Настройка DKIM для подписывания почты из облачного домена

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

DomainKeys Identified Mail (DKIM) — это метод проверки подлинности электронной почты , который помогает проверить почту, отправленную из организации Microsoft 365, чтобы предотвратить поддельные отправители, которые используются при компрометации деловой электронной почты (BEC), программах-шантажистах и других фишинговых атаках.

Основная цель DKIM — убедиться, что сообщение не было изменено при передаче. Это означает следующее:

  1. Один или несколько закрытых ключей создаются для домена и используются исходной системой электронной почты для цифровой подписи важных частей исходящих сообщений. К этим частям сообщения относятся:
    • From, To, Subject, MIME-Version, Content-Type, Date и другие поля заголовка сообщения (в зависимости от исходной системы электронной почты).
    • Текст сообщения.
  2. Цифровая подпись хранится в поле заголовка DKIM-Signature в заголовке сообщения и остается действительной до тех пор, пока промежуточные почтовые системы не изменяют подписанные части сообщения. Домен подписывания определяется значением d= в поле заголовка DKIM-Signature .
  3. Соответствующие открытые ключи хранятся в записях DNS для домена подписывания (записи CNAME в Microsoft 365; другие почтовые системы могут использовать записи TXT).
  4. Целевые почтовые системы используют значение d= в поле заголовка DKIM-Signature для следующих способов:
    • Определите домен подписывания.
    • Найдите открытый ключ в записи DNS DKIM для домена.
    • Используйте открытый ключ в записи DNS DKIM для домена, чтобы проверить подпись сообщения.

Важные факты о DKIM:

  • Домен, используемый для DKIM-подписи сообщения, не обязан совпадать с доменом в адресе MAIL FROM или в адресе From сообщения. Дополнительные сведения об этих адресах см. в разделе Почему электронная почта Интернета нуждается в проверке подлинности.
  • Сообщение может содержать несколько подписей DKIM в разных доменах. Фактически, многие размещенные почтовые службы подписывают сообщение с помощью домена службы, а затем снова подписывают сообщение с помощью домена клиента после того, как клиент настроит подпись DKIM для домена.

Прежде чем приступить к работе, ознакомьтесь со сведениями о DKIM в Microsoft 365 на основе домена электронной почты:

  • Если вы используете только домен Microsoft Online Email Routing Address (MOERA) для электронной почты (например, contoso.onmicrosoft.com), вам ничего не нужно делать. Исходящие сообщения от отправителей в домене contoso.onmicrosoft.com автоматически подписываются contoso.onmicrosoft.com доменом DKIM.

    Однако вы также можете вручную настроить подписывание DKIM с помощью домена *.onmicrosoft.com. Инструкции см. в статье Использование портала Defender для настройки подписывания DKIM исходящих сообщений с помощью домена *.onmicrosoft.com.

    Чтобы убедиться, что исходящие сообщения от отправителей из исходного домена *.onmicrosoft.com подписаны с помощью DKIM, см. статью Проверка подписывания исходящей почты из Microsoft 365.

    Дополнительные сведения о доменах *.onmicrosoft.com см. в разделе Почему у меня есть домен onmicrosoft.com?.

  • Если вы используете один или несколько личных доменов для электронной почты (например, contoso.com). В настоящее время подписывание DKIM для исходящей почты из личных доменов не выполняется, поэтому для максимальной защиты электронной почты необходимо выполнить следующие действия.

    • Настройка подписывания DKIM с помощью личных доменов или поддоменов. Сообщение должно быть подписано доменом DKIM в адресе From. Мы также рекомендуем настроить DMARC; DKIM проходит проверку DMARC только в том случае, если домен, которым подписано сообщение DKIM, совпадает с доменом в адресе From.

    • Рекомендации по поддомену:

      • Для служб электронной почты, которые не контролируются напрямую (например, служб массовой электронной почты), рекомендуется использовать поддомен (например, marketing.contoso.com) вместо основного домена электронной почты (например, contoso.com). Вы не хотите, чтобы проблемы с почтой, отправленной из этих служб электронной почты, влияли на репутацию почты, отправленной пользователями в основном домене электронной почты. Дополнительные сведения о добавлении поддоменов см. в статье Добавление пользовательских поддоменов или нескольких доменов в Microsoft 365?

      • Каждый поддомен, используемый для отправки электронной почты из Microsoft 365, требует собственной конфигурации DKIM.

        Совет

        Защита аутентификации электронной почты для поддоменов undefined обеспечивается с помощью DMARC. Все поддомены (определенные или нет) наследуют параметры DMARC родительского домена (которые можно переопределить на поддомен). Дополнительные сведения см. в разделе Настройка DMARC для проверки домена адреса в поле "От" для облачных отправителей.

    • Если у вас есть зарегистрированные, но неиспользуемые домены. Если у вас есть зарегистрированные домены, которые не используются для электронной почты или для чего-либо (также известного как припаркованные домены), не публикуйте записи DKIM для этих доменов. Отсутствие записи DKIM (следовательно, отсутствие открытого ключа в DNS для проверки подписи сообщения) предотвращает проверку DKIM поддельных доменов.

  • Одного DKIM недостаточно. Чтобы обеспечить наилучший уровень защиты электронной почты для личных доменов, необходимо также настроить SPF и DMARC в рамках общей стратегии проверки подлинности электронной почты . Дополнительные сведения см. в разделе "Дальнейшие действия".

В оставшейся части этой статьи описываются записи CNAME DKIM, которые необходимо создать для личных доменов в Microsoft 365, а также процедуры настройки DKIM с использованием личных доменов.

Совет

Настройка подписывания DKIM с помощью личного домена представляет собой сочетание процедур в Microsoft 365 и процедур в регистраторе домена личного домена.

Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Подключение домена путем добавления записей DNS.

Если вы не знакомы с конфигурацией DNS, обратитесь к регистратору доменных имен и попросите о помощи.

Синтаксис для записей CNAME DKIM

DKIM подробно описан в RFC 6376.

В Microsoft 365 при включении подписывания DKIM с помощью личного домена или поддомена создаются две пары открытого и закрытого ключей. Закрытые ключи, используемые для подписи сообщения, недоступны. Записи CNAME указывают на соответствующие открытые ключи, которые используются для проверки подписи DKIM. Эти записи называются селекторами.

  • Только один селектор активен и используется, если включено подписывание DKIM с помощью личного домена.
  • Другой селектор неактивен. Он активируется и используется только после любой будущей смены ключа DKIM, а затем только после отключения исходного селектора.

Селектор, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), хранится в значении s= в поле заголовка DKIM-Signature (например, s=selector1-contoso-com).

Важно!

Используйте портал Defender или Exchange Online PowerShell, чтобы просмотреть необходимые значения CNAME для подписывания исходящих сообщений DKIM с помощью личного домена. Значения, представленные в этой статье, предназначены только для иллюстрации. Чтобы получить необходимые значения для своих пользовательских доменов или поддоменов, воспользуйтесь процедурами в портале Defender или Exchange Online PowerShell.

Базовый синтаксис записей DKIM CNAME для личных доменов, которые отправляют почту из Microsoft 365:

Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft
  • Имя узла: значения одинаковы для всех организаций Microsoft 365: selector1._domainkey и selector2._domainkey.

  • <CustomDomainWithDashes>: пользовательский домен или поддомен с точками, замененными дефисами. Например, contoso.com становится contoso-com, или marketing.contoso.com становится marketing-contoso-com.

  • <InitialDomainPrefix>: настраиваемая часть *.onmicrosoft.com, которая использовалась для регистрации в Microsoft 365. Например, если вы использовали contoso.onmicrosoft.com, значение равно contoso.

  • <DynamicPartitionCharacter>: динамически создаваемый символ, используемый для обоих селекторов (например, r или n). Значение автоматически назначается корпорацией Майкрософт при добавлении нового личного домена и включении DKIM. Значение определяется внутренней логикой маршрутизации Майкрософт и не настраивается.

    • Это значение является частью обновленного формата записи DKIM для новых личных доменов в Microsoft 365, появилось в мае 2025 г. Существующие личные и начальные домены по-прежнему используют старый формат DKIM:

      Hostname: selector1._domainkey
      Points to address or value: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
      
      Hostname: selector2._domainkey
      Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
      
    • Старый и новый форматы не могут сосуществовать для одного и того же селектора. Чтобы получить правильные значения CNAME DKIM для домена, включая назначенное <значение DynamicPartitionCharacter>, замените contoso.com значением домена, а затем выполните следующую команду в Exchange Online PowerShell:

      Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
      
  • v1: текущая версия формата CNAME, используемая для обоих селекторов.

  • dkim.mail.microsoft: родительская зона DNS, которая одинакова для обоих селекторов.

В следующем примере показаны значения DNS CNAME, которые Microsoft 365 ожидают для селекторов DKIM, если у организации несколько пользовательских доменов. Используйте этот пример, чтобы соотнести заполнители в приведённом выше синтаксисе со значениями вашего домена.

Например, у вашей организации есть следующие домены в Microsoft 365:

  • Начальный домен: cohovineyardandwinery.onmicrosoft.com
  • Личные домены: cohovineyard.com и cohowinery.com

Необходимо создать две записи CNAME в DNS в каждом пользовательском домене, в общей сложности для четырех записей CNAME:

  • Записи CNAME в домене cohovineyard.com:

    Имя узла: selector1._domainkey
    Указывает на адрес или значение: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

    Имя узла: selector2._domainkey
    Указывает на адрес или значение: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft

  • Записи CNAME в домене cohowinery.com:

    Имя узла: selector1._domainkey
    Указывает на адрес или значение: selector1-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

    Имя узла: selector2._domainkey
    Указывает на адрес или значение: selector2-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft

Настройка подписывания исходящих сообщений DKIM в Microsoft 365

Использование портала Defender для включения подписывания исходящих сообщений DKIM с помощью личного домена

Совет

Вы можете использовать пользовательский домен или поддомен для подписи исходящей почты с помощью DKIM только после того, как домен будет успешно добавлен в Microsoft 365. Инструкции см. в разделе Добавление домена.

Основным фактором, определяющим, когда пользовательский домен начинает подписывать исходящую почту с помощью DKIM, является обнаружение в DNS записи CNAME.

Для использования процедур, описанных в этом разделе, личный домен или поддомен должен существовать на вкладке DKIMстраницы параметров проверки подлинности Email по адресу https://security.microsoft.com/authentication?viewid=DKIM. Свойства домена на вкладке DKIM должны содержать следующие значения:

  • Переключатель имеет значение Отключено.
  • Значением Status является NoDKIMKeys.

Снимок экрана вкладки DKIM на странице проверки подлинности электронной почты на портале Defender, где выделены значение Status — NoDKIMKeys и значение параметра Toggle — Disable.

Совет

Во всплывающем меню сведений о домене эти же значения указываются следующими параметрами:

  • Значение СостояниеНет ключей DKIM, сохраненных для этого домена.
  • Создание ключей DKIM находится в нижней части всплывающего элемента.

Снимок экрана: всплывающий элемент сведений о домене личного домена, на котором отображается значение Состояние Нет ключей DKIM, сохраненных для этого домена, и кнопка Создать ключи DKIM.

Продолжайте, если домен соответствует этим требованиям.

  1. На портале Defender по адресу https://security.microsoft.com перейдите на страницу Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры проверки подлинности электронной почты. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

  3. На вкладке DKIM в строке для записи личного домена или поддомена попробуйте сдвинуть значение Переключатель с отключено на Включено.

  4. Откроется диалоговое окно Ошибки клиента . Ошибка содержит необходимые значения для использования в двух записях CNAME, создаваемых в регистраторе доменов для домена, а также много другого текста. Хотя вы можете выделить текст и нажать клавиши CTRL + C , чтобы сохранить информацию, на более позднем шаге те же сведения будут доступны в гораздо лучшем формате.

    Нажмите кнопку ОК в диалоговом окне, чтобы продолжить.

  5. На вкладке DKIM для параметра Состояние домена теперь задано значение CnameMissing , а переключатель по-прежнему отключен.

    Щелкните в любом месте строки, кроме флажка рядом со значением Name или значения Toggle, чтобы открыть всплывающую панель сведений о домене.

  6. В открывавшемся всплывающем окне сведения о домене выполните следующие действия.

    • Обратите внимание на значение Последней проверенной даты .
    • Запишите необходимые значения записи CNAME в разделе Публикация CNAMEs и (или) выберите Копировать. Эти значения будут использоваться на следующем шаге.

    Оставьте всплывающее окно сведений о домене открытым.

    Снимок экрана с выдвижной панелью сведений о домене для пользовательского домена с отключённым подписыванием DKIM, заполненным разделом «Публикация записей CNAME» и видимым, но недоступным пунктом «Ротация ключей DKIM».

  7. На другой вкладке или окне браузера перейдите к регистратору домена, а затем создайте две записи CNAME, используя сведения из предыдущего шага.

    Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Подключение домена путем добавления записей DNS.

    Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).

  8. Через некоторое время вернитесь к всплывающему элементу сведений о домене, который вы оставили открытым на шаге 6, а затем выберите переключатель Подписать сообщения для этого домена с помощью подписей DKIM .

    Через несколько секунд откроется диалоговое окно безопасности со следующим текстом:

    Синхронизация изменения состояния может занять несколько минут.

    После нажатия кнопки ОК, чтобы закрыть диалоговое окно, во всплывающем окне сведений о домене отображаются следующие параметры, если записи CNAME обнаружены у регистратора доменных имен:

    • Переключатель Подписывать сообщения для этого домена с помощью подписей DKIMвключён.
    • Значение StatusПодписывание подписей DKIM для этого домена.
    • Доступна смена ключей DKIM .
    • Дата последней проверки: дата и время должны быть более поздними, чем исходное значение на шаге 6.

    Снимок экрана: всплывающее окно сведений о домене для личного домена после включения DKIM для домена.

Использование портала Defender для настройки подписывания исходящих сообщений DKIM с помощью домена *.onmicrosoft.com

Microsoft 365 автоматически DKIM подписывает исходящие сообщения от отправителей в исходном домене *.onmicrosoft.com. Однако можно использовать процедуры, описанные в этом разделе, чтобы повлиять на подпись DKIM с помощью домена *.onmicrosoft.com:

  • Создайте новые ключи. Новые ключи автоматически добавляются и используются в центрах обработки данных Microsoft 365.
  • Свойства домена *.onmicrosoft.com должны корректно отображаться во всплывающей панели сведений о домене на вкладке DKIM страницы Параметры проверки подлинности электронной почты по адресу https://security.microsoft.com/authentication?viewid=DKIM или в PowerShell. Этот результат позволяет выполнять будущие операции с конфигурацией DKIM для домена (например, смена ключей вручную).

Чтобы использовать процедуры из этого раздела, на вкладке DKIM страницы Параметры проверки подлинности электронной почты по адресу https://security.microsoft.com/authentication?viewid=DKIM должен отображаться домен *.onmicrosoft.com. Свойства домена на вкладке DKIM должны содержать следующие значения:

  • Переключатель имеет значение Отключено.
  • Значением Status является NoDKIMKeys.

Продолжайте, если домен соответствует этим требованиям.

  1. На портале Defender по адресу https://security.microsoft.com перейдите на страницу Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры проверки подлинности электронной почты. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

  3. На вкладке DKIM, в строке записи домена *.onmicrosoft.com переведите переключатель из положения Отключено в положение Включено.

    Через некоторое время значение Состояние домена *.onmicrosoft.com изменится на Действительно, но значение Переключатель по-прежнему Отключено.

    Выберите Обновить, и значение Toggle обновится до Включено.

Настройка подписывания исходящих сообщений в DKIM с помощью Exchange Online PowerShell

Если вы предпочитаете использовать PowerShell для включения подписывания исходящих сообщений DKIM с помощью личного домена или настройки подписывания DKIM для начального домена *.onmicrosoft.com, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

Совет

Перед настройкой подписывания DKIM с помощью личного домена необходимо добавить домен в Microsoft 365. Инструкции см. в разделе Добавление домена. Чтобы убедиться, что личный домен доступен для конфигурации DKIM, выполните следующую команду: Get-AcceptedDomain.

Домен *.onmicrosoft.com уже подписывает исходящие сообщения от отправителей в *.onmicrosoft.com по умолчанию (см. раздел "Использование портала Defender для настройки подписывания исходящих сообщений DKIM с помощью домена *.onmicrosoft.com"). Как правило, если вы вручную не настроили подписывание DKIM для домена *.onmicrosoft.com на портале Defender или в PowerShell, *.onmicrosoft.com не отображается в выходных данных Get-DkimSigningConfig.

  1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
    
  2. Для домена, в котором требуется настроить подписывание DKIM, выходные данные команды на шаге 1 определяют дальнейшие действия:

    • Домен указан со следующими значениями:

      • Включено: false
      • Состояние: NoDKIMKeys или CnameMissing

      Перейдите к шагу 3, чтобы скопировать значения селектора.

    Или

    • Домен отсутствует в списке. Выполните следующие действия.

      1. Замените <Domain> значением домена и выполните следующую команду:

        New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
        
        • Параметр BodyCanonicalization указывает уровень чувствительности к изменениям в тексте сообщения:
          • Relaxed: допускаются изменения в пробелах и изменения в пустых строках в конце текста сообщения. Это значение является значением по умолчанию.
          • Simple: допускаются только изменения в пустых строках в конце текста сообщения.
        • Параметр HeaderCanonicalization указывает уровень чувствительности к изменениям в заголовке сообщения:
          • Relaxed: допускаются распространенные изменения заголовка сообщения. Например, перезапись строки заголовка, изменения в ненужных пробелах или пустых строках, а также изменения в случае полей заголовка. Это значение является значением по умолчанию.
          • Simple: изменения полей заголовка не допускаются.
        • Параметр KeySize указывает битовый размер открытого ключа в записи DKIM:
          • 1024 (по умолчанию)
          • 2048

        Например, вы можете:

        New-DkimSigningConfig -DomainName contoso.com -Enabled $false
        
      2. Выполните команду из шага 1 еще раз, чтобы убедиться, что домен указан со следующими значениями свойств:

        • Включено: false
        • Состояние: CnameMissing
      3. Перейдите к шагу 3, чтобы скопировать значения селектора.

  3. Скопируйте значения Selector1CNAME и Selector2CNAME для домена из выходных данных команды, выполненной на шаге 1.

    Записи CNAME, которые необходимо создать у регистратора доменов для домена, выглядят следующим образом:

    Имя узла: selector1._domainkey
    Указывает на адрес или значение: <Selector1CNAME value>

    Имя узла: selector2._domainkey
    Указывает на адрес или значение: <Selector2CNAME value>

    Например, вы можете:

    Имя узла: selector1._domainkey
    Указывает на адрес или значение: selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

    Имя узла: selector2._domainkey
    Указывает на адрес или значение: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

  4. Выполните одно из следующих действий:

    • Личный домен. У регистратора домена создайте две записи CNAME, используя сведения из предыдущего шага.

      Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Подключение домена путем добавления записей DNS.

      Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).

    • домен *.onmicrosoft.com: Перейдите к следующему шагу.

  5. Через некоторое время вернитесь к Exchange Online PowerShell, замените <Домен> настроенным доменом и выполните следующую команду:

    Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
    
    • Параметр BodyCanonicalization указывает уровень чувствительности к изменениям в тексте сообщения:
      • Relaxed: допускаются изменения в пробелах и изменения в пустых строках в конце текста сообщения. Это значение является значением по умолчанию.
      • Simple: допускаются только изменения в пустых строках в конце текста сообщения.
    • Параметр HeaderCanonicalization указывает уровень чувствительности к изменениям в заголовке сообщения:
      • Relaxed: допускаются распространенные изменения заголовка сообщения. Например, перезапись строки заголовка, изменения в ненужных пробелах или пустых строках, а также изменения в случае полей заголовка. Это значение является значением по умолчанию.
      • Simple: изменения полей заголовка не допускаются.

    Например, вы можете:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

    Или

    Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
    
    • Для пользовательского домена, если Microsoft 365 удается обнаружить записи CNAME у регистратора домена, команда выполняется без ошибок, и теперь домен используется для подписи DKIM исходящих сообщений, отправляемых с этого домена.

      Если записи CNAME не обнаружены, вы получите сообщение об ошибке, содержащее значения для использования в записях CNAME. Проверьте наличие опечаток в значениях в регистраторе доменов (легко использовать тире, точки и подчеркивания!), подождите некоторое время дольше, а затем выполните команду еще раз.

    • Для домена *.onmicrosoft.com, который ранее не был указан в списке, команда выполняется без ошибок.

  6. Чтобы убедиться, что домен теперь настроен для сообщений подписи DKIM, выполните команду из шага 1.

    Домен должен иметь следующие значения свойств:

    • Включено: True
    • Состояние: Valid

Подробные сведения о синтаксисе и параметрах см. в следующих статьях:

Ротация ключей DKIM

По тем же причинам следует периодически менять пароли, следует периодически менять ключ DKIM, используемый для подписывания DKIM. Замена ключа DKIM для домена называется сменой ключа DKIM.

Чтобы просмотреть все свойства конфигурации DKIM для определенного личного домена, включая сведения о смене ключей, выполните следующую команду в Exchange Online PowerShell:

Get-DkimSigningConfig -Identity <CustomDomain> | Format-List
  • KeyCreationTime: дата и время создания пары открытых и закрытых ключей DKIM в формате UTC.
  • RotateOnDate: дата и время смены предыдущего или следующего ключа DKIM.
  • SelectorBeforeRotateOnDate. Помните, что для подписывания DKIM с помощью личного домена в Microsoft 365 требуется две записи CNAME в домене. Это свойство показывает запись CNAME, которую DKIM использует перед RotateOnDate date-time (также называемым селектором). Значение равно selector1 или selector2 и отличается от SelectorAfterRotateOnDate значения .
  • SelectorAfterRotateOnDate: показывает запись CNAME, которую DKIM использует после RotateOnDate даты и времени. Значение равно selector1 или selector2 и отличается от SelectorBeforeRotateOnDate значения .

При смене ключа DKIM в домене, как описано в этом разделе, изменение не происходит немедленно. Чтобы новый закрытый ключ начал подписывать сообщения ( RotateOnDate дата и время и соответствующее SelectorAfterRotateOnDate значение), потребуется четыре дня (96 часов). До этого времени используется существующий закрытый ключ (соответствующее SelectorBeforeRotateOnDate значение).

Чтобы подтвердить, какой открытый ключ используется для проверки подписи DKIM (что позволяет определить, какой закрытый ключ был использован для подписи сообщения), проверьте значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

Совет

  • Основным фактором, определяющим, когда пользовательский домен начинает подписывать исходящую почту с помощью DKIM, является обнаружение в DNS записи CNAME.
  • Ключи DKIM можно сменить только в доменах с обоими следующими значениями свойств на вкладке DKIMстраницы параметров проверки подлинности Email:
    • Переключатель: включено
    • Состояние: Действителен или CnameMissing
  • В настоящее время для домена *.onmicrosoft.com не выполняется автоматическая смена ключей DKIM.

Использование портала Defender для смены ключей DKIM для личного домена

Чтобы повернуть ключи DKIM для личного домена, выполните следующие действия. Для домена параметр Toggle должен быть установлен в значение Включено, а параметр Status — в значение Valid или CnameMissing на вкладке DKIM страницы Параметры проверки подлинности электронной почты.

  1. На портале Defender по адресу https://security.microsoft.com перейдите на страницу Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры проверки подлинности электронной почты. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

  3. На вкладке DKIM выберите домен для настройки, щелкнув в любом месте строки, кроме флажка рядом со значением Name или значения Toggle.

    Снимок экрана: вкладка DKIM на странице проверки подлинности Email на портале Defender.

  4. Во всплывающем окне сведений о домене выберите Смена ключей DKIM в нижней части всплывающего элемента.

    Снимок экрана: всплывающее окно сведений о домене для личного домена, где в нижней части всплывающего меню доступна кнопка Повернуть ключи DKIM.

  5. Параметры во всплывающем окне сведений изменяются на следующие значения:

    • Состояние: смена ключей для этого домена и подписывание подписей DKIM.
    • Публикация CNAMES. Значения адресов или значений пусты для обоих селекторов.
    • Смена ключей DKIM неактивна.

    Снимок экрана со всплывающей панелью сведений о домене для пользовательского домена во время ротации ключей.

  6. Через четыре дня (96 часов) новый ключ DKIM подписывает исходящие сообщения для личного домена. До этого момента используется текущий ключ DKIM.

    Новый ключ DKIM подписывает сообщение, когда значение Статус изменяется на Подписание DKIM-подписей для этого домена.

Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который позволяет определить закрытый ключ, использованный для подписи сообщения), проверьте значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

Использование Exchange Online PowerShell для смены ключей DKIM для домена и изменения глубины битов

Если вы предпочитаете использовать PowerShell для смены ключей DKIM для домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

  1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
    
  2. Для домена, для которого требуется сменить ключи DKIM, используйте следующий синтаксис:

    Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
    

    Если вы не хотите изменять битовую глубину новых ключей DKIM, не используйте параметр KeySize .

    В этом примере происходит смена ключей DKIM для contoso.com домена и изменение 2048-разрядного ключа.

    Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
    

    В этом примере ключи DKIM для contoso.com домена сменяются без изменения глубины ключа.

    Rotate-DkimSigningConfig -Identity contoso.com
    
  3. Снова выполните команду из шага 1, чтобы подтвердить следующие значения свойств:

    • KeyCreationTime
    • RotateOnDate
    • SelectorBeforeRotateOnDate
    • SelectorAfterRotateOnDate

    Целевые почтовые системы используют открытый ключ в записи CNAME, определяемой свойством SelectorBeforeRotateOnDate , для проверки подписи DKIM в сообщениях (который определяет закрытый ключ, используемый для подписывания сообщения DKIM).

    RotateOnDate После даты и времени DKIM использует новый закрытый ключ для подписи сообщений, а целевые почтовые системы используют соответствующий открытый ключ в записи CNAME, определяемой свойствомSelectorAfterRotateOnDate, для проверки подписи DKIM в сообщениях.

    Чтобы подтвердить, какой открытый ключ используется для проверки подписи DKIM (что позволяет определить, какой закрытый ключ использовался для подписи сообщения), проверьте значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com).

    Важно!

    Если изменить битовую глубину ключей DKIM с 1024 на 2048 с помощью параметра KeySize , обновление применяется только к следующему активному селектору во время первого поворота ключа. При повторном смене клавиш ранее неактивный селектор становится активным, а разрядная глубина также обновляется до 2048.

    При смене ключей DKIM в домене изменение не происходит немедленно. Он занимает четыре дня (96 часов). Пока выполняется смена ключей, вы не можете выполнить другую смену ключей.

Подробные сведения о синтаксисе и параметрах см. в следующих статьях:

Отключение подписывания исходящих сообщений DKIM с помощью личного домена

Отключение подписи DKIM для личного домена останавливает Microsoft 365 от добавления подписи DKIM в исходящие сообщения из этого домена. Вы можете отключить подписывание DKIM в портале Defender или в Exchange Online PowerShell.

Использование портала Defender для отключения подписывания исходящих сообщений DKIM с помощью личного домена

Чтобы отключить подпись DKIM для личного домена на портале Defender, выполните следующие действия.

  1. На портале Defender по адресу https://security.microsoft.com перейдите на страницу Электронная почта и совместная работа>Политики и правила>Политики угроз>Параметры проверки подлинности электронной почты. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.

  2. На странице параметров проверки подлинности Email выберите вкладку DKIM.

  3. На вкладке DKIM выполните одно из следующих действий.

    • В записи для домена переместите значение Переключатель с Включено на Отключено.
    • Выберите домен для настройки, щелкнув в любом месте строки, кроме флажка рядом со значением Name или по значению Toggle. На открывшейся всплывающей панели сведений о домене переведите переключатель Подписывать сообщения для этого домена с помощью подписей DKIM из положения Включено в положение Отключено.

Используйте Exchange Online PowerShell, чтобы отключить подписание DKIM для исходящих сообщений с использованием пользовательского домена

Если вы предпочитаете использовать PowerShell для отключения подписи исходящих сообщений DKIM с помощью личного домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.

  1. Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status
    

    Любой личный домен, для которого можно отключить подписывание DKIM, имеет следующие значения свойств:

    • Включено: True
    • Состояние: Valid
  2. Для домена, для которого требуется отключить подписывание DKIM, используйте следующий синтаксис:

    Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
    

    В этом примере отключается подписание DKIM для личного домена contoso.com.

    Set-DkimSigningConfig -Identity contoso.com -Enabled $false
    

Проверка подписывания DKIM исходящей почты из Microsoft 365

Совет

Прежде чем использовать методы в этом разделе для проверки подписывания DKIM исходящей почты, подождите несколько минут после внесения изменений в конфигурацию DKIM, чтобы разрешить распространение изменений.

Используйте любой из следующих методов для проверки подписывания DKIM исходящего сообщения электронной почты из Microsoft 365:

  • Отправка тестовых сообщений и просмотр связанных полей заголовка из заголовка сообщения в целевой системе электронной почты:

    1. Отправьте сообщение из учетной записи в домене с поддержкой Microsoft 365 DKIM получателю в другой почтовой системе (например, outlook.com или gmail.com).

      Совет

      Не отправляйте почту в AOL для тестирования DKIM. AOL может пропустить проверку DKIM, если проверка SPF выполняется успешно.

    2. В целевом почтовом ящике просмотрите заголовок сообщения. Например, вы можете:

    3. Найдите поле заголовка DKIM-Signature в заголовке сообщения. Поле заголовка выглядит следующим образом:

      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
       s=selector1;
       h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
       bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
      
      • d=: домен, который использовался для подписывания сообщения DKIM.
      • s=: селектор (открытый ключ в записи DNS в домене), который использовался для расшифровки и проверки подписи DKIM сообщения.
    4. Найдите поле заголовка Authentication-Results в заголовке сообщения. Хотя целевые почтовые системы могут использовать несколько другие форматы для метки входящей почты, поле заголовка должно содержать DKIM=pass или DKIM=OK. Например, вы можете:

      Authentication-Results: mx.google.com;
        dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
        arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
        spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
      

      Совет

      Подпись DKIM опущена при любом из следующих условий:

      • Адреса электронной почты отправителя и получателя находятся в одном домене.
      • Адреса электронной почты отправителя и получателя находятся в разных доменах, контролируемых одной организацией.

      В обоих случаях поле заголовка DKIM-Signature не существует в заголовке сообщения, а поле заголовок Authentication-Results выглядит следующим образом:

      authentication-results: dkim=none (message not signed)
       header.d=none;dmarc=none action=none header.from=contoso.com;
      
  • Используйте тест в справке Microsoft 365. Для этой функции требуется учетная запись глобального администратора* и она недоступна в Microsoft 365 Government Community Cloud (GCC), GCC High, DoD или Office 365, управляемых 21Vianet.

    Важно!

    * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

    Снимок экрана теста диагностики DKIM в справке Microsoft 365.

DKIM подписывание почты из личного домена в других службах электронной почты

Некоторые поставщики услуг электронной почты или поставщики программного обеспечения как услуги позволяют включить подписывание DKIM для почты, поступающей из службы, но методы полностью зависят от службы электронной почты.

Совет

Мы рекомендуем использовать поддомены для почтовых систем или служб, которыми вы не управляете напрямую, поэтому проблемы с этими службами не влияют на репутацию основного домена.

Например, ваш домен электронной почты в Microsoft 365 является contoso.com, и вы используете службу массовой рассылки Adatum для маркетинговой электронной почты. Если Adatum поддерживает подписывание сообщений DKIM от отправителей в вашем домене в их службе, сообщения могут содержать следующие элементы:

Return-Path: <communication@adatum.com>
 From: <sender@marketing.contoso.com>
 DKIM-Signature: s=s1024; d=marketing.contoso.com
 Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com

В этом примере необходимо выполнить следующие действия.

  1. Adatum предоставляет компании Contoso открытый ключ для подписывания DKIM исходящей почты Contoso из своей службы.

  2. Contoso публикует открытый ключ DKIM в DNS у регистратора доменов для поддомена marketing.contoso.com (запись TXT или запись CNAME).

  3. Когда Adatum отправляет почту от отправителей в домене marketing.contoso.com, сообщения подписываются DKIM с помощью закрытого ключа, соответствующего открытому ключу, который был дан компании Contoso на первом шаге.

  4. Если почтовая система получателя проверяет DKIM для входящих сообщений, сообщения проходят проверку DKIM, поскольку они подписаны с помощью DKIM.

  5. Если система электронной почты назначения проверяет DMARC на входящих сообщениях, домен в подписи DKIM (значение d= в поле заголовка DKIM-Signature ) соответствует домену в адресе From, который отображается в почтовых клиентах, поэтому сообщения также могут передавать DMARC:

    От: sender@marketing.contoso.com
    d=: marketing.contoso.com

Устранение неполадок с конфигурацией DKIM DNS

К распространённым ошибкам, из-за которых DKIM не работает, относятся неправильный формат имени узла CNAME, отсутствие записи CNAME selector2, использование записи TXT вместо записи CNAME, слишком низкое значение TTL, несоответствие домена в целевом значении записи CNAME и проблемы с завершающей точкой. Ознакомьтесь с распространенными ошибками DNS DKIM.

Неправильный формат имени узла CNAME

  • Симптом. Переключатель DKIM не включается на портале Defender. Статус остается CnameMissing.

  • Что пошло не так: имя узла CNAME было введено с полным добавленным доменом (например, selector1._domainkey.contoso.com.contoso.com) или без _domainkey префикса.

  • Исправление. Имя узла (также называемое "Имя" или "Имя записи") должно содержать только часть поддомена. Большинство поставщиков DNS автоматически добавляют вашу доменную зону.

    Правильно: selector1._domainkey

    Неправильно (имя узла включает домен, что приводит к дублированию домена): selector1._domainkey.contoso.com (если ваша зона DNS уже — contoso.com)

Совет

Некоторые поставщики DNS (например, GoDaddy) автоматически добавляют доменную зону в указанное значение. Если ваша доменная зона — contoso.com, и вы вводите selector1._domainkey.contoso.com, фактическая запись будет иметь вид selector1._domainkey.contoso.com.contoso.com. Введите только selector1._domainkey в поле имя узла.

Отсутствует запись CNAME для selector2

  • Симптом: Подпись DKIM успешно включается, но впоследствии ротация ключей завершается ошибкой. Кроме того, на портале Defender отображается предупреждение о неполной конфигурации.

  • Что пошло не так: только selector1._domainkey был создан. Отсутствует запись CNAME selector2._domainkey.

  • Почему это важно: Для Microsoft 365 требуются обе записи CNAME селектора. selector2 используется во время смены ключей. Без него невозможно повернуть ключи DKIM.

  • Исправление. Создайте обе записи CNAME:

    selector1._domainkey     selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
    selector2._domainkey     selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
    

Важно!

Всегда создавайте обе записи CNAME, даже если в любой момент времени активен только один селектор. Неактивный селектор необходим для простого поворота клавиш.

TXT-запись вместо записи CNAME

  • Симптом. Состояние DKIM остается CnameMissing , даже если вы добавили запись DNS. DNS-запросы для selector1._domainkey.contoso.com возвращают TXT-запись.

  • Что пошло не так: запись TXT, содержащая открытый ключ DKIM, была создана напрямую, а не запись CNAME, указывающая на инфраструктуру DKIM Корпорации Майкрософт.

  • Почему это важно: Microsoft 365 управляет ключами DKIM и автоматически обрабатывает смену ключей. Запись CNAME делегирует управление ключами Майкрософт. Запись типа TXT требует вручную управлять ключами и их ротацией, что не поддерживается в Microsoft 365.

  • Исправление. Удалите запись TXT и создайте запись CNAME :

    Тип записи Hostname (Имя узла) Указывает на
    CNAME (правильно) selector1._domainkey selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
    TXT (неправильно, не поддерживается) selector1._domainkey v=DKIM1; k=rsa; p=MIGfMA0GCS...

Примечание.

Другие почтовые системы, отличные от Майкрософт, могут использовать записи TXT для DKIM. В Microsoft 365 всегда используйте записи CNAME , указывающие на инфраструктуру Microsoft DKIM.

Слишком низкое значение TTL

  • Симптом: проверка DKIM периодически завершается ошибкой на стороне получателя с dkim=temperror или dkim=fail (тайм-аут поиска ключа).

  • Что пошло не так: значение TTL (Time to Live) у записей CNAME DKIM задано слишком низким (например, 60 или 300 секунд), из-за чего выполняются частые DNS-запросы, которые могут завершаться по тайм-ауту.

  • Рекомендуемый срок жизни: минимум 3600 секунд (1 час).

  • Исправление. Обновите TTL в обеих записях DKIM CNAME по крайней мере до 3600:

    selector1._domainkey  3600  CNAME  selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
    selector2._domainkey  3600  CNAME  selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
    

Несоответствие домена в целевом значении CNAME

  • Симптом: состояние DKIM имеет значение CnameMissing или подпись DKIM завершается ошибкой. В выводе Get-DkimSigningConfig отображаются значения, отличающиеся от значений в DNS.

  • Что пошло не так: целевое значение CNAME не совпадает со значением, созданным Microsoft 365. Распространенные ошибки включают неправильную замену домена (точки и дефисы), неправильный начальный префикс домена или отсутствие динамического символа секционирования.

  • Правила ключей для целевого объекта CNAME:

    • Точки (.) в домене заменяются дефисами (-).
    • Начальный префикс домена — это префикс *.onmicrosoft.com (без .onmicrosoft.com).
    • Динамический символ назначается корпорацией Майкрософт.
  • Исправление. Всегда используйте точные значения CNAME на портале Defender или PowerShell. Не создавайте их вручную:

    Get-DkimSigningConfig -Identity contoso.com | Format-List Selector1CNAME, Selector2CNAME
    

    Пример. Для домена sub.contoso.com с начальным доменом contoso.onmicrosoft.com:

    Компонент Правильное значение Распространенная ошибка
    Домен с дефисами sub-contoso-com sub.contoso.com (точки сохранены)
    Префикс начального домена contoso contoso.onmicrosoft.com (включенный суффикс)
    Полный целевой объект CNAME selector1-sub-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft selector1-sub.contoso.com._domainkey.contoso.onmicrosoft.com

Отсутствует или присутствует лишняя точка в целевом имени CNAME

  • Симптом. Поставщик DNS отображает запись как созданную, но Microsoft 365 не может ее обнаружить.
  • Что пошло не так: некоторые поставщики DNS требуют точку в конце (.) целевого имени CNAME, чтобы обозначить полное доменное имя (FQDN). Другие добавляют его автоматически, а добавление вручную создает двойную точку.
  • Исправление. Проверьте требования поставщика DNS. См. примеры CNAME для конкретного поставщика DNS.

Краткий обзор распространенных ошибок DKIM DNS

Ошибку Признак Исправление
Имя узла включает полный домен Состояние: CnameMissing Введите только selector1._domainkey (без суффикса домена)
Отсутствует селектор2 Сбой смены ключей Создайте обе записи CNAME
Запись TXT вместо CNAME Состояние: CnameMissing Удалите TXT, создайте CNAME
Слишком низкое значение TTL Периодический dkim=temperror Установите TTL не менее 3600 секунд
Неправильный формат домена в целевом объекте Состояние: CnameMissing Используйте точные значения из Get-DkimSigningConfig
Проблема с точкой в конце Запись существует, но не обнаружена Соблюдайте форматирование в соответствии с требованиями конкретного поставщика DNS

Проверка распространения DNS

После создания записей CNAME используйте nslookup или dig, чтобы убедиться, что оба селектора DKIM правильно разрешаются в публичном DNS.

Windows (nslookup):

nslookup -type=CNAME selector1._domainkey.contoso.com
nslookup -type=CNAME selector2._domainkey.contoso.com

Ожидаемые выходные данные (успешно):

selector1._domainkey.contoso.com  canonical name = selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft

В macOS или Linux используйте dig вместо nslookup, чтобы подтвердить целевые записи CNAME для селектора DKIM:

macOS/Linux (dig):

dig CNAME selector1._domainkey.contoso.com +short
dig CNAME selector2._domainkey.contoso.com +short

Примечание.

Распространение DNS может занять от нескольких минут до 48 часов в зависимости от вашего DNS-провайдера и настроек TTL. Если записи не обновляются сразу, подождите и повторите попытку.

DKIM по-прежнему не работает после проверки

Если вы выполнили все действия по проверке и DKIM по-прежнему не работает, используйте следующую таблицу, чтобы определить проблему:

Проблема Возможная причина Решение
Статус остается CnameMissing по прошествии 48 часов Записи DNS неверны или находятся в неправильной зоне. Перепроверьте значения, используя вывод Get-DkimSigningConfig. Убедитесь, что записи находятся в правильной зоне DNS для домена.
DKIM проходит, но DMARC по-прежнему не проходит Проблема с выравниванием домена DKIM: домен d= в DKIM-подписи не совпадает с доменом адреса From. Убедитесь, что DKIM настроен для точного домена, используемого в адресе From (включая поддомены).
Сбой проверки DKIM после пересылки сообщения Текст сообщения или заголовки были изменены посредником. Настройте посредника в качестве надежного запечатывщика ARC.
Переключатель DKIM сразу же возвращается в значение Отключено Записи CNAME обнаруживаются, но ключи не могут быть созданы (редко). Обратитесь в службу поддержки Майкрософт, приложив вывод Get-DkimSigningConfig -Identity contoso.com.
DKIM работает для одного домена, но не для другого Второй домен имеет собственную зону DNS и нуждается в собственных записях CNAME. Каждому домену или поддомену, отправляющим электронную почту, требуется собственная пара записей CNAME DKIM.

Примеры CNAME для конкретного поставщика DNS

В следующих примерах показано, как создать записи CNAME DKIM у популярных поставщиков DNS. Во всех примерах личный домен является contoso.com , а начальный домен — contoso.onmicrosoft.com.

Важно!

Целевые значения CNAME в следующих примерах приведены только в качестве примеров. Фактические значения включают динамический символ раздела, назначенный корпорацией Майкрософт. Всегда получите точные значения из:

  • Портал Defender: страница DKIM, сведения о домене >>раздел Публикация CNAME.
  • Powershell: Get-DkimSigningConfig -Identity contoso.com | Format-List Selector1CNAME, Selector2CNAME

Пример CNAME в GoDaddy

Чтобы создать записи CNAME DKIM в GoDaddy, выполните следующие действия.

  1. Войдите в GoDaddy DNS Management.
  2. Выберите домен (contoso.com).
  3. Выберите команду Add Record (Добавить запись).
Поле Запись 1 Запись 2
Тип CNAME CNAME
Name selector1._domainkey selector2._domainkey
Значение selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
TTL Час Час

Примечание.

GoDaddy автоматически добавляет доменную зону в поле Имя . Не включайте .contoso.com в имя. Введите только selector1._domainkey.

Пример CNAME для Cloudflare

Чтобы создать записи CNAME DKIM в Cloudflare, выполните следующие действия.

Предостережение

Отключите прокси-сервер Cloudflare (оранжевое облако) для записей CNAME DKIM. Записи DKIM CNAME должны напрямую указывать на инфраструктуру DKIM Microsoft. Если прокси-сервер включен, запросы DNS возвращают IP-адреса Cloudflare вместо целевого объекта CNAME, и проверка DKIM завершается ошибкой. Установите статус прокси на Только DNS (значок серого облака).

  1. Войдите на панель мониторинга Cloudflare.
  2. Выберите домен (contoso.com) >DNS-записи>.
  3. Выберите Добавить запись.
Поле Запись 1 Запись 2
Тип CNAME CNAME
Name selector1._domainkey selector2._domainkey
Цель selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
Состояние прокси-сервера Только DNS (серое облако, прокси-сервер OFF) Только DNS (серое облако, прокси-сервер OFF)
TTL Автоматически (или 1 час) Автоматически (или 1 час)

Предостережение

Отключите прокси-сервер Cloudflare (оранжевое облако) для записей CNAME DKIM. Записи DKIM CNAME должны напрямую указывать на инфраструктуру DKIM Microsoft. Если прокси-сервер включен, запросы DNS возвращают IP-адреса Cloudflare вместо целевого объекта CNAME, и проверка DKIM завершается ошибкой. Установите статус прокси на Только DNS (значок серого облака).

Пример CNAME для Amazon Route 53

Выполните следующие действия, чтобы создать записи CNAME DKIM в Amazon Route 53.

Примечание.

Route 53 требует завершающую точку (.) в конце значения цели CNAME, чтобы указать полностью определённое доменное имя. Если не указать точку в конце, Route 53 добавит имя размещённой зоны к целевому значению, и в результате получится неверное значение. Примеры значений в следующей таблице содержат обязательную точку в конце.

  1. Войдите в консоль управления AWS.
  2. Перейдите в раздел Размещенные зоны> , выберите contoso.com.
  3. Выберите Создать запись.
Поле Запись 1 Запись 2
Имя записи selector1._domainkey selector2._domainkey
Record Type (Тип записи) CNAME CNAME
Значение selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft. selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft.
TTL 3600 3600
Политика маршрутизации Простая маршрутизация Простая маршрутизация

Примечание.

Route 53 требует завершающую точку (.) в конце значения цели CNAME, чтобы указать полностью определённое доменное имя. Если не указать точку в конце, Route 53 добавит имя размещённой зоны к целевому значению, и в результате получится неверное значение.

пример записи CNAME в Azure DNS

Выполните следующие действия, чтобы создать записи CNAME DKIM в Azure DNS.

  1. Войдите на портал Azure.
  2. Перейдите в раздел Зоны DNS>, затем выберите contoso.com.
  3. Выберите + Набор записей.
Поле Запись 1 Запись 2
Name selector1._domainkey selector2._domainkey
Тип CNAME CNAME
Alias selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
TTL 1 час 1 час
Единица TTL Часы Часы

Примечание.

Azure DNS не требует точки в конце для целевых значений CNAME. Портал автоматически обрабатывает форматирование полного доменного имени. Не добавляйте точку в конце в портале Azure.

Azure DNS через CLI

В качестве альтернативы порталу Azure можно использовать Azure CLI для автоматизации создания записей CNAME селектора DKIM в Azure DNS. Следующие команды создают записи CNAME для селектора и устанавливают TTL равным 3600 секундам для вашего пользовательского домена:

# Create selector1 CNAME
az network dns record-set cname set-record \
  --resource-group MyDNSResourceGroup \
  --zone-name contoso.com \
  --record-set-name "selector1._domainkey" \
  --cname "selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft"

# Create selector2 CNAME
az network dns record-set cname set-record \
  --resource-group MyDNSResourceGroup \
  --zone-name contoso.com \
  --record-set-name "selector2._domainkey" \
  --cname "selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft"

# Set TTL to 3600 seconds
az network dns record-set cname update \
  --resource-group MyDNSResourceGroup \
  --zone-name contoso.com \
  --name "selector1._domainkey" \
  --set ttl=3600

az network dns record-set cname update \
  --resource-group MyDNSResourceGroup \
  --zone-name contoso.com \
  --name "selector2._domainkey" \
  --set ttl=3600

Сводка требований к поставщику DNS

Поставщик Нужна конечная точка? Автоматически добавляет домен? Заметки о прокси-сервере или CDN
Godaddy Нет Да (зона добавляется автоматически) Н/Д
Cloudflare Нет Да (зона добавляется автоматически) Необходимо отключить прокси-сервер (только DNS/ серое облако)
Маршрут 53 Да (обязательно) Нет Н/Д
AZURE DNS Нет (портал обрабатывает его) Да (зона добавляется автоматически) Н/Д
Namecheap Нет Да (зона добавляется автоматически) Н/Д
Домены Google / Облачная СЛУЖБА DNS Нет Да (зона добавляется автоматически) Н/Д

Дальнейшие действия

Как описано в разделе Как SPF, DKIM и DMARC работают вместе для проверки подлинности отправителей сообщений электронной почты, одного DKIM недостаточно, чтобы предотвратить подделывание домена Microsoft 365. Кроме того, необходимо настроить SPF и DMARC для максимально возможной защиты. Инструкции см. в следующих статьях:

Для почты , поступающей в Microsoft 365, также может потребоваться настроить надежные запечатывщики ARC, если вы используете службы, которые изменяют сообщения при передаче перед доставкой в организацию. Дополнительные сведения см. в разделе Настройка доверенных запечатывщиков ARC.

Сведения о диагностике и устранении ошибок проверки подлинности электронной почты см. в статье Устранение неполадок с проверкой подлинности электронной почты в Microsoft 365.

Совет

Известно, что Exchange 2016 и Exchange 2019 изменяют сообщения, проходящие через них, что может повлиять на DKIM.