Microsoft 365 的外部域名系统记录
想要查看 Microsoft 365 组织的 DNS 记录的自定义列表? 可以在 Microsoft 365 中找到为域创建Microsoft 365 条 DNS 记录所需的信息 。
需要分步帮助才能在域的 DNS 主机(如 GoDaddy 或 eNom)中添加这些记录?查找指向许多常用 DNS 主机的分步说明的链接。
坚持使用参考列表进行自己的自定义部署? 以下列表应用作自定义 Microsoft 365 部署的参考。 你需要选择哪些记录适用于你的组织,并填写相应的值。
返回 Microsoft365 的网络规划和性能优化。
通常,SPF 和 MX 记录是最难弄清楚的。本文末尾已更新 SPF 记录指南。 需要记住的一点是, 只能有一条域的 SPF 记录。 可以有多个 MX 记录;但是,这可能会导致邮件传递出现问题。 使用单个 MX 记录将电子邮件定向到一个邮件系统可消除许多潜在问题。
以下部分按 Microsoft 365 中的服务进行组织。 若要查看域的 Microsoft 365 DNS 记录的自定义列表,请登录到 Microsoft 365 并 收集创建Microsoft 365 DNS 记录所需的信息。
Microsoft 365 (核心服务) 所需的外部 DNS 记录
需要 TXT 记录来证明你拥有域,并且是所有客户所必需的。
只有使用 由世纪互联运营的 Microsoft 365 的客户才需要 CNAME 记录。 它确保 Microsoft 365 可以指示工作站使用相应的标识平台进行身份验证。
DNS 记录 | 用途 | 要使用的值 | 适用对象 |
---|---|---|---|
TXT (域验证) |
由 Microsoft 365 用来验证是否拥有域。 它不会影响任何其他内容。 |
主机:@(或者,对于某些 DNS 托管提供程序,为你的域名) TXT 值:Microsoft 365 提供的文本字符串 Microsoft 365 域设置向导 提供用于创建此记录的值。 |
所有客户 |
CNAME (套件) |
由 Microsoft 365 用于将身份验证定向到正确的标识平台。
详细信息 请注意,此 CNAME 仅适用于由世纪互联运营的 Microsoft 365。 如果存在并且你的 Microsoft 365 不是世纪互联运营的,则自定义域上的用户会收到“自定义域 不在我们的系统中”错误,并且无法激活其Microsoft 365 许可证。 详细信息 |
别名:msoid 目标: clientconfig.partner.microsoftonline-p.net.cn |
仅世纪互联客户 |
Microsoft 365 (Exchange Online) 中电子邮件所需的外部 DNS 记录
Microsoft 365 中的Email需要多个不同的记录。 所有客户都应使用的三个主要记录是自动发现、MX 和 SPF 记录。
自动发现记录可允许客户端计算机自动查找 Exchange 并正确配置客户端。
MX 记录 告知其他邮件系统向你的域发送电子邮件的位置。 注意: 将电子邮件更改为 Microsoft 365 时,通过更新域的 MX 记录,发送到该域的所有电子邮件都会开始Microsoft 365。 是否只想将几个电子邮件地址切换到 Microsoft 365? 可以在 自定义域上使用几个电子邮件地址试用 Microsoft 365。
SPF 的 TXT 记录由收件人的电子邮件系统用于验证发送电子邮件的服务器是批准的服务器。 这将有助于防止电子邮件欺诈和钓鱼等问题。 请参阅本文中SPF 所需的外部 DNS 记录,帮助了解记录中应包含的内容。
Email使用 Exchange 联合身份验证的客户需要表底部列出的额外 CNAME 和 TXT 记录。
DNS 记录 | 用途 | 要使用的值 |
---|---|---|
CNAME (Exchange Online) |
帮助 Outlook 客户端使用自动发现服务轻松连接到Exchange Online服务。 自动发现会自动查找正确的Exchange Server主机,并为用户配置 Outlook。 |
别名:Autodiscover 目标:autodiscover.outlook.com |
MX (Exchange Online) |
将域的传入邮件发送到 Microsoft 365 中的 Exchange Online 服务。 注意:电子邮件流向 Exchange Online 后,应该删除指向你的旧版系统的 MX 记录。 |
域:例如,contoso.com 目标电子邮件服务器:<MX token>.mail.protection.outlook.com 生存时间 (TTL) 值: 3600 首选项/优先级:低于其他任何 MX 记录(这会确保将邮件传递到 Exchange Online)- 例如,1 或“低” 通过以下步骤找到 <MX 令牌>: 登录到 Microsoft 365,转到 Microsoft 365 管理 > 域。 在你的域的“操作”列中,选择修复问题。 在“MX 记录”部分中,选择“修复什么?” 按照此页面上的说明来更新你的 MX 记录。 什么是 MX 优先级? |
SPF (TXT) (Exchange Online) |
帮助防止其他人使用你的域发送垃圾邮件或其他恶意电子邮件。 发件人策略框架 (SPF) 记录的工作原理是标识有权从域发送电子邮件的服务器。 | SPF 所需的外部 DNS 记录 |
TXT (Exchange 联合身份验证) |
用于混合部署的 Exchange 联合身份验证。 |
TXT 记录 1:例如,contoso.com 和相关自定义生成的域证明哈希文本(例如,Y96nu89138789315669824) TXT 记录 2:例如,exchangedelegation.contoso.com 和相关的自定义生成的域证明哈希文本(例如,Y3259071352452626169) |
CNAME (Exchange 联合身份验证) |
帮助 Outlook 客户端在公司使用 Exchange 联合身份验证时使用自动发现服务轻松连接到 Exchange Online 服务。 自动发现会自动查找正确的Exchange Server主机,并为用户配置 Outlook。 |
别名:例如,Autodiscover.service.contoso.com 目标:autodiscover.outlook.com |
Teams 所需的外部 DNS 记录
使用 Microsoft 365 个 URL 和 IP 地址范围 时,需要执行一些特定步骤,以确保网络配置正确。
这些 DNS 记录仅适用于仅 Teams 模式下的租户,对于混合租户,请参阅 DNS 对成为混合的本地组织的 DNS 影响。
DNS 记录 | 用途 | 要使用的值 |
---|---|---|
SRV (联合) |
允许 Microsoft 365 域通过启用 SIP 联合与外部客户端共享即时消息 (IM) 功能。 |
域:<域> 服务:sipfederationtls 协议:TCP 优先级: 100 权重: 1 端口: 5061 目标: sipfed.online.lync.com 注意:如果防火墙或代理服务器阻止在外部 DNS 上进行 SRV 查找,应将此记录添加到内部 DNS 记录。 |
Microsoft 365 单 Sign-On 所需的外部 DNS 记录
DNS 记录 | 用途 | 要使用的值 |
---|---|---|
主机 (A) | 用于单一登录 (SSO) 。 如果你希望) 连接到Active Directory 联合身份验证服务 (AD FS) 联合服务器代理或负载均衡的虚拟 IP (VIP) ,它将为本地用户 (和本地用户提供终结点。 | 目标:例如,sts.contoso.com |
SPF 所需的外部 DNS 记录
重要
SPF 旨在帮助防骗,但有些骗术是 SPF 所无法防范的。 为了防范这些问题,设置 SPF 后,还应为 Microsoft 365 配置 DKIM 和 DMARC。 若要开始配置,请参阅使用 DKIM 验证从 Microsoft 365 中的域发送的出站电子邮件。 然后,请参阅使用 DMARC 验证 Microsoft 365 中的电子邮件。
SPF 记录是有助于防止其他人使用你的域发送垃圾邮件或其他恶意电子邮件的 TXT 记录。 发件人策略框架 (SPF) 记录的工作原理是标识有权从域发送电子邮件的服务器。
只能有一个 SPF 记录 (即为域定义 SPF) 的 TXT 记录。 该记录可以包含几个不同的内容,但结果的 DNS 查找总数不能超过 10 (这有助于防止拒绝服务攻击) 。 请参阅下表和其他示例,以帮助你为环境创建或更新正确的 SPF 记录值。
SPF 记录的结构
所有 SPF 记录都包含三部分:声明它是 SPF 记录、应发送电子邮件的域和 IP 地址,以及强制规则。 你需要在有效的 SPF 记录中全部三个。 下面是仅使用Exchange Online电子邮件时Microsoft 365 的常见 SPF 记录示例:
TXT Name @
Values: v=spf1 include:spf.protection.outlook.com -all
接收来自域的电子邮件的电子邮件系统将查看 SPF 记录。 如果发送邮件的电子邮件服务器是 Microsoft 365 服务器,则会接受该邮件。 例如,如果发送邮件的服务器是旧的邮件系统或 Internet 上的恶意系统,SPF 检查可能会失败,并且不会递送该邮件。 类似的检查有助于防止欺诈和钓鱼邮件。
选择所需的 SPF 记录结构
例如,对于不仅对 Microsoft 365 (使用 Exchange Online 电子邮件的情况,当您使用源自 SharePoint Online 以及) 的电子邮件时,请使用下表来确定记录值中要包含的内容。
注意
如果你有一个复杂的方案,例如,包括边缘电子邮件服务器,用于管理跨防火墙的电子邮件流量,你将有一个更详细的 SPF 记录进行设置。 有关详细信息,请参阅 在 Microsoft 365 中设置 SPF 记录以帮助防止欺骗。
数字 | 如果您正在使用... | 用途 | 添加以下包含项 |
---|---|---|---|
1 | 所有电子邮件系统(必需) | 以此值开头的所有 SPF 记录 | v=spf1 |
2 | Exchange Online(常见) | 仅使用 Exchange Online | include:spf.protection.outlook.com |
3 | 第三方电子邮件系统(不太常见) | 包括:<电子邮件系统,例如,mail.contoso.com> | |
4 | 本地邮件系统(不太常见) | 在使用 Exchange Online Protection 或 Exchange Online 以及其他邮件系统的情况下使用 | ip4:<0.0.0.0> ip6:< : : > include:<mail.contoso.com> 方括号中的值 (<>) 应为域发送电子邮件的其他邮件系统。 |
5 | 所有电子邮件系统(必需) | -all |
示例:添加到现有 SPF 记录
如果已有 SPF 记录,则需要添加或更新 Microsoft 365 的值。 例如,假设 contoso.com 的现有 SPF 记录如下:
TXT Name @
Values: v=spf1 ip4:60.200.100.30 include:smtp.adatum.com -all
现在,你正在更新 Microsoft 365 的 SPF 记录。 编辑当前记录,以便拥有包含所需值的 SPF 记录。 对于 Microsoft 365,为“spf.protection.outlook.com”。
正确:
TXT Name @
Values: v=spf1 ip4:60.200.100.30 include:spf.protection.outlook.com include:smtp.adatum.com -all
不正确:
Record 1:
TXT Name @
Values: v=spf1 ip4:60.200.100.30 include:smtp.adatum.com -all
Record 2:
Values: v=spf1 include:spf.protection.outlook.com -all
常见 SPF 值的更多示例
如果你使用的是完整的 Microsoft 365 套件,并且使用 MailChimp 代表你发送营销电子邮件,则位于 contoso.com 的 SPF 记录可能如下所示,该记录使用上表中的第 1、3 和 5 行。 请记住,第 1 行和第 5 行是必需项。
TXT Name @
Values: v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
或者,如果 Exchange 混合配置从 Microsoft 365 和本地邮件系统发送电子邮件,则 contoso.com 的 SPF 记录可能如下所示:
TXT Name @
Values: v=spf1 include:spf.protection.outlook.com include:mail.contoso.com -all
下面是一些常见示例,在将域添加到 Microsoft 365 for email 时,可帮助你调整现有 SPF 记录。 如果方案复杂,例如,包括用于跨防火墙管理电子邮件流量的边缘电子邮件服务器,则可以设置更详细的 SPF 记录。 了解如何: 在 Microsoft 365 中设置 SPF 记录以帮助防止欺骗。
以下是可以用于返回的简短链接:https://aka.ms/o365edns