Määritä DKIM allekirjoittamaan Microsoft 365 -toimialueen sähköposti

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

DomainKeys Identified Mail (DKIM) on sähköpostin todennusmenetelmä , joka auttaa vahvistamaan Microsoft 365 -organisaatioltasi lähetettyjä sähköpostiviestejä, jotta estetään huijatut lähettäjät, joita käytetään yrityssähköpostin kompromississa (BEC), kiristyshaittaohjelmassa ja muissa tietojenkalasteluhyökkäyksissä.

DKIM:n ensisijainen tarkoitus on varmistaa, ettei viestiä ole muutettu siirrettäessä. Erityisesti:

1. Yksi tai useampi yksityinen avain luodaan toimialueelle, ja lähdesähköpostijärjestelmä käyttää sitä merkittävien lähtevien viestien tärkeiden osien digitaaliseen allekirjoittamiseen. Näitä viestin osia ovat esimerkiksi seuraavat:
   • Lähettäjän, vastaanottajan, aiheen, MIME-version, sisältötyypin, päivämäärän ja muiden viestien otsikkokentistä (lähdesähköpostijärjestelmän mukaan).
   • Viestin teksti.
2. Digitaalinen allekirjoitus tallennetaan viestin otsikon DKIM-Signature-otsikkokenttään , ja se pysyy voimassa, kunhan keskitason sähköpostijärjestelmät eivät muokkaa viestin allekirjoitettuja osia. D = -arvo DKIM-Signature-otsikkokentässä tunnistaa allekirjoitustoimialueen.
3. Vastaavat julkiset avaimet tallennetaan allekirjoitustoimialueen DNS-tietueisiin (Microsoft 365:n CNAME-tietueet; muut sähköpostijärjestelmät saattavat käyttää TXT-tietueita).
4. Kohdesähköpostijärjestelmät käyttävät D= -arvoa DKIM-Signature-otsikkokentässä seuraavasti:
   • Tunnista allekirjoitustoimialue.
   • Etsi toimialueen DKIM DNS -tietueesta julkinen avain.
   • Vahvista viestin allekirjoitus DKIM DNS -tietueen julkisella avaimella toimialueella.

Tärkeitä tietoja DKIM:stä:

• Toimialuetta, jota käytetään viestin DKIM-allekirjoittamiseen, ei tarvita vastaamaan viestin MAIL FROM- tai From-osoitteiden toimialuetta. Lisätietoja näistä osoitteista on artikkelissa Miksi Internet-sähköposti edellyttää todentamista.
• Viestissä voi olla useita DKIM-allekirjoituksia eri toimialueiden mukaan. Itse asiassa monet isännöidut sähköpostipalvelut allekirjoittavat viestin palvelutoimialueella ja allekirjoittavat sitten viestin uudelleen asiakastoimialueella sen jälkeen, kun asiakas on määrittänyt DKIM-allekirjoituksen toimialueelle.

Ennen kuin aloitamme, sinun on tiedettävä DKIM Microsoft 365:ssä sähköpostisi toimialueen perusteella:

• Jos käytät sähköpostissa vain Microsoft Online Email Routing Address (MOERA) -toimialuetta (esimerkiksi contoso.onmicrosoft.com): Sinun ei tarvitse tehdä mitään. Microsoft luo automaattisesti 2048-bittisen julkisen ja yksityisen avainparin alkuperäisestä *.onmicrosoft.com toimialueesta. Lähtevät viestit allekirjoitetaan automaattisesti yksityisen avaimen avulla. Julkinen avain julkaistaan DNS-tietueessa, jotta kohdesähköpostijärjestelmät voivat tarkistaa viestien DKIM-allekirjoituksen.

  Voit myös määrittää DKIM-allekirjoituksen manuaalisesti *.onmicrosoft.com-toimialueella. Katso ohjeet defender-portaalin käytöstä, kun haluat mukauttaa lähtevien viestien DKIM-allekirjoitusta tämän artikkelin myöhemmässä osassa *.onmicrosoft.com toimialue .

  Jos haluat varmistaa, että lähtevät viestit allekirjoitetaan automaattisesti DKIM:ssä, katso tämän artikkelin myöhemmästä osiosta Tarkista DKIM-sisäänkirjautuminen Microsoft 365:stä .

  Lisätietoja *.onmicrosoft.com-toimialueista on artikkelissa Miksi minulla on onmicrosoft.com toimialue?.

• Jos käytät sähköpostissa vähintään yhtä mukautettua toimialuetta (esimerkiksi contoso.com): Vaikka moera-toimialue on allekirjoittanut automaattisesti kaikki Microsoft 365:stä lähtevät sähköpostit, voit silti suojata sähköpostisi mahdollisimman tehokkaasti:

  • DKIM-allekirjoituksen määrittäminen mukautettujen toimialueiden tai alitoimialueiden avulla: Lähettäjä-osoitteessa olevan toimialueen on allekirjoitettava viesti DKIM. Suosittelemme myös DMARC-määritystä, ja DKIM läpäisee DMARC-vahvistuksen vain, jos DKIM:n allekirjoittama toimialue ja lähettäjän osoitteen toimialue ovat tasatut.

  • Huomioitavaa alitoimialueista:

    • Jos käytät sähköpostipalveluja, jotka eivät ole suorassa hallinnassasi (esimerkiksi joukkosähköpostipalvelut), suosittelemme käyttämään alitoimialuetta (esimerkiksi marketing.contoso.com) pääsähköpostitoimialueen (esimerkiksi contoso.com) sijaan. Et halua, että kyseisistä sähköpostipalveluista lähetettyjen sähköpostien ongelmat vaikuttavat pääsähköpostitoimialueen työntekijöiden lähettämien sähköpostien maineeseen. Lisätietoja alitoimialueiden lisäämisestä on artikkelissa Mukautettujen alitoimialueiden tai useiden toimialueiden lisääminen Microsoft 365:een?.

    • Jokainen alitoimialue, jolla lähetät sähköpostia Microsoft 365:stä, edellyttää omaa DKIM-määritystä.

      Vihje

      DMARC kattaa sähköpostin todennuksen suojauksen määrittämättömille alitoimialueille. Kaikki alitoimialueet (määritetty tai ei) perivät päätoimialueen DMARC-asetukset (jotka voidaan ohittaa alitoimialuetta kohti). Lisätietoja on artikkelissa DMARC:n määrittäminen vahvistamaan Lähettäjän osoite -toimialue lähettäjille Microsoft 365:ssä.

  • Jos omistat rekisteröityjä mutta käyttämättömiä toimialueita: Jos omistat rekisteröityjä toimialueita, joita ei käytetä sähköpostiin tai mihinkään (eli säilytettyihin toimialueisiin), älä julkaise kyseisten toimialueiden DKIM-tietueita. DKIM-tietueen puuttuminen (näin ollen julkisen avaimen puuttuminen DNS:stä viestin allekirjoituksen vahvistamiseksi) estää taollisten toimialueiden DKIM-vahvistuksen.

• Pelkkä DKIM ei riitä. Jotta mukautettujen toimialueiden sähköpostisuojaustaso olisi paras, sinun on myös määritettävä SPF ja DMARC osana yleistä sähköpostin todennusstrategiaasi . Lisätietoja on tämän artikkelin lopussa olevassa Seuraavat vaiheet - osiossa.

Tämän artikkelin loppuosassa kuvataan DKIM CNAME -tietueet, jotka sinun on luotava Mukautetuille toimialueille Microsoft 365:ssä, sekä DKIM:n määritysmenetelmät mukautettujen toimialueiden avulla.

Vihje

DKIM-allekirjoituksen määrittäminen mukautetulla toimialueella on sekoitus Microsoft 365:n toimintosarjoja ja mukautetun toimialueen toimialuerekisteröijän toimintosarjoja.

Annamme ohjeet CNAME-tietueiden luomiseen eri Microsoft 365 -palveluille useissa toimialuerekisteröijissä. Voit luoda DKIM CNAME -tietueet näiden ohjeiden avulla. Lisätietoja on artikkelissa DNS-tietueiden lisääminen toimialueen yhdistämiseksi.

Jos et tunne DNS-määritystä, ota yhteyttä toimialuerekisteröijään ja pyydä apua.

DKIM CNAME -tietueiden syntaksi

Vihje

Defender-portaalin tai Exchange Online PowerShellin avulla voit tarkastella pakollisia CNAME-arvoja, joita tarvitaan DKIM-allekirjoittamiseen saapuville viesteille mukautetun toimialueen avulla. Tässä esitetyt arvot ovat vain havainnollisia. Jos haluat hakea mukautettujen toimialueiden tai alitoimialueiden tarvitsemat arvot, käytä tässä artikkelissa myöhemmin olevia toimintosarjoja.

DKIM kuvataan tyhjentävästi kohdassa RFC 6376.

Microsoft 365:stä sähköpostia lähettävien mukautettujen toimialueiden DKIM CNAME -tietueiden perussyntaksi on seuraava:

Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomain>._domainkey.<InitialDomain>

Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomain>._domainkey.<InitialDomain>

• Microsoft 365:ssä luodaan kaksi julkisen ja yksityisen sektorin avainparia, kun DKIM-allekirjoitus mukautetulla toimialueella tai alitoimialueella on käytössä. Yksityisiä avaimia, joita käytetään viestin allekirjoittamiseen, ei voi käyttää. CNAME-tietueet osoittavat vastaaviin julkisiin avaimiin, joita käytetään DKIM-allekirjoituksen tarkistamiseen. Näitä tietueita kutsutaan valitsimina.

  • Vain yksi valitsin on aktiivinen, ja sitä käytetään, kun DKIM-allekirjoitus mukautetulla toimialueella on käytössä.
  • Toinen valitsin on passiivinen. Se aktivoidaan ja sitä käytetään vasta minkä tahansa tulevan DKIM-avainkierron jälkeen, ja vasta sen jälkeen, kun alkuperäinen valitsin on poistettu käytöstä.

  Valitsin, jota käytetään DKIM-allekirjoituksen tarkistamiseen (joka päätellään viestin allekirjoittamiseen käytetyn yksityisen avaimen), on tallennettu S= -arvoon DKIM-Signature-otsikkokentässä (esimerkiksi s=selector1-contoso-com).

• Isäntänimi: Arvot ovat samat kaikissa Microsoft 365 -organisaatioissa: selector1._domainkey ja selector2._domainkey.

• <CustomDomain>: Mukautettu toimialue tai alitoimialue, jonka jaksot on korvattu yhdysmerkeillä. Esimerkiksi muuttuu contoso-com- contoso.com tai marketing.contoso.com -muotoon marketing-contoso-com.

• <InitialDomain>: *.onmicrosoft.com, jota käytit rekisteröityessäsi Microsoft 365:een (esimerkiksi contoso.onmicrosoft.com).

Organisaatiollasi on esimerkiksi seuraavat Microsoft 365 -toimialueet:

• Alkuperäinen toimialue: cohovineyardandwinery.onmicrosoft.com
• Mukautetut toimialueet: cohovineyard.com ja cohowinery.com

Sinun on luotava kaksi CNAME-tietuetta kullekin mukautetulle toimialueelle yhteensä neljälle CNAME-tietueelle:

• CNAME-tietueet cohovineyard.com toimialueella:

  Isäntänimi: selector1._domainkey
  Osoittaa osoitteeseen tai arvoon: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com

  Isäntänimi: selector2._domainkey
  Osoittaa osoitteeseen tai arvoon: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com

• CNAME-tietueet cohowinery.com toimialueella:

  Isäntänimi: selector1._domainkey
  Osoittaa osoitteeseen tai arvoon: selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com

  Isäntänimi: selector2._domainkey
  Osoittaa osoitteeseen tai arvoon: selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com

Määritä lähtevien viestien DKIM-allekirjoitus Microsoft 365:ssä

Defender-portaalin avulla voit ottaa käyttöön lähtevien viestien DKIM-allekirjoituksen mukautetun toimialueen avulla

Vihje

DKIM-kirjautumisen ottaminen käyttöön mukautetun toimialueen avulla vaihtaa DKIM-allekirjoituksen alkuperäisestä *.onmicrosoft.com -toimialueesta mukautettuun toimialueeseen.

Voit käyttää mukautettua toimialuetta tai alitoimialuetta DKIM-kirjautumissähköpostiin vasta, kun toimialue on lisätty Microsoft 365:een onnistuneesti. Katso ohjeet kohdasta Toimialueen lisääminen.

Tärkein tekijä, joka määrittää, milloin mukautettu toimialue aloittaa lähtevän postin DKIM-kirjautumisen, on CNAME-tietuetunnistus DNS:ssä.

Jotta voit käyttää tämän osion toimintosarjoja, mukautetun toimialueen tai alitoimialueen on oltava DKIM-välilehdelläSähköpostin todennusasetukset -sivulla osoitteessa https://security.microsoft.com/authentication?viewid=DKIM. Tiedot-pikaikkunan toimialueen ominaisuuksien on sisällettävä seuraavat arvot:

• Tämän toimialueen Sign messages with DKIM signatures -valitsimen asetuksena on Ei käytössä .
• Status-arvo on Toimialueen DKIM-allekirjoituksia ei allekirjoiteta.
• DKIM-avainten luomista ei ole. Kierrä DKIM-näppäimiä on näkyvissä, mutta se näkyy harmaana.

Jatka, jos toimialue täyttää nämä vaatimukset.

1. Siirry Defender-portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköpostin & yhteistyökäytännöt>& säännöt>Uhkakäytännöt>Sähköpostin todennusasetukset -sivu. Jos haluat siirtyä suoraan Sähköpostin todennusasetukset -sivulle, käytä -parametria https://security.microsoft.com/authentication.

2. Valitse Sähköpostin todennusasetukset -sivulla DKIM-välilehti .

3. Valitse DKIM-välilehdessä määritettävä mukautettu toimialue napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua.

   

4. Valitse avautuvasta toimialueen tietojen pikaikkunasta Sign messages for this domain with DKIM signatures (Poista käytöstä).

   Huomaa viimeksi tarkastettu päivämääräarvo .

5. Näyttöön avautuu Asiakasvirhe-valintaikkuna. Virhe sisältää arvot, joita käytetään kahdessa CNAME-tietueessa, jotka luot toimialueen rekisteröijässä.

   Tässä esimerkissä mukautettu toimialue on contoso.com ja Microsoft 365 -organisaation alkuperäinen toimialue on contoso.onmicrosoft.com. Virhesanoma näyttää tältä:

   |Microsoft.Exchange.ManagementTasks.ValidationException|CNAME record does not
   exist for this config. Please publish the following two CNAME records first. Domain Name
   : contoso.com Host Name : selector1._domainkey Points to address or value: selector1-
   contoso-com._domainkey.contoso.onmicrosoft.com Host Name : selector2._domainkey
   Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com .
   If you have already published the CNAME records, sync will take a few minutes to as
   many as 4 days based on your specific DNS. Return and retry this step later.
   

   Siksi CNAME-tietueet, jotka sinun on luotava DNS:ssä contoso.com toimialueelle, ovat seuraavat:

   Isäntänimi: selector1._domainkey
   Osoittaa osoitteeseen tai arvoon: selector1-contoso-com._domainkey.contoso.onmicrosoft.com

   Isäntänimi: selector2._domainkey
   Osoittaa osoitteeseen tai arvoon: selector2-contoso-com._domainkey.contoso.onmicrosoft.com

   Kopioi tiedot virhevalintaikkunasta (valitse teksti ja paina CTRL+C) ja valitse sitten OK.

   Jätä toimialueen tietojen pikaikkuna auki.

6. Siirry toisessa selaimen välilehdessä tai ikkunassa toimialueen toimialueen rekisteröijään ja luo sitten kaksi CNAME-tietuetta edellisen vaiheen tietojen avulla.

   Annamme ohjeet CNAME-tietueiden luomiseen eri Microsoft 365 -palveluille useissa toimialuerekisteröijissä. Voit luoda DKIM CNAME -tietueet näiden ohjeiden avulla. Lisätietoja on artikkelissa DNS-tietueiden lisääminen toimialueen yhdistämiseksi.

   Microsoft 365:n uusien CNAME-tietueiden tunnistaminen kestää muutamia minuutteja (tai mahdollisesti kauemmin).

7. Palaa jonkin ajan kuluttua toimialueen ominaisuuksiin, jotka jätit auki vaiheessa 5, ja valitse Allekirjoita tämän toimialueen viestit DKIM-allekirjoituksilla -vaihtopainike.

   Muutaman sekunnin kuluttua avautuu seuraava valintaikkuna:

   

   Kun olet valinnut OK sulkeaksesi valintaikkunan, tarkista seuraavat asetukset tiedot-pikaikkunassa:

   • Tämän toimialueen Sign messages with DKIM signatures -valitsimen asetuksena on Käytössä .
   • Tila-arvo on Tämän toimialueen DKIM-allekirjoitusten allekirjoittaminen.
   • Kierrä DKIM-avaimia on käytettävissä.
   • Viimeksi tarkistettu päivämäärä: Päivämäärän ja kellonajan on oltava tuoreempi kuin vaiheen 4 alkuperäisen arvon.

   

Defender-portaalin avulla voit mukauttaa lähtevien viestien DKIM-allekirjoitusta *.onmicrosoft.com-toimialueella

Kuten aiemmin tässä artikkelissa kuvattiin, alkuperäinen *.onmicrosoft.com-toimialue määritetään automaattisesti allekirjoittamaan kaikki Microsoft 365 -organisaatiostasi lähtevät sähköpostit, ja määritä mukautetut toimialueet DKIM-allekirjoitukseen lähteville viesteille.

Tämän osion menettelyjen avulla voit kuitenkin vaikuttaa DKIM-allekirjoitukseen *.onmicrosoft.com toimialueella:

• Luo uusia avaimia. Uudet avaimet lisätään ja niitä käytetään automaattisesti Microsoft 365 -palvelinkeskuksissa.
• *.onmicrosoft.com toimialueen ominaisuudet näkyvät oikein toimialueen tietojen pikaikkunassa Sähköpostin todennusasetukset -sivun DKIM-välilehdessä PowerShellissä https://security.microsoft.com/authentication?viewid=DKIM tai PowerShellissä. Tämä tulos mahdollistaa tulevat toiminnot toimialueen DKIM-määrityksessä (esimerkiksi manuaalinen avaimen kierto).

Jotta voit käyttää tämän osion toimintosarjoja, *.onmicrosoft.com-toimialueen on oltava sähköpostin todennusasetukset -sivun DKIM-välilehdellä osoitteessa https://security.microsoft.com/authentication?viewid=DKIM. Tiedot-pikaikkunan *.onmicrosoft.com-toimialueen ominaisuuksien on sisällettävä seuraavat arvot:

• Tämän toimialueen Sign-viestit, joissa on DKIM-allekirjoitusten vaihtopainike, eivät ole käytettävissä.
• Status-arvoon Ei DKIM-avaimia, jotka on tallennettu tälle toimialueelle.
• DKIM-avaimien luominen on olemassa.

Jatka, jos toimialue täyttää nämä vaatimukset.

1. Siirry Defender-portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköpostin & yhteistyökäytännöt>& säännöt>Uhkakäytännöt>Sähköpostin todennusasetukset -sivu. Jos haluat siirtyä suoraan Sähköpostin todennusasetukset -sivulle, käytä -parametria https://security.microsoft.com/authentication.

2. Valitse Sähköpostin todennusasetukset -sivulla DKIM-välilehti .

3. Valitse DKIM-välilehdessä määritettävä *.onmicrosoft.com-toimialue napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua.

   

4. Valitse avautuvasta toimialueen tietojen pikaikkunasta Luo DKIM-avaimet.

   

5. Kun DKIM-avaimen luominen on valmis, Julkaise CNAMEs -valintaikkuna avautuu. Valitse Sulje.

   Et voi luoda CNAME-tietueita toimialueelle *.onmicrosoft.com, joten sinun ei tarvitse kopioida arvoja. Microsoft huolehtii tarvittavista DNS-määrityksistä puolestasi.

6. Kun olet valinnut Sulje, näet toimialueen tietojen pikaikkunan, jossa Allekirjoita viestit tälle toimialueelle DKIM-allekirjoituksia -vaihtopainikkeella on Poistettu käytöstä .

   

   Siirrä Tämän toimialueen Allekirjoita viestit -kohtaan DKIM-allekirjoitukset -valitsin käytössä ja valitse sitten OK avautuvasta vahvistusvalintaikkunasta.

   

   Kun toimialueen tietojen pikaikkuna on valmis, valitse Sulje.

Exchange Online PowerShellin avulla voit määrittää lähtevien viestien DKIM-allekirjoituksen

Jos haluat ottaa DKIM-allekirjoituksen käyttöön mukautetulla toimialueella PowerShellin avulla tai mukauttaa DKIM-allekirjoitusta *.onmicrosoft.com toimialueelle, suorita seuraavat komennot muodostamalla yhteys Exchange Online PowerShelliin.

Vihje

Ennen kuin voit määrittää DKIM-allekirjoituksen mukautetulla toimialueella, sinun on lisättävä toimialue Microsoft 365:een. Katso ohjeet kohdasta Toimialueen lisääminen. Vahvista, että mukautettu toimialue on käytettävissä DKIM-määrityksissä, suorittamalla seuraava komento: Get-AcceptedDomain.

Kuten aiemmin tässä artikkelissa kuvattiin, *.onmicrosoft.com toimialueesi on jo oletusarvoisesti kirjautumassa lähtevää sähköpostia. Jos et ole manuaalisesti määrittänyt DKIM-allekirjoitusta Defender-portaalin tai PowerShellin *.onmicrosoft.com-toimialueelle, *.onmicrosoft.com ei näy Get-DkimSigningConfig-tulosteessa.

1. Tarkista organisaation kaikkien toimialueiden käytettävyys ja DKIM-tila suorittamalla seuraava komento:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
   

2. Toimialueelle, jolle haluat määrittää DKIM-allekirjoituksen, komennon tulos vaiheessa 1 määrittää, mitä sinun on tehtävä seuraavaksi:

   • Toimialue on lueteltu seuraavilla arvoilla:

     • Käytössä: Epätosi
     • Tila: CnameMissing

     Kopioi valitsimen arvot vaiheeseen 3.

   TAI

   • Toimialuetta ei ole luettelossa:

     1. Korvaa <Toimialue> toimialuearvolla ja suorita sitten seuraava komento:

        New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
        

        • BodyCanonicalization-parametri määrittää luottamuksellisuustason viestin tekstiosassa muutoksille:
          • Vapaa: Muutokset välilyönnissä ja muutokset tyhjillä riveillä viestin rungon lopussa ovat siedettyjä. Tämä on oletusarvo.
          • Yksinkertainen: Vain viestin leipätekstin lopussa olevien tyhjien rivien muutokset ovat sallittuja.
        • HeaderCanonicalization-parametri määrittää viestin otsikon muutosten luottamuksellisuustason:
          • Rento: Yleisiä muutoksia viestin otsikkoon siedetään. Esimerkiksi otsikkokentän rivin uudelleenkirjoitetaan, tarpeettomat välilyönnit tai tyhjät rivit muuttuvat otsikkokenttien tapauksessa. Tämä on oletusarvo.
          • Yksinkertainen: Otsikkokenttiin tehtyjä muutoksia ei suvaita.
        • KeySize-parametri määrittää julkisen avaimen bittikoon DKIM-tietueessa:
          • 1024. Tämä on oletusarvo.

        Esimerkki:

        New-DkimSigningConfig -DomainName contoso.com -Enabled $false
        

     2. Vahvista, että toimialue sisältää seuraavat ominaisuusarvot, suorittamalla komennon vaiheesta 1 uudelleen:

        • Käytössä: Epätosi
        • Tila: CnameMissing

     3. Kopioi valitsimen arvot vaiheeseen 3.

3. Kopioi toimialueen Selector1CNAME - ja Selector2CNAME-arvot komennon tulostuksesta vaiheesta 1.

   CNAME-tietueet, jotka sinun on luotava toimialueen rekisteröijässä, näyttävät tältä:

   Isäntänimi: selector1._domainkey
   Osoittaa osoitteeseen tai arvoon: <Selector1CNAME value>

   Isäntänimi: selector2._domainkey
   Osoittaa osoitteeseen tai arvoon: <Selector2CNAME value>

   Esimerkki:

   Isäntänimi: selector1._domainkey
   Osoittaa osoitteeseen tai arvoon: selector1-contoso-com._domainkey.contoso.onmicrosoft.com

   Isäntänimi: selector2._domainkey
   Osoittaa osoitteeseen tai arvoon: selector2-contoso-com._domainkey.contoso.onmicrosoft.com

4. Toimi seuraavasti:

   • Mukautettu toimialue: Luo toimialueen toimialuerekisteröinnissä kaksi CNAME-tietuetta edellisen vaiheen tietojen avulla.

     Annamme ohjeet CNAME-tietueiden luomiseen eri Microsoft 365 -palveluille useissa toimialuerekisteröijissä. Voit luoda DKIM CNAME -tietueet näiden ohjeiden avulla. Lisätietoja on artikkelissa DNS-tietueiden lisääminen toimialueen yhdistämiseksi.

     Microsoft 365:n uusien CNAME-tietueiden tunnistaminen kestää muutamia minuutteja (tai mahdollisesti kauemmin).

   • *.onmicrosoft.com toimialue: siirry vaiheeseen 5.

5. Palaa hetken kuluttua Exchange Online PowerShelliin, korvaa <Toimialue> määrittämälläsi toimialueella ja suorita seuraava komento:

   Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
   

   • BodyCanonicalization-parametri määrittää luottamuksellisuustason viestin tekstiosassa muutoksille:
     • Vapaa: Muutokset välilyönnissä ja muutokset tyhjillä riveillä viestin rungon lopussa ovat siedettyjä. Tämä on oletusarvo.
     • Yksinkertainen: Vain viestin leipätekstin lopussa olevien tyhjien rivien muutokset ovat sallittuja.
   • HeaderCanonicalization-parametri määrittää viestin otsikon muutosten luottamuksellisuustason:
     • Rento: Yleisiä muutoksia viestin otsikkoon siedetään. Esimerkiksi otsikkokentän rivin uudelleenkirjoitetaan, tarpeettomat välilyönnit tai tyhjät rivit muuttuvat otsikkokenttien tapauksessa. Tämä on oletusarvo.
     • Yksinkertainen: Otsikkokenttiin tehtyjä muutoksia ei suvaita.

   Esimerkki:

   Set-DkimSigningConfig -Identity contoso.com -Enabled $true
   

   TAI

   Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
   

   • Jos kyseessä on mukautettu toimialue ja Microsoft 365 pystyy tunnistamaan CNAME-tietueet toimialuerekisteröijässä, komento suoritetaan ilman virhettä ja toimialuetta käytetään nyt DKIM-kirjautumisen lähettämiseen toimialueelta.

     Jos CNAME-tietueita ei tunnisteta, saat virheen, joka sisältää CNAME-tietueissa käytettävät arvot. Tarkista, onko toimialuerekisteröijän arvoissa kirjoitusvirheitä (helppo tehdä yhdysmerkeillä, pisteillä ja alleviivauksilla!), odota vielä hetki ja suorita komento sitten uudelleen.

   • Jos kyseessä on *.onmicrosoft.com toimialue, jota ei aiemmin ollut luettelossa, komento suoritetaan ilman virhettä.

6. Jos haluat varmistaa, että toimialue on nyt määritetty DKIM-allekirjoitussanomaan, suorita komento vaiheesta 1.

   Toimialueella on oltava seuraavat ominaisuusarvot:

   • Käytössä: Tosi
   • Tila: Valid

Yksityiskohtaiset syntaksi- ja parametritiedot ovat seuraavissa artikkeleissa:

• Get-DkimSigningConfig
• New-DkimSigningConfig
• Set-DkimSigningConfig

Kierrä DKIM-näppäimiä

Samoista syistä, joiden vuoksi sinun tulisi vaihtaa salasanoja säännöllisesti, sinun tulee muuttaa säännöllisesti DKIM-avainta, jota käytetään DKIM-allekirjoituksessa. DKIM-avaimen korvaaminen toimialueelle tunnetaan nimellä DKIM-avainkierto.

Microsoft 365:n toimialueen DKIM-avainkierron olennaiset tiedot näytetään seuraavan komennon tulosteessa Exchange Online PowerShellissä:

Get-DkimSigningConfig -Identity <CustomDomain> | Format-List

• KeyCreationTime: UTC-päivämäärä/aika, jolloin DKIM:n julkisen ja yksityisen avaimen pari luotiin.
• RotateOnDate: Edellisen tai seuraavan DKIM-avaimen kierron päivämäärä/aika.
• SelectorBeforeRotateOnDate: Muista, että DKIM-allekirjoittaminen mukautetulla toimialueella Microsoft 365:ssä edellyttää kahta CNAME-tietuetta toimialueella. Tämä ominaisuus näyttää CNAME-tietueen, jota DKIM käyttää ennen RotateOnDate-päivämäärä-aikaa (tunnetaan myös valitsimena). Arvo on selector1 tai selector2 on eri kuin SelectorAfterRotateOnDate-arvo .
• SelectorAfterRotateOnDate: Näyttää CNAME-tietueen, jota DKIM käyttää RotateOnDate-päivämäärän jälkeen. Arvo on selector1 tai selector2 on eri kuin SelectorBeforeRotateOnDate-arvo .

Kun suoritat DKIM-avaimen kierron toimialueella tässä osiossa kuvatulla tavalla, muutos ei ole välitön. Kestää neljä päivää (96 tuntia), ennen kuin uusi yksityinen avain aloittaa viestien allekirjoittamisen ( RotateOnDate-päivämäärä /aika ja vastaava SelectorAfterRotateOnDate-arvo ). Siihen asti käytetään olemassa olevaa yksityistä avainta (vastaava SelectorBeforeRotateOnDate-arvo ).

Vihje

Tärkein tekijä, joka määrittää, milloin mukautettu toimialue aloittaa lähtevän postin DKIM-kirjautumisen, on CNAME-tietuetunnistus DNS:ssä.

Vahvista vastaava julkinen avain, jota käytetään DKIM-allekirjoituksen tarkistamiseen (joka päätellään viestin allekirjoittamiseen käytetyn yksityisen avaimen), tarkistamalla DKIM-Signature-otsikkokentässä (valitsin, s=selector1-contoso-comesimerkiksi ).

Vihje

Mukautetuissa toimialueissa voit kiertää DKIM-avaimia vain toimialueilla, jotka on otettu käyttöön DKIM-allekirjoittamista varten ( Tila-arvo on Käytössä).

Tällä hetkellä *.onmicrosoft.com-toimialueelle ei ole automaattista DKIM-avaimen kiertoa. Voit kiertää DKIM-näppäimiä manuaalisesti tässä osiossa kuvatulla tavalla. Jos DKIM-kiertoavaimia ei ole käytettävissä *.onmicrosoft.com-toimialueen ominaisuuksissa, mukauta DKIM-allekirjoitusta Defender-portaalin avulla tämän artikkelin aiemmassa *.onmicrosoft.com-toimialueosassa .

Defender-portaalin avulla voit kiertää mukautetun toimialueen DKIM-avaimia

1. Siirry Defender-portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköpostin & yhteistyökäytännöt>& säännöt>Uhkakäytännöt>Sähköpostin todennusasetukset -sivu. Jos haluat siirtyä suoraan Sähköpostin todennusasetukset -sivulle, käytä -parametria https://security.microsoft.com/authentication.

2. Valitse Sähköpostin todennusasetukset -sivulla DKIM-välilehti .

3. Valitse DKIM-välilehdessä määritettävä toimialue napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua.

   

4. Valitse avautuvasta toimialueen tietojen pikaikkunasta Kierrä DKIM-avaimia.

   

5. Tiedot-pikaikkunan asetukset muuttuvat seuraaviksi arvoksi:

   • Tila: Tämän toimialueen kiertämisavaimet ja DKIM-allekirjoitusten allekirjoittaminen.
   • Kierrä DKIM-näppäimiä näkyy harmaana.

6. Neljän päivän (96 tunnin) jälkeen uusi DKIM-avain alkaa allekirjoittaa mukautetun toimialueen lähteviä viestejä. Siihen asti käytetään nykyistä DKIM-avainta.

   Näet, milloin uutta DKIM-avainta käytetään, kun tila-arvo muuttuu tämän toimialueen kiertämisavaimista ja DKIM-allekirjoitusten allekirjoittamisestaDKIM-allekirjoitusten allekirjoittamiseen tälle toimialueelle.

Vahvista vastaava julkinen avain, jota käytetään DKIM-allekirjoituksen tarkistamiseen (joka päätellään viestin allekirjoittamiseen käytetyn yksityisen avaimen), tarkistamalla DKIM-Signature-otsikkokentässä (valitsin, s=selector1-contoso-comesimerkiksi ).

Exchange Online PowerShellin avulla voit kiertää toimialueen DKIM-avaimia ja muuttaa bittisyvyyttä

Jos haluat kiertää toimialueen DKIM-avaimia PowerShellin avulla, muodosta yhteys Exchange Online PowerShelliin ja suorita seuraavat komennot.

1. Tarkista organisaation kaikkien toimialueiden käytettävyys ja DKIM-tila suorittamalla seuraava komento:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
   

2. Käytä seuraavaa syntaksia toimialueelle, jolle haluat kiertää DKIM-avaimia:

   Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
   

   Jos et halua muuttaa uusien DKIM-avainten bittisyvyyttä, älä käytä KeySize-parametria .

   Tässä esimerkissä kierretään contoso.com toimialueen DKIM-avaimia ja muutetaan 2048-bittiseen avaimeen.

   Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
   

   Tässä esimerkissä kierretään contoso.com toimialueen DKIM-avaimia muuttamatta näppäimen bittisyvyyttä.

   Rotate-DkimSigningConfig -Identity contoso.com
   

3. Vahvista seuraavat ominaisuusarvot suorittamalla komento vaiheesta 1 uudelleen:

   • KeyCreationTime
   • Kierrä päivämääränä
   • SelectorBeforeRotateOnDate
   • SelectorAfterRotateOnDate:

   Kohdesähköpostijärjestelmät tarkistavat DKIM-allekirjoituksen viesteissä käyttämällä CNAME-tietueen julkista avainta, jonka SelectorBeforeRotateOnDate-ominaisuus tunnistaa (mikä osoittaa yksityisen avaimen, jota käytettiin viestin DKIM-allekirjoittamiseen).

   RotateOnDate-päivämäärän ja -kellonajan jälkeen DKIM käyttää uutta yksityistä avainta viestien allekirjoittamiseen, ja kohdesähköpostijärjestelmät käyttävät vastaavaa julkista avainta CNAME-tietueessa, jonka SelectorAfterRotateOnDate-ominaisuus tunnistaa, tarkistaakseen DKIM-allekirjoituksen viesteissä.

   Vahvista vastaava julkinen avain, jota käytetään DKIM-allekirjoituksen tarkistamiseen (joka päätellään viestin allekirjoittamiseen käytetyn yksityisen avaimen), tarkistamalla DKIM-Signature-otsikkokentässä (valitsin, s=selector1-contoso-comesimerkiksi ).

Yksityiskohtaiset syntaksi- ja parametritiedot ovat seuraavissa artikkeleissa:

• Get-DkimSigningConfig
• Rotate-DkimSigningConfig

Poista käytöstä lähtevien viestien DKIM-allekirjoitus mukautetun toimialueen avulla

Kuten aiemmin tässä artikkelissa kuvattiin, lähtevien viestien DKIM-allekirjoituksen ottaminen käyttöön mukautetulla toimialueella vaihtaa käytännössä DKIM-allekirjoituksen *.onmicrosoft.com-toimialueen käytöstä mukautettuun toimialueeseen.

Kun poistat DKIM-allekirjoituksen käytöstä mukautetulla toimialueella, et poista lähtevän postin DKIM-allekirjoitusta kokonaan käytöstä. DKIM-allekirjoitus siirtyy lopulta takaisin *.onmicrosoft-toimialueen käyttöön.

Defender-portaalin avulla voit poistaa lähtevän viestin DKIM-allekirjoituksen käytöstä mukautetun toimialueen avulla

1. Siirry Defender-portaalissa osoitteessa https://security.microsoft.comkohtaan Sähköpostin & yhteistyökäytännöt>& säännöt>Uhkakäytännöt>Sähköpostin todennusasetukset -sivu. Jos haluat siirtyä suoraan Sähköpostin todennusasetukset -sivulle, käytä -parametria https://security.microsoft.com/authentication.

2. Valitse Sähköpostin todennusasetukset -sivulla DKIM-välilehti .

3. Valitse DKIM-välilehdessä määritettävä toimialue napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua.

4. Liu'uta avautuvassa toimialueen tietojen pikaikkunassa tämän toimialueen Sign messages with DKIM signatures (DKIM-allekirjoitukset ) -valitsimen arvoksi Disabled .

   

Exchange Online PowerShellin avulla voit poistaa DKIM-allekirjoituksen käytöstä mukautetulla toimialueella

Jos haluat poistaa lähtevän viestin DKIM-allekirjoituksen käytöstä mukautetulla toimialueella PowerShellin avulla, muodosta yhteys Exchange Online PowerShelliin ja suorita seuraavat komennot.

1. Tarkista organisaation kaikkien toimialueiden käytettävyys ja DKIM-tila suorittamalla seuraava komento:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status
   

   Millä tahansa mukautetulla toimialueella, jonka DKIM-allekirjoituksen voi poistaa käytöstä, on seuraavat ominaisuusarvot:

   • Käytössä: Tosi
   • Tila: Valid

2. Käytä seuraavaa syntaksia toimialueelle, jonka puolesta haluat poistaa DKIM-allekirjoituksen käytöstä:

   Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
   

   Tässä esimerkissä DKIM-allekirjoittaminen poistetaan käytöstä mukautetun toimialueen contoso.com avulla.

   Set-DkimSigningConfig -Identity contoso.com -Enabled $false
   

Tarkista Microsoft 365:n lähtevän postin DKIM-allekirjoitus

Vihje

Ennen kuin käytät tämän osion menetelmiä lähtevän postin DKIM-allekirjoituksen testaamiseen, odota muutama minuutti DKIM-määritysmuutosten jälkeen, jotta muutokset leviävät.

Voit varmistaa DKIM-allekirjoituksen Microsoft 365:n lähtevän sähköpostin DKIM-allekirjoituksella seuraavilla menetelmillä:

• Lähetä testiviestejä ja tarkastele aiheeseen liittyviä otsikkokenttiä kohdesähköpostijärjestelmän viestin otsikosta:

  1. Lähetä viesti Microsoft 365 DKIM -toimialueen tililtä toisessa sähköpostijärjestelmässä olevalle vastaanottajalle (esimerkiksi outlook.com tai gmail.com).

     Vihje

     Älä lähetä sähköpostia AOL:lle DKIM-testausta varten. AOL voi ohittaa DKIM-tarkistuksen, jos SPF-tarkistus läpäisee.

  2. Tarkastele viestin otsikkoa kohdepostilaatikossa. Esimerkki:

     • Näytä Internet-viestien otsikot Outlookissa.
     • Käytä viestin otsikon analysointia osoitteessa https://mha.azurewebsites.net.

  3. Etsi DKIM-Signature-otsikkokenttä viestin otsikosta. Otsikkokenttä näyttää seuraavalta:

     DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
      s=selector1;
      h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
      bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
     

     • d=: Toimialue, jota käytettiin viestin DKIM-allekirjoittamiseen.
     • s=: Valitsin (toimialueen DNS-tietueen julkinen avain), jota käytettiin viestin DKIM-allekirjoituksen salauksen purkamiseen ja tarkistamiseen.

  4. Etsi todennustulosten otsikkokenttä viestin otsikosta. Vaikka kohdesähköpostijärjestelmät saattavat käyttää hieman eri muotoja saapuvan postin leimaamiseen, otsikkokentässä tulee olla DKIM=pass tai DKIM=OK. Esimerkki:

     Authentication-Results: mx.google.com;
       dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
       arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
       spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
     

     Vihje

     DKIM-allekirjoitus jätetään pois jommankumman seuraavan ehdon mukaisesti:

     • Lähettäjän ja vastaanottajan sähköpostiosoitteet ovat samalla toimialueella.
     • Lähettäjän ja vastaanottajan sähköpostiosoitteet ovat eri toimialueilla, joita hallitaan samalla organisaatiolla.

     Molemmissa tapauksissa DKIM-Signature-otsikkokenttää ei ole viestin otsikossa ja Todennustulokset-otsikkokenttä näyttää seuraavalta:

     authentication-results: dkim=none (message not signed)
      header.d=none;dmarc=none action=none header.from=contoso.com;
     

• Käytä microsoft 365 -ohjeen testiä: Tämä ominaisuus edellyttää yleistä järjestelmänvalvojatiliä^*, eikä se ole käytettävissä Microsoft 365 Government Community Cloudissa (GCC), GCC Highissa, DoD:ssä tai 21Vianetin ylläpitämissä Office 365.

  Tärkeää

  ^* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

  Testien suorittaminen: DKIM

  

DKIM-sähköpostin allekirjoittaminen mukautetulta toimialueeltasi muissa sähköpostipalveluissa

Jotkin sähköpostipalveluntarjoajat tai ohjelmisto palveluna -palveluntarjoajat mahdollistavat DKIM-allekirjoituksen käyttöönoton palvelusta peräisin olevalle sähköpostillesi. Menetelmät ovat kuitenkin täysin riippuvaisia sähköpostipalvelusta.

Vihje

Kuten aiemmin tässä artikkelissa mainittiin, suosittelemme alitoimitilojen käyttöä sähköpostijärjestelmille tai palveluille, joita et suoraan hallitse.

Esimerkiksi sähköpostin toimialue Microsoft 365:ssä on contoso.com ja käytät Adatum-joukkopostipalvelua markkinointisähköposteihin. Jos Adatum tukee DKIM-allekirjoitusta toimialueesi lähettäjien lähettäjiltä heidän palvelussaan, viestit saattavat sisältää seuraavia elementtejä:

Return-Path: <communication@adatum.com>
 From: <sender@marketing.contoso.com>
 DKIM-Signature: s=s1024; d=marketing.contoso.com
 Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com

Tässä esimerkissä vaaditaan seuraavat vaiheet:

1. Adatum antaa Contosolle julkisen avaimen, jota käytetään palvelusta lähtevän Contoso-sähköpostin DKIM-allekirjoitukseen.

2. Contoso julkaisee julkisen DKIM-avaimen DNS:ssä marketing.contoso.com alitoimialueen (TXT-tietueen tai CNAME-tietueen) toimialuerekisteröinnissä.

3. Kun Adatum lähettää viestejä lähettäjiltä marketing.contoso.com toimialueella, viestit DKIM allekirjoitetaan käyttämällä yksityistä avainta, joka vastaa julkista avainta, jonka he antoivat Contosolle ensimmäisessä vaiheessa.

4. Jos kohdesähköpostijärjestelmä tarkistaa DKIM:n saapuvissa viesteissä, viestit läpäisevät DKIM:n, koska ne ovat DKIM-allekirjoitettuja.

5. Jos kohdesähköpostijärjestelmä tarkistaa DMARC:n saapuvissa viesteissä, DKIM-allekirjoituksen toimialue ( D= -arvo DKIM-Signature-otsikkokentässä ) vastaa sähköpostiasiakkaissa näkyvän Lähettäjä-osoitteen toimialuetta, joten viestit voivat myös välittää DMARC:n:

   Lähettäjä: sender@marketing.contoso.com
   d=: marketing.contoso.com

Seuraavat vaiheet

Kuten kohdassa MITEN SPF, DKIM ja DMARC toimivat yhdessä sähköpostiviestien lähettäjien todentamiseksi, pelkkä DKIM ei riitä estämään Microsoft 365 -toimialueen tekeytymistä. Sinun on myös määritettävä SPF ja DMARC parhaan mahdollisen suojauksen takaamiseksi. Ohjeita on ohjeaiheissa:

• SPF:n määrittäminen väärentämisen estämiseksi
• Sähköpostien vahvistaminen DMARC:n avulla

Microsoft 365:een tulevaa sähköpostia varten sinun on ehkä myös määritettävä luotetut ARC-sulkejat, jos käytät palveluja, jotka muokkaavat siirrettävia viestejä ennen toimitusta organisaatioosi. Lisätietoja on kohdassa Luotettujen ARC-sinettien määrittäminen.

Vihje

Exchange 2016:n ja Exchange 2019:n tiedetään muokkaavan niiden läpi virtaavia viestejä, mikä voi vaikuttaa DKIM:ään.