DKIM może przejść pomyślnie, a DMARC i tak może zakończyć się niepowodzeniem. Przyczyną jest niemal zawsze dopasowanie (alignment). Wiadomość może nieść prawidłowy podpis DKIM dla jednej domeny, jednocześnie wyświetlając inną domenę w adresie From, a DMARC uznaje wynik za pozytywny tylko wtedy, gdy te domeny są zgodne. Oto jak naprawić dopasowanie DKIM.
Co oznacza dopasowanie
DMARC wymaga, aby domena widoczna w adresie From była zgodna z domeną, dla której DKIM złożył podpis, lub z domeną, która przeszła SPF. Jeśli w polu From Twoja poczta pokazuje you@yourdomain.com, ale podpis DKIM dotyczy sendgrid.net, DKIM przechodzi pomyślnie dla nadawcy, lecz nie jest dopasowany do Twojej domeny, więc DMARC zawodzi.
Najczęstsza przyczyna
Dzieje się tak, gdy platforma wysyłkowa domyślnie podpisuje pocztę własną domeną. Narzędzia marketingowe, systemy helpdesk oraz nadawcy wiadomości transakcyjnych często postępują w ten sposób, dopóki nie skonfigurujesz markowego DKIM dla własnej domeny.
Rozwiązanie
Skonfiguruj DKIM dla własnej domeny wewnątrz platformy wysyłkowej. Każdy większy dostawca oferuje uwierzytelnianie domeny, które publikuje rekord DKIM w Twojej domenie i nią podpisuje wiadomości, dzięki czemu podpis jest dopasowany do adresu From. Gdy podpisywanie odbywa się już Twoim własnym DKIM, domena podpisu i domena From są zgodne, a DMARC przechodzi pomyślnie. Zobacz jak skonfigurować DKIM.
Dopasowanie łagodne (relaxed) a ścisłe (strict)
DMARC domyślnie stosuje dopasowanie łagodne (relaxed), w którym subdomena pasuje do domeny nadrzędnej. Dopasowanie ścisłe wymaga dokładnej zgodności. Tryb łagodny jest odpowiedni niemal dla każdego, więc jeśli ustawiasz adkim=s, upewnij się, że naprawdę tego potrzebujesz.
Weryfikacja
Wyślij wiadomość testową z platformy i potwierdź, że domena podpisu DKIM jest zgodna z Twoją domeną From, a następnie przeskanuj swoją domenę.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.