Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
S’applique à
- Exchange Online Protection
- Microsoft Defender pour Office 365 : offre 1 et offre 2
- Microsoft 365 Defender
Cet article répertorie les étapes de l’utilisation de DomainKeys Identified Mail (DKIM) avec Microsoft 365 pour vous assurer que les systèmes d’e-mail de destination approuvent les messages sortants envoyés à partir de votre domaine personnalisé.
Contenu de cet article :
- Pourquoi DKIM est plus efficace que SPF seul pour empêcher l’usurpation d’identité malveillante
- Étapes pour Créer, activer et désactiver DKIM à partir du portail Microsoft 365 Defender
- Procédure de mise à niveau manuelle de vos clés 1024 bits vers les clés de chiffrement DKIM 2048 bits
- Étapes de la configuration manuelle de DKIM
- Étapes de configuration de DKIM pour plusieurs domaines personnalisés
- Désactivation de la stratégie de signature DKIM pour un domaine personnalisé
- Comportement par défaut pour DKIM et Microsoft 365
- Configuration de DKIM permettant à un service tiers d’envoyer des courriers électroniques au nom de votre domaine personnalisé, ou d’usurper ce dernier
- Étapes suivantes : après avoir configuré DKIM pour Microsoft 365
Remarque
Microsoft 365 configure automatiquement DKIM pour les domaines initiaux 'onmicrosoft.com'. Cela signifie que vous n’avez rien à faire pour configurer DKIM pour les noms de domaine initial (par exemple, litware.onmicrosoft.com). Pour plus d'informations sur les domaines, consultez l'article Forum aux questions sur les domaines.
DKIM fait partie du trio de méthodes d'authentification (SPF, DKIM et DMARC) qui permet d'empêcher les attaquants d'envoyer des messages qui semblent provenir de votre domaine.
DKIM vous permet d'ajouter une signature numérique aux messages électroniques sortants dans l'en-tête du message. Lorsque vous configurez DKIM, vous autorisez votre domaine à associer ou signer son nom à un message électronique à l’aide de l’authentification par chiffrement. Les systèmes de messagerie qui reçoivent des e-mails de votre domaine peuvent utiliser cette signature numérique pour vérifier si le courrier entrant est légitime.
À la base, une clé privée chiffre l’en-tête dans le courrier sortant d’un domaine. La clé publique est publiée dans les enregistrements DNS, et les serveurs de réception peuvent utiliser cette clé pour décoder la signature. La vérification DKIM permet aux serveurs de réception de confirmer que les courriers viennent vraiment de votre domaine et non d’une personne usurpant votre domaine.
Conseil
Vous pouvez également choisir de n'effectuer aucun réglage DKIM pour votre domaine personnalisé. Si vous ne configurez pas DKIM, Microsoft 365 crée une paire de clés privée et publique, active la signature DKIM et configure la stratégie par défaut de Microsoft 365 pour votre domaine personnalisé.
La configuration DKIM intégrée de Microsoft-365 est suffisante pour la plupart des clients. Toutefois, vous devez configurer manuellement DKIM pour votre domaine personnalisé dans les circonstances suivantes :
- Vous avez plusieurs domaines personnalisés dans Microsoft 365
- Vous allez également configurer DMARC (recommandé)
- Vous souhaitez contrôler votre clé privée
- Vous souhaitez personnaliser vos enregistrements CNAME
- Vous souhaitez configurer des clés DKIM pour les e-mails provenant d’un domaine tiers, par exemple, si vous utilisez un programme d’envoi de courrier en nombre tiers.
Pourquoi DKIM est plus efficace que SPF seul pour empêcher l’usurpation d’identité malveillante
SPF ajoute des informations à une enveloppe de message mais DKIM chiffre une signature dans l’en-tête du message. Lorsque vous transférez un message, des parties de l'enveloppe de ce message peuvent être supprimées par le serveur de transfert. Étant donné que la signature numérique reste dans le message électronique, car elle fait partie de l'en-tête du message, DKIM fonctionne même lorsqu'un message a été transféré, comme illustré dans l'exemple suivant.
Dans cet exemple, si vous aviez publié un seul enregistrement SPF TXT pour votre domaine, le serveur de messagerie du destinataire pourrait avoir marqué vos messages électroniques comme du courrier indésirable et généré un résultat faux positif. L’ajout de DKIM dans ce scénario réduit les rapports de courrier indésirable faux positifs . Étant donné que DKIM repose à la fois sur le chiffrement de clé publique et les adresses IP pour l'authentification, DKIM représente une forme d'authentification beaucoup plus puissante que SPF. Nous vous recommandons d'utiliser à la fois SPF, DKIM et DMARC dans votre déploiement.
Conseil
DKIM utilise une clé privée pour insérer une signature chiffrée dans les en-têtes du message. Le domaine qui fournit la signature, aussi appelé domaine sortant, est inséré en tant que valeur du champ d= dans l’en-tête. Le domaine de vérification, ou le domaine du destinataire, utilise ensuite le champ d= pour rechercher la clé publique du système DNS, puis authentifier le message. Si le message est vérifié, la vérification DKIM a réussi.
Étapes de création, d’activation et de désactivation de DKIM à partir du Portail Microsoft 365 Defender
Tous les domaines acceptés de votre locataire s’affichent dans le portail Microsoft 365 Defender sous la page DKIM. Si vous ne le voyez pas, ajoutez votre domaine accepté à partir de la page domaines. Une fois votre domaine ajouté, suivez les étapes ci-dessous pour configurer DKIM.
Étape 1 : Cliquez sur le domaine que vous souhaitez configurer DKIM dans la page DKIM (https://security.microsoft.com/dkimv2 ou https://protection.office.com/dkimv2).
Étape 2 : faites glisser le bouton bascule pour Activer. Vous verrez une fenêtre contextuelle indiquant que vous devez ajouter des enregistrements CNAME.
Étape 3 : copier le CNAMES affiché dans la fenêtre contextuelle
Étape 4 : publier les enregistrements CNAME copiés sur votre fournisseur de services DNS.
Sur le site web de votre fournisseur DNS, ajoutez des enregistrements CNAME pour DKIM que vous souhaitez activer. Dans le nouvel enregistrement, vérifiez que chacun des champs sont définis par les valeurs suivantes :
Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)
Étape 5 : revenir à la page DKIM pour activer DKIM.
Si vous voyez l'erreur L’enregistrement CNAME n'existe pas, cela peut être dû à :
- Synchronisation avec le serveur DNS, ce qui peut prendre quelques secondes à quelques heures, si le problème persiste répétez les étapes
- Recherchez les erreurs de copier-coller, telles que l’espace supplémentaire ou les onglets, etc.
Si vous souhaitez désactiver DKIM, basculez vers le mode Désactiver
Mise à niveau manuelle de vos clés 1024 bits vers les clés de chiffrement DKIM 2048 bits
Remarque
Microsoft 365 configure automatiquement DKIM pour les domaines onmicrosoft.com. Aucune étape n’est nécessaire pour utiliser DKIM pour les noms de domaine initiaux (par exemple, litware.onmicrosoft.com). Pour plus d'informations sur les domaines, consultez l'article Forum aux questions sur les domaines.
Étant donné que le nombre de bits 1024 et 2048 sont pris en charge pour les clés DKIM, ces instructions vous indiquent comment mettre à niveau votre clé 1024 bits vers 2048 dans Exchange Online PowerShell. Les étapes ci-dessous concernent deux cas d’utilisation ; veuillez choisir celui qui correspond le mieux à votre configuration.
Lorsque vous avez déjà configuré DKIM, vous pouvez faire pivoter le nombre de bits en exécutant la commande suivante :
Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>ou
Pour une nouvelle implémentation de la fonctionnalité DKIM, exécutez la commande suivante :
New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
Restez connecté à Exchange Online PowerShell pour vérifier la configuration en exécutant la commande suivante :
Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List
Conseil
Cette nouvelle clé 2048 bits prend effet sur RotateOnDate et envoie des e-mails avec la clé 1024 bits au niveau intermédiaire. Après quatre jours, vous pouvez à nouveau effectuer un test à l’aide de la touche 2048 bits (autrement dit, une fois que la rotation prend effet sur le deuxième sélecteur).
Si vous souhaitez faire pivoter vers le deuxième sélecteur, après quatre jours et confirmer que le nombre de bits 2048 est en cours d’utilisation, faites pivoter manuellement la deuxième clé de sélecteur à l’aide de l’applet de commande appropriée répertoriée ci-dessus.
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les articles suivants : Rotate-DkimSigningConfig, New-DkimSigningConfiget Get-DkimSigningConfig.
Étapes de la configuration manuelle de DKIM
Pour configurer DKIM, suivez les étapes ci-dessous :
- Publication de deux enregistrements CNAME pour votre domaine personnalisé dans le système DNS
- Activation de la signature DKIM pour votre domaine personnalisé
Publication de deux enregistrements CNAME pour votre domaine dans le système DNS
Pour chaque domaine auquel vous souhaitez ajouter une signature DKIM dans le système DNS, vous devez publier deux enregistrements CNAME.
Remarque
Si vous n’avez pas lu l’intégralité de l’article, il est possible que vous ayez manqué les informations de connexion PowerShell qui vous ont été utiles : Connectez-vous à Exchange Online PowerShell.
Exécutez les commandes suivantes dans Exchange Online PowerShell pour créer les enregistrements du sélecteur :
New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME
Si vous avez configuré des domaines personnalisés en plus du domaine initial dans Microsoft 365, vous devez publier deux enregistrements CNAME pour chaque domaine supplémentaire. Par conséquent, si vous avez deux domaines, vous devez publier deux enregistrements CNAMe supplémentaires, et ainsi de suite.
Utilisez le format suivant pour les enregistrements CNAME.
Importante
Si vous êtes l’un de nos clients GCC High, nous calculons customDomainIdentifier différemment ! Au lieu de chercher l’enregistrement MX de votre initialDomain pour calculer customDomainIdentifier, nous le calculons directement à partir du domaine personnalisé. Par exemple, si votre domaine personnalisé est « contoso.com » votre customDomainIdentifier devient « contoso-com », tous les points sont remplacés par un tiret. Ainsi, quel que soit l’enregistrement MX vers lequel pointe votre initialDomain, vous utiliserez toujours la méthode ci-dessus pour calculer la customDomainIdentifier à utiliser dans vos enregistrements CNAME.
Host name: selector1._domainkey
Points to address or value: selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Où :
Pour Microsoft 365, les sélecteurs seront toujours « selector1 » ou « selector2 ».
CustomDomainIdentifier est identique au customDomainIdentifier dans l’enregistrement MX personnalisé de votre domaine personnalisé qui apparaît avant mail.protection.outlook.com. Par exemple, dans l’enregistrement MX suivant pour le domaine contoso.com, customDomainIdentifier est contoso-com :
contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com
initialDomain est le domaine que vous avez utilisé lorsque vous vous êtes inscrit à Microsoft 365. Les domaines initiaux se terminent toujours par onmicrosoft.com. Pour plus d’informations sur la détermination de votre domaine initial, voir Forum aux questions sur les domaines.
Par exemple, si vous avez un domaine initial cohovineyardandwinery.onmicrosoft.com, ainsi que deux domaines personnalisés cohovineyard.com et cohowinery.com, vous devez configurer deux enregistrements CNAME pour chaque domaine supplémentaire, soit un total de quatre enregistrements CNAME.
Host name: selector1._domainkey
Points to address or value: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector1._domainkey
Points to address or value: selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Remarque
Il est important de créer le deuxième enregistrement, mais il est possible qu’un seul sélecteur soit disponible au moment de la création. Par essence, le deuxième sélecteur peut pointer vers une adresse qui n’a pas encore été créée. Nous vous recommandons de créer le deuxième enregistrement CNAME, car la rotation de votre clé sera transparente.
Étapes d’activation de la signature DKIM pour votre domaine personnalisé
Une fois que vous avez publié les enregistrements CNAME dans le système DNS, vous êtes prêt à activer la signature DKIM par l’intermédiaire de Microsoft 365. Vous pouvez effectuer cette action par le biais du Centre d’administration Microsoft 365 ou à l’aide de PowerShell.
Pour activer la signature DKIM pour votre domaine personnalisé dans le portail Microsoft 365 Defender
Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email &Stratégies de &collaboration > RèglesStratégies>>de menace Email Paramètres d’authentification dans la section >RèglesDKIM. Pour accéder directement à la page DKIM, utilisez https://security.microsoft.com/dkimv2.
Dans la page DKIM, sélectionnez le domaine en cliquant sur le nom.
Dans le menu volant de détails qui s’affiche, modifiez le paramètre Sign messages for this domain with DKIM signatures with DKIMsur Enabled (
)Lorsque vous avez terminé, cliquez sur Rotation des clés DKIM.
Répétez ces étapes pour chaque domaine personnalisé.
Si vous configurez DKIM pour la première fois et que vous voyez l’erreur « Aucune clé DKIM enregistrée pour ce domaine », vous devez utiliser Windows PowerShell pour activer la signature DKIM, comme expliqué à l’étape suivante.
Activation de la signature DKIM pour votre domaine personnalisé à l’aide de PowerShell
Importante
Si vous configurez DKIM pour la première fois et que vous voyez l’erreur « Aucune clé DKIM enregistrée pour ce domaine », exécutez la commande à l’étape 2 ci-dessous (par exemple, Set-DkimSigningConfig -Identity contoso.com -Enabled $true) pour voir la clé.
Utilisez la syntaxe suivante :
Set-DkimSigningConfig -Identity <Domain> -Enabled $true<Domaine> est le nom du domaine personnalisé pour lequel vous souhaitez activer la signature DKIM.
Cet exemple permet d’activer la signature DKIM pour le domaine contoso.com :
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
Confirmation du fait que la signature DKIM est correctement configurée pour Microsoft 365
Patientez quelques minutes avant de suivre ces étapes permettant de confirmer que vous avez correctement configuré DKIM. Cela donne le temps aux informations DKIM relatives au domaine de se propager dans l'ensemble du réseau.
Envoyez un message à partir d’un compte au sein de votre domaine Microsoft 365 compatible avec DKIM à un autre compte de messagerie, tel qu’outlook.com ou Hotmail.com.
N'utilisez pas un compte aol.com à des fins de test. Il est possible qu'AOL ignore la vérification DKIM si la vérification SPF aboutit. Cela annule votre test.
Ouvrez le message et examinez l'en-tête. Les instructions pour afficher l'en-tête du message varient en fonction de votre client de messagerie. Pour obtenir des instructions sur l’affichage des en-têtes de message dans Outlook, voir Afficher les en-têtes de message Internet dans Outlook.
Le message signé par DKIM contient le domaine et le nom d'hôte que vous avez définis lorsque vous avez publié les entrées CNAME. Le message se présente un peu comme cet exemple :
From: Example User <example@contoso.com> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; s=selector1; d=contoso.com; t=1429912795; h=From:To:Message-ID:Subject:MIME-Version:Content-Type; bh=<body hash>; b=<signed field>;Recherchez l'en-tête des résultats de l'authentification. Bien que chaque service de réception utilise un format légèrement différent pour apposer un cachet sur le courrier entrant, le résultat doit inclure un élément qui ressemble à DKIM=test ou DKIM=OK.
Importante
La signature DKIM est omise dans l’une des conditions suivantes :
- Les adresses e-mail de l’expéditeur et du destinataire se trouvent dans le même domaine.
- Les adresses e-mail de l’expéditeur et du destinataire se trouvent dans des domaines différents qui sont contrôlés par la même organisation.
Dans les deux cas, l’en-tête ressemble à ceci :
Authentication-Results: dkim=none (message not signed) header.d=none;
dmarc=none action=none header.from=<sender_domain>;
Configuration de DKIM pour plusieurs domaines personnalisés
Si un jour vous décidez d'ajouter un autre domaine personnalisé et que vous souhaitez activer DKIM pour ce nouveau domaine, vous devez effectuer les étapes décrites dans cet article pour chaque domaine. Plus spécifiquement, réalisez toutes les étapes indiquées dans la section Configuration manuelle de DKIM.
Désactivation de la stratégie de signature DKIM pour un domaine personnalisé
La désactivation de la stratégie de signature ne désactive pas complètement DKIM. Au bout d’un certain temps, Microsoft 365 applique automatiquement la stratégie par défaut pour votre domaine, si la stratégie par défaut est toujours dans l’état activé. Si vous souhaitez désactiver complètement DKIM, vous devez désactiver DKIM sur les domaines personnalisés et par défaut. Pour plus d'informations, voir Comportement par défaut pour DKIM et Microsoft 365.
Pour désactiver la stratégie de signature DKIM à l’aide de Windows PowerShell
Exécutez l’une des commandes suivantes pour chaque domaine pour lequel vous souhaitez désactiver la signature DKIM.
$p = Get-DkimSigningConfig -Identity <Domain> $p[0] | Set-DkimSigningConfig -Enabled $falsePar exemple :
$p = Get-DkimSigningConfig -Identity contoso.com $p[0] | Set-DkimSigningConfig -Enabled $falseOu
Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $falseOù number est l’index de la stratégie. Par exemple :
Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
Comportement par défaut pour DKIM et Microsoft 365
Si vous n’activez pas DKIM, Microsoft 365 crée automatiquement une clé publique DKIM 2048 bits pour votre adresse MoERA (Microsoft Online E-mail Routing Address)/domaine initial et la clé privée associée que nous stockons en interne dans notre centre de données. Par défaut, Microsoft 365 utilise une configuration de signature par défaut pour les domaines ne disposant d’aucune stratégie définie. Cela signifie que si vous ne configurez pas DKIM vous-même, Microsoft 365 utilise sa stratégie par défaut et les clés qu’il crée pour activer DKIM sur votre domaine.
En outre, si vous désactivez la signature DKIM sur votre domaine personnalisé après l’avoir activé, au bout d’un certain temps, Microsoft 365 applique automatiquement la stratégie de domaine MOERA/initiale pour votre domaine personnalisé.
Dans l'exemple suivant, supposons que DKIM pour fabrikam.com a été activé par Microsoft 365 et pas par l'administrateur du domaine. Cela signifie que les enregistrements CNAME requis n’existent pas dans le système DNS. Les signatures DKIM pour les courriers électroniques provenant de ce domaine se présenteront comme suit :
From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
bh=<body hash>;
b=<signed field>;
Dans cet exemple, le domaine et le nom d'hôte contiennent les valeurs vers lesquelles l'enregistrement CNAME pointerait si la signature DKIM pour fabrikam.com avait été activée par l'administrateur du domaine. Finalement, chaque message envoyé à partir de Microsoft 365 sera signé avec DKIM. Si vous activez DKIM vous-même, le domaine est identique à celui de l’adresse de l’expéditeur, ici fabrikam.com. Dans le cas contraire, DKIM ne s'aligne pas et utilise le domaine initial de votre organisation. Pour plus d’informations sur la détermination de votre domaine initial, voir Forum aux questions sur les domaines.
Configurer DKIM de sorte qu’un service tiers puisse envoyer du courrier au nom de votre domaine personnalisé
Certains fournisseurs de services de messagerie en masse ou de services SaaS vous permettent de configurer des clés DKIM pour les courriers électroniques qui proviennent de leur service. Cela requiert une coordination entre vous-même et le tiers pour configurer les enregistrements DNS nécessaires. Certains serveurs tiers peuvent avoir leurs propres enregistrements CNAME avec des sélecteurs différents. Aucune organisation ne le fait exactement de la même manière que les autres. Ainsi, le processus dépend entièrement de l’organisation.
Un exemple de message montrant un élément DKIM configuré correctement pour contoso.com et bulkemailprovider.com peut se présenter comme suit :
Return-Path: <communication@bulkemailprovider.com>
From: <sender@contoso.com>
DKIM-Signature: s=s1024; d=contoso.com
Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com
Dans cet exemple, pour obtenir ce résultat :
Le fournisseur de messagerie en masse a attribué à Contoso une clé DKIM publique.
Contoso a publié la clé DKIM sur son enregistrement DNS.
Lorsque de l'envoi de courrier électronique, le fournisseur de messagerie en masse signe la clé avec la clé privée correspondante. Ainsi, le fournisseur de messagerie en masse joint la signature DKIM à l'en-tête du message.
Les systèmes de messagerie de réception effectuent une vérification DKIM en authentifiant la valeur d=<domaine> de l'option DKIM-Signature, en la comparant au domaine indiqué dans l'adresse From: (5322.From) du message. Dans cet exemple, les valeurs sont les mêmes :
sender@contoso.com
d=contoso.com
Identifier les domaines qui n’envoient pas de courrier électronique
Les organisations doivent indiquer de façon explicite si un domaine n’envoie pas de courrier électronique en spécifiant v=DKIM1; p= dans l’enregistrement DKIM de ces domaines. Cela indique aux serveurs de messagerie qu’il n’existe pas de clé publique valide pour le domaine, et que les courriers électroniques provenant de ce domaine doivent être rejetés. Vous devez procéder de la sorte pour chaque domaine et sous-domaine à l’aide d’un DKIM avec caractère générique.
Par exemple, l’enregistrement DKIM se présente comme suit :
*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="
Étapes suivantes : après avoir configuré DKIM pour Microsoft 365
Bien que DKIM soit conçu pour éviter l’usurpation, DKIM fonctionne mieux avec SPF et DMARC.
Une fois que vous avez configuré DKIM, si vous n’avez pas encore configuré SPF, vous devez le faire. Pour une présentation rapide de SPF et sa configuration rapide, consultez Configurer SPF dans Microsoft 365 pour empêcher l’usurpation d’identité. Pour consulter des informations plus approfondies sur l’utilisation de SPF par Microsoft 365, la résolution des problèmes et les déploiements non standard tels que les déploiements hybrides, voir Comment Microsoft 365 utilise SPF (Sender Policy Framework) pour empêcher l’usurpation d’identité.
Ensuite, consultez Utiliser DMARC pour valider l'e-mail. Les en-têtes des messages anti-courrier indésirable incluent la syntaxe et les champs d’en-tête utilisés par Microsoft 365 pour les contrôles DKIM.
Ce test validera que la configuration de signature DKIM a été correctement configurée et que les entrées DNS appropriées ont été publiées.
Remarque
Cette fonctionnalité nécessite un compte administrateur Microsoft 365. Cette fonctionnalité nʼest pas disponible pour Microsoft 365 Secteur Public, Microsoft 365 géré par 21Vianet ou Microsoft 365 Allemagne.
Plus d’informations
Rotation des clés via PowerShell : Rotate-DkimSigningConfig
Utiliser DMARC pour valider les messages électroniques
Utiliser des expéditeurs ARC approuvés pour les flux de messagerie légitimes