Defaults.Exposed › सुधार › Guides
DMARC Fail लेकिन SPF और DKIM Pass? Alignment Fix (2026)
प्रकाशित 2026-07-08
आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा। देखें हम ग्रेड कैसे करते हैं।
DMARC को pass से ज्यादा चाहिए — SPF या DKIM pass करने वाला domain आपके From domain से match करना चाहिए। अधिकांश “SPF pass, DMARC fail” mail vendor के bounce domain पर SPF पास कर चुका था, आपके नहीं। केवल 7.4% of 261,086,232 ग्रेडेड domains enforcing DMARC policy के तहत alignment के साथ SPF pass करते हैं, Defaults.Exposed जनगणना (2026-06-29) के अनुसार।
Fix उस confusion से quicker है जितना सुझाव करती है। Authentication-Results header पढ़ें यह देखने के लिए कि कौन सी leg — SPF या DKIM — गलत domain पर pass हो रही है; फिर या तो अपने sending service का custom-domain DKIM signing enable करें (आमतौर पर कुछ CNAMEs, और वह fix जो forwarding से बचती है), या उसका custom return-path सेट करें ताकि SPF आपके domain पर pass करे। DMARC को केवल एक aligned leg चाहिए।
SPF और DKIM दोनों pass करने पर DMARC fail कैसे हो सकता है?
क्योंकि DMARC कभी नहीं पूछता “क्या SPF pass हुआ?” यह पूछता है: क्या SPF या DKIM उस domain के लिए pass हुआ जो आपके recipient द्वारा दिखाए गए From address से match करता है? वह extra condition alignment कहलाती है, और यही DMARC का पूरा point है — इसके बिना, कोई भी SPF उस domain पर pass कर सकता है जिसे वे own करते हैं जबकि From header में आपका display करते हैं।
प्रत्येक check एक अलग domain authenticate करता है:
| Check | यह वास्तव में जो domain evaluate करता है | इसे कहां देखें |
|---|---|---|
| SPF | Return-Path (RFC5321.MailFrom, bounce/envelope-from address) — From header नहीं | Authentication-Results में smtp.mailfrom= |
| DKIM | Signature के d= tag में domain — signer ने जो चुना | Authentication-Results में header.d= |
| DMARC | आपका From-header domain — और यह require करता है कि SPF का domain या DKIM का d= उससे match करे | Authentication-Results में header.from= |
यही वह है जो आमतौर पर गलत होता है: आपका newsletter platform या CRM Return-Path [email protected] जैसे के साथ भेजता है, SPF vendor.com के विरुद्ध checked होता है और pass करता है, DKIM d=vendor.com के साथ pass करता है — और DMARC fail, क्योंकि न तो passing domain yourcompany.com से match करता है। हर check ने सच बताया; किसी ने आपको authenticate नहीं किया। अपना SPF record edit करने से यह fix नहीं हो सकता — इसे कभी consult नहीं किया गया।
Alignment देखने के लिए Authentication-Results कैसे पढ़ूं?
Failing service के जरिए खुद को message भेजें, raw source open करें, और Authentication-Results header खोजें। एक typical unaligned result ऐसा दिखता है:
Authentication-Results: mx.google.com;
spf=pass smtp.mailfrom=bounces.espmail.net;
dkim=pass header.d=espmail.net;
dmarc=fail (p=NONE) header.from=yourcompany.com
इसे तीन comparisons में पढ़ें:
- SPF leg: क्या
smtp.mailfrom=आपके domain में end होता है? यहां यहbounces.espmail.netहै — unaligned। - DKIM leg: क्या
header.d=आपके domain में end होता है? यहां यहespmail.netहै — unaligned। - DMARC verdict:
header.from=वह domain है जिसे DMARC defend कर रहा है। कोई भी leg उससे match नहीं की, इसलिएdmarc=fail— भले ही दोनों individual checkspassकहते हैं।
जो भी leg already आपके अपने domain को involve करती है (या की जा सकती है) वह fix करने वाली है। आपको केवल एक चाहिए।
Relaxed और strict alignment में क्या अंतर है?
DMARC दो matching modes offer करता है, आपके DMARC record में aspf (SPF) और adkim (DKIM) tags से set:
- Relaxed (
r, default): दो domains को same organizational domain share करना होगा — Public Suffix List के अनुसार registrable domain।bounce.yourcompany.comyourcompany.comके साथ align करता है; DKIMd=mail.yourcompany.comभी। यही कारण है कि vendor custom return-paths और custom DKIM, जो subdomains पर live होते हैं, काम करते हैं। - Strict (
s): Domains को exactly, character for character match करना होगा।bounce.yourcompany.comअबyourcompany.comके साथ align नहीं करता।
यदि आपके record में aspf या adkim mention नहीं है, आप relaxed mode में हैं — और आप लगभग निश्चित रूप से वहीं रहना चाहते हैं। Strict mode अधिकांश senders के लिए कोई meaningful security add नहीं करती और चुपचाप हर legitimate subdomain sender को तोड़ती है। यदि DMARC fail हो रहा है और आपके record में aspf=s या adkim=s है, अकेले यही bug हो सकता है।
DMARC alignment कैसे ठीक करूं?
- DNS छूने से पहले defaults.exposed पर मुफ़्त स्कैन चलाएं। यह आपका DMARC record और policy दिखाता है, क्या आपके SPF और DKIM align करने के लिए set up हैं, और और क्या broken है — ताकि आप पहले सही leg fix करें।
- प्रत्येक sending service test करें और उसका Authentication-Results पढ़ें (ऊपर की तरह)। हर source list करें — mailbox provider, newsletter tool, CRM, invoicing app — और note करें प्रति source क्या
smtp.mailfromऔरheader.dआपका domain हैं या vendor का। - प्रत्येक vendor के लिए custom-domain DKIM signing enable करें — वह fix जो lasts है। हर serious sending service “domain authentication” offer करती है: कुछ CNAME records जो इसे
d=yourcompany.com(या एक subdomain, जो relaxed mode में align करता है) के रूप में sign करने देती हैं। Aligned DKIM आमतौर पर easier fix है और एकमात्र जो forwarding से बचती है, क्योंकि forwarding SPF को design से तोड़ती है। - SPF alignment के लिए, vendor का custom return-path enable करें (अक्सर custom bounce domain कहलाता है) — typically एक CNAME जैसे
bounce.yourcompany.comvendor की ओर pointing। SPF फिर आपके organizational domain पर pass करता है और align करता है। जहां offered हो वहां यह करें, लेकिन इसे second leg treat करें, aligned DKIM का substitute नहीं। - Alignment को relaxed mode में रखें जब तक
aspf=s/adkim=sके लिए specific, understood reason न हो। - Re-scan करें और दोनों legs confirm करें, फिर enforcement की ओर move करें।
p=noneकी DMARC policy reports करती है लेकिन कुछ block नहीं करती; एक बार आपके real senders align हों, आपको protect करने वाली policy तक पूरा path DMARC ठीक करें पेज पर है, और IONOS पर DMARC जैसे provider walk-throughs DNS-panel clicks cover करते हैं।
क्या मुझे SPF alignment या DKIM alignment fix करनी चाहिए?
आपको प्रत्येक sending source के लिए एक aligned leg चाहिए। यदि आप केवल एक कर सकते हैं, choice close नहीं है:
| Fix | इसमें क्या शामिल है | Forwarding से बचती है? |
|---|---|---|
| Aligned DKIM (custom-domain signing) | Vendor के “domain authentication” panel में कुछ CNAMEs | हां — signature message के साथ travel करती है |
| Aligned SPF (custom return-path/bounce domain) | एक CNAME, जहां vendor offer करता है | नहीं — कोई भी forwarder का IP vendor का replace करता है |
Special case जानने लायक: Google Workspace और Microsoft 365 अपने fallback domains (gappssmtp.com, onmicrosoft.com) के साथ आपके mail को default से DKIM-sign करेंगे — तो DKIM pass दिखाता है जबकि DMARC अभी भी fail। यह इस पूरी समस्या का single most common specific instance है, और इसका अपना guide है: DKIM passes but DMARC still fails: the default-signature trap।
अक्सर पूछे जाने वाले सवाल
क्या DMARC pass के लिए दोनों SPF और DKIM align होने चाहिए? नहीं — एक aligned pass पर्याप्त है। Best practice फिर भी दोनों को align करना है, ताकि जब forwarding SPF leg तोड़े, DKIM leg अभी भी DMARC pass carry करे। 261,086,232 domains में ग्रेडेड 2026-06-29 जनगणना में, केवल 3.87% पूरा SPF + DMARC + DKIM triad complete करते हैं।
मेरा ESP dashboard SPF और DKIM को “verified” कहता है — DMARC अभी भी fail क्यों? “Verified” आमतौर पर मतलब है कि vendor का अपना sending vendor के domains पर pass करता है। जब तक आपने उनके custom domain steps complete नहीं किए (DKIM CNAMEs, custom return-path), mail vendor के रूप में authenticate करता है, आपके रूप में नहीं — और DMARC आपके From domain के विरुद्ध compare करता है।
क्या strict -all SPF record alignment के बिना पर्याप्त है?
नहीं। Strict qualifier Return-Path domain पर SPF के verdict को strengthen करता है, लेकिन DMARC को अभी भी उस domain का आपका होना चाहिए। 2026-06-29 जनगणना तक, -all publish करने वाले domains में से केवल 12,142,351 enforcing DMARC policy के तहत बैठे हैं — other 42,514,532 के पास strict record है जिस पर कोई policy act नहीं करती।
क्या मुझे अधिक security के लिए strict alignment (aspf=s/adkim=s) पर switch करना चाहिए?
लगभग कभी नहीं। Relaxed alignment पहले से same registrable domain require करती है, जिसे spoofer control नहीं करता। Strict mode mostly आपके अपने subdomain senders तोड़ता है — जब alignment unexpectedly fail हो तब इसकी जांच करें।
DMARC केवल उस mail पर fail करता है जिसे recipients forward करते हैं — same fix? वह SPF leg transit में मर रही है: forwarder का server किसी के SPF record में आपके return-path के लिए नहीं है। Forwarded mail के लिए SPF fix नहीं हो सकता; aligned DKIM जवाब है, क्योंकि signature forwarding से intact survive करती है। Details forwarded email SPF fail करता है में।
मालिक को रिपोर्ट भेजें
यदि आप किसी client या नियोक्ता के लिए यह ठीक कर रहे हैं, evidence के साथ loop close करें। CNAMEs land होने के बाद मुफ़्त स्कैन फिर से चलाएं और graded report business owner को forward करें: dated, plain-language, SPF, DKIM और DMARC aligned और passing दिखाता है। यह वह artifact है जिसकी उन्हें cyber-insurance renewal और अगली supplier security questionnaire के लिए जरूरत होगी — एक working configuration का proof, सिर्फ “मैंने DNS records add किए” नहीं।
अपना डोमेन जांचें → · DKIM passes but DMARC still fails → · DMARC ठीक करें → · हम ग्रेड कैसे करते हैं → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।