Обучение
Модуль
Add a custom domain in Microsoft 365 - Training
This module provides instruction on how to add a custom domain to your Microsoft 365 deployment. It also examines the DNS requirements that are necessary to support a new domain.
Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
DomainKeys Identified Mail (DKIM) — это метод проверки подлинности электронной почты , который помогает проверить почту, отправленную из организации Microsoft 365, чтобы предотвратить поддельные отправители, которые используются при компрометации деловой электронной почты (BEC), программах-шантажистах и других фишинговых атаках.
Основная цель DKIM — убедиться, что сообщение не было изменено при передаче. Это означает следующее:
Важные факты о DKIM:
Прежде чем приступить к работе, ознакомьтесь со сведениями о DKIM в Microsoft 365 на основе домена электронной почты:
Если вы используете только домен Microsoft Online Email Routing Address (MOERA) для электронной почты (например, contoso.onmicrosoft.com), вам ничего не нужно делать. Корпорация Майкрософт автоматически создает 2048-разрядную пару открытого и закрытого ключей из исходного домена *.onmicrosoft.com. Исходящие сообщения автоматически подписываются DKIM с помощью закрытого ключа. Открытый ключ публикуется в записи DNS, поэтому целевые почтовые системы могут проверять Сигнатуру DKIM сообщений.
Но вы также можете вручную настроить подписывание DKIM с помощью домена *.onmicrosoft.com. Инструкции см. в разделе Использование портала Defender для настройки подписывания исходящих сообщений DKIM с помощью раздела домен *.onmicrosoft.com далее в этой статье.
Чтобы убедиться, что исходящие сообщения автоматически подписываются DKIM, см. раздел Проверка подписи исходящей почты из Microsoft 365 далее в этой статье.
Дополнительные сведения о доменах *.onmicrosoft.com см. в разделе Почему у меня есть домен onmicrosoft.com?.
Если вы используете один или несколько личных доменов для электронной почты (например, contoso.com): несмотря на то, что домен MOERA подписывает все исходящие сообщения из Microsoft 365, для максимальной защиты электронной почты необходимо выполнить дополнительные действия:
Настройка подписывания DKIM с помощью личных доменов или поддоменов. Сообщение должно быть подписано доменом DKIM в адресе From. Мы также рекомендуем настроить DMARC, и DKIM проходит проверку DMARC только в том случае, если домен, который DKIM подписал сообщение, а домен в поле От адреса выравнивается.
Рекомендации по поддомену:
Для служб электронной почты, которые не контролируются напрямую (например, службы массовой электронной почты), рекомендуется использовать поддомен (например, marketing.contoso.com) вместо домена электронной почты main (например, contoso.com). Вы не хотите, чтобы проблемы с почтой, отправленной из этих служб электронной почты, влияли на репутацию почты, отправленной пользователями в вашем домене электронной почты main. Дополнительные сведения о добавлении поддоменов см. в статье Добавление пользовательских поддоменов или нескольких доменов в Microsoft 365?
Каждый поддомен, используемый для отправки электронной почты из Microsoft 365, требует собственной конфигурации DKIM.
Совет
Email защита проверки подлинности для неопределенных поддоменов охватывается DMARC. Все поддомены (определенные или нет) наследуют параметры DMARC родительского домена (которые можно переопределить на поддомен). Дополнительные сведения см. в статье Настройка DMARC для проверки домена из адреса для отправителей в Microsoft 365.
Если у вас есть зарегистрированные, но неиспользуемые домены. Если у вас есть зарегистрированные домены, которые не используются для электронной почты или для чего-либо (также известного как припаркованные домены), не публикуйте записи DKIM для этих доменов. Отсутствие записи DKIM (следовательно, отсутствие открытого ключа в DNS для проверки подписи сообщения) предотвращает проверку DKIM поддельных доменов.
Одного DKIM недостаточно. Чтобы обеспечить наилучший уровень защиты электронной почты для личных доменов, необходимо также настроить SPF и DMARC в рамках общей стратегии проверки подлинности электронной почты . Дополнительные сведения см. в разделе Дальнейшие действия в конце этой статьи.
В оставшейся части этой статьи описываются записи CNAME DKIM, которые необходимо создать для личных доменов в Microsoft 365, а также процедуры настройки DKIM с использованием личных доменов.
Совет
Настройка подписывания DKIM с помощью личного домена представляет собой сочетание процедур в Microsoft 365 и процедур в регистраторе домена личного домена.
Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.
Если вы не знакомы с конфигурацией DNS, обратитесь к регистратору доменных имен и попросите о помощи.
DKIM подробно описан в RFC 6376.
В Microsoft 365 при включении подписывания DKIM с помощью личного домена или поддомена создаются две пары открытого и закрытого ключей. Закрытые ключи, используемые для подписи сообщения, недоступны. Записи CNAME указывают на соответствующие открытые ключи, которые используются для проверки подписи DKIM. Эти записи называются селекторами.
Селектор, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), хранится в значении s= в поле заголовка DKIM-Signature (например, s=selector1-contoso-com
).
Важно!
Используйте портал Defender или Exchange Online PowerShell, чтобы просмотреть необходимые значения CNAME для подписывания исходящих сообщений DKIM с помощью личного домена. Представленные здесь значения предназначены только для иллюстрации. Чтобы получить необходимые значения для личных доменов или поддоменов, используйте процедуры, описанные далее в этой статье.
Базовый синтаксис записей DKIM CNAME для личных доменов, которые отправляют почту из Microsoft 365:
Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft
Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft
selector1._domainkey
и selector2._domainkey
.contoso.com
становится contoso-com
, или marketing.contoso.com
становится marketing-contoso-com
.contoso.onmicrosoft.com
, значение равно contoso
.Например, у вашей организации есть следующие домены в Microsoft 365:
Необходимо создать две записи CNAME в DNS в каждом пользовательском домене, в общей сложности для четырех записей CNAME:
Записи CNAME в домене cohovineyard.com:
Имя узла: selector1._domainkey
Указывает на адрес или значение: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft
Имя узла: selector2._domainkey
Указывает на адрес или значение: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.n-v1.dkim.mail.microsoft
Записи CNAME в домене cohowinery.com:
Имя узла: selector1._domainkey
Указывает на адрес или значение: selector1-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft
Имя узла: selector2._domainkey
Указывает на адрес или значение: selector2-cohowinery-com._domainkey.cohovineyardandwinery.r-v1.dkim.mail.microsoft
Совет
Включение подписывания исходящих сообщений DKIM с помощью личного домена фактически переключает подписывание DKIM с начального домена *.onmicrosoft.com на использование личного домена.
Вы можете использовать личный домен или поддомен для выхода исходящей почты DKIM только после успешного добавления домена в Microsoft 365. Инструкции см. в разделе Добавление домена.
Main фактором, определяющим, когда личный домен запускает исходящий почтовый ящик DKIM, является обнаружение записи CNAME в DNS.
Чтобы использовать процедуры, описанные в этом разделе, личный домен или поддомен должны отображаться на вкладке DKIMстраницы параметров проверки подлинности Email по адресу https://security.microsoft.com/authentication?viewid=DKIM. Свойства домена во всплывающем окне сведений должны содержать следующие значения:
Продолжайте, если домен удовлетворяет этим требованиям.
На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
На странице параметров проверки подлинности Email выберите вкладку DKIM.
На вкладке DKIM выберите настраиваемый личный домен, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
В открывшемся всплывающем окне сведений о домене выберите переключатель Подписать сообщения для этого домена с подписями DKIM , который в настоящее время установлен в значение Отключено .
Обратите внимание на значение Последней проверенной даты .
Откроется диалоговое окно Ошибки клиента . Ошибка содержит значения для использования в двух записях CNAME, которые создаются у регистратора доменов для домена.
В этом примере личный домен является contoso.com, а начальный домен для организации Microsoft 365 — contoso.onmicrosoft.com. Сообщение об ошибке выглядит следующим образом:
|Microsoft.Exchange.ManagementTasks.ValidationException|CNAME record does not
exist for this config. Please publish the following two CNAME records first. Domain Name
: contoso.com Host Name : selector1._domainkey Points to address or value: selector1-
contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft.com Host Name : selector2._domainkey
Points to address or value: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft .
If you have already published the CNAME records, sync will take a few minutes to as
many as 4 days based on your specific DNS. Return and retry this step later.
Таким образом, записи CNAME, которые необходимо создать в DNS для contoso.com домена:
Имя узла: selector1._domainkey
Указывает на адрес или значение: selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
Имя узла: selector2._domainkey
Указывает на адрес или значение: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
Скопируйте сведения из диалогового окна ошибки (выделите текст и нажмите клавиши CTRL+C), а затем нажмите кнопку ОК.
Оставьте всплывающее окно сведений о домене открытым.
На другой вкладке или окне браузера перейдите к регистратору домена, а затем создайте две записи CNAME, используя сведения из предыдущего шага.
Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.
Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).
Через некоторое время вернитесь к свойству домена, который вы оставили открытым на шаге 5, и выберите переключатель Подписать сообщения для этого домена с помощью подписей DKIM .
Через несколько секунд откроется следующее диалоговое окно:
После нажатия кнопки ОК, чтобы закрыть диалоговое окно, проверьте следующие параметры во всплывающем окне сведений:
Как описано ранее в этой статье, начальный домен *.onmicrosoft.com автоматически настраивается для подписывания всех исходящих сообщений из организации Microsoft 365, и необходимо настроить личные домены для подписывания исходящих сообщений DKIM.
Но вы также можете использовать процедуры, описанные в этом разделе, чтобы повлиять на подписывание DKIM с помощью домена *.onmicrosoft.com:
Чтобы использовать процедуры, описанные в этом разделе, домен *.onmicrosoft.com должен отображаться на вкладке DKIMстраницы параметров проверки подлинности Email по адресу https://security.microsoft.com/authentication?viewid=DKIM. Свойства домена *.onmicrosoft.com во всплывающем меню сведений должны содержать следующие значения:
Продолжайте, если домен удовлетворяет этим требованиям.
На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
На странице параметров проверки подлинности Email выберите вкладку DKIM.
На вкладке DKIM выберите домен *.onmicrosoft.com для настройки, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
Во всплывающем окне сведений о домене выберите Создать ключи DKIM.
После создания ключа DKIM откроется диалоговое окно Публикация CNAMEs . Нажмите Закрыть.
Вы не можете создать записи CNAME для домена *.onmicrosoft.com, поэтому не нужно копировать значения. Корпорация Майкрософт отвечает за необходимую конфигурацию DNS.
После нажатия кнопки Закрыть вы вернелись во всплывающее окно сведений о домене, где переключатель Подписать сообщения для этого домена с помощью подписей DKIM имеет значение Отключено .
Переместите переключатель Подписывать сообщения для этого домена с подписями DKIM в положение Включено , а затем нажмите кнопку ОК в открывшемся диалоговом окне подтверждения.
По завершении во всплывающем окне сведений о домене нажмите кнопку Закрыть.
Если вы предпочитаете использовать PowerShell для включения подписывания исходящих сообщений DKIM с помощью личного домена или настройки подписывания DKIM для домена *.onmicrosoft.com, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.
Совет
Перед настройкой подписывания DKIM с помощью личного домена необходимо добавить домен в Microsoft 365. Инструкции см. в разделе Добавление домена. Чтобы убедиться, что личный домен доступен для конфигурации DKIM, выполните следующую команду: Get-AcceptedDomain
.
Как описано ранее в этой статье, ваш домен *.onmicrosoft.com по умолчанию уже подписывает исходящий адрес электронной почты. Как правило, если вы вручную не настроили подписывание DKIM для домена *.onmicrosoft.com на портале Defender или в PowerShell, *.onmicrosoft.com не отображается в выходных данных Get-DkimSigningConfig.
Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
Для домена, для которого требуется настроить подписывание DKIM, выходные данные команды на шаге 1 определяют дальнейшие действия:
Домен указан со следующими значениями:
CnameMissing
Перейдите к шагу 3, чтобы скопировать значения селектора.
Или
Домен отсутствует в списке:
Замените <Domain> значением домена и выполните следующую команду:
New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
Например:
New-DkimSigningConfig -DomainName contoso.com -Enabled $false
Выполните команду из шага 1 еще раз, чтобы убедиться, что домен указан со следующими значениями свойств:
CnameMissing
Перейдите к шагу 3, чтобы скопировать значения селектора.
Скопируйте значения Selector1CNAME и Selector2CNAME для домена из выходных данных команды из шага 1.
Записи CNAME, которые необходимо создать у регистратора доменов для домена, выглядят следующим образом:
Имя узла: selector1._domainkey
Указывает на адрес или значение: <Selector1CNAME value>
Имя узла: selector2._domainkey
Указывает на адрес или значение: <Selector2CNAME value>
Например:
Имя узла: selector1._domainkey
Указывает на адрес или значение: selector1-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
Имя узла: selector2._domainkey
Указывает на адрес или значение: selector2-contoso-com._domainkey.contoso.n-v1.dkim.mail.microsoft
Выполните одно из следующих действий:
Личный домен. У регистратора домена создайте две записи CNAME, используя сведения из предыдущего шага.
Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей DKIM CNAME. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.
Обнаружение созданных записей CNAME в Microsoft 365 занимает несколько минут (или, возможно, больше).
*.onmicrosoft.com домен. Перейдите к шагу 5.
Через некоторое время вернитесь к Exchange Online PowerShell, замените <Домен> настроенным доменом и выполните следующую команду:
Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
Пример:
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
или
Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
Для личного домена, если Microsoft 365 может обнаружить записи CNAME у регистратора доменов, команда выполняется без ошибок, и домен теперь используется для DKIM подписывать исходящие сообщения из домена.
Если записи CNAME не обнаружены, вы получите сообщение об ошибке, содержащее значения для использования в записях CNAME. Проверьте наличие опечаток в значениях в регистраторе доменов (легко использовать тире, точки и подчеркивания!), подождите некоторое время дольше, а затем выполните команду еще раз.
Для домена *.onmicrosoft.com, который ранее не был указан в списке, команда выполняется без ошибок.
Чтобы убедиться, что домен теперь настроен для сообщений подписи DKIM, выполните команду из шага 1.
Домен должен иметь следующие значения свойств:
Valid
Подробные сведения о синтаксисе и параметрах см. в следующих статьях:
По тем же причинам, по которым следует периодически менять пароли, следует периодически менять ключ DKIM, используемый для подписывания DKIM. Замена ключа DKIM для домена называется сменой ключа DKIM.
Соответствующие сведения о смене ключей DKIM для домена Microsoft 365 отображаются в выходных данных следующей команды в Exchange Online PowerShell:
Get-DkimSigningConfig -Identity <CustomDomain> | Format-List
selector1
или selector2
и отличается от значения SelectorAfterRotateOnDate .selector1
или selector2
и отличается от значения SelectorBeforeRotateOnDate .При смене ключа DKIM в домене, как описано в этом разделе, изменение не происходит немедленно. Чтобы новый закрытый ключ начал подписывать сообщения (дата и время RotateOnDate и соответствующее значение SelectorAfterRotateOnDate ) занимает четыре дня (96 часов). До тех пор используется существующий закрытый ключ (соответствующее значение SelectorBeforeRotateOnDate ).
Совет
Main фактором, определяющим, когда личный домен запускает исходящий почтовый ящик DKIM, является обнаружение записи CNAME в DNS.
Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com
).
Совет
Для личных доменов ключи DKIM можно сменить только в доменах, для которых включено подписывание DKIM (значение Состояние — Включено).
В настоящее время для домена *.onmicrosoft.com не выполняется автоматическая смена ключей DKIM. Ключи DKIM можно повернуть вручную, как описано в этом разделе. Если смена ключей DKIM недоступна в свойствах домена *.onmicrosoft.com, используйте процедуры на портале Defender для настройки подписывания исходящих сообщений DKIM с помощью раздела домена *.onmicrosoft.com ранее в этой статье.
На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
На странице параметров проверки подлинности Email выберите вкладку DKIM.
На вкладке DKIM выберите домен для настройки, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
Во всплывающем окне сведений о домене выберите Смена ключей DKIM.
Параметры во всплывающем окне сведений изменяются на следующие значения:
Через четыре дня (96 часов) новый ключ DKIM начинает подписывать исходящие сообщения для личного домена. До этого момента используется текущий ключ DKIM.
Новый ключ DKIM используется для подписи сообщения при изменении значения состояния с смены ключей для этого домена и подписывания подписей DKIM на Подписывание подписей DKIM для этого домена.
Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com
).
Если вы предпочитаете использовать PowerShell для смены ключей DKIM для домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.
Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
Для домена, для которого требуется сменить ключи DKIM, используйте следующий синтаксис:
Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
Если вы не хотите изменять битовую глубину новых ключей DKIM, не используйте параметр KeySize .
В этом примере происходит смена ключей DKIM для contoso.com домена и изменение 2048-разрядного ключа.
Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
В этом примере ключи DKIM для contoso.com домена сменяются без изменения глубины ключа.
Rotate-DkimSigningConfig -Identity contoso.com
Снова выполните команду из шага 1, чтобы подтвердить следующие значения свойств:
Целевые почтовые системы используют открытый ключ в записи CNAME, определяемой свойством SelectorBeforeRotateOnDate , для проверки подписи DKIM в сообщениях (который указывает закрытый ключ, который использовался для подписывания сообщения DKIM).
После даты и времени RotateOnDate DKIM использует новый закрытый ключ для подписи сообщений, а целевые почтовые системы используют соответствующий открытый ключ в записи CNAME, определяемой свойством SelectorAfterRotateOnDate для проверки подписи DKIM в сообщениях.
Чтобы подтвердить соответствующий открытый ключ, используемый для проверки подписи DKIM (который определяет закрытый ключ, используемый для подписи сообщения), проверка значение s= в поле заголовка DKIM-Signature (селектор; например, s=selector1-contoso-com
).
Подробные сведения о синтаксисе и параметрах см. в следующих статьях:
Как описано ранее в этой статье, включение подписывания исходящих сообщений DKIM с помощью личного домена фактически переключает подписывание DKIM с использования домена *.onmicrosoft.com на использование личного домена.
При отключении подписывания DKIM с помощью личного домена вы не полностью отключаете подписывание DKIM для исходящей почты. Подписывание DKIM в конечном итоге вернется к использованию домена *.onmicrosoft.
На портале Defender по адресу перейдите на https://security.microsoft.comстраницу Email & политики совместной работы>& правила>Политики> угроз Email параметры проверки подлинности. Или, чтобы перейти непосредственно на страницу параметров проверки подлинности Email, используйте https://security.microsoft.com/authentication.
На странице параметров проверки подлинности Email выберите вкладку DKIM.
На вкладке DKIM выберите домен для настройки, щелкнув в любом месте строки, кроме поля проверка рядом с именем.
В открывшемся всплывающем окне сведений о домене переместите переключатель Подписать сообщения для этого домена с помощью подписей DKIM в положение Отключено .
Если вы предпочитаете использовать PowerShell, чтобы отключить подписывание исходящих сообщений DKIM с помощью личного домена, подключитесь к Exchange Online PowerShell, чтобы выполнить следующие команды.
Выполните следующую команду, чтобы проверить доступность и состояние DKIM всех доменов в организации:
Get-DkimSigningConfig | Format-List Name,Enabled,Status
Любой личный домен, для которого можно отключить подписывание DKIM, имеет следующие значения свойств:
Valid
Для домена, для которого требуется отключить подписывание DKIM, используйте следующий синтаксис:
Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
В этом примере подписывание DKIM отключается с помощью contoso.com личного домена.
Set-DkimSigningConfig -Identity contoso.com -Enabled $false
Совет
Прежде чем использовать методы в этом разделе для проверки подписывания DKIM исходящей почты, подождите несколько минут после внесения изменений в конфигурацию DKIM, чтобы разрешить распространение изменений.
Используйте любой из следующих методов для проверки подписывания DKIM исходящего сообщения электронной почты из Microsoft 365:
Отправка тестовых сообщений и просмотр связанных полей заголовка из заголовка сообщения в целевой системе электронной почты:
Отправьте сообщение из учетной записи в домене с поддержкой Microsoft 365 DKIM получателю в другой почтовой системе (например, outlook.com или gmail.com).
Совет
Не отправляйте почту в AOL для тестирования DKIM. AOL может пропустить проверка DKIM, если проверка SPF проходит.
В целевом почтовом ящике просмотрите заголовок сообщения. Например:
Найдите поле заголовка DKIM-Signature в заголовке сообщения. Поле заголовка выглядит следующим образом:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
Найдите поле Заголовок Authentication-Results в заголовке сообщения. Хотя целевые почтовые системы могут использовать несколько другие форматы для метки входящей почты, поле заголовка должно содержать DKIM=pass или DKIM=OK. Например:
Authentication-Results: mx.google.com;
dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
Совет
Подпись DKIM опущена при любом из следующих условий:
В обоих случаях поле заголовка DKIM-Signature не существует в заголовке сообщения, а поле заголовок Authentication-Results выглядит следующим образом:
authentication-results: dkim=none (message not signed)
header.d=none;dmarc=none action=none header.from=contoso.com;
Используйте тест в справке Microsoft 365. Для этой функции требуется учетная запись глобального администратора* и она недоступна в Microsoft 365 Government Community Cloud (GCC), GCC High, DoD или Office 365, управляемых 21Vianet.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Некоторые поставщики услуг электронной почты или поставщики программного обеспечения как услуги позволяют включить подписывание DKIM для почты, поступающей из службы. Но методы полностью зависят от службы электронной почты.
Совет
Как упоминалось ранее в этой статье, мы рекомендуем использовать поддомены для почтовых систем или служб, которыми вы не управляете напрямую.
Например, ваш домен электронной почты в Microsoft 365 является contoso.com, и вы используете службу массовой рассылки Adatum для маркетинговой электронной почты. Если Adatum поддерживает подписывание сообщений DKIM от отправителей в вашем домене в их службе, сообщения могут содержать следующие элементы:
Return-Path: <communication@adatum.com>
From: <sender@marketing.contoso.com>
DKIM-Signature: s=s1024; d=marketing.contoso.com
Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com
В этом примере необходимо выполнить следующие действия.
Adatum предоставляет компании Contoso открытый ключ для подписывания DKIM исходящей почты Contoso из своей службы.
Contoso публикует открытый ключ DKIM в DNS у регистратора доменов для поддомена marketing.contoso.com (запись TXT или запись CNAME).
Когда Adatum отправляет почту от отправителей в домене marketing.contoso.com, сообщения подписываются DKIM с помощью закрытого ключа, соответствующего открытому ключу, который был дан компании Contoso на первом шаге.
Если целевая система электронной почты проверяет DKIM на входящих сообщениях, сообщения передаются в DKIM, так как они подписаны DKIM.
Если система электронной почты назначения проверяет DMARC на входящих сообщениях, домен в подписи DKIM (значение d= в поле заголовка DKIM-Signature ) соответствует домену в адресе From, который отображается в почтовых клиентах, поэтому сообщения также могут передавать DMARC:
Из: sender@marketing.contoso.com
d=: marketing.contoso.com
Как описано в разделе Как SPF, DKIM и DMARC работают вместе для проверки подлинности отправителей сообщений электронной почты, одного DKIM недостаточно, чтобы предотвратить подделывание домена Microsoft 365. Кроме того, необходимо настроить SPF и DMARC для максимально возможной защиты. Инструкции см. в следующих статьях:
Для почты , поступающей в Microsoft 365, также может потребоваться настроить надежные запечатывщики ARC, если вы используете службы, которые изменяют сообщения при передаче перед доставкой в организацию. Дополнительные сведения см. в разделе Настройка доверенных запечатывщиков ARC.
Совет
Известно, что Exchange 2016 и Exchange 2019 изменяют сообщения, проходящие через них, что может повлиять на DKIM.
Обучение
Модуль
Add a custom domain in Microsoft 365 - Training
This module provides instruction on how to add a custom domain to your Microsoft 365 deployment. It also examines the DNS requirements that are necessary to support a new domain.