DMARCアラインメント：メッセージがSPFとDKIMの両方を通過するように強制します

DMARCを支える基本的な仮定の下では、メールがサーバーから送信されない限り、誰もドメインとしてDKIMまたはSPFテストに合格できないはずですコントロール。これを確認するには、2つのいずれかのパスで十分です。

したがって、DMARCに両方のパスを要求させる方法はなく、そうする理由もありません。

サードパーティがあなたのようにDKIMテストに合格でき、あなたがそれらを承認しなかった場合、セキュリティ上の問題があり、これを修正する必要があります。

まず、表示しているレポートの解釈を間違えただけではないことを確認してください。彼らはDKIMに署名していますが、あなたのものではないドメインを使用していますか？もしそうなら、あなたがする必要があることは何もありません。ただし、承認されていないメールがyourドメインでDKIM署名されている場合、これは何か問題があることを示しています。

実行する手順：

• 新しいDKIMキーを生成し、それを使用して署名を開始し、DNSレコードから古いキーへの参照を削除します（古いDNSレコードを残すと、古いキーを引き続き使用できます）。
• DKIMキーの秘密部分を安全に保ちます。デフォルトでは、サーバー上のrootを除くすべてのユーザーに対して非表示にする必要があります。このようにしてください。

• 信頼できない送信元からのメールに署名していないことを確認してください。あなたとあなたのユーザーから発信されたメールにのみDKIM署名を追加する必要があります。

  OpenDKIMを使用する場合、これはInternalHostsオプションによって制御されます。また、メールが内部で発信されたように見えるローカルフィルターまたはプロキシを通過した後、OpenDKIMを再実行しないようにする必要があります。

DMARCは設計どおりに機能しています。 SPFまたはDKIMの少なくとも1つが合格した（そして整列された）場合、メッセージはDMARCを通過して配信されます。ほとんどの場合、SPFに失敗しているが、DKIM（署名が有効で整列されている）を通過しているメッセージは、転送されたメッセージです。 （転送されたメッセージはSPFに失敗しますが、DKIM署名は転送後も存続できます。）

いいえ、DMARCは、DKIM + ADKIMまたはSPF + ASPFのいずれかのみが合格するように設計されています。

両方を必要とする必要はありません。

DKIMがどのようにアライメントテストに合格するかを理解するのは難しいと思います。d=キーがfromと一致しない場合、ADKIMテストに失敗します。

ここで識別子がどのように一致する必要があるかを見てください： DMARC Email Identifiers

DMARCレコードでadkimを指定しなかった場合でも、デフォルトで「Relaxed」に設定されているため、整列しません。