如果你是一个严重依赖电子邮件进行外部和内部沟通的组织，你的邮件的DMARC失败是一个值得关注的原因。你可以在网上使用一些方法和工具（免费的）来阻止DMARC对你的邮件的失败。

在这篇文章中，我们将仔细揭开DMARC失败的6大原因，以及你如何缓解这些原因以提高交付能力。

在我们讨论为什么DMARC会失败之前，让我们看看它是什么以及它如何帮助你。

DMARC是你的电子邮件认证政策中的一项关键活动，有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是，它只是整个反垃圾邮件计划的一个支柱，而且不是所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动，而有些报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。

可能导致DMARC失败的常见原因

识别DMARC失败的原因可能很复杂。然而，我将介绍一些典型的原因，以及导致这些原因的因素，以便你作为域名所有者能够更及时地纠正问题。

DMARC对准失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头（用于SPF）和DKIM签名头（用于DKIM）中提到的域名相匹配，来验证发件人地址（在可见的头中）中提到的域名是否真实。如果两者匹配，则电子邮件通过DMARC，否则DMARC失败。

因此，如果你的邮件不能通过DMARC，这可能是一个域名错位的案例。也就是说，SPF和DKIM的标识符都没有对准，邮件看起来是从一个未经授权的来源发出的。然而，这只是DMARC失败的原因之一。

DMARC对准模式 

你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。

• 放松：这表示如果Return-path头中的域和From头中的域只是简单的组织匹配，即使这样，SPF也会通过。
• 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时，SPF才会通过。

你可以为DKIM认证选择以下排列模式。

• 宽松：这表示如果DKIM签名中的域和发件人头中的域只是组织上的匹配，即使这样DKIM也会通过。
• 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时，才会通过DKIM。

请注意，要使电子邮件通过DMARC认证，SPF或DKIM都需要对齐。  

没有设置你的DKIM签名 

一个很常见的情况是，你的DMARC可能会失败，就是你没有为你的域名指定一个DKIM签名。在这种情况下，你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名，而这个签名与你的发件人标题中的域名不一致。接收的MTA无法对准这两个域，因此，你的邮件的DKIM和DMARC都失败了（如果你的邮件对准了SPF和DKIM）。

未在您的DNS中添加发送源 

值得注意的是，当你为你的域名设置DMARC时，接收的MTA会进行DNS查询以授权你的发送源。这意味着，除非你在域名的DNS中列出所有授权的发送源，否则对于那些没有列出的发送源，你的邮件将无法通过DMARC，因为接收方将无法在你的DNS中找到它们。因此，为了确保你的合法邮件总是被送达，请确保在你的DNS中列出所有授权的第三方电子邮件供应商，他们被授权代表你的域名发送邮件。

在电子邮件转发的情况下

在电子邮件转发过程中，电子邮件在最终被传递到接收服务器之前，会经过一个中间服务器。在邮件转发过程中，SPF检查会失败，因为中间服务器的IP地址与发送服务器的IP地址不一致，而这个新的IP地址通常不包括在原服务器的SPF记录中。相反，转发电子邮件通常不会影响DKIM电子邮件认证，除非中介服务器或转发实体对邮件内容进行了某些改动。

我们知道，在电子邮件转发过程中，SPF不可避免地会失效，如果发送源是DKIM中立的，而仅仅依靠SPF进行验证，那么在DMARC认证过程中，转发的电子邮件将被视为非法的。为了解决这个问题，你应该立即在你的组织中选择完全符合DMARC的标准，根据SPF和DKIM来调整和验证所有发出的邮件，因为要通过DMARC验证，邮件需要通过SPF或DKIM验证和调整。

你的域名被欺骗了

如果你已经为你的域名正确配置了DMARC、SPF和DKIM协议，并执行了你的策略和有效的无误记录，而且问题不是上述两种情况，那么你的邮件不能通过DMARC的最可能的原因是你的域名被欺骗或伪造了。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是，电子邮件欺骗案件在最近一段时间呈上升趋势，对你的组织的声誉是一个非常大的威胁。在这种情况下，如果你在拒绝策略上实施了DMARC，它就会失败，被欺骗的邮件就不会被送到收件人的收件箱。因此，域名欺骗可能是DMARC在大多数情况下失败的答案。

为什么第三方邮箱供应商的DMARC会失败？(Gmail, Mailchimp, Sendgrid, 等)

如果你使用外部邮箱供应商代表你发送邮件，你需要为他们启用DMARC、SPF和/或DKIM。你可以通过联系他们并要求他们为你处理实施，或者你可以自己动手，手动激活这些协议。要做到这一点，你需要访问你在这些平台上托管的账户门户（作为管理员）。

如果你的Gmail邮件未能通过DMARC，请转到你的域名的SPF记录，并检查你是否在其中包括_spf.google.com。如果没有，这可能是接收服务器无法识别Gmail作为你的授权发送源的一个原因。这同样适用于你从Mailchimp、Sendgrid和其他地方发送的邮件。

如何修复DMARC故障？

为了解决DMARC故障，我们建议你注册我们的免费DMARC分析器，开始你的DMARC报告和监测之旅。

#第1步：有了无政策，你可以开始用DMARC（RUA）汇总报告监控你的域名，并密切关注你的入站和出站邮件，这将帮助你应对任何不需要的交付问题

#Step 2: 之后，我们帮助你转向一个强制的政策，最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。

#步骤3：在我们的威胁情报引擎的帮助下，攻下恶意的IP地址，并直接从PowerDMARC平台报告，以规避未来的冒充攻击。

#第4步：启用DMARC（RUF）取证报告，以获得有关你的电子邮件未能通过DMARC的案例的详细信息，这样你就可以更快地找到问题的根源并加以解决。

如何处理未能通过DMARC的邮件？

请注意，一封邮件可能会因为通常的情况而无法通过DMARC，例如欺骗威胁，无法对准a) DKIM only b) SPF only c) both。如果它同时失败，你的邮件现在将被视为未经授权。 你可以配置一个合适的DMARC策略，指示收件人如何回应这些邮件。

希望我们能够解决为什么DMARC对你的域名失效的问题，并提供一个围绕如何轻松解决这个问题的解决方案。今天就用PowerDMARC来防止域名欺骗和监控你的邮件流吧!