A DKIM beállítása a levelezés felhőtartományból való aláírásához

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverzióinak központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbafeltételeket.

A DomainKeys Identified Mail (DKIM) az e-mail-hitelesítés egyik módszere, amely segít ellenőrizni a Microsoft 365-szervezettől küldött leveleket, hogy megakadályozza az üzleti e-mailek feltöréséhez (BEC), zsarolóprogramokhoz és egyéb adathalász támadásokhoz használt hamis feladókat.

A DKIM elsődleges célja annak ellenőrzése, hogy az üzenet nem módosult-e az átvitel során. Konkrétan:

1. Egy tartományhoz egy vagy több titkos kulcs jön létre, amelyeket a forrás levelezőrendszer használ a kimenő üzenetek fontos részeinek digitális aláírására. Ezek az üzenetrészek a következők:
   • From, To, Subject, MIME-Version, Content-Type, Date és egyéb üzenetfejléc mezők (a forrás levelezőrendszertől függően).
   • Az üzenet törzse.
2. A digitális aláírás az üzenetfejléc DKIM-Signature fejlécmezőjében található, és mindaddig érvényes marad, amíg a köztes levelezőrendszerek nem módosítják az üzenet aláírt részeit. Az aláíró tartományt a DKIM-Signature fejlécmezőben lévő d= érték azonosítja.
3. A megfelelő nyilvános kulcsokat az aláíró tartomány DNS-rekordjai tárolják (A Microsoft 365 CNAME rekordjai, más levelezőrendszerek pedig TXT rekordokat használhatnak).
4. A cél levelezőrendszerek a DKIM-Signature fejlécmezőben lévő d= értéket használják a következő célokra:
   • Azonosítsa az aláíró tartományt.
   • Keresse meg a tartományhoz tartozó nyilvános kulcsot a DKIM DNS-rekordjában.
   • Az üzenet aláírásának ellenőrzéséhez használja a tartomány DKIM DNS-rekordjában található nyilvános kulcsot.

Fontos tények a DKIM-ről:

• Az üzenet DKIM-aláírásához használt tartománynak nem kell megegyeznie az üzenetBEN szereplő MAIL FROM vagy From címben szereplő tartománnyal. További információ ezekről a címekről: Miért van szükség az internetes e-mail-címre hitelesítésre.
• Egy üzenet több DKIM-aláírással is rendelkezhet különböző tartományok szerint. Valójában számos üzemeltetett e-mail-szolgáltatás a szolgáltatástartomány használatával írja alá az üzenetet, majd újra aláírja az üzenetet az ügyfél tartományával, miután az ügyfél konfigurálta a DKIM-aláírást a tartományhoz.

Mielőtt elkezdenénk, az alábbiakat kell tudnia a Microsoft 365 DKIM-ről az e-mail-tartománya alapján:

• Ha csak a Microsoft Online Email Útválasztási cím (MOERA) tartományt használja a levelezéshez (például contoso.onmicrosoft.com): Semmit sem kell tennie. A contoso.onmicrosoft.com tartomány feladóitól érkező kimenő üzeneteket a rendszer automatikusan aláírja a contoso.onmicrosoft.com tartomány által aláírt DKIM-et.

  A DKIM-aláírást azonban manuálisan is konfigurálhatja a *.onmicrosoft.com tartomány használatával. Útmutatásért tekintse meg a cikk későbbi, A Defender portál használata a kimenő üzenetek DKIM-aláírásának testreszabásához a *.onmicrosoft.com tartomány használatával című szakaszát.

  Ha ellenőrizni szeretné, hogy a kezdeti *.onmicrosoft.com tartományban lévő feladóktól érkező üzenetek aláírták-e a DKIM-et, olvassa el a cikk későbbi, A Microsoft 365-ből kimenő levelek DKIM-aláírásának ellenőrzése című szakaszát.

  A *.onmicrosoft.com tartományokkal kapcsolatos további információkért lásd: Miért rendelkezem "onmicrosoft.com" tartománnyal?

• Ha egy vagy több egyéni tartományt használ az e-mailekhez (például contoso.com): Jelenleg nem történik DKIM-aláírás az egyéni tartományokból kimenő levelek esetében, ezért a maximális e-mail-védelem érdekében az alábbi lépéseket kell végrehajtania:

  • DKIM-aláírás konfigurálása egyéni tartományok vagy altartományok használatával: Az üzeneteket a tartomány által aláírt DKIM-nek kell lennie a Feladó címben. Azt is javasoljuk, hogy konfigurálja a DMARC-t, és a DKIM csak akkor adja át a DMARC-ellenőrzést, ha a DKIM által aláírt tartomány aláírta az üzenetet és a Feladó cím igazítása területen lévő tartományt.

  • Altartományokkal kapcsolatos szempontok:

    • A közvetlen felügyelet alá nem tartozó e-mail-szolgáltatások (például tömeges e-mail-szolgáltatások) esetében azt javasoljuk, hogy a fő e-mail-tartomány (például contoso.com) helyett altartományt (például marketing.contoso.com) használjon. Nem szeretné, hogy az e-mail-szolgáltatásokból küldött levelekkel kapcsolatos problémák befolyásolják a felhasználók által a fő levelezési tartományba küldött levelek hírnevét. További információ az altartományok hozzáadásáról: Felvehetek egyéni altartományokat vagy több tartományt a Microsoft 365-be?

    • Minden olyan altartományhoz, amelyet a Microsoft 365-ből való e-mail-küldéshez használ, saját DKIM-konfigurációra van szükség.

      Tipp

      Email nem definiált altartományok hitelesítési védelmét a DMARC fedezi. A (definiált vagy nem definiált) altartományok öröklik a szülőtartomány DMARC-beállításait (amelyek altartományonként felülbírálhatók). További információ: A DMARC beállítása a feladói címtartomány ellenőrzéséhez a felhőbeli feladók számára.

  • Ha regisztrált, de nem használt tartományokkal rendelkezik: Ha olyan regisztrált tartományokkal rendelkezik, amelyeket nem használ levelezéshez vagy bármihez (más néven parkolt tartományokhoz), ne tegye közzé az adott tartományokhoz tartozó DKIM-rekordokat. A DKIM-rekord hiánya (ezért a DNS-ben az üzenet aláírásának ellenőrzéséhez szükséges nyilvános kulcs hiánya) megakadályozza a hamisított tartományok DKIM-ellenőrzését.

• A DKIM önmagában nem elég. Az egyéni tartományokhoz a legjobb szintű e-mail-védelem érdekében az SPF-t és a DMARC-t is konfigurálnia kell az általános e-mail-hitelesítési stratégia részeként. További információért tekintse meg a cikk végén található Következő lépések szakaszt.

A cikk további része azokat a DKIM CNAME rekordokat ismerteti, amelyekre egyéni tartományokhoz kell létrehoznia a Microsoft 365-ben, valamint az egyéni tartományokat használó DKIM konfigurációs eljárásait.

Tipp

A DKIM-aláírás egyéni tartomány használatával történő konfigurálása a Microsoft 365-ben és az egyéni tartomány tartományregisztrálójának eljárásainak keveréke.

Útmutatást nyújtunk cNAME rekordok létrehozásához különböző Microsoft 365-szolgáltatásokhoz számos tartományregisztrálónál. Ezeket az utasításokat kiindulási pontként használhatja a DKIM CNAME rekordok létrehozásához. További információ: Tartomány csatlakoztatása DNS-rekordok hozzáadásával.

Ha nem ismeri a DNS-konfigurációt, forduljon a tartományregisztrálójához, és kérjen segítséget.

DKIM CNAME rekordok szintaxisa

A DKIM részletes leírása az RFC 6376-ban található.

A Microsoft 365-ben két nyilvános-privát kulcspár jön létre, ha engedélyezve van a DKIM egyéni tartomány vagy altartomány használatával történő aláírása. Az üzenet aláírásához használt titkos kulcsok nem érhetők el. A CNAME rekordok a DKIM-aláírás ellenőrzéséhez használt megfelelő nyilvános kulcsra mutatnak. Ezeket a rekordokat választóknak nevezzük.

• Csak egy választó van aktív, és akkor használatos, ha a DKIM egyéni tartomány használatával történő aláírása engedélyezve van.
• A másik választó inaktív. A rendszer csak a DKIM jövőbeli kulcsrotálását követően aktiválja és használja, majd csak az eredeti választó inaktiválása után.

A DKIM-aláírás ellenőrzéséhez használt szelektor (amely az üzenet aláírásához használt titkos kulcsra utal) a DKIM-Signature fejlécmezőben található s = értékben van tárolva (például s=selector1-contoso-com).

Fontos

A Defender portál vagy Exchange Online PowerShell használatával megtekintheti a DKIM által a kimenő üzenetek egyéni tartománnyal történő aláírásához szükséges CNAME-értékeket. A cikkben bemutatott értékek csak illusztrációk. Az egyéni tartományok vagy altartományok szükséges értékeinek lekéréséhez használja a cikk későbbi részében ismertetett eljárásokat.

A Microsoft 365-ből e-maileket küldő egyéni tartományok DKIM CNAME rekordjainak alapszintaxisa:

Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

• Állomásnév: Az értékek megegyeznek az összes Microsoft 365-szervezet esetében: selector1._domainkey és selector2._domainkey.

• <CustomDomainWithDashes>: Az egyéni tartomány vagy altartomány pontokkal, amelyeket kötőjelek váltanak fel. A például lesz contoso-com, contoso.com vagy marketing.contoso.com lesz marketing-contoso-com.

• <InitialDomainPrefix>: A *.onmicrosoft.com egyéni része, amelyet a Microsoft 365-be való regisztrációhoz használt. Ha például a értéket használta contoso.onmicrosoft.com, az értéke contoso.

• <DynamicPartitionCharacter>: Dinamikusan generált karakter, amelyet mindkét választóhoz használnak (például r vagy n). Az értéket a Microsoft automatikusan hozzárendeli, amikor új egyéni tartományt ad hozzá, és engedélyezi a DKIM-et. Az értéket a Microsoft belső útválasztási logikája határozza meg, és nem konfigurálható.

  • Ez az érték a Microsoft 365-ben 2025 májusában bevezetett új egyéni tartományok frissített DKIM-rekordformátumának része. A meglévő egyéni tartományok és kezdeti tartományok továbbra is a régi DKIM formátumot használják:

    Hostname: selector1._domainkey
    Points to address or value: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
    
    Hostname: selector2._domainkey
    Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
    

  • A régi és az új és a régi formátum nem létezhet egyszerre ugyanazon a választón. Ha le szeretné kérni egy tartomány megfelelő DKIM CNAME-értékeit, beleértve a hozzárendelt <DynamicPartitionCharacter> értéket, cserélje le contoso.com a tartomány értékére, majd futtassa a következő parancsot Exchange Online PowerShellben:

    Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
    

• v1: A két választóhoz használt aktuális CNAME formátumverzió.

• dkim.mail.microsoft: A szülő DNS-zóna, amely mindkét választó esetében megegyezik.

A szervezet például a következő tartományokkal rendelkezik a Microsoft 365-ben:

• Kezdeti tartomány: cohovineyardandwinery.onmicrosoft.com
• Egyéni tartományok: cohovineyard.com és cohowinery.com

Minden egyéni tartományban két CNAME rekordot kell létrehoznia a DNS-ben, összesen négy CNAME rekordhoz:

• CNAME rekordok a cohovineyard.com tartományban:

  Állomásnév: selector1._domainkey
  Címre vagy értékre mutató pontok: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

  Állomásnév: selector2._domainkey
  Címre vagy értékre mutató pontok: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

• CNAME rekordok a cohowinery.com tartományban:

  Állomásnév: selector1._domainkey
  Címre vagy értékre mutató pontok: selector1-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

  Állomásnév: selector2._domainkey
  Címre vagy értékre mutató pontok: selector2-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

Kimenő üzenetek DKIM-aláírásának konfigurálása a Microsoft 365-ben

A Defender portál használata a kimenő üzenetek DKIM-beli egyéni tartomány használatával történő aláírásának engedélyezéséhez

Tipp

Egyéni tartományt vagy altartományt csak a tartomány Microsoft 365-höz való sikeres hozzáadása után használhat a DKIM kimenő levelekhez. Útmutatásért lásd: Tartomány hozzáadása.

Az egyéni tartomány kimenő DKIM-kijelentkezési idejének kezdetét meghatározó fő tényező a CNAME rekordészlelése a DNS-ben.

Az ebben a szakaszban ismertetett eljárások használatához az egyéni tartománynak vagy altartománynak léteznie kell a Email hitelesítési beállítások lapjának DKIM lapján a következő helyenhttps://security.microsoft.com/authentication?viewid=DKIM: . A tartomány DKIM lapján lévő tulajdonságainak a következő értékeket kell tartalmazniuk:

• A Váltógomb értéke Letiltva.
• Az Állapot értéke NoDKIMKeys.

Tipp

A tartomány részletes úszó panelén ugyanezeket az értékeket a következő beállítások jelzik:

• Az Állapot értéke Nincs DKIM-kulcs mentve ehhez a tartományhoz.
• A DKIM-kulcsok létrehozása az úszó panel alján található.

Folytassa, ha a tartomány megfelel ezeknek a követelményeknek.

1. A Defender portálján https://security.microsoft.comlépjen Email & együttműködési>szabályzatok & szabályok>Fenyegetési szabályzatok>Email hitelesítési beállítások lapra. Vagy ha közvetlenül a Email hitelesítési beállítások lapjára szeretne lépni, használja a következőthttps://security.microsoft.com/authentication: .

2. A Email hitelesítési beállítások lapon válassza a DKIM lapot.

3. A DKIM lap egyéni tartomány vagy altartomány bejegyzésének sorában próbálja meg a Váltógomb értékét Letiltva értékről Engedélyezve értékre csúsztatni.

4. Megnyílik az Ügyfélhiba párbeszédpanel. A hiba tartalmazza a tartomány tartományregisztrálójában létrehozott két CNAME rekordhoz szükséges értékeket, valamint sok más szöveget. Bár kijelölheti a szöveget, és a CTRLCbillentyűkombinációt + lenyomva mentheti az információkat, ugyanezek az információk sokkal jobb formátumban érhetők el egy későbbi lépésben.

   A folytatáshoz kattintson az OK gombra a párbeszédpanelen.

5. A DKIM lapra visszatérve a tartomány Állapot értéke mostantól CnameMissing , a Váltógomb értéke pedig továbbra is Letiltva.

   Kattintson a Név érték melletti jelölőnégyzeten kívül bárhová, vagy a Váltógomb értékre a tartomány részletes úszó paneljének megnyitásához.

6. A megnyíló tartományadatok úszó panelen hajtsa végre a következő lépéseket:

   • Jegyezze fel az Utolsó ellenőrzött dátum értéket.
   • Jegyezze fel a szükséges CNAME rekordértékeket a CNAME közzététele szakaszban, és/vagy válassza a Másolás lehetőséget. Ezeket az értékeket a következő lépésben fogja használni.

   Hagyja megnyitva a tartomány adatait tartalmazó úszó panelt.

   

7. Egy másik böngészőlapon vagy ablakban lépjen a tartomány tartományregisztrálójára, majd hozza létre a két CNAME rekordot az előző lépés adatai alapján.

   Útmutatást nyújtunk cNAME rekordok létrehozásához különböző Microsoft 365-szolgáltatásokhoz számos tartományregisztrálónál. Ezeket az utasításokat kiindulási pontként használhatja a DKIM CNAME rekordok létrehozásához. További információ: Tartomány csatlakoztatása DNS-rekordok hozzáadásával.

   A Microsoft 365 néhány percig (vagy esetleg tovább) tart a létrehozott új CNAME rekordok észleléséhez.

8. Egy idő után térjen vissza a 6. lépésben megnyitott tartományadatok úszó paneljéhez, majd válassza az Üzenetek aláírása ehhez a tartományhoz DKIM-aláírásokkal kapcsolót.

   Néhány másodperc elteltével megnyílik egy biztonsági párbeszédpanel a következő szöveggel:

   Az állapotváltozás szinkronizálása több percet is igénybe vehet.

   Miután az OK gombra kattintva bezárta a párbeszédpanelt, a következő beállítások jelennek meg a tartomány adatai úszó panelen, ha a rendszer észleli a CNAME rekordokat a tartományregisztrálónál:

   • A DKIM-aláírásokkal rendelkező tartomány üzeneteinek aláírása kapcsoló engedélyezve van.
   • Az Állapot érték A tartomány DKIM-aláírásainak aláírása.
   • A DKIM-kulcsok elforgatása elérhető.
   • Utolsó ellenőrzött dátum: A dátumnak és az időnek a 4. lépésben szereplő eredeti értéknél újabbnak kell lennie.

   

A Defender portál használatával testre szabhatja a kimenő üzenetek DKIM-aláírását a *.onmicrosoft.com tartomány használatával

A cikk korábbi részében leírtak szerint a kezdeti *.onmicrosoft.com tartomány feladóitól érkező kimenő levelek automatikusan aláírták a DKIM-et a kezdeti *.onmicrosoft.com tartománysal. Az ebben a szakaszban ismertetett eljárásokkal azonban a *.onmicrosoft.com tartomány használatával befolyásolhatja a DKIM-aláírást:

• Új kulcsok létrehozása. Az új kulcsokat a rendszer automatikusan hozzáadja és használja a Microsoft 365 adatközpontjaiban.
• Győződjön meg arról, hogy a *.onmicrosoft.com tartomány tulajdonságai helyesen jelennek meg a tartomány részletes úszó paneljén a Email hitelesítési beállítások lapjának DKIM lapján https://security.microsoft.com/authentication?viewid=DKIM a PowerShellben vagy a powershellben. Ez az eredmény lehetővé teszi a tartomány DKIM-konfigurációjának jövőbeli műveleteit (például a manuális kulcsrotálást).

Az ebben a szakaszban ismertetett eljárások használatához a *.onmicrosoft.com meg kell jelennie a Email hitelesítési beállítások lapjának DKIM lapján a következő helyenhttps://security.microsoft.com/authentication?viewid=DKIM: . A tartomány DKIM lapján lévő tulajdonságainak a következő értékeket kell tartalmazniuk:

• A Váltógomb értéke Letiltva.
• Az Állapot értéke NoDKIMKeys.

Folytassa, ha a tartomány megfelel ezeknek a követelményeknek.

1. A Defender portálján https://security.microsoft.comlépjen Email & együttműködési>szabályzatok & szabályok>Fenyegetési szabályzatok>Email hitelesítési beállítások lapra. Vagy ha közvetlenül a Email hitelesítési beállítások lapjára szeretne lépni, használja a következőthttps://security.microsoft.com/authentication: .

2. A Email hitelesítési beállítások lapon válassza a DKIM lapot.

3. A DKIM lap *.onmicrosoft.com tartománybejegyzésének sorában állítsa aLetiltva kapcsolót Engedélyezve értékre.

   Egy pillanat múlva a *.onmicrosoft.com tartomány Állapot értéke Érvényes értékre változik, de a Váltógomb értéke továbbra is Le van tiltva.

   Válassza a Frissítés lehetőséget, és állítsa az Értékfrissítések kapcsolót Engedélyezve értékre .

A kimenő üzenetek DKIM-aláírásának konfigurálása Exchange Online PowerShell használatával

Ha inkább a PowerShell használatával szeretné engedélyezni a kimenő üzenetek DKIM általi aláírását egy egyéni tartomány használatával, vagy testre szeretné szabni a DKIM-aláírást a kezdeti *.onmicrosoft.com tartományhoz, csatlakozzon Exchange Online PowerShellhez az alábbi parancsok futtatásához.

Tipp

Mielőtt konfigurálná a DKIM-aláírást az egyéni tartománnyal, hozzá kell adnia a tartományt a Microsoft 365-höz. Útmutatásért lásd: Tartomány hozzáadása. Annak ellenőrzéséhez, hogy az egyéni tartomány elérhető-e a DKIM-konfigurációhoz, futtassa a következő parancsot: Get-AcceptedDomain.

A cikk korábbi részében leírtak szerint a *.onmicrosoft.com tartománya alapértelmezés szerint már kijelentkezik a *.onmicrosoft.com feladóitól. Általában, hacsak nem konfigurálta manuálisan a DKIM-aláírást a *.onmicrosoft.com tartományhoz a Defender portálon vagy a PowerShellben, a *.onmicrosoft.com nem jelenik meg a Get-DkimSigningConfig kimenetében.

1. Futtassa a következő parancsot a szervezet összes tartományának rendelkezésre állásának és DKIM-állapotának ellenőrzéséhez:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
   

2. Azon tartomány esetében, ahol a DKIM-aláírást konfigurálni szeretné, az 1. lépésben szereplő parancs kimenete határozza meg a következő műveletet:

   • A tartomány a következő értékekkel van felsorolva:

     • Engedélyezve: Hamis
     • Állapot: NoDKIMKeys vagy CnameMissing

     Lépjen a 3. lépésre a választóértékek másolásához.

   Vagy

   • A tartomány nem szerepel a listában. Hajtsa végre a következő lépéseket:

     1. Cserélje le a Tartomány> elemet <a tartomány értékére, majd futtassa a következő parancsot:

        New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
        

        • A BodyCanonicalization paraméter megadja az üzenet törzsében bekövetkező változások érzékenységi szintjét:
          • Relaxed: A térköz és az üzenettörzs végén lévő üres sorok változásait a rendszer tolerálja. Ez az alapértelmezett érték.
          • Simple: Csak az üzenettörzs végén lévő üres sorok módosításait tolerálja a rendszer.
        • A HeaderCanonicalization paraméter megadja az üzenetfejlécben bekövetkező változások érzékenységi szintjét:
          • Relaxed: Az üzenetfejléc gyakori módosításait a rendszer tolerálja. Például a fejlécmezők sorainak átrajzolása, a felesleges szóköz vagy üres sorok változásai, valamint a fejlécmezők esetében bekövetkező változások. Ez az alapértelmezett érték.
          • Simple: A fejlécmezők nem módosulnak.
        • A KeySize paraméter a nyilvános kulcs bitméretét határozza meg a DKIM-rekordban:
          • 1024 (alapértelmezett)
          • 2048

        Például:

        New-DkimSigningConfig -DomainName contoso.com -Enabled $false
        

     2. Futtassa újra az 1. lépésben található parancsot annak ellenőrzéséhez, hogy a tartomány a következő tulajdonságértékekkel szerepel-e a listában:

        • Engedélyezve: Hamis
        • Állapot: CnameMissing

     3. Lépjen a 3. lépésre a választóértékek másolásához.

3. Másolja ki a Selector1CNAME tartomány és Selector2CNAME értékeit az 1. lépésben szereplő parancs kimenetéből.

   A tartomány tartományregisztrálójában létrehozandó CNAME rekordok a következőképpen néznek ki:

   Állomásnév: selector1._domainkey
   Címre vagy értékre mutató pontok: <Selector1CNAME value>

   Állomásnév: selector2._domainkey
   Címre vagy értékre mutató pontok: <Selector2CNAME value>

   Például:

   Állomásnév: selector1._domainkey
   Címre vagy értékre mutató pontok: selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

   Állomásnév: selector2._domainkey
   Címre vagy értékre mutató pontok: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

4. A következő lépések egyikét válassza:

   • Egyéni tartomány: A tartomány tartományregisztrálójában hozza létre a két CNAME rekordot az előző lépés adatai alapján.

     Útmutatást nyújtunk cNAME rekordok létrehozásához különböző Microsoft 365-szolgáltatásokhoz számos tartományregisztrálónál. Ezeket az utasításokat kiindulási pontként használhatja a DKIM CNAME rekordok létrehozásához. További információ: Tartomány csatlakoztatása DNS-rekordok hozzáadásával.

     A Microsoft 365 néhány percig (vagy esetleg tovább) tart a létrehozott új CNAME rekordok észleléséhez.

   • *.onmicrosoft.com tartomány: Lépjen a következő lépésre.

5. Egy idő után térjen vissza Exchange Online PowerShellbe, cserélje le a Tartomány> elemet <a konfigurált tartományra, és futtassa a következő parancsot:

   Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
   

   • A BodyCanonicalization paraméter megadja az üzenet törzsében bekövetkező változások érzékenységi szintjét:
     • Relaxed: A térköz és az üzenettörzs végén lévő üres sorok változásait a rendszer tolerálja. Ez az alapértelmezett érték.
     • Simple: Csak az üzenettörzs végén lévő üres sorok módosításait tolerálja a rendszer.
   • A HeaderCanonicalization paraméter megadja az üzenetfejlécben bekövetkező változások érzékenységi szintjét:
     • Relaxed: Az üzenetfejléc gyakori módosításait a rendszer tolerálja. Például a fejlécmezők sorainak átrajzolása, a felesleges szóköz vagy üres sorok változásai, valamint a fejlécmezők esetében bekövetkező változások. Ez az alapértelmezett érték.
     • Simple: A fejlécmezők nem módosulnak.

   Például:

   Set-DkimSigningConfig -Identity contoso.com -Enabled $true
   

   Vagy

   Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
   

   • Egyéni tartomány esetén, ha a Microsoft 365 képes észlelni a CNAME rekordokat a tartományregisztrálónál, a parancs hiba nélkül fut, és a tartományt használja a DKIM a tartományból kimenő üzenetek kijelentkeztetésére.

     Ha a CNAME rekordok nem észlelhetők, hibaüzenet jelenik meg, amely a CNAME rekordokban használandó értékeket tartalmazza. Ellenőrizze, hogy nincsenek-e elírások a tartományregisztráló értékeiben (könnyen elvégezhető a kötőjelekkel, pontokkal és aláhúzásokkal!), várjon egy ideig, majd futtassa újra a parancsot.

   • Olyan *.onmicrosoft.com tartomány esetén, amely korábban nem volt felsorolva, a parancs hiba nélkül fut.

6. Annak ellenőrzéséhez, hogy a tartomány konfigurálva van-e a DKIM-aláírási üzenetekhez, futtassa az 1. lépésben található parancsot.

   A tartománynak a következő tulajdonságértékekkel kell rendelkeznie:

   • Engedélyezve: Igaz
   • Állapot: Valid

A szintaxissal és a paraméterekkel kapcsolatos részletes információkért tekintse meg a következő cikkeket:

• Get-DkimSigningConfig
• New-DkimSigningConfig
• Set-DkimSigningConfig

DKIM-kulcsok elforgatása

Ugyanezen okokból rendszeresen módosítania kell a jelszavakat, rendszeresen módosítania kell a DKIM-aláíráshoz használt DKIM-kulcsot. A tartomány DKIM-kulcsának lecserélését DKIM kulcsrotálásnak nevezzük.

A Microsoft 365-tartomány DKIM-kulcsrotálásával kapcsolatos releváns információk a következő parancs kimenetében jelennek meg Exchange Online PowerShellben:

Get-DkimSigningConfig -Identity <CustomDomain> | Format-List

• KeyCreationTime: A DKIM nyilvános-titkos kulcspár létrehozásának UTC-dátuma/időpontja.
• RotateOnDate: Az előző vagy a következő DKIM-kulcsrotálás dátuma/időpontja.
• SelectorBeforeRotateOnDate: Ne feledje, hogy a Microsoft 365-ben egyéni tartomány használatával történő DKIM-aláíráshoz két CNAME rekord szükséges a tartományban. Ez a tulajdonság azt a CNAME rekordot jeleníti meg, amelyet a DKIM a RotateOnDate dátum-idő előtt használ (más néven választó). Az érték vagy selector1selector2 , és különbözik az SelectorAfterRotateOnDate értékétől.
• SelectorAfterRotateOnDate: Azt a CNAME rekordot jeleníti meg, amelyet a DKIM a RotateOnDate dátum-idő után használ. Az érték vagy selector1selector2 , és különbözik az SelectorBeforeRotateOnDate értékétől.

Ha DKIM-kulcsrotálást végez egy tartományon az ebben a szakaszban leírtak szerint, a módosítás nem azonnal történik meg. Négy napba (96 órába) telik, amíg az új titkos kulcs elkezdi az üzenetek aláírását (a RotateOnDate dátumot/időt és a megfelelő SelectorAfterRotateOnDate értéket). Addig a rendszer a meglévő titkos kulcsot (a megfelelő SelectorBeforeRotateOnDate értéket) használja.

A DKIM-aláírás ellenőrzéséhez használt megfelelő nyilvános kulcs megerősítéséhez (amely az üzenet aláírásához használt titkos kulcsot jelöli) ellenőrizze a s= fejlécmezőben (a választóban DKIM-Signature , például s=selector1-contoso-com: ).

Tipp

• Az egyéni tartomány kimenő DKIM-kijelentkezési idejének kezdetét meghatározó fő tényező a CNAME rekordészlelése a DNS-ben.
• A DKIM-kulcsokat csak olyan tartományokban forgathatja el, amelyen a Email hitelesítési beállítások lapjának DKIM lapján mindkét tulajdonságérték megtalálható:
  • Váltógomb: Engedélyezve
  • Állapot: Érvényes vagy CnameMissing
• Jelenleg nincs automatikus DKIM-kulcsrotálás a *.onmicrosoft.com tartományhoz.

Egyéni tartomány DKIM-kulcsainak elforgatása a Defender portál használatával

1. A Defender portálján https://security.microsoft.comlépjen Email & együttműködési>szabályzatok & szabályok>Fenyegetési szabályzatok>Email hitelesítési beállítások lapra. Vagy ha közvetlenül a Email hitelesítési beállítások lapjára szeretne lépni, használja a következőthttps://security.microsoft.com/authentication: .

2. A Email hitelesítési beállítások lapon válassza a DKIM lapot.

3. A DKIM lapon jelölje ki a konfigurálni kívánt tartományt úgy, hogy a Név vagy a Váltógomb érték melletti jelölőnégyzeten kívül bárhová kattint.

   

4. A megnyíló tartományi részletek úszó panelen válassza a DKIM-kulcsok elforgatása elemet az úszó panel alján.

   

5. A részletek úszó paneljének beállításai a következő értékekre változnak:

   • Állapot: Kulcsok rotálása ehhez a tartományhoz és DKIM-aláírások aláírása.
   • CNAMES közzététele: A címzett pontok vagy az értékértékek üresek mindkét választónál.
   • A DKIM-kulcsok elforgatása szürkítve jelenik meg.

   

6. Négy nap (96 óra) után az új DKIM-kulcs kijelentkezteti az egyéni tartomány kimenő üzeneteit. Addig a rendszer az aktuális DKIM-kulcsot használja.

   Az új DKIM-kulcs aláírja az üzenetet, amikor az Állapot értéke A tartomány DKIM-aláírásainak aláírása értékre változik.

A DKIM-aláírás ellenőrzéséhez használt megfelelő nyilvános kulcs megerősítéséhez (amely az üzenet aláírásához használt titkos kulcsot jelöli) ellenőrizze a s= fejlécmezőben (a választóban DKIM-Signature , például s=selector1-contoso-com: ).

A tartomány DKIM-kulcsainak elforgatása és a bitmélység módosítása Exchange Online PowerShell használatával

Ha inkább a PowerShellt szeretné használni egy tartomány DKIM-kulcsainak elforgatásához, csatlakozzon Exchange Online PowerShellhez az alábbi parancsok futtatásához.

1. Futtassa a következő parancsot a szervezet összes tartományának rendelkezésre állásának és DKIM-állapotának ellenőrzéséhez:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
   

2. A DKIM-kulcsokat elforgatni kívánt tartományhoz használja a következő szintaxist:

   Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
   

   Ha nem szeretné módosítani az új DKIM-kulcsok bitmélységét, ne használja a KeySize paramétert .

   Ez a példa elforgatja a contoso.com tartomány DKIM-kulcsait, és egy 2048 bites kulcsra vált.

   Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
   

   Ez a példa a contoso.com tartomány DKIM-kulcsait forgatja el a kulcs bitmélységének módosítása nélkül.

   Rotate-DkimSigningConfig -Identity contoso.com
   

3. Futtassa újra az 1. lépésben található parancsot a következő tulajdonságértékek megerősítéséhez:

   • KeyCreationTime
   • RotateOnDate
   • SelectorBeforeRotateOnDate
   • SelectorAfterRotateOnDate

   A cél levelezőrendszerek a tulajdonság által SelectorBeforeRotateOnDate azonosított CNAME rekordban lévő nyilvános kulcsot használják az üzenetekben található DKIM-aláírás ellenőrzéséhez (amely az üzenet DKIM-aláírásához használt titkos kulcsra utal).

   A dátum/idő után a RotateOnDate DKIM az új titkos kulcsot használja az üzenetek aláírásához, a cél levelezőrendszerek pedig a tulajdonság által azonosított CNAME rekord megfelelő nyilvános kulcsát használják a SelectorAfterRotateOnDate DKIM-aláírás ellenőrzéséhez az üzenetekben.

   A DKIM-aláírás ellenőrzéséhez használt megfelelő nyilvános kulcs megerősítéséhez (amely az üzenet aláírásához használt titkos kulcsot jelöli) ellenőrizze a s= fejlécmezőben (a választóban DKIM-Signature , például s=selector1-contoso-com: ).

   Fontos

   Ha a DKIM-kulcsok bitmélységét 1024-ről 2048-ra módosítja a KeySize paraméterrel, a frissítés csak a következő aktív választóra vonatkozik az első kulcsrotálás során. Amikor ismét elforgatja a kulcsokat, a korábban inaktív választó aktívvá válik, és a bitmélység is 2048-ra frissül.

   A DKIM-kulcsok egy tartományon történő elforgatásakor a módosítás nem azonnal történik meg. Négy napot (96 órát) vesz igénybe. Amíg a kulcsrotálás folyamatban van, nem végezhet másik kulcsrotálást.

A szintaxissal és a paraméterekkel kapcsolatos részletes információkért tekintse meg a következő cikkeket:

• Get-DkimSigningConfig
• Rotate-DkimSigningConfig

Kimenő üzenetek DKIM-aláírásának letiltása egyéni tartomány használatával

A Defender portál használata a kimenő üzenetek DKIM általi aláírásának letiltásához egyéni tartomány használatával

1. A Defender portálján https://security.microsoft.comlépjen Email & együttműködési>szabályzatok & szabályok>Fenyegetési szabályzatok>Email hitelesítési beállítások lapra. Vagy ha közvetlenül a Email hitelesítési beállítások lapjára szeretne lépni, használja a következőthttps://security.microsoft.com/authentication: .

2. A Email hitelesítési beállítások lapon válassza a DKIM lapot.

3. A DKIM lapon hajtsa végre az alábbi lépések egyikét:

   • A tartomány bejegyzésében csúsztassa a Váltógomb értékét Engedélyezve értékről Letiltva értékre.
   • Jelölje ki a konfigurálni kívánt tartományt úgy, hogy a Név érték melletti vagy a Váltógomb érték melletti jelölőnégyzeten kívül bárhová kattint. A megnyíló tartományadatok úszó panelen húzza az Üzenetek aláírása ehhez a tartományhoz DKIM-aláírásokkal kapcsolót Engedélyezve értékről Letiltva értékre.

A kimenő üzenetek DKIM-aláírásának letiltása Exchange Online PowerShell használatával egyéni tartomány használatával

Ha inkább a PowerShell használatával szeretné letiltani a kimenő üzenetek DKIM általi aláírását egy egyéni tartomány használatával, csatlakozzon Exchange Online PowerShellhez az alábbi parancsok futtatásához.

1. Futtassa a következő parancsot a szervezet összes tartományának rendelkezésre állásának és DKIM-állapotának ellenőrzéséhez:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status
   

   A DKIM-aláírás letiltható egyéni tartományai a következő tulajdonságértékekkel rendelkeznek:

   • Engedélyezve: Igaz
   • Állapot: Valid

2. Ahhoz a tartományhoz, amelyhez le szeretné tiltani a DKIM-aláírást, használja a következő szintaxist:

   Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
   

   Ez a példa letiltja a DKIM-aláírást az egyéni tartomány contoso.com használatával.

   Set-DkimSigningConfig -Identity contoso.com -Enabled $false
   

A Microsoft 365-ből kimenő levelek DKIM-aláírásának ellenőrzése

Tipp

Mielőtt az ebben a szakaszban ismertetett módszereket használná a kimenő levelek DKIM-aláírásának teszteléséhez, várjon néhány percet a DKIM-konfiguráció módosításai után, hogy a módosítások propagálhassanak.

Az alábbi módszerek bármelyikével ellenőrizheti, hogy a DKIM bejelentkezett-e a Microsoft 365-ből kimenő e-mailekre:

• Küldjön tesztüzeneteket, és tekintse meg a kapcsolódó fejlécmezőket a cél levelezőrendszer üzenetfejlécéből:

  1. Üzenet küldése a Microsoft 365 DKIM-kompatibilis tartományon belüli fiókból egy másik levelezőrendszerbeli címzettnek (például outlook.com vagy gmail.com).

     Tipp

     Ne küldjön e-mailt az AOL-nak DKIM-tesztelés céljából. Előfordulhat, hogy az AOL kihagyja a DKIM-ellenőrzést, ha az SPF-ellenőrzés sikeres.

  2. A célpostaládában tekintse meg az üzenet fejlécét. Például:

     • Internetes üzenetfejlécek megtekintése az Outlookban.
     • Használja az Üzenetfejléc-elemzőt a következő helyen: https://mha.azurewebsites.net.

  3. Keresse meg a DKIM-Signature fejlécmezőt az üzenetfejlécben. A fejlécmező a következő példához hasonlóan néz ki:

     DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
      s=selector1;
      h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
      bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
     

     • d=: Az üzenet DKIM-hez használt tartománya.
     • s=: Az üzenet DKIM-aláírásának visszafejtéséhez és ellenőrzéséhez használt választó (nyilvános kulcs a tartomány DNS-rekordjában).

  4. Keresse meg az Authentication-Results fejlécmezőt az üzenetfejlécben. Bár a cél levelezőrendszerek némileg eltérő formátumokat használhatnak a bejövő levelek bélyegzéséhez, a fejlécmezőnek tartalmaznia kell a DKIM=pass vagy a DKIM=OK formátumot. Például:

     Authentication-Results: mx.google.com;
       dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
       arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
       spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
     

     Tipp

     A DKIM-aláírás az alábbi feltételek valamelyike esetén hiányzik:

     • A feladó és a címzett e-mail-címe ugyanabban a tartományban van.
     • A feladó és a címzett e-mail-címe ugyanabban a szervezetben különböző tartományokban található.

     Mindkét esetben a DKIM-Signature fejlécmező nem létezik az üzenetfejlécben, és az Authentication-Results fejlécmező az alábbi példához hasonlóan néz ki:

     authentication-results: dkim=none (message not signed)
      header.d=none;dmarc=none action=none header.from=contoso.com;
     

• A Microsoft 365 súgójának tesztelése: Ehhez a funkcióhoz globális rendszergazdai^* fiók szükséges, és nem érhető el a 21Vianet által üzemeltetett Microsoft 365 Kormányzati közösségi felhőben (GCC), GCC High-ban, DoD-ban vagy Office 365.

  Fontos

  ^* A Microsoft határozottan támogatja a minimális jogosultság elvét. Ha csak a feladataik elvégzéséhez szükséges minimális engedélyeket rendeli hozzá a fiókokhoz, az csökkenti a biztonsági kockázatokat, és erősíti a szervezet általános védelmét. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre érdemes korlátozni, vagy ha nem tud más szerepkört használni.

  Tesztek futtatása: DKIM

  

DKIM-aláírás az egyéni tartományból érkező e-mailekről más e-mail-szolgáltatásokban

Egyes e-mail-szolgáltatók vagy szoftverszolgáltatók lehetővé teszik a DKIM-aláírást a szolgáltatásból származó leveleihez, de a módszerek teljes mértékben az e-mail-szolgáltatástól függenek.

Tipp

Ahogy azt a cikk korábbi részében említettük, javasoljuk, hogy olyan levelezőrendszerekhez vagy szolgáltatásokhoz használjunk altartományokat, amelyek közvetlenül nem irányíthatók.

A Microsoft 365-ben például a levelezési tartománya contoso.com, és az Adatum tömeges levelezési szolgáltatást használja marketingcélú levelezéshez. Ha az Adatum támogatja a tartományában lévő feladóktól érkező üzenetek DKIM-aláírását a szolgáltatásban, az üzenetek a következő elemeket tartalmazhatják:

Return-Path: <communication@adatum.com>
 From: <sender@marketing.contoso.com>
 DKIM-Signature: s=s1024; d=marketing.contoso.com
 Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com

Ebben a példában a következő lépések szükségesek:

1. Az Adatum nyilvános kulcsot ad a Contosónak a szolgáltatásból kimenő Contoso-levelek DKIM általi aláírásához.

2. A Contoso közzéteszi a nyilvános DKIM-kulcsot a DNS-ben a marketing.contoso.com altartomány tartományregisztrálójában (TXT vagy CNAME rekord).

3. Amikor az Adatum e-mailt küld a marketing.contoso.com tartományban lévő feladóktól, az üzenetek DKIM-aláírása azzal a titkos kulccsal történik, amely megfelel a Contosónak az első lépésben megadott nyilvános kulcsnak.

4. Ha a cél levelezőrendszer ellenőrzi a DKIM-et a bejövő üzeneteken, az üzenetek átjutnak a DKIM-en, mert aláírták a DKIM-et.

5. Ha a cél levelezőrendszer ellenőrzi a DMARC-t a bejövő üzeneteken, a DKIM-aláírás tartománya (a DKIM-Signature fejlécmezőben lévő d= érték) megegyezik az e-mail-ügyfelekben látható Feladó cím tartományával, így az üzenetek a DMARC-t is át tudják adni:

   Feladó: sender@marketing.contoso.com
   d=: marketing.contoso.com

Következő lépések

Az SPF, a DKIM és a DMARC együttműködése az e-mail-feladók hitelesítése érdekében című cikkben leírtak szerint a DKIM önmagában nem elegendő a Microsoft 365-tartomány hamisításának megakadályozásához. A lehető legjobb védelem érdekében konfigurálnia kell az SPF-et és a DMARC-t is. Az utasításokat itt találja:

• Az SPF beállítása az egyéni felhőtartományok érvényes e-mail-forrásainak azonosításához
• A DMARC beállítása a Feladó címtartományának ellenőrzéséhez a felhőbeli feladók számára

A Microsoft 365-be érkező e-mailek esetében előfordulhat, hogy megbízható ARC-tömítőket is konfigurálnia kell, ha olyan szolgáltatásokat használ, amelyek módosítják az átvitt üzeneteket a szervezetnek való kézbesítés előtt. További információ: Megbízható ARC-tömítők konfigurálása.

Tipp

Az Exchange 2016 és az Exchange 2019 ismerten módosítja a rajtuk áthaladó üzeneteket, ami hatással lehet a DKIM-re.