Defaults.Exposed › सुधार › Guides
DKIM Pass होता है लेकिन DMARC Fail: gappssmtp.com / onmicrosoft.com Default-Signature Trap (2026)
प्रकाशित 2026-07-08
आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा। देखें हम ग्रेड कैसे करते हैं।
आपका mail provider के default signature के साथ DKIM pass करता है — d= जो gappssmtp.com (Google Workspace) या onmicrosoft.com (Microsoft 365) में end होता है — लेकिन वह domain आपके From domain से match नहीं करता, इसलिए DMARC को कोई aligned pass नहीं मिलती। Custom-domain signing enable करके इसे ठीक करें। 12,145,313 domains में जो Google के mail servers authorise करते हैं, केवल 18.5% DMARC enforce करते हैं, 261,086,232 ग्रेडेड डोमेन की Defaults.Exposed जनगणना के अनुसार।
Fix email authentication में सबसे clean में से एक है: custom-domain DKIM signing switch on करें। Google Workspace पर यह Admin console का “Authenticate email” screen है — key generate करें, एक TXT record publish करें, turn it on। Microsoft 365 पर यह Defender portal का DKIM page है — दो selector CNAMEs publish करें, enable करें। बीस मिनट का काम, और DMARC को आखिरकार वह aligned pass मिलती है जिसका वह इंतजार कर रहा था।
DKIM pass क्यों होता है लेकिन DMARC अभी भी fail?
क्योंकि DMARC नहीं पूछता “क्या valid DKIM सिग्नेचर है?” — यह पूछता है “क्या From header के domain के लिए valid DKIM सिग्नेचर है?” वह दूसरी condition alignment कहलाती है, और यही DMARC का पूरा मतलब है: यह prove करना कि domain जो आपका recipient देखता है वह domain है जिसने sign किया।
Out of the box, Google Workspace आपके mail को yourdomain-com.20230601.gappssmtp.com जैसे domain से sign करता है (date stamp domain per vary करता है) और Microsoft 365 yourtenant.onmicrosoft.com से sign करता है। दोनों signatures cryptographically valid हैं — DKIM checkers pass कहते हैं — लेकिन d= domain Google या Microsoft का है, आपका नहीं। यहां तक कि DMARC के relaxed alignment के तहत, जो केवल organizational domains match होने की मांग करता है, gappssmtp.com yourdomain.com नहीं है। कोई match नहीं, कोई aligned pass नहीं, और यदि SPF भी align नहीं करता (यह अक्सर नहीं कर सकता — receivers SPF को Return-Path domain के विरुद्ध evaluate करते हैं, From header नहीं, और forwarding इसे पूरी तरह तोड़ देती है), DMARC fail।
यह provider defaults का defining trap है: default deliverability देता है, protection नहीं — alignment key का missing turn है। जनगणना दिखाती है कितने senders default पर रुकते हैं: 12,145,313 domains में से जो _spf.google.com के जरिए Google के mail servers authorise करते हैं (138,927,207 SPF publishers worldwide में से), केवल 18.5% DMARC enforce करते हैं।
Authentication-Results में default-signature trap कैसे पहचानें?
आपने जो message भेजा उसे (किसी Gmail या Outlook mailbox पर) open करें, original/raw source देखें, और Authentication-Results header खोजें। Tell एक DKIM pass है गलत d= के साथ — एक Gmail-received example ऐसा दिखता है:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
इसे तीन सवालों के रूप में पढ़ें:
| Header fragment | इसका क्या मतलब है | निर्णय |
|---|---|---|
dkim=pass header.d=yourdomain.com | Signature valid AND आपके From domain से match | Aligned — यही goal है |
dkim=pass header.d=…gappssmtp.com या …onmicrosoft.com | Signature valid लेकिन यह provider का default domain है — DMARC alignment के लिए इसे ignore करता है | The trap: pass without protection |
dkim=fail (कोई भी d=) | Signature invalid — different problem | DKIM कैसे ठीक करें देखें |
Microsoft-received mail पर, वही कहानी dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com के साथ compauth=fail के रूप में दिखती है — Outlook rejection guide में cover pattern।
Custom-domain DKIM signing कैसे enable करूं?
- कुछ भी छूने से पहले defaults.exposed पर मुफ़्त स्कैन चलाएं। यह दिखाता है कि आपके domain में aligned DKIM है या नहीं, आपकी DMARC policy वास्तव में क्या है, और क्या कुछ और (SPF, DMARC record syntax) अभी भी इस fix के बाद block करेगा — ताकि आप पूरा काम एक बार करें।
- पहचानें कि आप किस default से sign कर रहे हैं। ऊपर बताए अनुसार Authentication-Results में
header.d=जांचें:gappssmtp.comका मतलब Google Workspace default,onmicrosoft.comका मतलब Microsoft 365 default। - Google Workspace: अपनी key generate और publish करें। Admin console में Apps → Google Workspace → Gmail → Authenticate email जाएं, अपना domain select करें और Generate New Record click करें (2048-bit जब तक आपका DNS host इसे store नहीं कर सकता)।
google._domainkey.yourdomain.comपर दिया गया TXT record publish करें, DNS का इंतजार करें (48 घंटे तक), फिर — वह step जो लोग miss करते हैं — Start authentication click करें। Record generate करने से कुछ नहीं होता जब तक आप signing on न करें। Full walk-through: Google Workspace पर DKIM सेट करें। - Microsoft 365: दो selector CNAMEs publish करें और enable करें। Defender portal में Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM जाएं, अपना custom domain select करें और keys create करें। दोनों CNAMEs publish करें —
selector1._domainkeyऔरselector2._domainkey, Microsoft द्वारा दिखाए गए targets की ओर pointing (exact targets portal से copy करें — May 2025 से पहले enabled domains आपके tenant के.onmicrosoft.comमें end होते हैं; newer ones.dkim.mail.microsoftमें) — फिर signing on toggle करें। दो selectors optional नहीं: Microsoft उनके बीच keys rotate करता है। Full walk-through: Microsoft 365 पर DKIM सेट करें। - नया सिग्नेचर verify करें। External mailbox पर fresh message भेजें और Authentication-Results फिर से जांचें:
dkim=passअबheader.d=yourdomain.comदिखानी चाहिए। यदि आपके DNS panel ने CNAME target में आपका zone auto-append किया या long TXT value mangled की, सिग्नेचर switch नहीं होगी — panel quirks, provider नहीं, यहां अधिकांश failures cause करते हैं। - Re-scan करें और aligned pass को कहीं ले जाएं। Confirm करें scan aligned DKIM दिखाता है, फिर इसका उपयोग करें:
p=noneपर DMARC policy कुछ protect नहीं करती। सभी 261,086,232 ग्रेडेड domains में, केवल 10.59% DMARC enforce करते हैं (2026-06-29 तक का डेटा) — aligned DKIM वह है जो enforcement को safely ratchet करना सुरक्षित बनाता है। DMARC कैसे ठीक करें से शुरू करें।
क्या Custom DKIM enable करने से कुछ टूटेगा?
नहीं — यह email-authentication fixes में से एक है जिसका essentially कोई blast radius नहीं है: default signature के साथ गया mail बस बेहतर एक के साथ जाता है, और provider keys manage करता रहता है (Microsoft दो selectors में automatically rotate करता है)। असली failure mode इसे आधा करना है — Google का TXT publish करना लेकिन Start authentication कभी click नहीं करना, या दोनों की बजाय एक M365 selector publish करना। और DNS records बाद में “tidy up” करने के लिए delete न करें; key गायब होते ही signing बंद हो जाती है।
एक scope note: यह Google या Microsoft के जरिए भेजे गए mail को fix करता है। Newsletter tools और CRMs भी अपने defaults से sign करते हैं, और प्रत्येक को अपना custom-domain DKIM switched on चाहिए — वह pattern, और Gmail bulk-sender rules अब इसकी मांग करते हैं, 550-5.7.26 guide में cover हैं।
अक्सर पूछे जाने वाले सवाल
DKIM हर test tool पर “pass” दिखाता है — क्यों कुछ ठीक करने की जरूरत है?
क्योंकि tools DMARC से narrower सवाल का जवाब देते हैं। सिग्नेचर valid है — लेकिन यह gappssmtp.com या onmicrosoft.com का है, आपका नहीं, इसलिए यह DMARC alignment के लिए कुछ count नहीं करता। इसीलिए इतने सारे senders default पर रुकते हैं: 12,145,313 Google-authorising domains में से केवल 18.5% DMARC enforce करते हैं (2026-06-29 तक का डेटा)।
क्या relaxed DMARC alignment default signature को pass होने देती है?
नहीं। Relaxed alignment केवल organizational domains तक match loosen करती है — mail.yourdomain.com yourdomain.com के साथ align करता है। Default signature का organizational domain gappssmtp.com या onmicrosoft.com है, जो आपसे कुछ share नहीं करता। कोई भी alignment mode third-party d= को rescue नहीं करती।
क्या gappssmtp.com / onmicrosoft.com सिग्नेचर खराब है? क्या मुझे इसे remove करना चाहिए? यह खराब नहीं है — यह ensure करता है कि आपके mail में कोई valid signature हो, जो spam filtering में मदद करती है। यह बस आपका नहीं है। आप इसे remove नहीं करते; आप इसे custom-domain signing enable करके replace करते हैं।
मेरा domain Microsoft 365 पर strict SPF के साथ है — क्या मैं पहले से covered हूं?
शायद नहीं: वह strict record M365 default अपना काम कर रहा है। 10,205,070 domains में जो spf.protection.outlook.com authorise करते हैं, 85.0% के पास strict SPF है लेकिन केवल 21.7% DMARC enforce करते हैं (2026-06-29 तक का डेटा)। SPF forwarding के तहत भी टूट जाता है, क्योंकि यह Return-Path के विरुद्ध evaluate होता है न कि From header के — aligned DKIM वह leg है जो survive करती है, और यही वह fix है जो matter करता है।
Fix में कितना समय लगता है? Console काम प्रति provider minutes है। DNS wait है: Google 48 घंटे तक authentication शुरू करने की अनुमति देने से पहले; Microsoft के CNAMEs आमतौर पर घंटों में live होते हैं। End to end एक working day budget करें, इसका अधिकांश इंतजार में।
मालिक को रिपोर्ट भेजें
यदि आप किसी client या नियोक्ता के लिए यह ठीक कर रहे हैं, evidence के साथ loop close करें। नया सिग्नेचर live होने के बाद मुफ़्त स्कैन फिर से चलाएं और graded report business owner को forward करें: dated, plain-language, DKIM उनके domain के साथ aligned दिखाता है। यह cyber-insurance renewal और अगली supplier security questionnaire के लिए artifact है — proof कि domain खुद के रूप में authenticate करता है, gappssmtp.com के subtenant के रूप में नहीं।
अपनी DKIM alignment मुफ़्त में जांचें
देखें कि आपका mail आपके अपने domain के रूप में sign करता है या नहीं — और ठीक-ठीक क्या fix करना है — privately और owner-only।
अपना डोमेन जांचें → · DMARC fails but SPF and DKIM pass → · DKIM ठीक करें → · Google Workspace पर DKIM सेट करें → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।