对域进行身份验证(旧版)

  • 项目

重要提示

本节介绍出站营销的旧域身份验证;对于基于 Customer Insights - Journeys 的更新版本,请参见“新版本”。

域身份验证至关重要,原因有两个:

  • 对于市场营销电子邮件,域身份验证可以让收件人电子邮件服务器确认您的每封邮件中显示的发件人地址是否属于您的组织。 身份验证还确认您的组织是否已批准 Dynamics 365 Customer Insights - Journeys 代表它发送邮件。 未通过此项测试的邮件很可能会作为垃圾邮件而被过滤掉,从而严重影响您的交付能力。
  • 对于外部托管的窗体,域身份验证将确定您是否负责该域,从而与您的域建立加强的信任关系。 利用加强的信任关系,可以为嵌入的市场营销窗体预填写已知联系人的数据。

电子邮件域身份验证的主要用途是检测伪造的邮件和域,以此来阻止垃圾邮件、网络钓鱼和其他欺诈活动。 一种称为域密钥识别邮件 (DKIM) 的方法可帮助进行这些身份验证。 域身份验证通过 Internet DNS 系统实施,并基于公钥/私钥加密和签名。

使用市场营销电子邮件进行错误检查或发布时,验证系统要求该邮件使用的发件人地址指定的是为您的组织注册并进行了确认的已身份验证域。 如果您尝试发送的邮件的发件人地址来自未注册的域,则会收到警告。 如果您尝试发送的邮件所使用的发件人地址来自注册为属于另一个组织的域,则也会收到错误消息。 您可以忽略警告(但是可能会降低交付能力),但是不能在有错误的情况下发布。

若要详细了解市场营销和交付能力,请参阅电子邮件市场营销的最佳实践。 若要详细了解嵌入式窗体和预填写,请参阅与外部网站中的登陆页集成

备注

安装 Customer Insights - Journeys 功能后,将包含一个向导来验证 Customer Insights - Journeys 和出站市场营销的域。 要了解如何使用 Customer Insights - Journeys 域验证向导,请参阅 Customer Insights - Journeys 域验证一文。 如果未安装实时市场营销,您必须按照下方本文描述的设置来验证域以用于出境市场营销功能。

默认已身份验证域

默认情况下,所有新的 Customer Insights - Journeys 安装都附带以 -dyn365mktg.com 结尾的预先验证的发送域。 预先验证的域意味着您可以立即开始发送经过验证的电子邮件。 此域仅用于测试或演示目的,因为它没有电子邮件信誉并且未连接到您的组织。 按照建议,您应立即对自己的实际发送域进行身份验证,这样,收件人就可以将您的已验证身份的邮件中显示的发件人地址识别为来自您的组织。 通过验证您自己的域,您可以管理您的发送信誉,并提高品牌认知度和改善可交付性结果。

当用户创建新电子邮件时,将把发件人地址自动设置为对该用户的 Customer Insights - Journeys 用户帐户注册的电子邮件地址。 但是,如果尚未使用 DKIM 对该电子邮件地址使用的域进行身份验证,将把初始发件人地址修改为使用已身份验证域(电子邮件地址使用 account-name*@*domain-name 格式)。 呈现的发件人地址仍将显示创建邮件的用户的帐户名称,但现在将显示已为您的 Marketing 实例注册的经过 DKIM 身份验证的域名(例如,MyName@contoso-dyn365mktg.com),这将带来交付能力方面的优势,但可能不是有效的回复地址。 用户可通过在创建邮件后编辑发件人地址来否决此行为,但是这样做会降低邮件交付能力。

要对哪些域进行身份验证

请按照需要设置任意数量的已身份验证域,以便涵盖您的市场营销电子邮件中使用的所有电子邮件地址,以及要用于支持已启用了预填写功能的嵌入窗体的所有域和子域。

  • 对电子邮件的域进行身份验证时,请使用电子邮件回复地址中显示的完整域名。 电子邮件地址采用的格式为 <邮件帐户>@<域>,所以如果您的电子邮件地址为 lamar.ferrari@contoso.com,则需要进行身份验证的域为 contoso.com(而不是 www.contoso.com 或其他任何子域)。
  • 如果要对域进行身份验证以支持已预填写的窗体,则必须为每个子域分别进行身份验证。 所以,如果您在 contoso.comwww.contoso.comevents.contoso.com 中有窗体,则必须为它们中的每一个设置一个单独的域身份验证记录,并且每次都指定完整子域。

重要提示

若要使用窗体预填写,则必须通过 HTTPS(而非 HTTP)服务托管窗体的页。

备注

所有新实例和试用版将自动使用 DKIM 对其实例域进行身份验证,并将该域设置为您的实例的默认发送域。 因此,您通常会发现已经为所有新实例设置了至少一个已身份验证域。

对域进行身份验证

若要设置 Customer Insights - Journeys 和 DNS 以针对指定域为市场营销电子邮件和嵌入窗体进行身份验证:

  1. 转到设置>电子邮件市场营销>域身份验证。 将打开已身份验证的现有域的列表。

  2. 在命令栏上选择新建以添加新域。

  3. 将打开一个新的已身份验证域记录。 进行以下设置:

    • 域名:输入要对其进行身份验证的域的名称。 必须是您的组织拥有,并且您可以通过您的 DNS 提供商访问的域。
    • 启用电子邮件发送:如果要使用 DKIM 对此域的电子邮件进行身份验证,请选中此复选框。
    • 启用窗体托管:如果要对此域中嵌入的市场营销窗体进行身份验证以便对已知联系人进行预填写,请选中此复选框。 此复选框还会在此域中启用页面个性化

  4. 从命令栏选择保存。 Customer Insights - Journeys 将保存新记录并为您的指定域生成一组身份验证密钥。 将重载此页面以显示新密钥。 将提供以下信息:

    • 所有权身份验证密钥:证明您的组织拥有该域。
    • DKIM 的电子邮件身份验证密钥:证明已授权 Customer Insights - Journeys 发送其发件人地址中显示您的组织的域名的邮件。

    生成的密钥。

  5. 联系您的 DNS 提供商,并告诉他们您希望为域身份验证和 DKIM 创建一些 DNS 记录。 他们通常会为您提供一个在线窗体,供您通过提供 Customer Insights - Journeys 生成的每个身份验证密钥的主机的值来创建 DNS 记录,他们也可能会请您通过电子邮件将这些值发给他们。 此过程取决于 DNS 提供商,所以请务必遵守供应商的指示。

    备注

    “所有权身份验证密钥”应该添加到域的根中。 您使用的主机可能会由于您的 DNS 提供商而有所不同。 有些 DNS 提供商需要您使用完整域名作为主机,而其他一些 DNS 提供商(如 AzureDNS 和 GoDaddy)则需要使用 @ 符号。

  6. 与提供商一起设置了 DNS 记录之后,请在 Customer Insights - Journeys 中回到已身份验证域记录,然后在命令栏上选择确认 DNS 注册。 Customer Insights - Journeys 将检查以确保在 DNS 系统中正确设置并激活这些值。 如果收到成功邮件,说明一切正常,您已完成了操作。 DNS 注册可能需要最多 24 个小时才会生效,所以如果未立即确认注册,请重试。

"Envelope-from" 域

如果希望进一步执行域身份验证过程,应该查看 Envelope-from 域功能。 每封电子邮件都有两发件人地址。 第一个地址(在 RFC5322 中已介绍)是主要发件人地址,或者只是“好友发件人”地址。 第二个“发件人”地址 (RFC5321) 是一个所谓的 Envelope-from 地址,或“返回路径”地址。

若要确保具有良好的传送能力,用于发送的域应一致。 域一致意味着 SPF 和 DPF 域至少部分与发件人地址匹配。 为保持 SPF 一致发件人Envelope-from 域必须匹配。 为保持 DKIM 一致,DKIM(DKIM 域)的 d 参数必须与发件人域一致。

要为域设置 Envelope-from 功能,请转到设置>电子邮件市场营销>域身份验证。 选择 + 新建,然后在新建域身份验证窗体上,启用启用自定义 Envelope-from 域选项。 Envelope-from 功能要求您为域设置一个附加的 DNS 记录。

启用自定义 Envelope-from 域屏幕截图。

启用功能后,将为您在域身份验证过程中输入的域自动生成 "Envelope-from" 域名。 如果要自定义 Envelope-from 域名,必须满足以下要求:

  1. "Envelope-from" 字段不应为空。
  2. "Envelope-from" 域名应当是输入的域的子域。
  3. "Envelope-from" 域应以 "bouncing" 开头。
  4. 不允许在子域名称中使用点。
  5. 只允许使用纯字母和数字(无符号)。

如果不满足其中一项要求,将会显示一条错误消息。

Envelope-from 域的示例

您的域是:test.dynmkt.com

  • 默认的 Envelope-from 域:bouncing.test.dynmkt.com

    默认的 Envelope-from 域屏幕截图。

  • 自定义 Envelope-from 域实例:bouncingcustom.test.dynmkt.com

    自定义 Envelope-from 域屏幕截图。

Envelope-from 域不能为以下之一:

  • bouncing.custom.test.dynmkt.com

    添加的点错误屏幕截图。

  • test.dynmkt.com

    以 bouncing 开头的错误屏幕截图。

  • bouncing##.test.dynmkt.com

    添加的符号错误屏幕截图。

  • bouncing.test.notdynmkt.com

    子域错误屏幕截图。

创建 CNAME 记录

输入 Envelope-from 域后,选择保存。 然后,系统将为您生成适当的 DNS 记录值。 您可以在 Envelope-from 密钥部分中找到记录值。

接下来,您需要为要进行验证的 Envelope-from 域创建另一条 CNAME 记录。 请与您的 DNS 提供商联系,并告知他们您将创建另一个 CNAME DNS 记录,该记录的值来自 Envelope-from 密钥部分。

创建 DNS 记录后,请至少等待 30 分钟,然后继续最后一步。 DNS 服务器需要一些时间来填充新创建的 DNS 记录。

DNS 记录更新完成后,选择刷新,然后选择确认。 如果一切设置正确,则位于右上角的域状态应更改为已确认,如下图所示。

已确认 DNS 记录更新屏幕截图。

在确认域的 Envelope-from 状态后,每次在 Customer Insights - Journeys 中发送电子邮件期间使用指定的“发件人”域时,Envelope-from 发送域都将采用 Envelope-from 设置。

备注

如果您使用其他未设置 Envelope-from 域的域,则 Customer Insights - Journeys 将使用系统提供的默认 Envelope-from 域。

域 contoso.com 的 DNS 记录示例

如果您要在根域 contoso.com 中添加 DNS 记录,则此示例有效。

TXT 记录
TXT name: @
TXT value: d365mktkey=abc123abc123abc123abc123

CNAME 记录 1
Host name or Alias: eurkey1._domainkey
Points to address: eurkey1contosocom.marketing.dynamics.com

CNAME 记录 2
Host name or Alias: eurkey2._domainkey
Points to address: eurkey2contosocom.marketing.dynamics.com

CNAME 记录 3 (Envelope-from)
Host name or Alias: bouncing
Points to address: nam.pb-dynmktg.com

子域 promo.contoso.com 的 DNS 记录示例

TXT 记录
TXT name: promo
TXT value: d365mktkey=abc234abc234abc234abc234

CNAME 记录 1
Host name or Alias: eurkey1._domainkey.promo
Points to address: eurkey1promocontosocom.marketing.dynamics.com

CNAME 记录 2
Host name or Alias: eurkey2._domainkey.promo
Points to address: eurkey2promocontosocom.marketing.dynamics.com

CNAME 记录 3 (Envelope-from)
Host name or Alias: bouncingpromo
Points to address: nam.pb-dynmktg.com

DNS 确认状态

设置已身份验证域时,可跟踪该域的所有状态(Envelope-from 状态所有权状态电子邮件状态)的进度,每个状态都将报告为以下状态之一:

状态 说明
等待确认 系统已生成了您请求的密钥,并且正在等待在您的 DNS 提供商处注册这些密钥,然后回到此处确认这些密钥(方法是在命令栏上选择确认 DNS 注册)。
已确认 身份验证密钥已通过 DNS 注册并在 Customer Insights - Journeys 中确认。 本域已准备就绪,可以使用。
已取消 已取消注册。
未请求 您未请求此类型的身份验证。
正在确认 DNS 注册 Customer Insights - Journeys 正在确认 DNS 中的注册。
未在 DNS 中找到密钥 Customer Insights - Journeys 已在 DNS 系统中成功检查了密钥,但是该系统中不存在这些密钥。 可能是因为 DNS 仍在实施您的密钥注册(请等待最多 24 个小时)。 还可能意味着则您尚未注册密钥或您在输入密钥时出错。 您可以通过在命令栏上选择确认 DNS 注册来重新检查。 如果 24 小时后问题仍然存在,请联系 Microsoft 支持和/或 DNS 提供商寻求帮助。
内部错误(未找到记录) 确认 DNS 注册时发生了内部错误。 请联系 Microsoft 支持寻求帮助。
内部错误(查询失败) 确认 DNS 注册时发生了内部错误。 请联系 Microsoft 支持寻求帮助。
内部错误 确认 DNS 注册时发生了内部错误。 请联系 Microsoft 支持寻求帮助。

不允许从未经身份验证的域发送电子邮件

若要利用 DKIM,您发送的每条邮件的发件人地址必须显示您已经针对 DKIM 进行了身份验证的域。 Microsoft 致力于帮助客户实现电子邮件最大交付能力,所以增加了一些功能来帮助确保您不会忽略或无意间绕过 DKIM 设置:

  • 如果您尝试通过其发件人地址未与您的任何 DKIM 域关联的电子邮件来发布,对电子邮件进行错误检查时,将显示警告。
  • 建议您设置已通过了 DKIM 的身份验证的默认发送域。 如果设置此项,则每当您创建新的电子邮件或更改发件人字段中显示的用户时,都将把您的所有电子邮件的发件人地址自动调整为显示您的所选域(如果最初使用的是未身份验证域)。 详细信息:默认市场营销设置设置发件人和收件人选项
  • 所有新实例和试用版都将自动使用 DKIM 对实例域进行身份验证,并将该域设置为您的实例的默认发送域。