akelsey

v=DMARC1;p=none - сам по себе бесполезен, используют на период тестирования и сбора данны, обычно еще указывают адрес репортинга - используют либо платное решение вроде dmarcian (есть триал), или что то опенсорсное на эластике + parsedmarc модуль на питоне.
v=DMARC1;p=reject - для того и нужна фаза предыдущая для анализа - что б понять кто и откуда отсылает. Да если вы используете рассылки от имени вашего домена это может заимпактить и почта перестанет приходить если вдруг не spf-aligned или dkim-aligned. Для этого у каждого рассыльщика есть способ - например dkim-survive - вы выдаете им право генерировать ключи. (нужно читать справку).

По поводу reject - это тоже всего лишь рекоммендация - решение принимает принимающий сервер, это либо ваш, либо вашего партнера. И уже там можно переопределить политику, обычно все же принято устанавливать на режект правило переопределение - класть письма в карантин.

Но... а разве кто-то может от лица моего домена отправлять?

Да могут - когда smtp header mailfrom корректный - например test@example.com, а envelope часть from: подставить ceo@yourcompany - без DMARC (если нет серьезного антиспам решения которое учитывает этот нюанс) - пройдет легко.

Вариантов на самом деле не густо Elasticsearch + parsedmarc + есть более понятные дашборды для Grafana.
Ищите parsedmarc - оттуда уже раскрутите всю цепочку. (но это всё равно будет хуже чем Dmarcian например, но на безрыбье и рак рыба)

Что-то у меня есть сомнения что почта отправляется с серверов mail.ru.
Можно подтвердить - зайти прямо в ящик мейл.ру -> и из веб интерфейса отправить письмо пользователю aaabbb@domain.com.
PS
Просто DKIM от mail.ru защищает поля: Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:To:From
Ни одно из них не меняется в процессе пересылки.

DMARC это технология DKIM + SPF как минимум.
Т.е. у вас проблема с SPF, а не с DKIM, т.к. ваш сервис не входит в диапазоны
"v=spf1 ip4:94.100.176.0/20 ip4:217.69.128.0/20 ip4:128.140.168.0/21 ip4:188.93.58.0/24 ip4:195.211.128.0/22 ip4:188.93.59.0/24 ip4:128.140.170.0/24 ip4:178.22.92.0/23 ip4:185.5.136.0/22 ip4:5.61.237.0/26 ip4:5.61.237.128/25 ip4:5.61.236.0/24 ~all"
гугл режектит почту, хоть и у мейл.ру не строгое (~all - т.е. решение принять должна принимающая сторона) соответствие, гугл окончательно решает что есть спам, а что не спам.

И наверное тут ничего не сделать, дальше с такими схемами будет только хуже, ибо спамеры уже всех достали.