Defaults.Exposed › Javítások › Guides
A DMARC megbukik, de az SPF és a DKIM átmegy? Az igazítási hiba javítása (2026)
Közzétéve 2026-07-08
Adatok: 2026-06-29 · 7. módszertan. Összesített népszámlálási adatok 261 millió értékelt domain alapján. Lásd: hogyan értékelünk.
A DMARC-hoz több kell, mint egy „átment” eredmény — az SPF-en vagy DKIM-en átment domainnek egyeznie kell a Feladó domainnel. A legtöbb „SPF átment, DMARC megbukott” üzenet a szállító bounce-domainjén ment át az SPF-ellenőrzésen, nem az Önén. A Defaults.Exposed népszámlálása szerint (2026-06-29) az értékelt 261,086,232 domain mindössze 7.4%-a megy át igazított SPF-fel egy érvényesített DMARC-szabályzat alatt.
A javítás gyorsabb, mint a hiba megértése sugallja. Olvassa el az Authentication-Results fejlécet, hogy meglássa, melyik igazítás — SPF vagy DKIM — a rossz domaint mutatja; majd engedélyezze a küldési szolgáltatásán az egyéni domainre szóló DKIM-aláírást (általában néhány CNAME-rekord, és ez a megoldás, amely továbbítás esetén is megmarad), vagy állítsa be az egyéni visszaküldési útvonalát, hogy az SPF az Ön domainjén menjen át. Egy igazított igazítás elegendő a DMARC-nak.
Hogyan bukhat meg a DMARC, ha az SPF és a DKIM is átmegy?
Mert a DMARC soha nem azt kérdezi: „átment az SPF?” Azt kérdezi: az SPF vagy a DKIM a recipient által látott Feladó-domainnel egyező domainre ment-e át? Ezt a pluszfeltételt igazításnak nevezik, és ez a DMARC teljes lényege — nélküle bárki átmeherne SPF-en egy saját maga által kontrollált domainnel, miközben az Önét jeleníti meg a Feladó fejlécben.
Minden ellenőrzés más-más domaint hitelesít:
| Ellenőrzés | Valójában kiértékelt domain | Hol látható |
|---|---|---|
| SPF | A Return-Path (RFC5321.MailFrom, a bounce/borítékfeladó cím) — nem a Feladó fejléc | smtp.mailfrom= az Authentication-Results fejlécben |
| DKIM | Az aláírás d= tagjében lévő domain — amelyet az aláíró választott | header.d= az Authentication-Results fejlécben |
| DMARC | Az Ön Feladó fejlécbeli domainje — és megköveteli, hogy az SPF domainje vagy a DKIM d=-je egyezzen vele | header.from= az Authentication-Results fejlécben |
Így mennek általában tönkre a dolgok: a hírlevélplatform vagy CRM egy olyan Return-Path-tel küld mint [email protected], az SPF-et a vendor.com ellen ellenőrzik és átmegy, a DKIM átmegy d=vendor.com értékkel — és a DMARC megbukik, mert egyik átment domain sem egyezik a sajatvallalat.hu-val. Minden ellenőrzés igazat mondott; egyik sem hitelesítette Önt. Saját SPF-rekordjának szerkesztése nem javítja ezt — azt soha nem is kérdezték meg. Ez ugyanaz a csapda, amelyet az SPF meghibásodik a SaaS-eszközöknél útmutató ismertet.
A népszámlálás megmutatja, milyen kevesen teljesítik ezt az utolsó lépést: 261,086,232 értékelt domainből 27,640,987-nak (10.59%) van egyáltalán érvényesített DMARC-szabályzata, és mindössze 7.4% megy át igazított SPF-fel alatta. A 77.5 millió domain között, amelynek SPF-je softfail-lel végződik (~all), csupán 9.2% rendelkezik érvényesített DMARC-szabályzattal; a hardfail (-all) közzétevők körében 12,142,351 érvényesített, míg 42,514,532 nem az. A legtöbb domain megáll az „SPF átmegy” szintnél — ami DMARC nélkül szinte semmit sem véd.
Hogyan olvassam el az Authentication-Results fejlécet a nem igazított igazítás megtalálásához?
Küldjön magának üzenetet a meghibásodó szolgáltatáson keresztül, nyissa meg a nyers forrást, és keresse meg az Authentication-Results fejlécet. Egy tipikus nem igazított eredmény így néz ki:
Authentication-Results: mx.google.com;
spf=pass smtp.mailfrom=bounces.espmail.net;
dkim=pass header.d=espmail.net;
dmarc=fail (p=NONE) header.from=sajatvallalat.hu
Három összehasonlítással olvassa el:
- SPF-igazítás: a
smtp.mailfrom=az Ön domainjével végződik? Ittbounces.espmail.net— nem igazított. - DKIM-igazítás: a
header.d=az Ön domainjével végződik? Ittespmail.net— nem igazított. - DMARC-ítélet: a
header.from=az a domain, amelyet a DMARC véd. Egyik igazítás sem egyezett, tehátdmarc=fail— még akkor is, ha mindkét egyedi ellenőrzéspass-t mutat.
Amelyik igazítás már tartalmazza saját domainjét (vagy megvalósítható), azt kell javítani. Csak egy szükséges.
Mi a különbség a laza és a szigorú igazítás között?
A DMARC két egyezési módot kínál, amelyeket a DMARC-rekordjában az aspf (SPF) és az adkim (DKIM) tagekkel állít be:
- Laza (
r, az alapértelmezett): a két domainnek ugyanazt a szervezeti domaint kell megosztania — a Nyilvános Utótag Lista alapján a regisztrálható domaint. Abounce.sajatvallalat.huigazodik asajatvallalat.hu-hoz; ahogy ad=mail.sajatvallalat.huDKIM-aláírás is. Ezért működnek a szállítói egyéni visszaküldési útvonalak és az egyéni DKIM, amelyek aldomaineken laknak. - Szigorú (
s): a domaineknek karakterről karakterre pontosan egyezniük kell. Abounce.sajatvallalat.humár nem igazodik asajatvallalat.hu-hoz.
Ha a rekordja nem tartalmaz aspf-et vagy adkim-et, laza módban van — és szinte biztosan ott is kell maradnia. A szigorú mód a legtöbb küldő számára semmilyen lényeges biztonságot nem ad, és csendben tönkreteszi az összes jogszerű aldomainküldőt. Ha a DMARC megbukik és a rekordja tartalmaz aspf=s-t vagy adkim=s-t, ez önmagában is lehet a hiba.
Hogyan javítsam a DMARC-igazítást?
- Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon, mielőtt hozzányúl a DNS-hez. Megmutatja a DMARC-rekordot és a szabályzatot, hogy az SPF és a DKIM igazítva van-e, és mi egyéb sérült — így először a megfelelő igazítást javítja.
- Tesztelje minden egyes küldési szolgáltatást, és olvassa el az Authentication-Results fejlécet (ahogy fentebb). Sorolja fel az összes forrást — postafiók-szolgáltató, hírlevéleszköz, CRM, számlázóalkalmazás — és jegyezze fel, hogy az egyes forrásoknál az
smtp.mailfromés aheader.daz Ön domainjét vagy a szállítóét mutatja-e. - Engedélyezze az egyéni domainre szóló DKIM-aláírást minden szállítónál — a tartós megoldás. Minden komoly küldési szolgáltatás kínál „domain-hitelesítést”: néhány CNAME-rekord, amely lehetővé teszi a
d=sajatvallalat.hu(vagy egy aldomain, amely laza módban igazodik) szerinti aláírást. Az igazított DKIM általában az egyszerűbb javítás, és az egyetlen, amely továbbítás esetén is megmarad, mert a továbbítás szándéka szerint tönkreteszi az SPF-et. - Az SPF-igazításhoz engedélyezze a szállító egyéni visszaküldési útvonalát (amelyet gyakran egyéni bounce-domainnek neveznek) — jellemzően egy CNAME, mint például
bounce.sajatvallalat.hu, amely a szállítóra mutat. Az SPF akkor az Ön szervezeti domainjén megy át és igazodik. Ahol elérhető, tegye meg, de kezelje második igazításként, nem az igazított DKIM helyett. - Hagyja az igazítást laza módban, hacsak nincs konkrét, átgondolt oka az
aspf=s/adkim=sbeállításra. - Futtassa újra a vizsgálatot, és erősítse meg mindkét igazítást, majd haladjon az érvényesítés felé. A
p=noneDMARC-szabályzat jelent, de semmit nem blokk; amint a valódi küldők igazodnak, a teljes út egy Önt védő szabályzatig a DMARC javítása oldalon van, és a DMARC az IONOS-on szolgáltatói útmutatók részletezik a DNS-panel kattintásait.
SPF-igazítást vagy DKIM-igazítást javítsak?
Küldési forrásonként egy igazított igazítás szükséges. Ha csak egyet tehet meg, a választás nem nehéz:
| Javítás | Mit jelent | Megmarad továbbítás esetén? |
|---|---|---|
| Igazított DKIM (egyéni domainre szóló aláírás) | Néhány CNAME a szállító „domain-hitelesítés” paneljén | Igen — az aláírás az üzenettel utazik |
| Igazított SPF (egyéni visszaküldési útvonal/bounce-domain) | Egy CNAME, ahol a szállító kínálja | Nem — a továbbító szervere felváltja a szállító IP-jét |
Az érdemes különleges eset: a Google Workspace és a Microsoft 365 alapértelmezés szerint DKIM-aláírja a leveleit a saját tartalék domainjükkel (gappssmtp.com, onmicrosoft.com) — tehát a DKIM pass-t mutat, miközben a DMARC még mindig megbukik. Ez az egész probléma egyetlen leggyakoribb konkrét esete, amelyről saját útmutatója van: A DKIM átmegy, de a DMARC még mindig megbukik: az alapértelmezett aláírás csapdája.
Gyakran ismételt kérdések
Mindkét SPF-nek és DKIM-nek igazodnia kell a DMARC-átmenethez? Nem — egy igazított átmenet elegendő. A legjobb gyakorlat szerint mindkettőt igazítani kell, hogy amikor a továbbítás tönkreteszi az SPF-igazítást, a DKIM-igazítás még mindig biztosítsa a DMARC-átmenetet. A 2026-06-29 népszámlálásban értékelt 261,086,232 domain közül mindössze 3.87% teljesíti a teljes SPF + DMARC + DKIM hármas feltételt.
Az ESP-m irányítópultja szerint az SPF és a DKIM „ellenőrzött” — miért buk még mindig meg a DMARC? Az „ellenőrzött” általában azt jelenti, hogy a szállító saját küldése átmegy a szállító domainjein. Hacsak nem teljesítette az egyéni domain lépéseit (DKIM CNAME-ek, egyéni visszaküldési útvonal), a levelek a szállítóként hitelesítenek, nem Önként — és a DMARC az Ön Feladó domainjével hasonlítja össze.
Elegendő egy szigorú -all SPF-rekord igazítás nélkül?
Nem. A szigorú minősítő erősíti az SPF-ítéletet a Return-Path domainre, de a DMARC-nak még mindig szüksége van arra, hogy az a domain az Öné legyen. A 2026-06-29 népszámlálás szerint csupán 12,142,351 -all-t közzétevő domain rendelkezik érvényesített DMARC-szabályzattal — a többi 42,514,532 domainnek szigorú rekordja van, amelyen egyetlen szabályzat sem cselekszik.
Váljak-e szigorú igazításra (aspf=s/adkim=s) a nagyobb biztonság érdekében?
Majdnem soha. A laza igazítás már megköveteli ugyanazt a regisztrálható domaint, amelyet a hamisító nem irányít. A szigorú mód többnyire csak saját aldomainküldőit töri el — ellenőrizze, ha az igazítás váratlanul megbukik.
A DMARC csak a továbbított leveleken bukik meg — ugyanaz a javítás? Ez az SPF-igazítás menet közbeni megszűnése: a továbbító szervere nincs benne senkinek a visszaküldési útvonalára vonatkozó SPF-rekordjában. A továbbított levelek SPF-jét nem lehet javítani; az igazított DKIM a megoldás, mivel az aláírás épségben megmarad a továbbítás során. Részletek: a továbbított e-mail meghibásodik az SPF-en.
Küldje el a tulajdonosnak a jelentést
Ha egy ügyfélért vagy munkaadójáért végzi a javítást, zárja le a kört bizonyítékkal. Futtassa újra az ingyenes vizsgálatot a CNAME-rekordok élesedése után, és küldje el az értékelt jelentést a vállalkozás tulajdonosának: keltezve, közérthető nyelven, az SPF-, DKIM- és DMARC-igazítás átmenő státuszával. Ez az a dokumentum, amelyre szüksége lesz a kibervédelmi biztosítás megújításakor és a következő szállítói biztonsági kérdőívnél — egy működő konfiguráció bizonyítéka, nem csak az „hozzáadtam néhány DNS-rekordot”.
Ellenőrizze a domainjét → · A DKIM átmegy, de a DMARC még mindig megbukik → · DMARC javítása → · Hogyan értékelünk → · Csak összesített adatok. Az adatokat az EU-ban tároljuk és dolgozzuk fel.