Defaults.Exposed › Perbaikan › Guides
DKIM Lulus tapi DMARC Gagal: Jebakan Tanda Tangan Default gappssmtp.com / onmicrosoft.com (2026)
Diterbitkan 2026-07-08
Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari 261 juta domain yang dinilai. Lihat cara kami menilai.
Email Anda lulus DKIM dengan tanda tangan default provider — d= yang berakhir dengan gappssmtp.com (Google Workspace) atau onmicrosoft.com (Microsoft 365) — tetapi domain itu tidak cocok dengan domain From Anda, sehingga DMARC tidak mendapatkan kelulusan yang selaras. Aktifkan penandatanganan domain kustom untuk memperbaikinya. Dari 12,145,313 domain yang mengotorisasi server email Google, hanya 18.5% yang menegakkan DMARC, menurut sensus Defaults.Exposed dari 261,086,232 domain yang dinilai.
Perbaikannya adalah salah satu yang paling mudah dalam autentikasi email: aktifkan penandatanganan DKIM domain kustom. Di Google Workspace itu ada di layar “Authenticate email” konsol Admin — buat kunci, terbitkan satu record TXT, aktifkan. Di Microsoft 365 ada di halaman DKIM portal Defender — terbitkan dua CNAME selector, aktifkan. Dua puluh menit kerja, dan DMARC akhirnya mendapatkan kelulusan yang selaras yang selama ini ditunggu-tunggu.
Mengapa DKIM lulus tapi DMARC masih gagal?
Karena DMARC tidak bertanya “apakah ada tanda tangan DKIM yang valid?” — ia bertanya “apakah ada tanda tangan DKIM yang valid untuk domain di header From?” Syarat kedua itu disebut keselarasan, dan itulah seluruh tujuan DMARC: membuktikan bahwa domain yang dilihat penerima Anda adalah domain yang menandatangani.
Secara default, Google Workspace menandatangani email Anda dengan domain seperti yourdomain-com.20230601.gappssmtp.com (cap tanggal bervariasi per domain) dan Microsoft 365 menandatangani dengan yourtenant.onmicrosoft.com. Kedua tanda tangan secara kriptografi valid — pemeriksa DKIM mengatakan pass — tetapi domain d= milik Google atau Microsoft, bukan milik Anda. Bahkan dengan keselarasan relaxed DMARC, yang hanya mensyaratkan domain organisasi cocok, gappssmtp.com bukan yourdomain.com. Tidak ada kecocokan, tidak ada kelulusan yang selaras, dan jika SPF juga tidak selaras (seringkali tidak bisa — penerima mengevaluasi SPF terhadap domain Return-Path, bukan header From, dan penerusan memutusnya sepenuhnya), DMARC gagal.
Inilah jebakan yang menentukan dari default provider: default memberi Anda deliverability, bukan perlindungan — keselarasan adalah putaran kunci yang hilang. Sensus menunjukkan berapa banyak pengirim yang berhenti di default: dari 12,145,313 domain yang mengotorisasi server email Google via _spf.google.com (dari 138,927,207 penerbit SPF di seluruh dunia), hanya 18.5% yang menegakkan DMARC. Gambaran Microsoft sama polanya: 10,205,070 domain mengotorisasi spf.protection.outlook.com, 85.0% membawa record SPF ketat yang disediakan setup M365 — dan hanya 21.7% yang menegakkan DMARC. Perbandingan lengkap di tabel liga SPF provider email kami.
Jebakan ini tidak terlihat dalam penggunaan sehari-hari: email terkirim, tes kotak masuk terlihat baik-baik saja, tidak ada error — sampai Anda menerbitkan kebijakan DMARC dan email Anda sendiri mulai gagal. Pemindaian gratis kami menampilkan celah ini persis.
Bagaimana cara mengidentifikasi jebakan tanda tangan default di Authentication-Results?
Buka pesan yang Anda kirim (ke kotak surat Gmail atau Outlook), lihat sumber asli/mentah, dan temukan header Authentication-Results. Tandanya adalah DKIM pass dengan d= yang salah — contoh yang diterima Gmail terlihat seperti:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
Baca sebagai tiga pertanyaan:
| Fragmen header | Artinya | Verdict |
|---|---|---|
dkim=pass header.d=yourdomain.com | Tanda tangan valid DAN cocok dengan domain From Anda | Selaras — ini tujuannya |
dkim=pass header.d=…gappssmtp.com atau …onmicrosoft.com | Tanda tangan valid tetapi domain default provider — DMARC mengabaikannya untuk keselarasan | Jebakan: pass tanpa perlindungan |
dkim=fail (apapun d=-nya) | Tanda tangan tidak valid — masalah berbeda | Lihat cara memperbaiki DKIM |
Di email yang diterima Microsoft, cerita yang sama muncul sebagai dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com bersama compauth=fail — pola yang dibahas dalam panduan penolakan Outlook.
Jika header Anda justru menampilkan keduanya dkim=pass dan spf=pass dengan kegagalan DMARC, Anda berada dalam kasus keselarasan yang lebih luas — panduan DMARC gagal tapi SPF dan DKIM lulus membahas keselarasan relaxed vs strict secara lengkap.
Bagaimana cara mengaktifkan penandatanganan DKIM domain kustom?
- Jalankan pemindaian gratis di defaults.exposed sebelum menyentuh apapun. Ini menampilkan apakah domain Anda memiliki DKIM yang selaras, apa kebijakan DMARC Anda sebenarnya, dan apakah ada hal lain (SPF, sintaks record DMARC) yang masih akan memblokir Anda setelah perbaikan ini — sehingga Anda mengerjakan semuanya sekaligus.
- Identifikasi default mana yang Anda gunakan untuk menandatangani. Periksa
header.d=di Authentication-Results seperti di atas:gappssmtp.comberarti default Google Workspace,onmicrosoft.comberarti default Microsoft 365. - Google Workspace: buat dan terbitkan kunci Anda sendiri. Di konsol Admin pergi ke Apps → Google Workspace → Gmail → Authenticate email, pilih domain Anda dan klik Generate New Record (2048-bit kecuali host DNS Anda tidak bisa menyimpannya). Terbitkan record TXT yang diberikannya di
google._domainkey.yourdomain.com, tunggu DNS (sampai 48 jam), kemudian — langkah yang sering terlewat — klik Start authentication. Membuat record tidak melakukan apapun sampai Anda mengaktifkan penandatanganan. Panduan lengkap: siapkan DKIM di Google Workspace. - Microsoft 365: terbitkan dua CNAME selector dan aktifkan. Di portal Defender pergi ke Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, pilih domain kustom Anda dan buat kunci. Terbitkan kedua CNAME —
selector1._domainkeydanselector2._domainkey, menunjuk ke target yang ditampilkan Microsoft (salin target persis dari portal — domain yang diaktifkan sebelum Mei 2025 berakhir di.onmicrosoft.comtenant Anda; yang lebih baru berakhir di.dkim.mail.microsoft) — kemudian aktifkan penandatanganan. Dua selector tidak opsional: Microsoft merotasi kunci di antara keduanya. Panduan lengkap: siapkan DKIM di Microsoft 365. - Verifikasi tanda tangan baru. Kirim pesan baru ke kotak surat eksternal dan periksa ulang Authentication-Results:
dkim=passsekarang harus menampilkanheader.d=yourdomain.com. Jika panel DNS Anda secara otomatis menambahkan zona ke target CNAME atau merusak nilai TXT yang panjang, tanda tangan tidak akan beralih — keanehan panel, bukan provider, yang menyebabkan sebagian besar kegagalan di sini. - Pindai ulang dan manfaatkan kelulusan yang selaras. Konfirmasi pemindaian menampilkan DKIM yang selaras, kemudian gunakan: kebijakan DMARC
p=nonetidak melindungi apapun. Di semua 261,086,232 domain yang dinilai, hanya 10.59% yang menegakkan DMARC (data per 2026-06-29) — DKIM yang selaras adalah yang membuat penegakan aman untuk ditingkatkan. Mulai di cara memperbaiki DMARC.
Apakah mengaktifkan DKIM kustom akan merusak sesuatu?
Tidak — ini adalah perbaikan autentikasi email yang langka dengan hampir tidak ada dampak samping: email yang keluar dengan tanda tangan default cukup keluar dengan yang lebih baik, dan provider terus mengelola kunci (Microsoft merotasi secara otomatis di dua selector). Kegagalan nyata adalah melakukan setengahnya — menerbitkan TXT Google tetapi tidak pernah mengklik Start authentication, atau menerbitkan satu selector M365 alih-alih keduanya. Dan jangan hapus record DNS nanti “untuk merapikan”; penandatanganan berhenti seketika kunci menghilang.
Satu catatan cakupan: ini memperbaiki email yang dikirim melalui Google atau Microsoft. Alat newsletter dan CRM juga menandatangani dengan default mereka sendiri, dan masing-masing perlu mengaktifkan DKIM domain kustom sendiri — pola itu, dan aturan pengirim massal Gmail yang kini mensyaratkannya, dibahas dalam panduan 550-5.7.26.
Pertanyaan yang Sering Diajukan
DKIM menampilkan “pass” di setiap alat pengujian — mengapa ada yang perlu diperbaiki?
Karena alat-alat tersebut menjawab pertanyaan yang lebih sempit dari yang ditanyakan DMARC. Tanda tangannya valid — tetapi itu milik gappssmtp.com atau onmicrosoft.com, bukan milik Anda, sehingga tidak dihitung dalam keselarasan DMARC. Inilah mengapa begitu banyak pengirim berhenti di default: dari 12,145,313 domain yang mengotorisasi Google, hanya 18.5% yang menegakkan DMARC (data per 2026-06-29).
Apakah keselarasan DMARC relaxed membiarkan tanda tangan default lulus?
Tidak. Keselarasan relaxed hanya melonggarkan pencocokan ke domain organisasi — mail.yourdomain.com selaras dengan yourdomain.com. Domain organisasi tanda tangan default adalah gappssmtp.com atau onmicrosoft.com, yang tidak berbagi apapun dengan domain Anda. Tidak ada mode keselarasan yang menyelamatkan d= pihak ketiga.
Apakah tanda tangan gappssmtp.com / onmicrosoft.com itu buruk? Haruskah saya menghapusnya? Tidak buruk — ini memastikan email Anda membawa beberapa tanda tangan yang valid, yang membantu penyaringan spam. Hanya saja bukan milik Anda. Anda tidak menghapusnya; Anda menggantinya dengan mengaktifkan penandatanganan domain kustom.
Domain saya di Microsoft 365 dengan SPF ketat — apakah saya sudah terlindungi?
Kemungkinan tidak: record ketat itu adalah default M365 yang melakukan satu tugasnya. Dari 10,205,070 domain yang mengotorisasi spf.protection.outlook.com, 85.0% memiliki SPF ketat tetapi hanya 21.7% yang menegakkan DMARC (data per 2026-06-29). SPF juga rusak saat penerusan, karena dievaluasi terhadap Return-Path bukan header From — DKIM yang selaras adalah leg yang bertahan, itulah mengapa perbaikan ini penting.
Berapa lama perbaikan ini membutuhkan waktu? Pekerjaan di konsol membutuhkan menit per provider. DNS yang membutuhkan waktu tunggu: Google menyarankan tunggu sampai 48 jam sebelum memulai autentikasi; CNAME Microsoft biasanya aktif dalam beberapa jam. Anggaran satu hari kerja dari ujung ke ujung, sebagian besar menunggu.
Kirimkan laporan kepada pemilik
Jika Anda memperbaiki ini untuk klien atau perusahaan, tutup dengan bukti. Jalankan ulang pemindaian gratis setelah tanda tangan baru aktif dan teruskan laporan yang dinilai kepada pemilik bisnis: bertanggal, bahasa mudah dipahami, menampilkan DKIM yang selaras dengan domain mereka. Itulah artefak untuk perpanjangan asuransi siber dan kuesioner keamanan pemasok berikutnya — bukti bahwa domain mengautentikasi sebagai dirinya sendiri, bukan sebagai subtenant gappssmtp.com.
Periksa keselarasan DKIM Anda gratis
Lihat apakah email Anda ditandatangani sebagai domain Anda sendiri — dan persis apa yang harus diperbaiki — secara privat dan hanya untuk pemilik.
Periksa domain Anda → · DMARC gagal tapi SPF dan DKIM lulus → · Perbaiki DKIM → · Siapkan DKIM di Google Workspace → · Hanya data agregat. Data disimpan dan diproses di EU.