Konfigurer DKIM til å signere e-post fra Microsoft 365-domenet
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
DomainKeys Identified Mail (DKIM) er en metode for e-postgodkjenning som bidrar til å validere e-post sendt fra Microsoft 365-organisasjonen for å forhindre falske avsendere som brukes i e-postkompromisse for bedrifter (BEC), løsepengevirus og andre phishing-angrep.
Hovedformålet med DKIM er å bekrefte at en melding ikke er endret i transitt. Spesifikt:
- Én eller flere private nøkler genereres for et domene og brukes av kilde-e-postsystemet til å signere viktige deler av utgående meldinger digitalt. Disse meldingsdelene omfatter:
- Fra, Til, Emne, MIME-versjon, Innholdstype, Dato og andre meldingshodefelt (avhengig av kilde-e-postsystemet).
- Meldingsteksten.
- Den digitale signaturen lagres i DKIM-signaturhodefeltet i meldingshodet og forblir gyldig så lenge mellomliggende e-postsystemer ikke endrer de signerte delene av meldingen. Signeringsdomenet identifiseres av d= -verdien i DKIM-Signatur-topptekstfeltet .
- De tilsvarende fellesnøklene lagres i DNS-poster for signeringsdomenet (CNAME-poster i Microsoft 365. Andre e-postsystemer kan bruke TXT-poster).
- Mål-e-postsystemer bruker d= verdien i DKIM-signaturhodefeltet til å:
- Identifiser signeringsdomenet.
- Slå opp fellesnøkkelen i DKIM DNS-posten for domenet.
- Bruk fellesnøkkelen i DKIM DNS-posten for domenet til å bekrefte meldingssignaturen.
Viktige fakta om DKIM:
- Domenet som brukes til DKIM-signering, er ikke nødvendig for å samsvare med domenet i E-POST FRA- eller Fra-adressene i meldingen. Hvis du vil ha mer informasjon om disse adressene, kan du se Hvorfor Internett-e-post trenger godkjenning.
- En melding kan ha flere DKIM-signaturer av forskjellige domener. Faktisk signerer mange vertsbaserte e-posttjenester meldingen ved hjelp av tjenestedomenet, og deretter signerer du meldingen på nytt ved hjelp av kundedomenet etter at kunden konfigurerer DKIM-signering for domenet.
Før vi begynner, må du vite følgende om DKIM i Microsoft 365 basert på e-postdomenet ditt:
Hvis du bare bruker domenet Microsoft Online Email Routing Address (MOERA) for e-post (for eksempel contoso.onmicrosoft.com): Du trenger ikke å gjøre noe. Microsoft oppretter automatisk et 2048-biters offentlig-privat nøkkelpar fra det opprinnelige *.onmicrosoft.com-domenet. Utgående meldinger signeres automatisk ved hjelp av privatnøkkelen. Den offentlige nøkkelen publiseres i en DNS-post, slik at mål-e-postsystemer kan bekrefte DKIM-signaturen til meldinger.
Du kan imidlertid også konfigurere DKIM-signering manuelt ved hjelp av domenet *.onmicrosoft.com. Hvis du vil ha instruksjoner, kan du se Bruke Defender-portalen til å tilpasse DKIM-signering av utgående meldinger ved hjelp av domenedelen *.onmicrosoft.com senere i denne artikkelen.
Hvis du vil bekrefte at utgående meldinger signeres automatisk, kan du se delen Bekreft DKIM-signering av utgående e-post fra Microsoft 365 senere i denne artikkelen.
Hvis du vil ha mer informasjon om *.onmicrosoft.com domener, kan du se Hvorfor har jeg et «onmicrosoft.com»-domene?.
Hvis du bruker ett eller flere egendefinerte domener for e-post (for eksempel contoso.com): Selv om all utgående e-post fra Microsoft 365 signeres automatisk av MOERA-domenet, har du fortsatt mer arbeid å gjøre for maksimal e-postbeskyttelse:
Konfigurer DKIM-signering ved hjelp av egendefinerte domener eller underdomener: En melding må være DKIM signert av domenet i Fra-adressen. Vi anbefaler også at du konfigurerer DMARC, og DKIM sender DMARC-validering bare hvis domenet som DKIM signerte meldingen og domenet i Fra-adressen justeres.
Vurderinger av underdomene:
For e-posttjenester som ikke er under din direkte kontroll (for eksempel massetjenester for e-post), anbefaler vi at du bruker et underdomene (for eksempel marketing.contoso.com) i stedet for hoved-e-postdomenet (for eksempel contoso.com). Du vil ikke at problemer med e-post som sendes fra disse e-posttjenestene, skal påvirke omdømmet til e-post som sendes av ansatte i hoved-e-postdomenet. Hvis du vil ha mer informasjon om hvordan du legger til underdomener, kan du se Kan jeg legge til egendefinerte underdomener eller flere domener i Microsoft 365?.
Hvert underdomene som du bruker til å sende e-post fra Microsoft 365, krever sin egen DKIM-konfigurasjon.
Tips
E-postgodkjenningsbeskyttelse for udefinerte underdomener dekkes av DMARC. Alle underdomener (definert eller ikke) arver DMARC-innstillingene for det overordnede domenet (som kan overstyres per underdomene). Hvis du vil ha mer informasjon, kan du se Konfigurere DMARC til å validere Fra-adressedomenet for avsendere i Microsoft 365.
Hvis du eier registrerte, men ubrukte domener: Hvis du eier registrerte domener som ikke brukes til e-post eller noe i det hele tatt (også kjent som parkerte domener), må du ikke publisere DKIM-poster for disse domenene. Mangelen på en DKIM-post (derfor hindrer mangelen på en fellesnøkkel i DNS for å validere meldingssignaturen) DKIM-validering av forfalskede domener.
DKIM alene er ikke nok. For det beste nivået av e-postbeskyttelse for dine egendefinerte domener, må du også konfigurere SPF og DMARC som en del av den generelle strategien for e-postgodkjenning . Hvis du vil ha mer informasjon, kan du se neste trinn-delen på slutten av denne artikkelen.
Resten av denne artikkelen beskriver DKIM CNAME-postene du må opprette for egendefinerte domener i Microsoft 365, og konfigurasjonsprosedyrer for DKIM ved hjelp av egendefinerte domener.
Tips
Konfigurering av DKIM-signering ved hjelp av et egendefinert domene er en blanding av prosedyrer i Microsoft 365 og prosedyrer hos domeneregistratoren for det egendefinerte domenet.
Vi gir instruksjoner for å opprette CNAME-poster for ulike Microsoft 365-tjenester hos mange domeneregistratorer. Du kan bruke disse instruksjonene som utgangspunkt for å opprette CNAME-postene for DKIM. Hvis du vil ha mer informasjon, kan du se Legge til DNS-poster for å koble til domenet.
Hvis du ikke er kjent med DNS-konfigurasjonen, kontakter du domeneregistratoren og ber om hjelp.
Syntaks for CNAME-poster for DKIM
Tips
Du bruker Defender-portalen eller Exchange Online PowerShell til å vise de nødvendige CNAME-verdiene for DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene. Verdiene som presenteres her, er bare for illustrasjon. Hvis du vil hente verdiene som kreves for egendefinerte domener eller underdomener, kan du bruke fremgangsmåten senere i denne artikkelen.
DKIM er fullstendig beskrevet i RFC 6376.
Den grunnleggende syntaksen for DKIM CNAME-postene for egendefinerte domener som sender e-post fra Microsoft 365, er:
Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomain>._domainkey.<InitialDomain>
Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomain>._domainkey.<InitialDomain>
I Microsoft 365 genereres to felles-private nøkkelpar når DKIM-signering ved hjelp av et egendefinert domene eller underdomene er aktivert. De private nøklene som brukes til å signere meldingen, er utilgjengelige. CNAME-postene peker til de tilsvarende fellesnøklene som brukes til å bekrefte DKIM-signaturen. Disse postene er kjent som velgere.
- Bare én velger er aktiv og brukes når DKIM-signering ved hjelp av et egendefinert domene er aktivert.
- Den andre velgeren er inaktiv. Den aktiveres og brukes bare etter en fremtidig DKIM-nøkkelrotasjon, og deretter bare etter at den opprinnelige velgeren er deaktivert.
Velgeren som brukes til å bekrefte DKIM-signaturen (som utleder den private nøkkelen som ble brukt til å signere meldingen) lagres i s= verdien i DKIM-signaturhodefeltet (for eksempel
s=selector1-contoso-com
).Vertsnavn: Verdiene er de samme for alle Microsoft 365-organisasjoner:
selector1._domainkey
ogselector2._domainkey
.<CustomDomain>: Det egendefinerte domenet eller underdomenet med perioder erstattet av bindestreker. Blir for eksempel
contoso.com
contoso-com
, ellermarketing.contoso.com
blirmarketing-contoso-com
til .<InitialDomain>: *.onmicrosoft.com som du brukte da du registrerte deg i Microsoft 365 (for eksempel contoso.onmicrosoft.com).
Organisasjonen har for eksempel følgende domener i Microsoft 365:
- Opprinnelig domene: cohovineyardandwinery.onmicrosoft.com
- Egendefinerte domener: cohovineyard.com og cohowinery.com
Du må opprette to CNAME-poster i hvert egendefinerte domene for totalt fire CNAME-poster:
CNAME-poster i det cohovineyard.com domenet:
Vertsnavn:
selector1._domainkey
Peker til adresse eller verdi:selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Vertsnavn:
selector2._domainkey
Peker til adresse eller verdi:selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
CNAME-poster i det cohowinery.com domenet:
Vertsnavn:
selector1._domainkey
Peker til adresse eller verdi:selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Vertsnavn:
selector2._domainkey
Peker til adresse eller verdi:selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Konfigurer DKIM-signering av utgående meldinger i Microsoft 365
Bruk Defender-portalen til å aktivere DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene
Tips
Aktivering av DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene bytter effektivt DKIM-signering fra å bruke det opprinnelige *.onmicrosoft.com-domenet til å bruke det egendefinerte domenet.
Du kan bare bruke et egendefinert domene eller underdomene til å logge utgående e-post for DKIM etter at domenet er lagt til Microsoft 365. Hvis du vil ha instruksjoner, kan du se Legge til et domene.
Hovedfaktoren som bestemmer når et egendefinert domene starter DKIM-signering av utgående e-post, er CNAME-postgjenkjenning i DNS.
Hvis du vil bruke prosedyrene i denne delen, må det egendefinerte domenet eller underdomenet vises på DKIM-fanen på innstillingssiden for e-postgodkjenning på https://security.microsoft.com/authentication?viewid=DKIM. Egenskapene for domenet i detaljer-undermenyen må inneholde følgende verdier:
- Veksleknappen for signeringsmeldinger for dette domenet med DKIM-signaturer er satt til Deaktivert.
- Statusverdiensignerer ikke DKIM-signaturer for domenet.
- Opprett DKIM-nøkler finnes ikke. Roter DKIM-taster er synlige, men er nedtonet.
Fortsett hvis domenet oppfyller disse kravene.
Gå til siden E-post & samarbeidspolicyer>& regler>For>e-postgodkjenningsinnstillinger for e-post i Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden innstillinger for godkjenning av e-post , kan du bruke https://security.microsoft.com/authentication.
Velg DKIM-fanen på siden Innstillinger for e-postgodkjenning.
Velg det egendefinerte domenet du vil konfigurere, på DKIM-fanen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet.
Velg veksleknappen for Signer meldinger for dette domenet med DKIM-signaturer i undermenyen for domenedetaljer som åpnes .
Legg merke til den siste avmerket datoverdien .
En dialogboks for klientfeil åpnes. Feilen inneholder verdiene som skal brukes i de to CNAME-postene som du oppretter hos domeneregistratoren for domenet.
I dette eksemplet er det egendefinerte domenet contoso.com, og det opprinnelige domenet for Microsoft 365-organisasjonen er contoso.onmicrosoft.com. Feilmeldingen ser slik ut:
|Microsoft.Exchange.ManagementTasks.ValidationException|CNAME record does not exist for this config. Please publish the following two CNAME records first. Domain Name : contoso.com Host Name : selector1._domainkey Points to address or value: selector1- contoso-com._domainkey.contoso.onmicrosoft.com Host Name : selector2._domainkey Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com . If you have already published the CNAME records, sync will take a few minutes to as many as 4 days based on your specific DNS. Return and retry this step later.
Derfor er CNAME-postene du må opprette i DNS for contoso.com-domenet:
Vertsnavn:
selector1._domainkey
Peker til adresse eller verdi:selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Vertsnavn:
selector2._domainkey
Peker til adresse eller verdi:selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Kopier informasjonen fra feildialogboksen (merk teksten og trykk CTRL+C), og velg deretter OK.
La undermenyen for domenedetaljene være åpen.
Gå til domeneregistratoren for domenet i en annen nettleserfane eller et annet vindu, og opprett deretter de to CNAME-postene ved hjelp av informasjonen fra forrige trinn.
Vi gir instruksjoner for å opprette CNAME-poster for ulike Microsoft 365-tjenester hos mange domeneregistratorer. Du kan bruke disse instruksjonene som utgangspunkt for å opprette CNAME-postene for DKIM. Hvis du vil ha mer informasjon, kan du se Legge til DNS-poster for å koble til domenet.
Det tar noen minutter (eller muligens lenger) for Microsoft 365 å oppdage de nye CNAME-postene du opprettet.
Etter en stund går du tilbake til domeneegenskapene som du forlot åpne i trinn 5, og velger veksleknappen for Signer meldinger for dette domenet med DKIM-signaturer .
Etter noen sekunder åpnes følgende dialogboks:
Når du har valgt OK for å lukke dialogboksen, må du kontrollere følgende innstillinger på undermenyen for detaljer:
- Veksleknappen for signeringsmeldinger for dette domenet med DKIM-signaturer er satt til Aktivert .
- Statusverdiensignerer DKIM-signaturer for dette domenet.
- Roter DKIM-taster er tilgjengelig.
- Siste avmerket dato: Datoen og klokkeslettet skal være nyere enn den opprinnelige verdien i trinn 4.
Bruk Defender-portalen til å tilpasse DKIM-signering av utgående meldinger ved hjelp av domenet *.onmicrosoft.com
Som beskrevet tidligere i denne artikkelen, konfigureres det opprinnelige *.onmicrosoft.com-domenet automatisk til å signere all utgående e-post fra Microsoft 365-organisasjonen, og du bør konfigurere egendefinerte domener til DKIM-signering av utgående meldinger.
Du kan imidlertid også bruke fremgangsmåtene i denne delen til å påvirke DKIM-signering ved hjelp av domenet *.onmicrosoft.com:
- Generer nye nøkler. De nye nøklene legges automatisk til og brukes i Microsoft 365-datasentrene.
- La egenskapene for domenet *.onmicrosoft.com vises riktig i undermenyen for detaljer for domenet på DKIM-fanen på siden innstillinger for e-postgodkjenning på https://security.microsoft.com/authentication?viewid=DKIM eller i PowerShell. Dette resultatet gjør det mulig for fremtidige operasjoner på DKIM-konfigurasjonen for domenet (for eksempel manuell nøkkelrotasjon).
Hvis du vil bruke prosedyrene i denne delen, må *.onmicrosoft.com-domenet vises på DKIM-fanen på siden innstillinger for e-postgodkjenning på https://security.microsoft.com/authentication?viewid=DKIM. Egenskapene for domenet *.onmicrosoft.com i undermenyen for detaljer må inneholde følgende verdier:
- Veksleknappen for signeringsmeldinger for dette domenet med DKIM-signaturer er ikke tilgjengelig.
- Statusverdien er ingen DKIM-nøkler lagret for dette domenet.
- Opprett DKIM-nøkler finnes.
Fortsett hvis domenet oppfyller disse kravene.
Gå til siden E-post & samarbeidspolicyer>& regler>For>e-postgodkjenningsinnstillinger for e-post i Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden innstillinger for godkjenning av e-post , kan du bruke https://security.microsoft.com/authentication.
Velg DKIM-fanen på siden Innstillinger for e-postgodkjenning.
På DKIM-fanen velger du domenet *.onmicrosoft.com som skal konfigureres, ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet.
Velg Opprett DKIM-nøkler i undermenyen for domenedetaljer som åpnes.
Når oppretting av DKIM-nøkkel er fullført, åpnes dialogboksen Publiser CNAME-er . Velg Lukk.
Du kan ikke opprette CNAME-postene for domenet *.onmicrosoft.com, så du trenger ikke å kopiere verdiene. Microsoft tar seg av den nødvendige DNS-konfigurasjonen for deg.
Når du har valgt Lukk, er du tilbake på undermenyen for domenedetaljene der veksleknappen for signermeldinger for dette domenet med DKIM-signaturer er deaktivert .
Skyv veksleknappen for Signer meldinger for dette domenet med DKIM-signaturer til Aktivert , og velg deretter OK i bekreftelsesdialogboksen som åpnes.
Når du er ferdig i undermenyen for domenedetaljer, velger du Lukk.
Bruke Exchange Online PowerShell til å konfigurere DKIM-signering av utgående meldinger
Hvis du heller vil bruke PowerShell til å aktivere DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene, eller til å tilpasse DKIM-signering for domenet *.onmicrosoft.com, kobler du til Exchange Online PowerShell for å kjøre følgende kommandoer.
Tips
Før du kan konfigurere DKIM-signering ved hjelp av det egendefinerte domenet, må du legge til domenet i Microsoft 365. Hvis du vil ha instruksjoner, kan du se Legge til et domene. Hvis du vil bekrefte at det egendefinerte domenet er tilgjengelig for DKIM-konfigurasjon, kjører du følgende kommando: Get-AcceptedDomain
.
Som beskrevet tidligere i denne artikkelen, logger *.onmicrosoft.com-domenet allerede utgående e-post som standard. Vanligvis, med mindre du har konfigurert DKIM-signering for *.onmicrosoft.com-domenet i Defender-portalen eller i PowerShell, vises ikke *.onmicrosoft.com i utdataene for Get-DkimSigningConfig.
Kjør følgende kommando for å bekrefte tilgjengeligheten og DKIM-statusen for alle domener i organisasjonen:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
For domenet du vil konfigurere DKIM-signering for, bestemmer utdataene for kommandoen i trinn 1 hva du må gjøre videre:
Domenet er oppført med følgende verdier:
- Aktivert: Usann
-
Status:
CnameMissing
Gå til trinn 3 for å kopiere velgerverdiene.
eller
Domenet er ikke oppført:
Erstatt <domenet> med domeneverdien, og kjør deretter følgende kommando:
New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
-
Parameteren BodyCanonicalization angir følsomhetsnivået for endringer i meldingsteksten:
- Avslappet: Endringer i mellomrom og endringer i tomme linjer på slutten av meldingsteksten tolereres. Dette er standardverdien.
- Enkelt: Bare endringer i tomme linjer på slutten av meldingsteksten tolereres.
-
Parameteren HeaderCanonicalization angir følsomhetsnivået for endringer i meldingshodet:
- Avslappet: Vanlige endringer i meldingshodet tolereres. For eksempel skriver topptekstfeltlinjen på nytt, endringer i unødvendig mellomrom eller tomme linjer, og endringer i tilfelle for overskriftsfelt. Dette er standardverdien.
- Enkelt: Ingen endringer i topptekstfeltene tolereres.
-
KeySize-parameteren angir bitstørrelsen for fellesnøkkelen i DKIM-posten:
-
- Dette er standardverdien.
-
-
Eksempel:
New-DkimSigningConfig -DomainName contoso.com -Enabled $false
-
Parameteren BodyCanonicalization angir følsomhetsnivået for endringer i meldingsteksten:
Kjør kommandoen fra trinn 1 på nytt for å bekrefte at domenet er oppført med følgende egenskapsverdier:
- Aktivert: Usann
-
Status:
CnameMissing
Gå til trinn 3 for å kopiere velgerverdiene.
Kopier selector1CNAME - og Selector2CNAME-verdiene for domenet fra utdataene for kommandoen fra trinn 1.
CNAME-postene du må opprette hos domeneregistratoren for domenet, ser slik ut:
Vertsnavn:
selector1._domainkey
Peker til adresse eller verdi:<Selector1CNAME value>
Vertsnavn:
selector2._domainkey
Peker til adresse eller verdi:<Selector2CNAME value>
Eksempel:
Vertsnavn:
selector1._domainkey
Peker til adresse eller verdi:selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Vertsnavn:
selector2._domainkey
Peker til adresse eller verdi:selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Gjør ett av følgende trinn:
Egendefinert domene: Opprett de to CNAME-postene i domeneregistratoren for domenet ved hjelp av informasjonen fra forrige trinn.
Vi gir instruksjoner for å opprette CNAME-poster for ulike Microsoft 365-tjenester hos mange domeneregistratorer. Du kan bruke disse instruksjonene som utgangspunkt for å opprette CNAME-postene for DKIM. Hvis du vil ha mer informasjon, kan du se Legge til DNS-poster for å koble til domenet.
Det tar noen minutter (eller muligens lenger) for Microsoft 365 å oppdage de nye CNAME-postene du opprettet.
*.onmicrosoft.com domene: Gå til trinn 5.
Gå tilbake til Exchange Online PowerShell etter en stund, erstatt <Domene> med domenet du konfigurerte, og kjør følgende kommando:
Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
-
Parameteren BodyCanonicalization angir følsomhetsnivået for endringer i meldingsteksten:
- Avslappet: Endringer i mellomrom og endringer i tomme linjer på slutten av meldingsteksten tolereres. Dette er standardverdien.
- Enkelt: Bare endringer i tomme linjer på slutten av meldingsteksten tolereres.
-
Parameteren HeaderCanonicalization angir følsomhetsnivået for endringer i meldingshodet:
- Avslappet: Vanlige endringer i meldingshodet tolereres. For eksempel skriver topptekstfeltlinjen på nytt, endringer i unødvendig mellomrom eller tomme linjer, og endringer i tilfelle for overskriftsfelt. Dette er standardverdien.
- Enkelt: Ingen endringer i topptekstfeltene tolereres.
Eksempel:
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
eller
Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
Hvis Microsoft 365 kan oppdage CNAME-postene hos domeneregistratoren for et egendefinert domene, kjører kommandoen uten feil, og domenet brukes nå til å logge utgående meldinger fra domenet.
Hvis CNAME-postene ikke oppdages, får du en feil som inneholder verdiene som skal brukes i CNAME-postene. Se etter skrivefeil i verdiene hos domeneregistratoren (enkel å gjøre med bindestreker, punktum og understrekinger!), vent litt til, og kjør deretter kommandoen på nytt.
For et *.onmicrosoft.com domene som tidligere ikke var oppført, kjører kommandoen uten feil.
-
Parameteren BodyCanonicalization angir følsomhetsnivået for endringer i meldingsteksten:
Hvis du vil bekrefte at domenet nå er konfigurert til DKIM-signeringsmeldinger, kjører du kommandoen fra trinn 1.
Domenet skal ha følgende egenskapsverdier:
- Aktivert: Sann
-
Status:
Valid
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se følgende artikler:
Roter DKIM-taster
Av de samme grunnene som du regelmessig bør endre passord, bør du med jevne mellomrom endre DKIM-nøkkelen som brukes til DKIM-signering. Erstatning av DKIM-nøkkelen for et domene kalles DKIM-nøkkelrotasjon.
Den relevante informasjonen om DKIM-nøkkelrotasjon for et domene Microsoft 365 vises i utdataene fra følgende kommando i Exchange Online PowerShell:
Get-DkimSigningConfig -Identity <CustomDomain> | Format-List
- KeyCreationTime: UTC-datoen/klokkeslettet da DKIM public-private key pair ble opprettet.
- RotateOnDate: Datoen/klokkeslettet for forrige eller neste DKIM-tasterotasjon.
-
SelectorBeforeRotateOnDate: Husk at DKIM-signering ved hjelp av et egendefinert domene i Microsoft 365 krever to CNAME-poster i domenet. Denne egenskapen viser CNAME-posten som DKIM bruker før date-klokkeslettet RotateOnDate (også kjent som en velger). Verdien er
selector1
ellerselector2
er forskjellig fra SelectorAfterRotateOnDate-verdien . -
SelectorAfterRotateOnDate: Viser CNAME-posten som DKIM bruker etter date-klokkeslettet RotateOnDate . Verdien er
selector1
ellerselector2
er forskjellig fra SelectorBeforeRotateOnDate-verdien .
Når du utfører en DKIM-nøkkelrotasjon på et domene som beskrevet i denne delen, er ikke endringen umiddelbar. Det tar fire dager (96 timer) for den nye private nøkkelen å begynne å signere meldinger (Date/time RotateOnDate og tilsvarende SelectorAfterRotateOnDate-verdi ). Frem til da brukes den eksisterende private nøkkelen (tilsvarende SelectorBeforeRotateOnDate-verdi ).
Tips
Hovedfaktoren som bestemmer når et egendefinert domene starter DKIM-signering av utgående e-post, er CNAME-postgjenkjenning i DNS.
Hvis du vil bekrefte den tilsvarende fellesnøkkelen som brukes til å bekrefte DKIM-signaturen (som utleder den private nøkkelen som ble brukt til å signere meldingen), må du kontrollere s= verdien i DKIM-signaturhodefeltet (for eksempel s=selector1-contoso-com
velgeren).
Tips
For egendefinerte domener kan du bare rotere DKIM-nøkler på domener som er aktivert for DKIM-signering ( statusverdien er aktivert).
Det finnes for øyeblikket ingen automatisk DKIM-nøkkelrotasjon for *.onmicrosoft.com-domenet. Du kan manuelt rotere DKIM-tastene som beskrevet i denne delen. Hvis Roter DKIM-nøkler ikke er tilgjengelige i egenskapene for domenet *.onmicrosoft.com, bruker du fremgangsmåten i Bruk Defender-portalen til å tilpasse DKIM-signering av utgående meldinger ved hjelp av domenedelen *.onmicrosoft.com tidligere i denne artikkelen.
Bruke Defender-portalen til å rotere DKIM-nøkler for et egendefinert domene
Gå til siden E-post & samarbeidspolicyer>& regler>For>e-postgodkjenningsinnstillinger for e-post i Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden innstillinger for godkjenning av e-post , kan du bruke https://security.microsoft.com/authentication.
Velg DKIM-fanen på siden Innstillinger for e-postgodkjenning.
Velg domenet du vil konfigurere, på DKIM-fanen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet.
Velg Roter DKIM-nøkler i undermenyen for domenedetaljer som åpnes.
Innstillingene i undermenyen for detaljer endres til følgende verdier:
- Status: Rotere taster for dette domenet og signere DKIM-signaturer.
- Roter DKIM-tastene er nedtonet.
Etter fire dager (96 timer) begynner den nye DKIM-nøkkelen å logge utgående meldinger for det egendefinerte domenet. Frem til da brukes den gjeldende DKIM-nøkkelen.
Du kan se når den nye DKIM-nøkkelen brukes når statusverdien endres fra roterende nøkler for dette domenet og signerer DKIM-signaturer til signering av DKIM-signaturer for dette domenet.
Hvis du vil bekrefte den tilsvarende fellesnøkkelen som brukes til å bekrefte DKIM-signaturen (som utleder den private nøkkelen som ble brukt til å signere meldingen), må du kontrollere s= verdien i DKIM-signaturhodefeltet (for eksempel s=selector1-contoso-com
velgeren).
Bruk Exchange Online PowerShell til å rotere DKIM-nøklene for et domene og endre bitdybden
Hvis du heller vil bruke PowerShell til å rotere DKIM-nøkler for et domene, kobler du til Exchange Online PowerShell for å kjøre følgende kommandoer.
Kjør følgende kommando for å bekrefte tilgjengeligheten og DKIM-statusen for alle domener i organisasjonen:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
Bruk følgende syntaks for domenet du vil rotere DKIM-nøkler for:
Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
Hvis du ikke vil endre bitdybden til de nye DKIM-tastene, må du ikke bruke KeySize-parameteren .
Dette eksemplet roterer DKIM-nøkler for det contoso.com domenet og endres til en 2048-biters nøkkel.
Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
Dette eksemplet roterer DKIM-nøkler for det contoso.com domenet uten å endre nøkkelbitdybden.
Rotate-DkimSigningConfig -Identity contoso.com
Kjør kommandoen fra trinn 1 på nytt for å bekrefte følgende egenskapsverdier:
- KeyCreationTime
- RotateOnDate
- SelectorBeforeRotateOnDate
- SelectorAfterRotateOnDate:
Mål-e-postsystemer bruker fellesnøkkelen i CNAME-posten som identifiseres av SelectorBeforeRotateOnDate-egenskapen for å bekrefte DKIM-signaturen i meldinger (som utleder den private nøkkelen som ble brukt til Å DKIM signere meldingen).
Etter RotateOnDate-dato /klokkeslett bruker DKIM den nye private nøkkelen til å signere meldinger, og mål-e-postsystemer bruker den tilsvarende offentlige nøkkelen i CNAME-posten som identifiseres av SelectorAfterRotateOnDate-egenskapen for å bekrefte DKIM-signaturen i meldinger.
Hvis du vil bekrefte den tilsvarende fellesnøkkelen som brukes til å bekrefte DKIM-signaturen (som utleder den private nøkkelen som ble brukt til å signere meldingen), må du kontrollere s= verdien i DKIM-signaturhodefeltet (for eksempel
s=selector1-contoso-com
velgeren).
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se følgende artikler:
Deaktiver DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene
Som beskrevet tidligere i denne artikkelen, aktiverer du DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene som effektivt bytter DKIM-signering fra å bruke *.onmicrosoft.com-domenet til å bruke det egendefinerte domenet.
Når du deaktiverer DKIM-signering ved hjelp av et egendefinert domene, deaktiverer du ikke DKIM-signering fullstendig for utgående e-post. DKIM-signering går etter hvert tilbake til å bruke domenet *.onmicrosoft.
Bruk Defender-portalen til å deaktivere DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene
Gå til siden E-post & samarbeidspolicyer>& regler>For>e-postgodkjenningsinnstillinger for e-post i Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden innstillinger for godkjenning av e-post , kan du bruke https://security.microsoft.com/authentication.
Velg DKIM-fanen på siden Innstillinger for e-postgodkjenning.
Velg domenet du vil konfigurere, på DKIM-fanen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet.
Skyv veksleknappen for signeringsmeldinger for dette domenet med DKIM-signaturer til Deaktivert i domenedetaljene som åpnes.
Bruk Exchange Online PowerShell til å deaktivere DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene
Hvis du heller vil bruke PowerShell til å deaktivere DKIM-signering av utgående meldinger ved hjelp av et egendefinert domene, kobler du til Exchange Online PowerShell for å kjøre følgende kommandoer.
Kjør følgende kommando for å bekrefte tilgjengeligheten og DKIM-statusen for alle domener i organisasjonen:
Get-DkimSigningConfig | Format-List Name,Enabled,Status
Alle egendefinerte domener som du kan deaktivere DKIM-signering for, har følgende egenskapsverdier:
- Aktivert: Sann
-
Status:
Valid
Bruk følgende syntaks for domenet du vil deaktivere DKIM-signering for:
Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
Dette eksemplet deaktiverer DKIM-signering ved hjelp av det egendefinerte domenet contoso.com.
Set-DkimSigningConfig -Identity contoso.com -Enabled $false
Bekreft DKIM-signering av utgående e-post fra Microsoft 365
Tips
Før du bruker metodene i denne delen til å teste DKIM-signering av utgående e-post, må du vente noen minutter etter eventuelle endringer i DKIM-konfigurasjonen for å tillate at endringene overføres.
Bruk en av følgende metoder for å bekrefte DKIM-signering av utgående e-post fra Microsoft 365:
Send testmeldinger og vis de relaterte topptekstfeltene fra meldingshodet i mål-e-postsystemet:
Send en melding fra en konto i det Microsoft 365 DKIM-aktiverte domenet til en mottaker i et annet e-postsystem (for eksempel outlook.com eller gmail.com).
Tips
Ikke send e-post til AOL for DKIM-testing. AOL kan hoppe over DKIM-kontrollen hvis SPF-kontrollen passerer.
Vis meldingshodet i målpostboksen. Eksempel:
- Vis meldingshoder på Internett i Outlook.
- Bruk Meldingshodeanalyse på https://mha.azurewebsites.net.
Finn DKIM-signaturhodefeltet i meldingshodet. Topptekstfeltet ser ut som følgende eksempel:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- d=: Domenet som ble brukt til Å DKIM signere meldingen.
- s=: Velgeren (fellesnøkkelen i DNS-posten i domenet) som ble brukt til å dekryptere og bekrefte DKIM-signaturen for meldingen.
Finn topptekstfeltet for godkjenningsresultater i meldingshodet. Selv om mål-e-postsystemer kan bruke litt forskjellige formater for å stemple innkommende e-post, bør topptekstfeltet inneholde DKIM=pass eller DKIM=OK. Eksempel:
Authentication-Results: mx.google.com; dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb; arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com); spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
Tips
DKIM-signaturen utelates under én av følgende betingelser:
- E-postadressene til avsenderen og mottakeren er i samme domene.
- E-postadressene til avsenderen og mottakeren er i forskjellige domener som kontrolleres av samme organisasjon.
I begge tilfeller finnes ikke DKIM-signaturhodefeltet i meldingshodet, og topptekstfeltet for godkjenningsresultater ser ut som følgende eksempel:
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=contoso.com;
Bruk testen i Hjelp for Microsoft 365: Denne funksjonen krever en global administratorkonto* og er ikke tilgjengelig i Microsoft 365 Government Community Cloud (GCC), GCC High, DoD eller Office 365 drevet av 21Vianet.
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
DKIM-signering av e-post fra det egendefinerte domenet hos andre e-posttjenester
Enkelte e-posttjenesteleverandører eller programvareleverandører lar deg aktivere DKIM-signering for e-post som kommer fra tjenesten. Metodene avhenger imidlertid helt av e-posttjenesten.
Tips
Som nevnt tidligere i denne artikkelen, anbefaler vi at du bruker underdomener for e-postsystemer eller tjenester som du ikke kontrollerer direkte.
E-postdomenet i Microsoft 365 er for eksempel contoso.com, og du bruker masseutsendelsestjenesten Adatum for e-postmarkedsføring. Hvis Adatum støtter DKIM-signering av meldinger fra avsendere i domenet på deres tjeneste, kan meldingene inneholde følgende elementer:
Return-Path: <communication@adatum.com>
From: <sender@marketing.contoso.com>
DKIM-Signature: s=s1024; d=marketing.contoso.com
Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com
I dette eksemplet kreves følgende trinn:
Adatum gir Contoso en offentlig nøkkel til bruk for DKIM-signering av utgående Contoso-e-post fra tjenesten.
Contoso publiserer den offentlige DKIM-nøkkelen i DNS hos domeneregistratoren for underdomenet marketing.contoso.com (en TXT-post eller en CNAME-post).
Når Adatum sender e-post fra avsendere i marketing.contoso.com-domenet, blir meldingene DKIM signert ved hjelp av den private nøkkelen som tilsvarer fellesnøkkelen de ga til Contoso i det første trinnet.
Hvis mål-e-postsystemet kontrollerer DKIM på innkommende meldinger, sender meldingene DKIM fordi de er DKIM-signert.
Hvis mål-e-postsystemet kontrollerer DMARC på innkommende meldinger, samsvarer domenet i DKIM-signaturen ( d= verdien i DKIM-signaturhodefeltet ) med domenet i Fra-adressen som vises i e-postklienter, slik at meldingene også kan sende DMARC:
Fra: sender@marketing.contoso.com
d=: marketing.contoso.com
Neste trinn
Som beskrevet i Hvordan SPF, DKIM og DMARC fungerer sammen for å godkjenne avsendere av e-postmeldinger, er ikke DKIM alene nok til å forhindre forfalskning av Microsoft 365-domenet. Du må også konfigurere SPF og DMARC for best mulig beskyttelse. Hvis vil ha instruksjoner, kan du se:
For e-post som kommer inn i Microsoft 365, må du kanskje også konfigurere klarerte ARC-sealers hvis du bruker tjenester som endrer meldinger i transitt før levering til organisasjonen. Hvis du vil ha mer informasjon, kan du se Konfigurere klarerte ARC-tetninger.
Tips
Exchange 2016 og Exchange 2019 er kjent for å endre meldinger som flyter gjennom dem, noe som kan påvirke DKIM.