Office 365 DKIM это протокол проверки подлинности электронной почты, который помогает защититься от спуфинга, фишинга и BEC-атак. Microsoft рекомендует использовать DKIM-запись для цифровой подписи исходящих сообщений электронной почты, чтобы они не были подделаны или не попали в руки злоумышленников в процессе передачи. Включение DKIM в O365 - важный шаг для обеспечения безопасности электронной почты.
Включение подписи Office 365 DKIM на портале Microsoft 365 Defender Portal с помощью пользовательского домена
Заметка: Если вы включите подписание DKIM через портал Microsoft 365 Defender для исходящих сообщений с использованием пользовательского домена, он автоматически переключает настройку DKIM с предыдущего домена *.onmicrosoft.com. Вот как можно настроить пользовательский домен.
Ниже описаны шаги по настройке Office 365 DKIM для вашего пользовательского домена:
Убедитесь, что вы можете указать ваше пользовательское доменное имя в DKIM на вкладке Настройки аутентификации электронной почты на странице параметров проверки подлинности электронной почты на портале Defender. Вот как она должна выглядеть:
Войдите на сайт в свою учетную запись Defender.
На портале перейдите в раздел Электронная почта и совместная работавыберите Политики и правила
На Политики и правила выберите Политики угроз и выберите Параметры аутентификации электронной почты
На этой странице нажмите на DKIM и выберите свой домен, для которого вы хотите включить DKIM-подпись.
Появится диалоговое окно, содержащее кнопку переключения с именем Подписывать сообщения для этого домена подписями DKIM которая по умолчанию отключена. Попробуйте включить ее, нажав на кнопку.
На этом этапе появится окно ошибки, информирующее вас о том, что для вашего домена отсутствуют записи CNAME, препятствующие подписанию DKIM. Далее в описании ошибки будет приведен синтаксис 2 записей CNAME, которые необходимо опубликовать в DNS. Каждая из этих записей будет иметь 2 основных поля: Имя хоста и значение записи. Microsoft приводит следующий пример в своем руководстве:
CNAME Запись 1
Имя хоста: selector1._domainkey
Значение: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
CNAME Запись 2
Имя хоста: selector2._domainkey
Значение: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Не закрывая последнюю страницу портала Defender, в новом окне войдите в консоль управления DNS. Создайте 2 новые записи CNAME и вставьте значение этих записей в DNS.
Вы можете изучить пошаговые инструкции по публикации DKIM-записей для различных DNS-провайдеров в нашей база знаний.
Заметка: После создания записей CNAME может потребоваться от нескольких минут до нескольких часов, чтобы DNS распространил изменения. После обработки изменений Microsoft 365 может потребоваться некоторое время для их обнаружения. Поэтому дайте себе время, прежде чем переходить к последним шагам.
Зайдите на портал Defender, где у вас была открыта последняя страница, и попробуйте переключить опцию Подписывать сообщения для этого домена с помощью DKIM-подписей чтобы включить его
Когда появится диалоговое окно безопасности, нажмите OK
Если вы успешно включили DKIM-подпись для исходящих сообщений для вашего пользовательского домена, окончательные настройки должны выглядеть примерно так:
Шаги по настройке подписи DKIM с использованием домена *.onmicrosoft.com
Хотя исходный *.onmicrosoft.com автоматически настраивается на подпись ваших сообщений с помощью DKIM, когда вы отправляете их с помощью Microsoft 365, вы можете настроить конфигурацию. Вот как это сделать:
Вместо пользовательского домена убедитесь, что ваш домен *.onmicrosoft.com отображается на вкладке DKIM на странице настроек аутентификации электронной почты.
Войдите на сайт в свою учетную запись Defender.
На портале перейдите в раздел Электронная почта и совместная работавыберите Политики и правила
На Политики и правила выберите Политики угроз и выберите Параметры аутентификации электронной почты
На этой странице нажмите на DKIM и выберите свой домен *.onmicrosoft.com, для которого вы хотите настроить DKIM-подпись.
В окне сведений о домене выберите синюю кнопку Создать ключи DKIM
Следуйте инструкциям на странице, чтобы создать новый набор ключей DKIM, но обратите внимание, что публиковать ключи не нужно, так как этот шаг автоматически выполняется Microsoft.
Закройте страницу и теперь на странице сведений о домене переключите флажок, чтобы включить опцию Подписывать сообщения для этого домена с помощью DKIM-подписей кнопку.
Нажмите OK, и все готово!
Альтернативный метод: Включение подписи DKIM с помощью Exchange Online Powershell
Чтобы с помощью Powershell включить подпись DKIM для исходящих сообщений (как для пользовательского домена, так и для домена *.onmicrosoft.com), выполните следующие действия:
Проверьте текущую конфигурацию DKIM, выполнив следующую команду:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
При выполнении этой команды, если DKIM отсутствует, результаты проверки покажут статус "false" в поле "Enabled" и сообщат, что CNAME отсутствует.
Для пользовательского домена, когда вы выполняете команду и Microsoft 365 обнаруживает отсутствие конфигураций DKIM, отображается окно с ошибкой. В этом окне будут содержаться 2 записи CNAME для DKIM. Вам нужно скопировать значение и имя хоста этих записей и создать новые записи CNAME у регистратора домена, используя эти значения. После создания опубликуйте записи в DNS.
Или,
Если вы хотите включить DKIM-подпись для исходящих сообщений для вашего домена *.onmicrosoft.com, выполните следующую команду, заменив поле "Домен" на имя вашего домена *.onmicrosoft.com:
Set-DkimConfig -Identity \<Domain\> -Enabled $true
Сообщение об ошибке для этого домена не отображается.
Наконец, выполните первую команду для проверки конфигурации DKIM, чтобы убедиться, что она настроена правильно. Теперь статус "Enabled" должен отображать "True", а поле "Status" должно иметь значение "Valid".
Если вы хотите повернуть ключи DKIM с помощью Exchange Online Powershell, обратитесь к нашему подробному руководству здесь.
Как отключить DKIM для Office 365?
Вы можете отключить DKIM для Office 365 одним щелчком мыши на портале Defender.
Просто перейдите в раздел Электронная почта и совместная работа > Политики и правила > Политики в отношении угроз > DKIM
На DKIM Переключите кнопку "Включить", чтобы отключить протокол.
Примечание: Проверка DKIM может помочь вам лучше подтвердить подлинность сообщений в особых случаях, например при пересылке электронной почты, когда SPF может не сработать. Более того, DKIM является обязательным для массовых отправителей Google и Yahoo и рекомендуется для всех отправителей. Включение DKIM для ваших доменов считается хорошей практикой работы с электронной почтой и настоятельно рекомендуется как Microsoft, так и нами.
Другие связанные статьи:
Настройка SPF в Microsoft Office 365
Настройка Microsoft Office 365 DMARC
Обзор содержания, проверка фактов и источников
Вся информация и изображения, представленные в этой статье, были взяты из руководства Microsoft Руководство по настройке DKIM. Содержание статьи было проверено экспертами по кибербезопасности на предмет точности. Мы также стараемся периодически обновлять статью, когда поставщики услуг вносят новые изменения.
Надеюсь, эта статья была вам полезна! Вы новичок в аутентификации электронной почты, DKIM и DMARC? Возьмите бесплатную пробная версия DMARC чтобы оценить свои преимущества уже сегодня.