Defaults.Exposed

Defaults.ExposedJavításokGuides

A DMARC megbukik, de az SPF és a DKIM átmegy? Az igazítási hiba javítása (2026)

Közzétéve 2026-07-08

Adatok: 2026-06-29 · 7. módszertan. Összesített népszámlálási adatok 261 millió értékelt domain alapján. Lásd: hogyan értékelünk.

A DMARC-hoz több kell, mint egy „átment” eredmény — az SPF-en vagy DKIM-en átment domainnek egyeznie kell a Feladó domainnel. A legtöbb „SPF átment, DMARC megbukott” üzenet a szállító bounce-domainjén ment át az SPF-ellenőrzésen, nem az Önén. A Defaults.Exposed népszámlálása szerint (2026-06-29) az értékelt 261,086,232 domain mindössze 7.4%-a megy át igazított SPF-fel egy érvényesített DMARC-szabályzat alatt.

A javítás gyorsabb, mint a hiba megértése sugallja. Olvassa el az Authentication-Results fejlécet, hogy meglássa, melyik igazítás — SPF vagy DKIM — a rossz domaint mutatja; majd engedélyezze a küldési szolgáltatásán az egyéni domainre szóló DKIM-aláírást (általában néhány CNAME-rekord, és ez a megoldás, amely továbbítás esetén is megmarad), vagy állítsa be az egyéni visszaküldési útvonalát, hogy az SPF az Ön domainjén menjen át. Egy igazított igazítás elegendő a DMARC-nak.

Hogyan bukhat meg a DMARC, ha az SPF és a DKIM is átmegy?

Mert a DMARC soha nem azt kérdezi: „átment az SPF?” Azt kérdezi: az SPF vagy a DKIM a recipient által látott Feladó-domainnel egyező domainre ment-e át? Ezt a pluszfeltételt igazításnak nevezik, és ez a DMARC teljes lényege — nélküle bárki átmeherne SPF-en egy saját maga által kontrollált domainnel, miközben az Önét jeleníti meg a Feladó fejlécben.

Minden ellenőrzés más-más domaint hitelesít:

EllenőrzésValójában kiértékelt domainHol látható
SPFA Return-Path (RFC5321.MailFrom, a bounce/borítékfeladó cím) — nem a Feladó fejlécsmtp.mailfrom= az Authentication-Results fejlécben
DKIMAz aláírás d= tagjében lévő domain — amelyet az aláíró választottheader.d= az Authentication-Results fejlécben
DMARCAz Ön Feladó fejlécbeli domainje — és megköveteli, hogy az SPF domainje vagy a DKIM d=-je egyezzen veleheader.from= az Authentication-Results fejlécben

Így mennek általában tönkre a dolgok: a hírlevélplatform vagy CRM egy olyan Return-Path-tel küld mint [email protected], az SPF-et a vendor.com ellen ellenőrzik és átmegy, a DKIM átmegy d=vendor.com értékkel — és a DMARC megbukik, mert egyik átment domain sem egyezik a sajatvallalat.hu-val. Minden ellenőrzés igazat mondott; egyik sem hitelesítette Önt. Saját SPF-rekordjának szerkesztése nem javítja ezt — azt soha nem is kérdezték meg. Ez ugyanaz a csapda, amelyet az SPF meghibásodik a SaaS-eszközöknél útmutató ismertet.

A népszámlálás megmutatja, milyen kevesen teljesítik ezt az utolsó lépést: 261,086,232 értékelt domainből 27,640,987-nak (10.59%) van egyáltalán érvényesített DMARC-szabályzata, és mindössze 7.4% megy át igazított SPF-fel alatta. A 77.5 millió domain között, amelynek SPF-je softfail-lel végződik (~all), csupán 9.2% rendelkezik érvényesített DMARC-szabályzattal; a hardfail (-all) közzétevők körében 12,142,351 érvényesített, míg 42,514,532 nem az. A legtöbb domain megáll az „SPF átmegy” szintnél — ami DMARC nélkül szinte semmit sem véd.

Hogyan olvassam el az Authentication-Results fejlécet a nem igazított igazítás megtalálásához?

Küldjön magának üzenetet a meghibásodó szolgáltatáson keresztül, nyissa meg a nyers forrást, és keresse meg az Authentication-Results fejlécet. Egy tipikus nem igazított eredmény így néz ki:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounces.espmail.net;
       dkim=pass header.d=espmail.net;
       dmarc=fail (p=NONE) header.from=sajatvallalat.hu

Három összehasonlítással olvassa el:

Amelyik igazítás már tartalmazza saját domainjét (vagy megvalósítható), azt kell javítani. Csak egy szükséges.

Mi a különbség a laza és a szigorú igazítás között?

A DMARC két egyezési módot kínál, amelyeket a DMARC-rekordjában az aspf (SPF) és az adkim (DKIM) tagekkel állít be:

Ha a rekordja nem tartalmaz aspf-et vagy adkim-et, laza módban van — és szinte biztosan ott is kell maradnia. A szigorú mód a legtöbb küldő számára semmilyen lényeges biztonságot nem ad, és csendben tönkreteszi az összes jogszerű aldomainküldőt. Ha a DMARC megbukik és a rekordja tartalmaz aspf=s-t vagy adkim=s-t, ez önmagában is lehet a hiba.

Hogyan javítsam a DMARC-igazítást?

  1. Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon, mielőtt hozzányúl a DNS-hez. Megmutatja a DMARC-rekordot és a szabályzatot, hogy az SPF és a DKIM igazítva van-e, és mi egyéb sérült — így először a megfelelő igazítást javítja.
  2. Tesztelje minden egyes küldési szolgáltatást, és olvassa el az Authentication-Results fejlécet (ahogy fentebb). Sorolja fel az összes forrást — postafiók-szolgáltató, hírlevéleszköz, CRM, számlázóalkalmazás — és jegyezze fel, hogy az egyes forrásoknál az smtp.mailfrom és a header.d az Ön domainjét vagy a szállítóét mutatja-e.
  3. Engedélyezze az egyéni domainre szóló DKIM-aláírást minden szállítónál — a tartós megoldás. Minden komoly küldési szolgáltatás kínál „domain-hitelesítést”: néhány CNAME-rekord, amely lehetővé teszi a d=sajatvallalat.hu (vagy egy aldomain, amely laza módban igazodik) szerinti aláírást. Az igazított DKIM általában az egyszerűbb javítás, és az egyetlen, amely továbbítás esetén is megmarad, mert a továbbítás szándéka szerint tönkreteszi az SPF-et.
  4. Az SPF-igazításhoz engedélyezze a szállító egyéni visszaküldési útvonalát (amelyet gyakran egyéni bounce-domainnek neveznek) — jellemzően egy CNAME, mint például bounce.sajatvallalat.hu, amely a szállítóra mutat. Az SPF akkor az Ön szervezeti domainjén megy át és igazodik. Ahol elérhető, tegye meg, de kezelje második igazításként, nem az igazított DKIM helyett.
  5. Hagyja az igazítást laza módban, hacsak nincs konkrét, átgondolt oka az aspf=s/adkim=s beállításra.
  6. Futtassa újra a vizsgálatot, és erősítse meg mindkét igazítást, majd haladjon az érvényesítés felé. A p=none DMARC-szabályzat jelent, de semmit nem blokk; amint a valódi küldők igazodnak, a teljes út egy Önt védő szabályzatig a DMARC javítása oldalon van, és a DMARC az IONOS-on szolgáltatói útmutatók részletezik a DNS-panel kattintásait.

SPF-igazítást vagy DKIM-igazítást javítsak?

Küldési forrásonként egy igazított igazítás szükséges. Ha csak egyet tehet meg, a választás nem nehéz:

JavításMit jelentMegmarad továbbítás esetén?
Igazított DKIM (egyéni domainre szóló aláírás)Néhány CNAME a szállító „domain-hitelesítés” paneljénIgen — az aláírás az üzenettel utazik
Igazított SPF (egyéni visszaküldési útvonal/bounce-domain)Egy CNAME, ahol a szállító kínáljaNem — a továbbító szervere felváltja a szállító IP-jét

Az érdemes különleges eset: a Google Workspace és a Microsoft 365 alapértelmezés szerint DKIM-aláírja a leveleit a saját tartalék domainjükkel (gappssmtp.com, onmicrosoft.com) — tehát a DKIM pass-t mutat, miközben a DMARC még mindig megbukik. Ez az egész probléma egyetlen leggyakoribb konkrét esete, amelyről saját útmutatója van: A DKIM átmegy, de a DMARC még mindig megbukik: az alapértelmezett aláírás csapdája.

Gyakran ismételt kérdések

Mindkét SPF-nek és DKIM-nek igazodnia kell a DMARC-átmenethez? Nem — egy igazított átmenet elegendő. A legjobb gyakorlat szerint mindkettőt igazítani kell, hogy amikor a továbbítás tönkreteszi az SPF-igazítást, a DKIM-igazítás még mindig biztosítsa a DMARC-átmenetet. A 2026-06-29 népszámlálásban értékelt 261,086,232 domain közül mindössze 3.87% teljesíti a teljes SPF + DMARC + DKIM hármas feltételt.

Az ESP-m irányítópultja szerint az SPF és a DKIM „ellenőrzött” — miért buk még mindig meg a DMARC? Az „ellenőrzött” általában azt jelenti, hogy a szállító saját küldése átmegy a szállító domainjein. Hacsak nem teljesítette az egyéni domain lépéseit (DKIM CNAME-ek, egyéni visszaküldési útvonal), a levelek a szállítóként hitelesítenek, nem Önként — és a DMARC az Ön Feladó domainjével hasonlítja össze.

Elegendő egy szigorú -all SPF-rekord igazítás nélkül? Nem. A szigorú minősítő erősíti az SPF-ítéletet a Return-Path domainre, de a DMARC-nak még mindig szüksége van arra, hogy az a domain az Öné legyen. A 2026-06-29 népszámlálás szerint csupán 12,142,351 -all-t közzétevő domain rendelkezik érvényesített DMARC-szabályzattal — a többi 42,514,532 domainnek szigorú rekordja van, amelyen egyetlen szabályzat sem cselekszik.

Váljak-e szigorú igazításra (aspf=s/adkim=s) a nagyobb biztonság érdekében? Majdnem soha. A laza igazítás már megköveteli ugyanazt a regisztrálható domaint, amelyet a hamisító nem irányít. A szigorú mód többnyire csak saját aldomainküldőit töri el — ellenőrizze, ha az igazítás váratlanul megbukik.

A DMARC csak a továbbított leveleken bukik meg — ugyanaz a javítás? Ez az SPF-igazítás menet közbeni megszűnése: a továbbító szervere nincs benne senkinek a visszaküldési útvonalára vonatkozó SPF-rekordjában. A továbbított levelek SPF-jét nem lehet javítani; az igazított DKIM a megoldás, mivel az aláírás épségben megmarad a továbbítás során. Részletek: a továbbított e-mail meghibásodik az SPF-en.

Küldje el a tulajdonosnak a jelentést

Ha egy ügyfélért vagy munkaadójáért végzi a javítást, zárja le a kört bizonyítékkal. Futtassa újra az ingyenes vizsgálatot a CNAME-rekordok élesedése után, és küldje el az értékelt jelentést a vállalkozás tulajdonosának: keltezve, közérthető nyelven, az SPF-, DKIM- és DMARC-igazítás átmenő státuszával. Ez az a dokumentum, amelyre szüksége lesz a kibervédelmi biztosítás megújításakor és a következő szállítói biztonsági kérdőívnél — egy működő konfiguráció bizonyítéka, nem csak az „hozzáadtam néhány DNS-rekordot”.

Ellenőrizze a domainjét → · A DKIM átmegy, de a DMARC még mindig megbukik → · DMARC javítása → · Hogyan értékelünk → · Csak összesített adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.