Defaults.Exposed

Defaults.ExposedИсправленияGuides

DKIM проходит, а DMARC — нет: ловушка подписи по умолчанию gappssmtp.com / onmicrosoft.com (2026)

Опубликовано 2026-07-08

Показатели по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн оценённых доменов. См. как мы выставляем оценки.

Ваша почта проходит DKIM с подписью провайдера по умолчанию — d=, оканчивающимся на gappssmtp.com (Google Workspace) или onmicrosoft.com (Microsoft 365), — но этот домен не совпадает с вашим доменом From, поэтому DMARC не получает выровненного прохождения. Чтобы это исправить, включите подписывание собственным доменом. Из 12 145 313 доменов, авторизующих почтовые серверы Google, лишь 18,5% применяют DMARC принудительно — по данным переписи Defaults.Exposed, охватывающей 261 086 232 оценённых доменов.

Это одно из самых чистых исправлений в аутентификации почты: включить DKIM-подписывание собственным доменом. В Google Workspace это экран «Authenticate email» в консоли администратора — сгенерируйте ключ, опубликуйте одну TXT-запись, включите. В Microsoft 365 это страница DKIM в портале Defender — опубликуйте два селекторных CNAME и включите. Двадцать минут работы — и DMARC наконец получает выровненное прохождение, которого он ждал.

Почему DKIM проходит, а DMARC всё равно не проходит?

Потому что DMARC спрашивает не «есть ли действительная подпись DKIM?», а «есть ли действительная подпись DKIM для домена в заголовке From?». Это второе условие называется выравниванием (alignment), и в нём весь смысл DMARC: доказать, что домен, который видит ваш получатель, — это домен, который подписал письмо.

«Из коробки» Google Workspace подписывает вашу почту доменом вида yourdomain-com.20230601.gappssmtp.com (метка с датой у каждого домена своя), а Microsoft 365 — доменом yourtenant.onmicrosoft.com. Обе подписи криптографически действительны — проверки DKIM говорят pass, — но домен d= принадлежит Google или Microsoft, а не вам. Даже при нестрогом (relaxed) выравнивании DMARC, которое требует совпадения лишь организационных доменов, gappssmtp.com — это не yourdomain.com. Нет совпадения — нет выровненного прохождения, а если SPF тоже не выравнивается (а он часто и не может: получатели проверяют SPF по домену из Return-Path, а не из заголовка From, и пересылка ломает его полностью), DMARC не проходит.

Это определяющая ловушка провайдерских настроек по умолчанию: настройка по умолчанию даёт вам доставляемость, но не защиту — выравнивание и есть недостающий поворот ключа. Перепись показывает, как много отправителей останавливаются на настройке по умолчанию: из 12 145 313 доменов, авторизующих почтовые серверы Google через _spf.google.com (из 138 927 207 публикующих SPF доменов по всему миру), лишь 18,5% применяют DMARC принудительно. У Microsoft картина той же формы: 10 205 070 доменов авторизуют spf.protection.outlook.com, у 85,0% стоит строгая SPF-запись, которую выдаёт мастер настройки M365, — и лишь 21,7% применяют DMARC принудительно. Полное сравнение — в нашей таблице лиги почтовых провайдеров по SPF.

В повседневной работе ловушка невидима: почта доставляется, тесты входящих выглядят нормально, ошибок нет — пока вы не опубликуете политику DMARC и ваша собственная почта не начнёт её не проходить. Наше бесплатное сканирование выявляет именно этот пробел.

Как распознать ловушку подписи по умолчанию в Authentication-Results?

Откройте отправленное вами письмо (на ящик Gmail или Outlook), просмотрите оригинал/исходный код и найдите заголовок Authentication-Results. Характерный признак — DKIM pass с неправильным d=; пример письма, принятого Gmail, выглядит так:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=yourdomain.com;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com

Читайте его как три вопроса:

Фрагмент заголовкаЧто это значитВердикт
dkim=pass header.d=yourdomain.comПодпись действительна И совпадает с вашим доменом FromВыровнено — это и есть цель
dkim=pass header.d=…gappssmtp.com или …onmicrosoft.comПодпись действительна, но это домен провайдера по умолчанию — DMARC игнорирует её при выравниванииЛовушка: прохождение без защиты
dkim=fail (любой d=)Подпись недействительна — это другая проблемаСм. как исправить DKIM

В почте, принятой серверами Microsoft, та же история выглядит как dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com рядом с compauth=fail — этот сценарий разобран в руководстве по отклонению писем Outlook.

Если же в вашем заголовке одновременно dkim=pass и spf=pass при непрохождении DMARC, вы в более широком случае проблем с выравниванием — руководство «DMARC не проходит, а SPF и DKIM проходят» полностью разбирает нестрогое и строгое выравнивание.

Как включить DKIM-подписывание собственным доменом?

  1. Запустите бесплатное сканирование на defaults.exposed, прежде чем что-либо трогать. Оно показывает, есть ли у вашего домена выровненный DKIM, какая у вас на самом деле политика DMARC и не будет ли что-то ещё (SPF, синтаксис записи DMARC) блокировать вас после этого исправления — чтобы сделать всю работу за один раз.
  2. Определите, какой подписью по умолчанию вы подписываете. Проверьте header.d= в Authentication-Results, как показано выше: gappssmtp.com означает настройку по умолчанию Google Workspace, onmicrosoft.com — Microsoft 365.
  3. Google Workspace: сгенерируйте и опубликуйте собственный ключ. В консоли администратора перейдите в Apps → Google Workspace → Gmail → Authenticate email, выберите свой домен и нажмите Generate New Record (2048 бит, если ваш DNS-хостинг может хранить такой ключ). Опубликуйте выданную TXT-запись на google._domainkey.yourdomain.com, дождитесь DNS (до 48 часов), затем — шаг, который все пропускают, — нажмите Start authentication. Генерация записи ничего не даёт, пока вы не включите подписывание. Полное пошаговое руководство: настройка DKIM в Google Workspace.
  4. Microsoft 365: опубликуйте два селекторных CNAME и включите подпись. В портале Defender перейдите в Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, выберите свой пользовательский домен и создайте ключи. Опубликуйте оба CNAME — selector1._domainkey и selector2._domainkey, указывающие на цели, которые показывает Microsoft (копируйте точные цели из портала: у доменов, включённых до мая 2025 года, они оканчиваются на .onmicrosoft.com вашего тенанта; у более новых — на .dkim.mail.microsoft), — затем включите подписывание. Два селектора — не опция: Microsoft ротирует ключи между ними. Полное пошаговое руководство: настройка DKIM в Microsoft 365.
  5. Проверьте новую подпись. Отправьте новое письмо на внешний почтовый ящик и перепроверьте Authentication-Results: dkim=pass теперь должен показывать header.d=yourdomain.com. Если ваша DNS-панель автоматически дописала вашу зону к цели CNAME или исказила длинное значение TXT, подпись не переключится — большинство сбоев здесь вызывают причуды панелей, а не провайдер.
  6. Пересканируйте и используйте выровненное прохождение по назначению. Убедитесь, что сканирование показывает выровненный DKIM, и примените результат: политика DMARC на уровне p=none не защищает ничего. Среди всех 261 086 232 оценённых доменов лишь 10,59% применяют DMARC принудительно (данные по состоянию на 2026-06-29) — именно выровненный DKIM делает ужесточение политики безопасным. Начните со страницы как исправить DMARC.

Сломает ли что-нибудь включение собственного DKIM?

Нет — это редкое исправление в аутентификации почты, у которого практически нет зоны поражения: почта, уходившая с подписью по умолчанию, просто начинает уходить с подписью получше, а ключами по-прежнему управляет провайдер (Microsoft автоматически ротирует их между двумя селекторами). Реальный сценарий провала — сделать работу наполовину: опубликовать TXT от Google, но так и не нажать Start authentication, или опубликовать один селектор M365 вместо обоих. И не удаляйте DNS-записи позже «для порядка»: подписывание прекращается в тот момент, когда ключ исчезает.

Одно замечание о границах применимости: это исправляет почту, отправляемую через Google или Microsoft. Сервисы рассылок и CRM тоже подписывают своими доменами по умолчанию, и в каждом нужно отдельно включить DKIM для собственного домена — этот сценарий, а также правила Gmail для массовых отправителей, которые теперь этого требуют, разобраны в руководстве по ошибке 550-5.7.26.

Часто задаваемые вопросы

DKIM показывает «pass» во всех инструментах проверки — что тут вообще исправлять? Инструменты отвечают на более узкий вопрос, чем DMARC. Подпись действительна — но она принадлежит gappssmtp.com или onmicrosoft.com, а не вам, поэтому при выравнивании DMARC она не считается. Именно поэтому столько отправителей останавливаются на настройке по умолчанию: из 12 145 313 доменов, авторизующих Google, лишь 18,5% применяют DMARC принудительно (данные по состоянию на 2026-06-29).

Пропускает ли нестрогое выравнивание DMARC подпись по умолчанию? Нет. Нестрогое выравнивание лишь ослабляет требование до совпадения организационных доменов — mail.yourdomain.com выравнивается с yourdomain.com. Организационный домен подписи по умолчанию — gappssmtp.com или onmicrosoft.com, и у него нет ничего общего с вашим. Никакой режим выравнивания не спасает чужой d=.

Подпись gappssmtp.com / onmicrosoft.com — это плохо? Нужно ли её убрать? Она не плоха — благодаря ей ваша почта несёт хоть какую-то действительную подпись, что помогает при фильтрации спама. Она просто не ваша. Её не убирают — её заменяют, включая подписывание собственным доменом.

Мой домен на Microsoft 365 со строгим SPF — я уже защищён? Скорее всего, нет: эта строгая запись — настройка по умолчанию M365, выполняющая свою единственную задачу. Из 10 205 070 доменов, авторизующих spf.protection.outlook.com, у 85,0% строгий SPF, но лишь 21,7% применяют DMARC принудительно (данные по состоянию на 2026-06-29). К тому же SPF ломается при пересылке, потому что проверяется по Return-Path, а не по заголовку From, — выровненный DKIM — та опора, которая выживает, и именно поэтому это исправление так важно.

Сколько времени занимает исправление? Работа в консоли — минуты на каждого провайдера. Ожидание — это DNS: Google просит подождать до 48 часов перед запуском аутентификации; CNAME от Microsoft обычно начинают работать за часы. Закладывайте один рабочий день от начала до конца, большая часть которого — ожидание.

Отправьте владельцу отчёт

Если вы исправляете это для клиента или работодателя, завершите работу доказательством. Когда новая подпись заработает, повторно запустите бесплатное сканирование и перешлите владельцу бизнеса отчёт с оценкой: датированный, написанный простым языком, показывающий DKIM, выровненный с его доменом. Это тот самый документ для продления киберстраховки и следующей анкеты безопасности от поставщика — доказательство, что домен аутентифицируется как он сам, а не как субарендатор gappssmtp.com.

Проверьте выравнивание своего DKIM бесплатно

Узнайте, подписывается ли ваша почта вашим собственным доменом — и что именно исправлять — конфиденциально и только для владельца.

Проверьте свой домен → · DMARC не проходит, а SPF и DKIM проходят → · Исправить DKIM → · Настроить DKIM в Google Workspace → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.