Sob as hipóteses básicas que sustentam o DMARC, ninguém deve ser capaz de passar qualquer um teste DKIM ou SPF como seu domínio, a menos que o e-mail seja proveniente de um servidor que você controla. Um passe para qualquer um dos dois é suficiente para confirmar isso.
Assim, não há como forçar o DMARC a exigir o passe, e não deve haver razão para isso.
Se terceiros puderem passar os testes DKIM como você e você não os autorizar, você terá um problema de segurança e isso é o que precisa corrigir.
Primeiro, verifique se você não cometeu um erro ao interpretar os relatórios que está vendo. Eles são assinados DKIM, mas com um domínio que não é seu? Se assim for, não há nada que você precise fazer. Mas se os e-mails não autorizados por você forem assinados com o domínio seu , isso indica que você está fazendo algo errado.
Passos a serem tomados:
- Gere uma nova chave DKIM, comece a assinar com ela e remova as referências à chave antiga de seus registros DNS (deixando os antigos registros DNS que permitirão que a chave antiga continue sendo usada).
- Mantenha a parte privada da sua chave DKIM segura. Por padrão, ele deve estar oculto para todos, exceto para root no seu servidor. Mantenha assim.
-
Verifique se você não está assinando e-mails provenientes de fontes não confiáveis. Você deve estar adicionando apenas assinaturas DKIM ao e-mail originado com você e seus usuários.
Se estiver usando o OpenDKIM, isso é controlado pela opção InternalHosts, e você também deve certificar-se de não reexecutar o OpenDKIM após passar o e-mail através de um filtro ou proxy local que possa parecer que o e-mail foi originado internamente.