvoo DMARC:ia (tiedot päivätty 2026-06-29).
Antaako rento DMARC-linjautuminen oletusallekirjoituksen läpäistä?
Ei. Rento linjautuminen löysää vastaavuuden vain organisaation verkkotunnuksiin — mail.sinunverkkotunnuksesi.com linjautuu sinunverkkotunnuksesi.com:n kanssa. Oletusallekirjoituksen organisaatioinen verkkotunnus on gappssmtp.com tai onmicrosoft.com, joka ei jaa mitään sinun kanssasi. Mikään linjautumistila ei pelasta kolmannen osapuolen d=:ää.
Onko gappssmtp.com / onmicrosoft.com -allekirjoitus huono? Pitäisikö minun poistaa se? Se ei ole huono — se varmistaa, että postissasi on jokin kelvollinen allekirjoitus, mikä auttaa roskapostisuodatuksessa. Se vain ei ole sinun. Et poista sitä; korvaat sen ottamalla käyttöön oman verkkotunnuksen allekirjoituksen.
Verkkotunnukseni on Microsoft 365:ssä tiukalla SPF:llä — olenko jo suojattu?
Todennäköisesti ei: se tiukka tietue on M365-oletuksen tekemä yksi työ. 10,205,070:stä verkkotunnuksesta, jotka valtuuttavat spf.protection.outlook.com:n, 85.0%:lla on tiukka SPF mutta vain 21.7% valvoo DMARC:ia (tiedot päivätty 2026-06-29). SPF myös hajoaa edelleenlähetyksessä, koska se arvioidaan Return-Path:ia vastaan eikä From-otsiketta — linjautunut DKIM on jalka, joka selviää, ja se on täsmälleen miksi tämä korjaus on tärkeä.
Kuinka kauan korjaus kestää? Konsolityö on minuutteja per tarjoaja. DNS on odotus: Google sanoo antaa enintään 48 tuntia ennen todennuksen aloittamista; Microsoftin CNAMEt ovat yleensä live-tilassa tuntien kuluessa. Budjetoi yksi työpäivä kokonaiseen, suurimmaksi osaksi odottaen.
Lähetä omistajalle raportti
Jos korjaat tätä asiakkaalle tai työnantajallesi, sulje silmukka todisteella. Aja ilmainen skannaus uudelleen kun uusi allekirjoitus on käytössä ja lähetä arvioitu raportti yrityksen omistajalle: päivätty, selkokielinen, näyttäen DKIMin linjautuvan heidän verkkotunnukseensa. Se on artefakti kyberturvallisuusvakuutuksen uusimiseen ja seuraavaan toimittajan turvallisuuskyselyyn — todiste siitä, että verkkotunnus todentaa itsensä, ei gappssmtp.com:n alibivuokralainen.
Tarkista DKIM-linjautumisesi ilmaiseksi
Katso, allekirjoittaako postisi omana verkkotunnuksenasi — ja täsmälleen mitä korjata — yksityisesti ja vain omistajalle.
Tarkista verkkotunnuksesi → · DMARC epäonnistuu mutta SPF ja DKIM läpäisevät → · Korjaa DKIM → · Aseta DKIM Google Workspacelle → · Vain aggregoitua dataa. Tiedot tallennettu ja käsitelty EU:ssa.