<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="NO-BOK" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hello,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">We have been ramping up DMARC usage over the last year or so, and recently enabled the failure reporting option to allow recipient servers to notify us when a message is quarantined or rejected due to a failing policy.
 We have SPF and DKIM in place for our domains and have set the failure policy to fo=0, which requires both SPF and DKIM to fail for the DMARC check to fail.
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">What we've noticed is a potential problem with certain conditions of message forwarding, resulting in a bit of failure report flooding. Whenever we send a message to someone with a Hotmail/MSN/Outlook.com address, who
 has configured their account to forward email to another address on Microsoft's services (Office365 / Exchange hybrid?), we get DMARC failure reports from
<a href="mailto:staff@hotmail.com">staff@hotmail.com</a>. The headers in the report's attached emails show that delivery from our servers to the hotmail server for the original address succeeds, with both SPF and DKIM checks passing. However, there's an internal
 delivery exchange of the message between outlook.com / hotmail.com / onmicrosoft servers for the new recipient's address, and the recipient's server performs a new authentication check on the forwarded message. This fails the SPF check, which is to be expected,
 but should not be enough to fail the message per our DMARC policy of 'fo=0'.  However, for some reason it also fails the DKIM check at this point – possibly due to a modified subject or an added anti-spam scan disclaimer? The final recipient's server politely
 adheres to our DMARC policy and rejects/quarantines the message, and we get a failure report as a result.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Is there anything we can do as a sender to prevent this from happening, beyond relaxing the policy to maybe quarantine less than 100% of failed messages? It seems odd that we are getting an abundance of these from Microsoft,
 but almost nothing from other services. Has Microsoft implemented some superfluous auth checks in their internal delivery line that fails due to them breaking the DKIM signature on a previous step, or is possibly this due to Office365 customer setup?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I have several examples of emails with headers showing the odd forwarding path these messages take, if you'd be interested in taking a look. Any suggestions you can give us would be most welcome.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Best regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Geir W<o:p></o:p></span></p>
</div>
</body>
</html>