Настройка DKIM для подписывания почты из облачного домена

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

DomainKeys Identified Mail (DKIM) — это метод проверки подлинности электронной почты , который помогает проверить почту, отправленную из организации Microsoft 365, чтобы предотвратить поддельные отправители, которые используются при компрометации деловой электронной почты (BEC), программах-шантажистах и других фишинговых атаках.

Основная цель DKIM — убедиться, что сообщение не было изменено при передаче. Это означает следующее:

1. Один или несколько закрытых ключей создаются для домена и используются исходной системой электронной почты для цифровой подписи важных частей исходящих сообщений. К этим частям сообщения относятся:
   • From, To, Subject, MIME-Version, Content-Type, Date и другие поля заголовка сообщения (в зависимости от исходной системы электронной почты).
   • Текст сообщения.
2. Цифровая подпись хранится в поле заголовка DKIM-Signature в заголовке сообщения и остается действительной до тех пор, пока промежуточные почтовые системы не изменяют подписанные части сообщения. Домен подписывания определяется значением d= в поле заголовка DKIM-Signature .
3. Соответствующие открытые ключи хранятся в записях DNS для домена подписывания (записи CNAME в Microsoft 365; другие почтовые системы могут использовать записи TXT).
4. Целевые почтовые системы используют значение d= в поле заголовка DKIM-Signature для следующих способов:
   • Определите домен подписывания.
   • Найдите открытый ключ в записи DNS DKIM для домена.
   • Используйте открытый ключ в записи DNS DKIM для домена, чтобы проверить подпись сообщения.

Важные факты о DKIM:

• Домен, используемый для подписывания сообщения DKIM, не требуется для соответствия домену в адресах MAIL FROM или From в сообщении. Дополнительные сведения об этих адресах см. в разделе Почему электронная почта Интернета нуждается в проверке подлинности.
• Сообщение может содержать несколько подписей DKIM в разных доменах. Фактически, многие размещенные почтовые службы подписывают сообщение с помощью домена службы, а затем снова подписывают сообщение с помощью домена клиента после того, как клиент настроит подпись DKIM для домена.

Прежде чем приступить к работе, ознакомьтесь со сведениями о DKIM в Microsoft 365 на основе домена электронной почты:

• Если вы используете только домен Майкрософт Online Email Routing Address (MOERA) для электронной почты (например, contoso.onmicrosoft.com), вам ничего не нужно делать. Исходящие сообщения от отправителей в домене contoso.onmicrosoft.com автоматически подписываются contoso.onmicrosoft.com доменом DKIM.

  Но вы также можете вручную настроить подписывание DKIM с помощью домена *.onmicrosoft.com. Инструкции см. в разделе Использование портала Defender для настройки подписывания исходящих сообщений DKIM с помощью раздела домен *.onmicrosoft.com далее в этой статье.

  Чтобы убедиться, что исходящие сообщения от отправителей в исходном домене *.onmicrosoft.com подписаны DKIM, см. раздел Проверка подписи исходящей почты из Microsoft 365 далее в этой статье.

  Дополнительные сведения о доменах *.onmicrosoft.com см. в разделе Почему у меня есть домен onmicrosoft.com?.

• Если вы используете один или несколько личных доменов для электронной почты (например, contoso.com). В настоящее время подписывание DKIM для исходящей почты из личных доменов не выполняется, поэтому для максимальной защиты электронной почты необходимо выполнить следующие действия.

  • Настройка подписывания DKIM с помощью личных доменов или поддоменов. Сообщение должно быть подписано доменом DKIM в адресе From. Мы также рекомендуем настроить DMARC, и DKIM проходит проверку DMARC только в том случае, если домен, который DKIM подписал сообщение, а домен в поле От адреса выравнивается.

  • Рекомендации по поддомену:

    • Для служб электронной почты, которые не контролируются напрямую (например, служб массовой электронной почты), рекомендуется использовать поддомен (например, marketing.contoso.com) вместо основного домена электронной почты (например, contoso.com). Вы не хотите, чтобы проблемы с почтой, отправленной из этих служб электронной почты, влияли на репутацию почты, отправленной пользователями в основном домене электронной почты. Дополнительные сведения о добавлении поддоменов см. в статье Добавление пользовательских поддоменов или нескольких доменов в Microsoft 365?

    • Каждый поддомен, используемый для отправки электронной почты из Microsoft 365, требует собственной конфигурации DKIM.

      Совет

      Email защита проверки подлинности для неопределенных поддоменов охватывается DMARC. Все поддомены (определенные или нет) наследуют параметры DMARC родительского домена (которые можно переопределить на поддомен). Дополнительные сведения см. в разделе Настройка DMARC для проверки домена из адреса для облачных отправителей.

  • Если у вас есть зарегистрированные, но неиспользуемые домены. Если у вас есть зарегистрированные домены, которые не используются для электронной почты или для чего-либо (также известного как припаркованные домены), не публикуйте записи DKIM для этих доменов. Отсутствие записи DKIM (следовательно, отсутствие открытого ключа в DNS для проверки подписи сообщения) предотвращает проверку DKIM поддельных доменов.

• Одного DKIM недостаточно. Чтобы обеспечить наилучший уровень защиты электронной почты для личных доменов, необходимо также настроить SPF и DMARC в рамках общей стратегии проверки подлинности электронной почты . Дополнительные сведения см. в разделе Дальнейшие действия в конце этой статьи.

В оставшейся части этой статьи описываются записи CNAME DKIM, которые необходимо создать для личных доменов в Microsoft 365, а также процедуры настройки для DKIM с использованием личных доменов.

Совет

Настройка подписывания DKIM с помощью личного домена представляет собой сочетание процедур в Microsoft 365 и процедур в регистраторе домена личного домена.

Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.

Если вы не знакомы с конфигурацией DNS, обратитесь к регистратору доменных имен и попросите о помощи.

Синтаксис для записей CNAME DKIM

DKIM подробно описан в RFC 6376.

В Microsoft 365 при включении подписывания DKIM с помощью личного домена или поддомена создаются две пары открытого и закрытого ключей. Закрытые ключи, используемые для подписи сообщения, недоступны. Записи CNAME указывают на соответствующие открытые ключи, которые используются для проверки подписи DKIM. Эти записи называются селекторами.

• Только один селектор активен и используется, если включено подписывание DKIM с помощью личного домена.
• Другой селектор неактивен. Он активируется и используется только после любой будущей смены ключа DKIM, а затем только после отключения исходного селектора.

Селектор, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), хранится в значении s= в поле заголовка DKIM-Signature (например, s=selector1-contoso-com).

Важно!

Используйте портал Defender или Exchange Online PowerShell, чтобы просмотреть необходимые значения CNAME для подписывания исходящих сообщений DKIM с помощью личного домена. Значения, представленные в этой статье, предназначены только для иллюстрации. Чтобы получить необходимые значения для личных доменов или поддоменов, используйте процедуры, описанные далее в этой статье.

Базовый синтаксис записей DKIM CNAME для личных доменов, которые отправляют почту из Microsoft 365:

Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

• Имя узла: значения одинаковы для всех организаций Microsoft 365: selector1._domainkey и selector2._domainkey.

• <CustomDomainWithDashes>: личный домен или поддомен с точками, замененными дефисами. Например, contoso.com становится contoso-com, или marketing.contoso.com становится marketing-contoso-com.

• <InitialDomainPrefix>: настраиваемая часть *.onmicrosoft.com, которая использовалась для регистрации в Microsoft 365. Например, если вы использовали contoso.onmicrosoft.com, значение равно contoso.

• <DynamicPartitionCharacter>: динамически создаваемый символ, используемый для обоих селекторов (например, r или n). Значение автоматически назначается корпорацией Майкрософт при добавлении нового личного домена и включении DKIM. Значение определяется внутренней логикой маршрутизации Майкрософт и не настраивается.

  • Это значение является частью обновленного формата записи DKIM для новых личных доменов в Microsoft 365, появилось в мае 2025 г. Существующие личные и начальные домены по-прежнему используют старый формат DKIM:

    Hostname: selector1._domainkey
    Points to address or value: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
    
    Hostname: selector2._domainkey
    Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
    

  • Старый, новый и старый форматы не могут сосуществовать для одного и того же селектора. Чтобы получить правильные значения CNAME DKIM для домена, включая назначенное <значение DynamicPartitionCharacter>, замените contoso.com значением домена, а затем выполните следующую команду в Exchange Online PowerShell:

    Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
    

• v1: текущая версия формата CNAME, используемая для обоих селекторов.

• dkim.mail.microsoft: родительская зона DNS, которая одинакова для обоих селекторов.

Например, у вашей организации есть следующие домены в Microsoft 365:

• Начальный домен: cohovineyardandwinery.onmicrosoft.com
• Личные домены: cohovineyard.com и cohowinery.com

Необходимо создать две записи CNAME в DNS в каждом пользовательском домене, в общей сложности для четырех записей CNAME:

• Записи CNAME в домене cohovineyard.com:

  Имя узла: selector1._domainkey
  Указывает на адрес или значение: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

  Имя узла: selector2._domainkey
  Указывает на адрес или значение: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

• Записи CNAME в домене cohowinery.com:

  Имя узла: selector1._domainkey
  Указывает на адрес или значение: selector1-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

  Имя узла: selector2._domainkey
  Указывает на адрес или значение: selector2-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

Настройка подписывания исходящих сообщений DKIM в Microsoft 365

Использование портала Defender для включения подписывания исходящих сообщений DKIM с помощью личного домена

Совет

Вы можете использовать личный домен или поддомен для выхода исходящей почты DKIM только после успешного добавления домена в Microsoft 365. Инструкции см. в разделе Добавление домена.

Основным фактором, определяющим, когда личный домен запускает исходящие сообщения DKIM, является обнаружение записи CNAME в DNS.

Для использования процедур, описанных в этом разделе, личный домен или поддомен должен существовать на вкладке DKIMстраницы параметров проверки подлинности Email по адресу https://security.microsoft.com/authentication?viewid=DKIM. Свойства домена на вкладке DKIM должны содержать следующие значения:

• Переключатель имеет значение Отключено.
• Значением Status является NoDKIMKeys.

Совет

Во всплывающем меню сведений о домене эти же значения указываются следующими параметрами:

• Значение Состояние — Нет ключей DKIM, сохраненных для этого домена.
• Создание ключей DKIM находится в нижней части всплывающего элемента.

Продолжайте, если домен соответствует этим требованиям.

1. На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

3. На вкладке DKIM в строке для записи личного домена или поддомена попробуйте сдвинуть значение Переключатель с отключено на Включено.

4. Откроется диалоговое окно Ошибки клиента . Ошибка содержит необходимые значения для использования в двух записях CNAME, создаваемых в регистраторе доменов для домена, а также много другого текста. Хотя вы можете выделить текст и нажать клавиши CTRL+C, чтобы сохранить информацию, на более позднем шаге эти же сведения будут доступны в гораздо лучшем формате.

   Нажмите кнопку ОК в диалоговом окне, чтобы продолжить.

5. На вкладке DKIM для параметра Состояние домена теперь задано значение CnameMissing , а переключатель по-прежнему отключен.

   Щелкните в любом месте строки, кроме поля проверка рядом со значением Имя или переключение, чтобы открыть всплывающее окно сведений о домене.

6. В открывавшемся всплывающем окне сведения о домене выполните следующие действия.

   • Обратите внимание на значение Последней проверенной даты .
   • Запишите необходимые значения записи CNAME в разделе Публикация CNAMEs и (или) выберите Копировать. Эти значения будут использоваться на следующем шаге.

   Оставьте всплывающее окно сведений о домене открытым.

   

7. На другой вкладке или окне браузера перейдите к регистратору домена, а затем создайте две записи CNAME, используя сведения из предыдущего шага.

   Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.

   Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).

8. Через некоторое время вернитесь к всплывающему элементу сведений о домене, который вы оставили открытым на шаге 6, а затем выберите переключатель Подписать сообщения для этого домена с помощью подписей DKIM .

   Через несколько секунд откроется диалоговое окно безопасности со следующим текстом:

   Синхронизация изменения состояния может занять несколько минут.

   После нажатия кнопки ОК, чтобы закрыть диалоговое окно, во всплывающем окне сведений о домене отображаются следующие параметры, если записи CNAME обнаружены у регистратора доменных имен:

   • Переключатель Подписать сообщения для этого домена с подписями DKIM имеет значение Включено.
   • Значение Status — Подписывание подписей DKIM для этого домена.
   • Доступна смена ключей DKIM .
   • Дата последней проверки: дата и время должны быть более поздними, чем исходное значение на шаге 4.

   

Использование портала Defender для настройки подписывания исходящих сообщений DKIM с помощью домена *.onmicrosoft.com

Как описано ранее в этой статье, исходящая почта от отправителей в начальном домене *.onmicrosoft.com автоматически подписывается DKIM начальным доменом *.onmicrosoft.com. Но вы можете использовать процедуры, описанные в этом разделе, чтобы повлиять на подписывание DKIM с помощью домена *.onmicrosoft.com:

• Создайте новые ключи. Новые ключи автоматически добавляются и используются в центрах обработки данных Microsoft 365.
• Чтобы свойства домена *.onmicrosoft.com отображались правильно во всплывающем элементе сведений о домене на вкладке DKIMстраницы параметров проверки подлинности Email в https://security.microsoft.com/authentication?viewid=DKIM PowerShell или в нем. Этот результат позволяет выполнять будущие операции с конфигурацией DKIM для домена (например, смена ключей вручную).

Чтобы использовать процедуры, описанные в этом разделе, на вкладке DKIM страницы https://security.microsoft.com/authentication?viewid=DKIMпараметров проверки подлинности Email должен отображаться элемент *.onmicrosoft.com . Свойства домена на вкладке DKIM должны содержать следующие значения:

• Переключатель имеет значение Отключено.
• Значением Status является NoDKIMKeys.

Продолжайте, если домен соответствует этим требованиям.

1. На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

3. На вкладке DKIM в строке для записи домена *.onmicrosoft.com переместите значение Отключено в положение Включено.

   Через некоторое время значение состояния домена домена домена *.onmicrosoft.com изменится на Допустимо, но значение Переключения по-прежнему отключено.

   Выберите Обновить , а для параметра Переключить значения обновления в значение Включено.

Настройка подписывания исходящих сообщений в DKIM с помощью Exchange Online PowerShell

Если вы предпочитаете использовать PowerShell для включения подписывания исходящих сообщений DKIM с помощью личного домена или для настройки подписывания DKIM для начального домена *.onmicrosoft.com, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

Совет

Перед настройкой подписывания DKIM с помощью личного домена необходимо добавить домен в Microsoft 365. Инструкции см. в разделе Добавление домена. Чтобы убедиться, что личный домен доступен для конфигурации DKIM, выполните следующую команду: Get-AcceptedDomain.

Как описано ранее в этой статье, ваш домен *.onmicrosoft.com по умолчанию уже подписывает исходящие сообщения электронной почты от отправителей в *.onmicrosoft.com. Как правило, если вы вручную не настроили подписывание DKIM для домена *.onmicrosoft.com на портале Defender или в PowerShell, *.onmicrosoft.com не отображается в выходных данных Get-DkimSigningConfig.

1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
   

2. Для домена, для которого требуется настроить подписывание DKIM, выходные данные команды на шаге 1 определяют дальнейшие действия:

   • Домен указан со следующими значениями:

     • Включено: false
     • Состояние: NoDKIMKeys или CnameMissing

     Перейдите к шагу 3, чтобы скопировать значения селектора.

   Или

   • Домен отсутствует в списке. Выполните следующие действия.

     1. Замените <Domain> значением домена и выполните следующую команду:

        New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
        

        • Параметр BodyCanonicalization указывает уровень чувствительности к изменениям в тексте сообщения:
          • Расслабленный: допускаются изменения в пробелах и изменения в пустых строках в конце текста сообщения. Это значение является значением по умолчанию.
          • Простой: допускаются только изменения в пустых строках в конце текста сообщения.
        • Параметр HeaderCanonicalization указывает уровень чувствительности к изменениям в заголовке сообщения:
          • Неуядаемый: допускаются распространенные изменения заголовка сообщения. Например, перезапись строки заголовка, изменения в ненужных пробелах или пустых строках, а также изменения в случае полей заголовка. Это значение является значением по умолчанию.
          • Простой: изменения полей заголовка не допускаются.
        • Параметр KeySize указывает битовый размер открытого ключа в записи DKIM:
          • 1024 (по умолчанию)
          • 2048

        Например, вы можете:

        New-DkimSigningConfig -DomainName contoso.com -Enabled $false
        

     2. Выполните команду из шага 1 еще раз, чтобы убедиться, что домен указан со следующими значениями свойств:

        • Включено: false
        • Состояние: CnameMissing

     3. Перейдите к шагу 3, чтобы скопировать значения селектора.

3. Скопируйте значения Selector1CNAME и Selector2CNAME для домена из выходных данных команды из шага 1.

   Записи CNAME, которые необходимо создать у регистратора доменов для домена, выглядят следующим образом:

   Имя узла: selector1._domainkey
   Указывает на адрес или значение: <Selector1CNAME value>

   Имя узла: selector2._domainkey
   Указывает на адрес или значение: <Selector2CNAME value>

   Например, вы можете:

   Имя узла: selector1._domainkey
   Указывает на адрес или значение: selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

   Имя узла: selector2._domainkey
   Указывает на адрес или значение: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

4. Выполните одно из следующих действий:

   • Личный домен. У регистратора домена создайте две записи CNAME, используя сведения из предыдущего шага.

     Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.

     Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).

   • *.onmicrosoft.com домене: перейдите к следующему шагу.

5. Через некоторое время вернитесь к Exchange Online PowerShell, замените <Домен> настроенным доменом и выполните следующую команду:

   Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
   

   • Параметр BodyCanonicalization указывает уровень чувствительности к изменениям в тексте сообщения:
     • Расслабленный: допускаются изменения в пробелах и изменения в пустых строках в конце текста сообщения. Это значение является значением по умолчанию.
     • Простой: допускаются только изменения в пустых строках в конце текста сообщения.
   • Параметр HeaderCanonicalization указывает уровень чувствительности к изменениям в заголовке сообщения:
     • Неуядаемый: допускаются распространенные изменения заголовка сообщения. Например, перезапись строки заголовка, изменения в ненужных пробелах или пустых строках, а также изменения в случае полей заголовка. Это значение является значением по умолчанию.
     • Простой: изменения полей заголовка не допускаются.

   Пример:

   Set-DkimSigningConfig -Identity contoso.com -Enabled $true
   

   или

   Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
   

   • Для личного домена, если Microsoft 365 может обнаружить записи CNAME у регистратора доменов, команда выполняется без ошибок, и домен теперь используется для DKIM подписывать исходящие сообщения из домена.

     Если записи CNAME не обнаружены, вы получите сообщение об ошибке, содержащее значения для использования в записях CNAME. Проверьте наличие опечаток в значениях в регистраторе доменов (легко использовать тире, точки и подчеркивания!), подождите некоторое время дольше, а затем выполните команду еще раз.

   • Для домена *.onmicrosoft.com, который ранее не был указан в списке, команда выполняется без ошибок.

6. Чтобы убедиться, что домен теперь настроен для сообщений подписи DKIM, выполните команду из шага 1.

   Домен должен иметь следующие значения свойств:

   • Включено: True
   • Состояние: Valid

Подробные сведения о синтаксисе и параметрах см. в следующих статьях:

• Get-DkimSigningConfig
• New-DkimSigningConfig
• Set-DkimSigningConfig

Смена ключей DKIM

По тем же причинам следует периодически менять пароли, следует периодически менять ключ DKIM, используемый для подписывания DKIM. Замена ключа DKIM для домена называется сменой ключа DKIM.

Соответствующие сведения о смене ключей DKIM для домена Microsoft 365 отображаются в выходных данных следующей команды в Exchange Online PowerShell:

Get-DkimSigningConfig -Identity <CustomDomain> | Format-List

• KeyCreationTime: дата и время создания пары открытых и закрытых ключей DKIM в формате UTC.
• RotateOnDate: дата и время предыдущего или следующего поворота ключей DKIM.
• SelectorBeforeRotateOnDate. Помните, что для подписывания DKIM с помощью личного домена в Microsoft 365 требуется две записи CNAME в домене. Это свойство показывает запись CNAME, которая используется DKIM перед временем даты и времени RotateOnDate (также известного как селектор). Значение равно selector1 или selector2 и отличается от значения SelectorAfterRotateOnDate .
• SelectorAfterRotateOnDate: показывает запись CNAME, которую DKIM использует после даты и времени RotateOnDate . Значение равно selector1 или selector2 и отличается от значения SelectorBeforeRotateOnDate .

При смене ключа DKIM в домене, как описано в этом разделе, изменение не происходит немедленно. Чтобы новый закрытый ключ начал подписывать сообщения (дата и время RotateOnDate и соответствующее значение SelectorAfterRotateOnDate ) занимает четыре дня (96 часов). До тех пор используется существующий закрытый ключ (соответствующее значение SelectorBeforeRotateOnDate ).

Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

Совет

• Основным фактором, определяющим, когда личный домен запускает исходящие сообщения DKIM, является обнаружение записи CNAME в DNS.
• Ключи DKIM можно сменить только в доменах с обоими следующими значениями свойств на вкладке DKIMстраницы параметров проверки подлинности Email:
  • Переключатель: включено
  • Состояние: Допустимо или CnameMissing
• В настоящее время для домена *.onmicrosoft.com не выполняется автоматическая смена ключей DKIM.

Использование портала Defender для смены ключей DKIM для личного домена

1. На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

3. На вкладке DKIM выберите домен для настройки, щелкнув в любом месте строки, кроме поля проверка рядом со значением Имя или переключателем.

   

4. Во всплывающем окне сведений о домене выберите Смена ключей DKIM в нижней части всплывающего элемента.

   

5. Параметры во всплывающем окне сведений изменяются на следующие значения:

   • Состояние: смена ключей для этого домена и подписывание подписей DKIM.
   • Публикация CNAMES. Значения адресов или значений указываются пустыми для обоих селекторов.
   • Смена ключей DKIM неактивна.

   

6. Через четыре дня (96 часов) новый ключ DKIM подписывает исходящие сообщения для личного домена. До этого момента используется текущий ключ DKIM.

   Новое сообщение о подписях ключа DKIM при изменении значения состояния на Подписывание подписей DKIM для этого домена.

Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

Использование Exchange Online PowerShell для смены ключей DKIM для домена и изменения глубины битов

Если вы предпочитаете использовать PowerShell для смены ключей DKIM для домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
   

2. Для домена, для которого требуется сменить ключи DKIM, используйте следующий синтаксис:

   Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
   

   Если вы не хотите изменять битовую глубину новых ключей DKIM, не используйте параметр KeySize .

   В этом примере происходит смена ключей DKIM для contoso.com домена и изменение 2048-разрядного ключа.

   Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
   

   В этом примере ключи DKIM для contoso.com домена сменяются без изменения глубины ключа.

   Rotate-DkimSigningConfig -Identity contoso.com
   

3. Снова выполните команду из шага 1, чтобы подтвердить следующие значения свойств:

   • KeyCreationTime
   • RotateOnDate
   • SelectorBeforeRotateOnDate
   • SelectorAfterRotateOnDate:

   Целевые почтовые системы используют открытый ключ в записи CNAME, определяемой свойством SelectorBeforeRotateOnDate Для проверки подписи DKIM в сообщениях (который определяет закрытый ключ, используемый для подписи сообщения DKIM).

   После даты и времени RotateOnDate DKIM использует новый закрытый ключ для подписи сообщений, а целевые почтовые системы используют соответствующий открытый ключ в записи CNAME, определяемой свойством SelectorAfterRotateOnDate для проверки подписи DKIM в сообщениях.

   Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

   Важно!

   Если изменить битовую глубину ключей DKIM с 1024 на 2048 с помощью параметра KeySize , обновление применяется только к следующему активному селектору во время первого поворота ключа. При повторном смене клавиш ранее неактивный селектор становится активным, а разрядная глубина также обновляется до 2048.

   При смене ключей DKIM в домене изменение не происходит немедленно. Он занимает четыре дня (96 часов). Пока выполняется смена ключей, вы не можете выполнить другую смену ключей.

Подробные сведения о синтаксисе и параметрах см. в следующих статьях:

• Get-DkimSigningConfig
• Rotate-DkimSigningConfig

Отключение подписывания исходящих сообщений DKIM с помощью личного домена

Использование портала Defender для отключения подписывания исходящих сообщений DKIM с помощью личного домена

1. На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

3. На вкладке DKIM выполните одно из следующих действий.

   • В записи для домена переместите значение Переключатель с Включено на Отключено.
   • Выберите домен для настройки, щелкнув в любом месте строки, кроме поля проверка рядом со значением Имя или переключателем. В открывшемся всплывающем окне сведений о домене переместите переключатель Подписать сообщения для этого домена с подписями DKIM в положение Включено на Отключено.

Отключение подписывания исходящих сообщений DKIM с помощью Exchange Online PowerShell с помощью личного домена

Если вы предпочитаете использовать PowerShell, чтобы отключить подписывание исходящих сообщений DKIM с помощью личного домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

   Get-DkimSigningConfig | Format-List Name,Enabled,Status
   

   Любой личный домен, для которого можно отключить подписывание DKIM, имеет следующие значения свойств:

   • Включено: True
   • Состояние: Valid

2. Для домена, для которого требуется отключить подписывание DKIM, используйте следующий синтаксис:

   Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
   

   В этом примере подписывание DKIM отключается с помощью contoso.com личного домена.

   Set-DkimSigningConfig -Identity contoso.com -Enabled $false
   

Проверка подписывания DKIM исходящей почты из Microsoft 365

Совет

Прежде чем использовать методы в этом разделе для проверки подписывания DKIM исходящей почты, подождите несколько минут после внесения изменений в конфигурацию DKIM, чтобы разрешить распространение изменений.

Используйте любой из следующих методов для проверки подписывания DKIM исходящего сообщения электронной почты из Microsoft 365:

• Отправка тестовых сообщений и просмотр связанных полей заголовка из заголовка сообщения в целевой системе электронной почты:

  1. Отправьте сообщение из учетной записи в домене с поддержкой Microsoft 365 DKIM получателю в другой почтовой системе (например, outlook.com или gmail.com).

     Совет

     Не отправляйте почту в AOL для тестирования DKIM. AOL может пропустить проверка DKIM, если проверка SPF проходит.

  2. В целевом почтовом ящике просмотрите заголовок сообщения. Например, вы можете:

     • Просмотр заголовков сообщений в Интернете в Outlook.
     • Используйте анализатор заголовков сообщений по адресу https://mha.azurewebsites.net.

  3. Найдите поле заголовка DKIM-Signature в заголовке сообщения. Поле заголовка выглядит следующим образом:

     DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
      s=selector1;
      h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
      bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
     

     • d=: домен, который использовался для подписывания сообщения DKIM.
     • s=: селектор (открытый ключ в записи DNS в домене), который использовался для расшифровки и проверки подписи DKIM сообщения.

  4. Найдите поле Заголовок Authentication-Results в заголовке сообщения. Хотя целевые почтовые системы могут использовать несколько другие форматы для метки входящей почты, поле заголовка должно содержать DKIM=pass или DKIM=OK. Например, вы можете:

     Authentication-Results: mx.google.com;
       dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
       arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
       spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
     

     Совет

     Подпись DKIM опущена при любом из следующих условий:

     • Адреса электронной почты отправителя и получателя находятся в одном домене.
     • Адреса электронной почты отправителя и получателя находятся в разных доменах, контролируемых одной организацией.

     В обоих случаях поле заголовка DKIM-Signature не существует в заголовке сообщения, а поле заголовок Authentication-Results выглядит следующим образом:

     authentication-results: dkim=none (message not signed)
      header.d=none;dmarc=none action=none header.from=contoso.com;
     

• Используйте тест в справке Microsoft 365. Для этой функции требуется учетная запись глобального администратора^* и она недоступна в Microsoft 365 Government Community Cloud (GCC), GCC High, DoD или Office 365, управляемых 21Vianet.

  Важно!

  ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  Выполнить тесты: DKIM

  

DKIM подписывание почты из личного домена в других службах электронной почты

Некоторые поставщики услуг электронной почты или поставщики программного обеспечения как услуги позволяют включить подписывание DKIM для почты, поступающей из службы. Но методы полностью зависят от службы электронной почты.

Совет

Как упоминалось ранее в этой статье, мы рекомендуем использовать поддомены для почтовых систем или служб, которые вы не контролируете напрямую.

Например, ваш домен электронной почты в Microsoft 365 является contoso.com, и вы используете службу массовой рассылки Adatum для маркетинговой электронной почты. Если Adatum поддерживает подписывание сообщений DKIM от отправителей в вашем домене в их службе, сообщения могут содержать следующие элементы:

Return-Path: <communication@adatum.com>
 From: <sender@marketing.contoso.com>
 DKIM-Signature: s=s1024; d=marketing.contoso.com
 Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com

В этом примере необходимо выполнить следующие действия.

1. Adatum предоставляет компании Contoso открытый ключ для подписывания DKIM исходящей почты Contoso из своей службы.

2. Contoso публикует открытый ключ DKIM в DNS у регистратора доменов для поддомена marketing.contoso.com (запись TXT или запись CNAME).

3. Когда Adatum отправляет почту от отправителей в домене marketing.contoso.com, сообщения подписываются DKIM с помощью закрытого ключа, соответствующего открытому ключу, который был дан компании Contoso на первом шаге.

4. Если целевая система электронной почты проверяет DKIM на входящих сообщениях, сообщения передаются в DKIM, так как они подписаны DKIM.

5. Если система электронной почты назначения проверяет DMARC на входящих сообщениях, домен в подписи DKIM (значение d= в поле заголовка DKIM-Signature ) соответствует домену в адресе From, который отображается в почтовых клиентах, поэтому сообщения также могут передавать DMARC:

   Из: sender@marketing.contoso.com
   d=: marketing.contoso.com

Дальнейшие действия

Как описано в разделе Как SPF, DKIM и DMARC работают вместе для проверки подлинности отправителей сообщений электронной почты, одного DKIM недостаточно, чтобы предотвратить подделывание домена Microsoft 365. Кроме того, необходимо настроить SPF и DMARC для максимально возможной защиты. Инструкции см. в следующих статьях:

• Настройка SPF для определения допустимых источников электронной почты для пользовательских облачных доменов
• Настройка DMARC для проверки домена от адреса для облачных отправителей

Для почты , поступающей в Microsoft 365, также может потребоваться настроить надежные запечатывщики ARC, если вы используете службы, которые изменяют сообщения при передаче перед доставкой в организацию. Дополнительные сведения см. в разделе Настройка доверенных запечатывщиков ARC.

Совет

Известно, что Exchange 2016 и Exchange 2019 изменяют сообщения, проходящие через них, что может повлиять на DKIM.