Sprawdzanie poprawności wychodzących wiadomości e-mail wysyłanych z domeny niestandardowej za pomocą funkcji DKIM

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W tym artykule wymieniono kroki korzystania z funkcji DomainKeys Identified Mail (DKIM) z usługą Microsoft 365 w celu zapewnienia, że docelowe systemy poczty e-mail ufają komunikatom wysyłanym wychodzącym z domeny niestandardowej.

W tym artykule:

Uwaga

Platforma Microsoft 365 automatycznie konfiguruje program DKIM dla początkowych domen "onmicrosoft.com". Oznacza to, że nie musisz nic robić, aby skonfigurować infrastrukturę DKIM dla żadnych początkowych nazw domen (na przykład litware.onmicrosoft.com). Aby uzyskać więcej informacji na temat domen, zobacz Często zadawane pytania dotyczące domen.

DKIM to jedna z trzech metod uwierzytelniania (SPF, DKIM i DMARC), które uniemożliwiają osobom atakującym wysyłanie komunikatów, które wyglądają tak, jakby pochodziły z Twojej domeny.

Usługa DKIM umożliwia dodanie podpisu cyfrowego do wychodzących wiadomości e-mail w nagłówku wiadomości. Podczas konfigurowania usługi DKIM autoryzujesz domenę do kojarzenia lub podpisywania jej nazwy z wiadomością e-mail przy użyciu uwierzytelniania kryptograficznego. Email systemy, które pobierają wiadomości e-mail z twojej domeny, mogą używać tego podpisu cyfrowego, aby sprawdzić, czy przychodząca wiadomość e-mail jest legalna.

W warstwie podstawowej klucz prywatny szyfruje nagłówek w wychodzącej wiadomości e-mail domeny. Klucz publiczny jest publikowany w rekordach DNS domeny, a serwery odbierające mogą użyć tego klucza do dekodowania podpisu. Weryfikacja DKIM pomaga serwerom odbierającym potwierdzić, że poczta rzeczywiście pochodzi z Twojej domeny, a nie ktoś podszywający się pod Twoją domenę.

Porada

Możesz też nie wykonywać żadnych czynności dotyczących usługi DKIM dla domeny niestandardowej. Jeśli nie skonfigurujesz modułu DKIM dla domeny niestandardowej, platforma Microsoft 365 utworzy parę kluczy prywatnych i publicznych, włączy podpisywanie DKIM, a następnie skonfiguruje domyślne zasady platformy Microsoft 365 dla domeny niestandardowej.

Wbudowana konfiguracja DKIM firmy Microsoft-365 jest wystarczająca dla większości klientów. Należy jednak ręcznie skonfigurować infrastrukturę DKIM dla domeny niestandardowej w następujących okolicznościach:

  • Masz więcej niż jedną domenę niestandardową na platformie Microsoft 365
  • Skonfigurujesz również usługę DMARC (zalecane)
  • Chcesz mieć kontrolę nad kluczem prywatnym
  • Chcesz dostosować rekordy CNAME
  • Chcesz skonfigurować klucze DKIM dla poczty e-mail pochodzącej z domeny innej firmy, na przykład w przypadku korzystania z poczty zbiorczej innej firmy.

Jak DKIM działa lepiej niż sam SPF, aby zapobiec złośliwemu fałszowaniu

SPF dodaje informacje do koperty komunikatów, ale program DKIM szyfruje podpis w nagłówku wiadomości. Po przesłaniu dalej wiadomości fragmenty koperty tej wiadomości mogą zostać usunięte przez serwer przekazywania. Ponieważ podpis cyfrowy pozostaje z wiadomością e-mail, ponieważ jest częścią nagłówka wiadomości e-mail, program DKIM działa nawet wtedy, gdy wiadomość została przesłana dalej, jak pokazano w poniższym przykładzie.

Diagram przedstawiający przekazywany komunikat przekazujący uwierzytelnianie DKIM, w którym sprawdzanie SPF kończy się niepowodzeniem.

W tym przykładzie, jeśli opublikowano tylko rekord SPF TXT dla domeny, serwer poczty adresata mógł oznaczyć wiadomość e-mail jako spam i wygenerować wynik fałszywie dodatni. Dodanie modułu DKIM w tym scenariuszu zmniejsza liczbę fałszywie dodatnich raportów o spamie. Ponieważ program DKIM korzysta z kryptografii klucza publicznego do uwierzytelniania, a nie tylko adresów IP, moduł DKIM jest uważany za znacznie silniejszą formę uwierzytelniania niż SPF. Zalecamy używanie zarówno SPF, jak i DKIM, a także DMARC we wdrożeniu.

Porada

Program DKIM używa klucza prywatnego do wstawiania zaszyfrowanego podpisu do nagłówków komunikatów. Domena podpisywania lub domena wychodząca jest wstawiona jako wartość pola d= w nagłówku. Domena weryfikacji lub domena adresata używa pola d= do wyszukania klucza publicznego z usługi DNS i uwierzytelnienia komunikatu. Jeśli komunikat zostanie zweryfikowany, sprawdzanie DKIM przejdzie pomyślnie.

Kroki tworzenia, włączania i wyłączania modułu DKIM w portalu Microsoft Defender

Wszystkie akceptowane domeny dzierżawy będą wyświetlane w portalu Microsoft Defender pod stroną DKIM. Jeśli go nie widzisz, dodaj zaakceptowaną domenę ze strony domen. Po dodaniu domeny wykonaj kroki przedstawione poniżej, aby skonfigurować infrastrukturę DKIM.

Krok 1. Na stronie DKIM wybierz domenę, którą chcesz skonfigurować.

Strona DKIM w portalu Microsoft Defender z wybraną domeną

Krok 2. Kliknij pozycję Utwórz klucze DKIM. Zostanie wyświetlone okno podręczne z informacją o konieczności dodania rekordów CNAME.

Wysuwane szczegóły domeny z przyciskiem Utwórz klucze DKIM

Krok 3. Skopiuj rekord CNAMES wyświetlany w oknie podręcznym

Okno podręczne Publikuj rekordy CNAME zawierające dwa rekordy CNAME do skopiowania

Krok 4. Publikowanie skopiowanych rekordów CNAME u dostawcy usług DNS.

W witrynie internetowej dostawcy DNS dodaj rekordy CNAME dla maszyny DKIM, którą chcesz włączyć. Upewnij się, że pola są ustawione następujące wartości dla każdego z nich:

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

Krok 5. Wróć do strony DKIM, aby włączyć funkcję DKIM.

Przełącznik umożliwiający włączenie usługi DKIM

Jeśli zobaczysz, że rekord CNAME nie istnieje, może to być spowodowane:

  1. Synchronizacja z serwerem DNS, która może potrwać od kilku sekund do godzin, jeśli problem będzie powtarzać kroki ponownie
  2. Sprawdź, czy nie występują błędy wklejania kopii, takie jak dodatkowe miejsce lub karty itp.

Jeśli chcesz wyłączyć moduł DKIM, przełącz z powrotem, aby wyłączyć tryb.

Kroki ręcznego uaktualniania kluczy 1024-bitowych do 2048-bitowych kluczy szyfrowania DKIM

Uwaga

Platforma Microsoft 365 automatycznie konfiguruje infrastrukturę DKIM dla domen onmicrosoft.com . Nie są wymagane żadne kroki, aby użyć programu DKIM dla żadnych początkowych nazw domen (takich jak oprogramowanie litware.onmicrosoft.com). Aby uzyskać więcej informacji na temat domen, zobacz Często zadawane pytania dotyczące domen.

Ponieważ zarówno bitowość 1024, jak i 2048 jest obsługiwana w przypadku kluczy DKIM, w tych kierunkach dowiesz się, jak uaktualnić klucz 1024-bitowy do wersji 2048 w programie Exchange Online programu PowerShell. Poniższe kroki dotyczą dwóch przypadków użycia. Wybierz ten, który najlepiej pasuje do Twojej konfiguracji.

  • Jeśli masz już skonfigurowaną infrastrukturę DKIM, możesz obrócić bitness, uruchamiając następujące polecenie:

    Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>

    Lub

  • Aby uzyskać nową implementację DKIM, uruchom następujące polecenie:

    New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

Pozostań w kontakcie z programem Exchange Online programu PowerShell, aby zweryfikować konfigurację, uruchamiając następujące polecenie:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Porada

Ten nowy klucz 2048-bitowy wchodzi w życie z parametrem RotateOnDate i w międzyczasie wysyła wiadomości e-mail z kluczem 1024-bitowym. Po czterech dniach możesz ponownie przetestować przy użyciu klucza 2048-bitowego (oznacza to, że po włączeniu obrotu do drugiego selektora).

Jeśli chcesz obrócić się do drugiego selektora po czterech dniach i potwierdzić, że 2048-bitowość jest używana, ręcznie obróć drugi klucz selektora przy użyciu odpowiedniego polecenia cmdlet wymienionego powyżej.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz następujące artykuły: Rotate-DkimSigningConfig, New-DkimSigningConfig i Get-DkimSigningConfig.

Kroki ręcznego konfigurowania programu DKIM przy użyciu programu PowerShell

Aby skonfigurować infrastrukturę DKIM, wykonaj następujące kroki:

Publikowanie dwóch rekordów CNAME dla domeny niestandardowej w systemie DNS

Dla każdej domeny, dla której chcesz dodać podpis DKIM w systemie DNS, musisz opublikować dwa rekordy CNAME.

Uwaga

Jeśli nie przeczytano pełnego artykułu, być może pominięto informacje o połączeniu z programem PowerShell, które oszczędzają czas: Nawiązywanie połączenia z programem Exchange Online programu PowerShell.

Uruchom następujące polecenia w programie Exchange Online programu PowerShell, aby utworzyć rekordy selektora:

New-DkimSigningConfig -DomainName <domain> -Enabled $false

Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Jeśli oprócz domeny początkowej w usłudze Microsoft 365 aprowizowano domeny niestandardowe, musisz opublikować dwa rekordy CNAME dla każdej dodatkowej domeny. Jeśli masz dwie domeny, musisz opublikować dwa dodatkowe rekordy CNAME itd.

Użyj następującego formatu dla rekordów CNAME.

Ważna

Jeśli jesteś jednym z naszych klientów GCC High, obliczamy customDomainIdentifier inaczej! Zamiast szukać rekordu MX dla domeny initialDomain , aby obliczyć customDomainIdentifier, zamiast tego obliczamy go bezpośrednio z dostosowanej domeny. Jeśli na przykład dostosowana domena to "contoso.com" niestandardowadomainIdentifier staje się "contoso-com", wszystkie kropki są zastępowane kreską. Dlatego niezależnie od tego, na co wskazuje rekord MX, na który wskazuje twoja nazwa początkowa , zawsze użyjesz powyższej metody, aby obliczyć wartość customDomainIdentifier do użycia w rekordach CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Gdzie:

  • W przypadku platformy Microsoft 365 selektory zawsze będą mieć wartość "selector1" lub "selector2".

  • customDomainIdentifier jest taki sam jak customDomainIdentifier w dostosowanym rekordzie MX dla domeny niestandardowej, który pojawia się przed mail.protection.outlook.com. Na przykład w następującym rekordzie MX dla contoso.com domeny , customDomainIdentifier jest contoso-com:

    contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain to domena używana podczas tworzenia konta na platformie Microsoft 365. Początkowe domeny zawsze kończą się onmicrosoft.com. Aby uzyskać informacje na temat określania domeny początkowej, zobacz Często zadawane pytania dotyczące domen.

Jeśli na przykład masz domenę początkową cohovineyardandwinery.onmicrosoft.com i dwie domeny niestandardowe cohovineyard.com i cohowinery.com, musisz skonfigurować dwa rekordy CNAME dla każdej dodatkowej domeny dla łącznie czterech rekordów CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Uwaga

Ważne jest, aby utworzyć rekordy CNAME dla obu selektorów w systemie DNS, ale tylko jeden (aktywny) selektor jest publikowany z kluczem publicznym w momencie tworzenia. To zachowanie jest oczekiwane i nie ma wpływu na podpisywanie DKIM dla domen niestandardowych. Drugi selektor zostanie opublikowany z kluczem publicznym po każdej przyszłej rotacji klucza, gdy stanie się aktywny.

Procedura włączania podpisywania DKIM dla domeny niestandardowej przy użyciu programu PowerShell

Po opublikowaniu rekordów CNAME w systemie DNS zastąp <> domenę nazwą domeny, a następnie uruchom następujące polecenie w programie Exchange Online PowerShell, aby włączyć podpisywanie DKIM za pośrednictwem platformy Microsoft 365:

Set-DkimSigningConfig -Identity <Domain> -Enabled $true

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-DkimSigningConfig.

Błąd: Nie zapisano kluczy DKIM dla tej domeny

Jeśli konfigurujesz moduł DKIM po raz pierwszy i widzisz błąd "Brak kluczy DKIM zapisanych dla tej domeny", musisz użyć programu Exchange Online programu PowerShell, aby włączyć podpisywanie DKIM.

Błąd Brak kluczy DKIM zapisanych dla tej domeny.

  1. Połącz się z usługą Exchange Online w programie PowerShell.

  2. Należy stosować następującą składnię:

    Set-DkimSigningConfig -Identity <Domain> -Enabled $true

    <Domena> to nazwa domeny niestandardowej, dla którego chcesz włączyć podpisywanie DKIM.

    Ten przykład umożliwia podpisywanie DKIM dla contoso.com domeny:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-DkimSigningConfig.

Aby potwierdzić, że podpisywanie DKIM jest poprawnie skonfigurowane dla platformy Microsoft 365

Poczekaj kilka minut, zanim wykonaj te kroki, aby potwierdzić, że poprawnie skonfigurowano infrastrukturę DKIM. Pozwala to na rozłożenie informacji DKIM o domenie w całej sieci.

  • Wyślij wiadomość z konta w domenie z obsługą usługi Microsoft 365 DKIM do innego konta e-mail, takiego jak outlook.com lub Hotmail.com.

  • Nie używaj konta aol.com do celów testowych. Funkcja AOL może pominąć sprawdzanie DKIM, czy sprawdzanie SPF przebiega pomyślnie. Spowoduje to unieważnienie testu.

  • Otwórz komunikat i przyjrzyj się nagłówkowi. Instrukcje dotyczące wyświetlania nagłówka wiadomości będą się różnić w zależności od klienta obsługi komunikatów. Aby uzyskać instrukcje dotyczące wyświetlania nagłówków wiadomości w programie Outlook, zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook.

    Komunikat z podpisem DKIM będzie zawierać nazwę hosta i domenę zdefiniowaną podczas publikowania wpisów CNAME. Komunikat będzie wyglądać mniej więcej tak:

      From: Example User <example@contoso.com>
  DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
      s=selector1; d=contoso.com; t=1429912795;
      h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
      bh=<body hash>;
      b=<signed field>;

  • Poszukaj nagłówka Authentication-Results. Podczas gdy każda usługa odbierania używa nieco innego formatu do sygnatury poczty przychodzącej, wynik powinien zawierać coś takiego jak DKIM=pass lub DKIM=OK.

Ważna

Podpis DKIM jest pomijany w dowolnych z następujących warunków:

  • Adresy e-mail nadawcy i adresata znajdują się w tej samej domenie.
  • Adresy e-mail nadawcy i adresata znajdują się w różnych domenach kontrolowanych przez tę samą organizację.

W obu przypadkach nagłówek będzie wyglądać podobnie do następującego:

  Authentication-Results: dkim=none (message not signed) header.d=none;
    dmarc=none action=none header.from=<sender_domain>;

Aby skonfigurować program DKIM dla więcej niż jednej domeny niestandardowej

Jeśli w przyszłości zdecydujesz się dodać kolejną domenę niestandardową i chcesz włączyć usługę DKIM dla nowej domeny, musisz wykonać kroki opisane w tym artykule dla każdej domeny. W szczególności wykonaj wszystkie kroki opisane w temacie Co należy zrobić, aby ręcznie skonfigurować infrastrukturę DKIM.

Wyłączanie zasad podpisywania DKIM dla domeny niestandardowej

Wyłączenie zasad podpisywania nie powoduje całkowitego wyłączenia modułu DKIM. Po upływie określonego czasu platforma Microsoft 365 automatycznie zastosuje zasady domyślne dla twojej domeny, jeśli zasady domyślne są nadal włączone. Jeśli chcesz całkowicie wyłączyć moduł DKIM, musisz wyłączyć moduł DKIM w domenach niestandardowych i domyślnych. Aby uzyskać więcej informacji, zobacz Zachowanie domyślne dla infrastruktury DKIM i platformy Microsoft 365.

Aby wyłączyć zasady podpisywania DKIM przy użyciu Windows PowerShell

  1. Połącz się z usługą Exchange Online w programie PowerShell.

  2. Uruchom jedno z następujących poleceń dla każdej domeny, dla której chcesz wyłączyć podpisywanie DKIM.

    $p = Get-DkimSigningConfig -Identity <Domain>
$p[0] | Set-DkimSigningConfig -Enabled $false

    Przykład:

    $p = Get-DkimSigningConfig -Identity contoso.com
$p[0] | Set-DkimSigningConfig -Enabled $false

    Lub

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false

    Gdzie liczba jest indeksem zasad. Przykład:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false

Zachowanie domyślne dla infrastruktury DKIM i platformy Microsoft 365

Jeśli nie włączysz modułu DKIM, platforma Microsoft 365 automatycznie utworze 2048-bitowy klucz publiczny DKIM dla twojego adresu routingu usługi Microsoft Online Email (MOERA)/domeny początkowej i skojarzonego klucza prywatnego, który przechowujemy wewnętrznie w naszym centrum danych. Domyślnie platforma Microsoft 365 używa domyślnej konfiguracji podpisywania dla domen, które nie mają zasad. Oznacza to, że jeśli nie skonfigurujesz samego modułu DKIM, platforma Microsoft 365 użyje domyślnych zasad i kluczy tworzonych w celu włączenia modułu DKIM dla twojej domeny.

Ponadto po wyłączeniu logowania DKIM w domenie niestandardowej po jej włączeniu platforma Microsoft 365 automatycznie zastosuje zasady domeny MOERA/początkowej dla domeny niestandardowej.

W poniższym przykładzie załóżmy, że usługa DKIM dla fabrikam.com została włączona przez platformę Microsoft 365, a nie przez administratora domeny. Oznacza to, że wymagane rekordy CNAM Nie istnieją w systemie DNS. Podpisy DKIM dla poczty e-mail z tej domeny będą wyglądać mniej więcej tak:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

W tym przykładzie nazwa hosta i domena zawierają wartości, do których CNAME wskazuje, czy podpisywanie DKIM dla fabrikam.com zostało włączone przez administratora domeny. Ostatecznie każda wiadomość wysłana z platformy Microsoft 365 będzie podpisana przez moduł DKIM. Jeśli włączysz usługę DKIM samodzielnie, domena będzie taka sama jak domena w adresie Od: w tym przypadku fabrikam.com. Jeśli tego nie zrobisz, nie będzie on wyrównany i zamiast tego użyje początkowej domeny organizacji. Aby uzyskać informacje na temat określania domeny początkowej, zobacz Często zadawane pytania dotyczące domen.

Skonfiguruj usługę DKIM tak, aby usługa innej firmy mogła wysyłać lub podszywać się pod adres e-mail w imieniu domeny niestandardowej

Niektórzy dostawcy usług poczty e-mail zbiorczej lub dostawcy oprogramowania jako usługi umożliwiają skonfigurowanie kluczy DKIM dla poczty e-mail pochodzącej z ich usługi. Wymaga to koordynacji między użytkownikiem a inną firmą w celu skonfigurowania niezbędnych rekordów DNS. Niektóre serwery innych firm mogą mieć własne rekordy CNAME z różnymi selektorami. Żadna z dwóch organizacji nie robi tego dokładnie w ten sam sposób. Zamiast tego proces zależy całkowicie od organizacji.

Przykładowy komunikat przedstawiający prawidłowo skonfigurowaną infrastrukturę DKIM dla contoso.com i bulkemailprovider.com może wyglądać następująco:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

W tym przykładzie, aby osiągnąć ten wynik:

  1. Dostawca Email zbiorczej dał firmie Contoso publiczny klucz DKIM.

  2. Firma Contoso opublikowała klucz DKIM w swoim rekordzie DNS.

  3. Podczas wysyłania wiadomości e-mail dostawca Email zbiorczej podpisuje klucz przy użyciu odpowiedniego klucza prywatnego. W ten sposób dostawca Email zbiorczej dołączył podpis DKIM do nagłówka komunikatu.

  4. Odbieranie systemów poczty e-mail wykonuje sprawdzanie DKIM przez uwierzytelnienie wartości DKIM-Signature d=<domain> względem domeny na adresie Od: (5322.From) komunikatu. W tym przykładzie wartości są zgodne:

    sender@contoso.com

    d=contoso.com

Identyfikowanie domen, które nie wysyłają wiadomości e-mail

Organizacje powinny jawnie określić, czy domena nie wysyła wiadomości e-mail, określając v=DKIM1; p= w rekordzie DKIM dla tych domen. Zaleca to odbieranie serwerów poczty e-mail, że nie ma prawidłowych kluczy publicznych dla domeny, a wszelkie wiadomości e-mail podające się za pochodzące z tej domeny powinny zostać odrzucone. Należy to zrobić dla każdej domeny i poddomeny przy użyciu wieloznacznego modułu DKIM.

Na przykład rekord DKIM będzie wyglądać następująco:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Następne kroki: Po skonfigurowaniu usługi DKIM dla platformy Microsoft 365

Mimo że rozwiązanie DKIM ma na celu zapobieganie fałszowaniu, rozwiązanie DKIM działa lepiej z platformami SPF i DMARC.

Po skonfigurowaniu infrastruktury DKIM, jeśli jeszcze nie skonfigurowano SPF, należy to zrobić. Aby uzyskać krótkie wprowadzenie do SPF i szybko skonfigurować go, zobacz Konfigurowanie SPF na platformie Microsoft 365, aby zapobiec fałszowaniu. Aby uzyskać bardziej szczegółowe informacje na temat sposobu, w jaki platforma Microsoft 365 używa SPF, lub rozwiązywania problemów lub wdrożeń niestandardowych, takich jak wdrożenia hybrydowe, zacznij od tego, jak platforma Microsoft 365 używa struktury zasad nadawcy (SPF), aby zapobiec fałszowaniu.

Następnie zobacz Używanie usługi DMARC do weryfikowania poczty e-mail. Nagłówki wiadomości antyspamowych zawierają pola składni i nagłówków używane przez usługę Microsoft 365 do sprawdzania DKIM.

Ten test sprawdzi poprawność konfiguracji podpisywania DKIM i opublikowanie odpowiednich wpisów DNS.

Uwaga

Ta funkcja wymaga konta administratora usługi Microsoft 365. Ta funkcja nie jest dostępna w usługach Microsoft 365 dla instytucji, Microsoft 365 obsługiwany przez 21Vianet lub Microsoft 365 Germany.

Uruchamianie testów: DKIM

Więcej informacji

Rotacja kluczy za pośrednictwem programu PowerShell: Rotate-DkimSigningConfig

Sprawdzanie poprawności poczty e-mail przy użyciu usługi DMARC

Konfigurowanie zaufanych uszczelniaczy ARC