Defaults.Exposed

Defaults.Exposedการแก้ไขGuides

DKIM ผ่านแต่ DMARC ล้มเหลว: กับดักลายเซ็นเริ่มต้น gappssmtp.com / onmicrosoft.com (2026)

เผยแพร่ 2026-07-08

ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน

อีเมลของคุณผ่าน DKIM ด้วยลายเซ็นเริ่มต้นของผู้ให้บริการ — d= ลงท้ายด้วย gappssmtp.com (Google Workspace) หรือ onmicrosoft.com (Microsoft 365) — แต่โดเมนนั้นไม่ตรงกับโดเมน From ของคุณ ดังนั้น DMARC จึงไม่ได้รับ pass ที่จัดตำแหน่ง เปิดใช้งานการลงนาม DKIM ด้วยโดเมนที่กำหนดเองเพื่อแก้ไขมัน จาก 12,145,313 โดเมนที่อนุญาตเซิร์ฟเวอร์อีเมลของ Google มีเพียง 18.5% ที่บังคับใช้ DMARC ตามสำมะโน Defaults.Exposed ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน

การแก้ไขเป็นหนึ่งในที่สะอาดที่สุดในการยืนยันตัวตนอีเมล: เปิดใช้งานการลงนาม DKIM ด้วยโดเมนที่กำหนดเอง บน Google Workspace นั้นคือหน้าจอ “Authenticate email” ของ Admin console — สร้าง key เผยแพร่ระเบียน TXT หนึ่งรายการ เปิดมัน บน Microsoft 365 นั้นคือหน้า DKIM ของ Defender portal — เผยแพร่ CNAME สอง selector เปิดใช้งาน ยี่สิบนาทีของงาน และ DMARC ในที่สุดได้รับ pass ที่จัดตำแหน่งที่รอคอยมา

ทำไม DKIM ผ่านแต่ DMARC ยังล้มเหลว?

เพราะ DMARC ไม่ถาม “มีลายเซ็น DKIM ที่ถูกต้องไหม?” — มันถาม “มีลายเซ็น DKIM ที่ถูกต้อง สำหรับโดเมนในส่วนหัว From หรือไม่?” เงื่อนไขที่สองนั้นเรียกว่าการจัดตำแหน่ง และมันคือจุดประสงค์ทั้งหมดของ DMARC: การพิสูจน์ว่าโดเมนที่ผู้รับ เห็น คือโดเมนที่ลงนาม

ตั้งแต่เริ่มต้น Google Workspace ลงนามอีเมลของคุณด้วยโดเมนเช่น yourdomain-com.20230601.gappssmtp.com (วันที่ประทับแตกต่างตามโดเมน) และ Microsoft 365 ลงนามด้วย yourtenant.onmicrosoft.com ลายเซ็นทั้งสองถูกต้องทางการเข้ารหัส — ตัวตรวจสอบ DKIM บอก pass — แต่โดเมน d= เป็นของ Google หรือ Microsoft ไม่ใช่ของคุณ แม้แต่ภายใต้การจัดตำแหน่ง relaxed ของ DMARC ซึ่งต้องการเพียง organizational domain ตรงกัน gappssmtp.com ก็ไม่ใช่ yourdomain.com ไม่มีการจับคู่ ไม่มี pass ที่จัดตำแหน่ง และถ้า SPF ก็ไม่จัดตำแหน่ง (มักทำไม่ได้ — ผู้รับประเมิน SPF กับโดเมน Return-Path ไม่ใช่ส่วนหัว From และการส่งต่อทำลายมันอย่างสมบูรณ์) DMARC ล้มเหลว

นี่คือกับดักที่กำหนดของค่าเริ่มต้นของผู้ให้บริการ: ค่าเริ่มต้นทำให้คุณ deliverability ไม่ใช่การป้องกัน — การจัดตำแหน่งคือการหมุน key ที่หายไป สำมะโนแสดงให้เห็นว่ามีผู้ส่งกี่รายที่หยุดที่ค่าเริ่มต้น: ของโดเมน 12,145,313 ที่อนุญาตเซิร์ฟเวอร์อีเมลของ Google ผ่าน _spf.google.com (ของ 138,927,207 ผู้เผยแพร่ SPF ทั่วโลก) มีเพียง 18.5% ที่บังคับใช้ DMARC ภาพของ Microsoft มีรูปร่างเดียวกัน: 10,205,070 โดเมนอนุญาต spf.protection.outlook.com, 85.0% ถือระเบียน SPF แบบ strict ที่การตั้งค่า M365 มอบให้ — และมีเพียง 21.7% ที่บังคับใช้ DMARC

ฉันจะระบุกับดักลายเซ็นเริ่มต้นใน Authentication-Results ได้อย่างไร?

เปิดข้อความที่คุณส่ง (ไปยังกล่องจดหมาย Gmail หรือ Outlook) ดู source/raw ดั้งเดิม และค้นหาส่วนหัว Authentication-Results เบาะแสคือ DKIM pass ที่มี d= ผิด — ตัวอย่างที่ Gmail รับมีลักษณะดังนี้:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=yourdomain.com;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com

อ่านมันเป็นสามคำถาม:

ส่วนหัวความหมายคำตัดสิน
dkim=pass header.d=yourdomain.comลายเซ็นถูกต้องและตรงกับโดเมน From ของคุณจัดตำแหน่งแล้ว — นี่คือเป้าหมาย
dkim=pass header.d=…gappssmtp.com หรือ …onmicrosoft.comลายเซ็นถูกต้องแต่เป็นโดเมนเริ่มต้นของผู้ให้บริการ — DMARC เพิกเฉยต่อมันสำหรับการจัดตำแหน่งกับดัก: pass โดยไม่มีการป้องกัน
dkim=fail (ใดๆ d=)ลายเซ็นไม่ถูกต้อง — ปัญหาที่แตกต่างกันดู วิธีแก้ไข DKIM

ฉันจะเปิดใช้งานการลงนาม DKIM ด้วยโดเมนที่กำหนดเองได้อย่างไร?

  1. สแกนฟรีที่ defaults.exposed ก่อนแตะอะไรเลย ระบบแสดงว่าโดเมนของคุณมี DKIM ที่จัดตำแหน่งหรือไม่ นโยบาย DMARC ของคุณจริงๆ คืออะไร และว่าอะไรอื่น (syntax ของระเบียน SPF, DMARC) จะยังคงบล็อกคุณหลังจากการแก้ไขนี้ — เพื่อให้คุณทำงานทั้งหมดครั้งเดียว
  2. ระบุว่าคุณลงนามด้วยค่าเริ่มต้นใด ตรวจสอบ header.d= ใน Authentication-Results ตามด้านบน: gappssmtp.com หมายความว่าค่าเริ่มต้น Google Workspace, onmicrosoft.com หมายความว่าค่าเริ่มต้น Microsoft 365
  3. Google Workspace: สร้างและเผยแพร่ key ของคุณเอง ใน Admin console ไปที่ Apps → Google Workspace → Gmail → Authenticate email เลือกโดเมนของคุณและคลิก Generate New Record (2048-bit เว้นแต่โฮสต์ DNS ของคุณไม่สามารถเก็บมันได้) เผยแพร่ระเบียน TXT ที่มอบให้ที่ google._domainkey.yourdomain.com รอ DNS (สูงสุด 48 ชั่วโมง) จากนั้น — ขั้นตอนที่คนพลาด — คลิก Start authentication การสร้างระเบียนไม่ทำอะไรจนกว่าคุณจะเปิดการลงนาม คู่มือครบถ้วน: ตั้งค่า DKIM บน Google Workspace
  4. Microsoft 365: เผยแพร่ CNAME สอง selector และเปิดใช้งาน ใน Defender portal ไปที่ Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM เลือกโดเมนที่กำหนดเองของคุณและสร้าง key เผยแพร่ CNAME ทั้งสอง — selector1._domainkey และ selector2._domainkey ชี้ไปยังเป้าหมายที่ Microsoft แสดง (copy เป้าหมายแน่ๆ จาก portal) จากนั้น toggle การลงนามเปิด สอง selector ไม่ใช่ optional: Microsoft หมุนเวียน key ระหว่างพวกมัน คู่มือครบถ้วน: ตั้งค่า DKIM บน Microsoft 365
  5. ตรวจสอบลายเซ็นใหม่ ส่งข้อความใหม่ไปยังกล่องจดหมายภายนอกและตรวจ Authentication-Results ใหม่: dkim=pass ควรแสดง header.d=yourdomain.com ตอนนี้ ถ้าแผง DNS ของคุณ auto-append zone ของคุณไปยังเป้าหมาย CNAME หรือบิดเบือนค่า TXT ยาว ลายเซ็นจะไม่สลับ — quirk ของแผง ไม่ใช่ผู้ให้บริการ ทำให้เกิดความล้มเหลวส่วนใหญ่ที่นี่
  6. สแกนใหม่และใช้ pass ที่จัดตำแหน่ง ยืนยันว่าการสแกนแสดง DKIM ที่จัดตำแหน่ง จากนั้นใช้มัน: นโยบาย DMARC ที่ p=none ไม่ปกป้องอะไร ทั่ว 261,086,232 โดเมนที่ได้รับการให้คะแนน มีเพียง 10.59% ที่บังคับใช้ DMARC (ข้อมูล ณ 2026-06-29) — DKIM ที่จัดตำแหน่งคือสิ่งที่ทำให้การบังคับใช้ปลอดภัยที่จะปรับ เริ่มที่ วิธีแก้ไข DMARC

การเปิดใช้งาน DKIM ที่กำหนดเองจะทำลายอะไรหรือไม่?

ไม่ — นี่คือการแก้ไขการยืนยันตัวตนอีเมลที่หายากที่มีรัศมีการระเบิดน้อยมาก: อีเมลที่ออกไปด้วยลายเซ็นเริ่มต้นก็แค่ออกไปด้วยลายเซ็นที่ดีกว่า และผู้ให้บริการยังคงจัดการ key (Microsoft หมุนเวียนข้าม selector สองตัวโดยอัตโนมัติ) โหมดความล้มเหลวจริงคือทำครึ่งทาง — เผยแพร่ TXT ของ Google แต่ไม่คลิก Start authentication หรือเผยแพร่ M365 selector หนึ่งแทนสอง และอย่าลบระเบียน DNS ในภายหลัง “เพื่อทำความสะอาด” การลงนามหยุดในทันทีที่ key หายไป

หมายเหตุขอบเขตหนึ่ง: ซ่อมแซมอีเมลที่ส่งผ่าน Google หรือ Microsoft เครื่องมือ newsletter และ CRM ลงนามด้วยค่าเริ่มต้นของตัวเองด้วย และแต่ละรายการต้องการ DKIM ด้วยโดเมนที่กำหนดเองของตัวเองเปิดใช้งาน — รูปแบบนั้น และกฎ Gmail bulk-sender ที่ต้องการมันตอนนี้ ครอบคลุมในคู่มือ 550-5.7.26

คำถามที่พบบ่อย

DKIM แสดง “pass” บนทุกเครื่องมือทดสอบ — ทำไมถึงต้องแก้ไขอะไร? เพราะเครื่องมือตอบคำถามที่แคบกว่าที่ DMARC ถาม ลายเซ็นถูกต้อง — แต่มันเป็นของ gappssmtp.com หรือ onmicrosoft.com ไม่ใช่ของคุณ ดังนั้นมันนับเป็นไม่มีค่าในการจัดตำแหน่ง DMARC นี่คือเหตุผลที่ผู้ส่งจำนวนมากหยุดที่ค่าเริ่มต้น: ของโดเมน 12,145,313 ที่อนุญาต Google มีเพียง 18.5% ที่บังคับใช้ DMARC (ข้อมูล ณ 2026-06-29)

การจัดตำแหน่ง DMARC แบบ relaxed ยอมให้ลายเซ็นเริ่มต้นผ่านหรือไม่? ไม่ การจัดตำแหน่ง relaxed เพียงแค่ผ่อนคลายการจับคู่ไปยัง organizational domain — mail.yourdomain.com จัดตำแหน่งกับ yourdomain.com โดเมน organizational ของลายเซ็นเริ่มต้นคือ gappssmtp.com หรือ onmicrosoft.com ซึ่งไม่มีอะไรร่วมกับของคุณ ไม่มีโหมดการจัดตำแหน่งใดที่ช่วย d= ของบุคคลที่สาม

ลายเซ็น gappssmtp.com / onmicrosoft.com แย่หรือไม่? ฉันควรลบมันหรือไม่? มันไม่แย่ — มันทำให้แน่ใจว่าอีเมลของคุณมีลายเซ็นที่ถูกต้อง บางส่วน ซึ่งช่วยกรองสแปม มันแค่ไม่ใช่ของคุณ คุณไม่ลบมัน คุณแทนที่มันโดยเปิดใช้งานการลงนามด้วยโดเมนที่กำหนดเอง

โดเมนของฉันอยู่บน Microsoft 365 ด้วย SPF แบบ strict — ฉันครอบคลุมแล้วหรือไม่? น่าจะไม่: ระเบียน strict นั้นคือค่าเริ่มต้น M365 ทำงานหนึ่งอย่าง ของโดเมน 10,205,070 ที่อนุญาต spf.protection.outlook.com, 85.0% มี SPF แบบ strict แต่มีเพียง 21.7% ที่บังคับใช้ DMARC (ข้อมูล ณ 2026-06-29) SPF ก็พังภายใต้การส่งต่อด้วย เพราะมันถูกประเมินกับ Return-Path แทนส่วนหัว From — DKIM ที่จัดตำแหน่งคือขาที่รอดชีวิต ซึ่งเป็นเหตุผลที่การแก้ไขนี้สำคัญ

การแก้ไขใช้เวลานานแค่ไหน? งานของ console ใช้เวลาไม่กี่นาทีต่อผู้ให้บริการ DNS คือการรอ: Google บอกอนุญาตสูงสุด 48 ชั่วโมงก่อนเริ่มการยืนยันตัวตน CNAME ของ Microsoft มักมีชีวิตภายในไม่กี่ชั่วโมง งบประมาณหนึ่งวันทำการ end to end ส่วนใหญ่รอ

ส่งรายงานให้เจ้าของ

หากคุณแก้ไขปัญหานี้สำหรับลูกค้าหรือนายจ้างของคุณ ปิดลูปด้วยหลักฐาน รันใหม่ การสแกนฟรี เมื่อลายเซ็นใหม่สดและส่งต่อรายงานที่ได้รับการให้คะแนนให้เจ้าของธุรกิจ: มีวันที่ ภาษาธรรมดา แสดง DKIM จัดตำแหน่งกับโดเมนของพวกเขา นั่นคือสิ่งประดิษฐ์สำหรับการต่ออายุประกันภัยไซเบอร์และแบบสอบถามความปลอดภัยผู้จัดหาถัดไป — หลักฐานว่าโดเมนยืนยันตัวตนของตัวเอง ไม่ใช่ผู้เช่าย่อยของ gappssmtp.com

ตรวจสอบการจัดตำแหน่ง DKIM ของคุณฟรี

ดูว่าอีเมลของคุณลงนามในฐานะโดเมนของคุณเอง — และสิ่งที่ต้องแก้ไขคืออะไร — เป็นส่วนตัวและเฉพาะเจ้าของ

ตรวจสอบโดเมนของคุณ → · DMARC ล้มเหลวแต่ SPF และ DKIM ผ่าน → · แก้ DKIM → · ตั้งค่า DKIM บน Google Workspace → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป