То что Вы настроили dkim, spf, dmarc и ptr это прекрасно (кстати это далеко не всё - крайне желательно ещё и mta-sts и неплохо-бы tlsa dane озаботиться) - но какое это отношение имеет к тому что со всей этой верификацией делает почтовый сервис ПРИНИМАЮЩЕЙ стороны ?
Если у вашего клиента за которых Вы беспокоитесь настроен почтовый сервис на "принимать всё" то и все фишинговые письма якобы от Вас он получит. Ну значит он ССЗБ. Вы то сделали что могли.
В вашей ситуации так и было - ваш почтовый сервис на приём почты был настроен не строго (и это кстати правильно - ибо не получить почту важную и нужную вообще неприемлимо - защитные гайки потихоньку закручивать надо).
P.S.
То что Вы написали в dmarc "карантин" это рекомендация сервису принимающей стороны - он может её исполнить а может и подтереться ибо он не обязан ваши хотелки учитывать !
Вот Вам мой пример ( у меня в dmarc вообще p=reject прописано). Как-то раз при обновлении сервера dkim слетел напрочь, а заранее запланированная рассылка ушла. И что ? В gmail письма успешно попали у всех клиентов во "Входящие", хотя в отчёте dmarc что gmail прислал указано что dkim отсутствует. Просто gmail решает что с письмом делать исходя из собственных правил и мой p=reject ему до лампочки :)
