Defaults.Exposed › Nastavení › DKIM

Jak nastavit DKIM pro Microsoft 365

Zveřejněte dva DKIM záznamy ve svém DNS a zapněte DKIM v Microsoft 365, aby vaše e-maily nesly ověřitelný podpis.

Proč na tom záleží pro vaši firmu

DKIM (DomainKeys Identified Mail) přidává neviditelný digitální podpis ke každému e-mailu, který odešlete. Přijímající poštovní poskytovatel používá veřejný klíč, který jste zveřejnili ve svém DNS, k potvrzení dvou věcí: zpráva skutečně pochází z vaší domény a nikdo ji cestou nepozměnil.

Jednoduše řečeno: DKIM je pečeť pravosti na vašich e-mailech. Ztěžuje vydávání se za vás a zvyšuje pravděpodobnost, že vaše legitimní pošta dorazí do schránky místo do spamu. Je zdarma a nastaví se jednou.

Důležité: DKIM v Microsoft 365 se provádí na dvou místech

DKIM je ten záznam, kde skutečně záleží na tom, kdo co dělá. Microsoft 365 to navíc dělá trochu jinak než většina poskytovatelů — stojí za to to vědět, abyste se nezasekli:

• Microsoft používá dva CNAME záznamy, ne dlouhý TXT klíč. Většina poskytovatelů vám dá jeden velký TXT veřejný klíč. Microsoft místo toho nechá zveřejnit dva krátké CNAME záznamy (nazvané selector1 a selector2), které ukazují zpět na Microsoft. Microsoft uchovává skutečné klíče a může je bezpečně rotovat za těmito ukazateli.
• Váš DNS hostitel zveřejňuje dva CNAME záznamy. Přidáte je tam, kam ukazují nameservery vaší domény — u registrátora, webového hostingu, Cloudflare apod. To obvykle není Microsoft (pokud jste nenechali Microsoft spravovat vaše DNS).
• Poté DKIM zapnete uvnitř Microsoftu. Zveřejnění záznamů nestačí; je ještě závěrečný krok na bezpečnostním portálu Microsoftu, kde povolíte podepisování.

Tedy: zveřejněte dva CNAME záznamy u svého DNS hostitele, poté přejděte do Microsoftu a DKIM zapněte.

Krok 1 — Získejte dvě hodnoty záznamů od Microsoftu

1. Přihlaste se jako administrátor a otevřete bezpečnostní portál Microsoftu na security.microsoft.com.
2. Přejděte do oblasti Email & collaboration a najděte Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft tato označení občas přesouvá — hledejte DKIM pod nastavením ověřování e-mailu nebo anti-spamu).
3. Vyberte svou doménu.
4. Microsoft vám zobrazí dva záznamy, které je potřeba vytvořit. Vypadají takto, s vyplněnou vaší doménou a unikátními kódy:
   • Host 1: selector1._domainkey → ukazuje na selector1-<vasadomena>._domainkey.<vashostitel>.onmicrosoft.com
   • Host 2: selector2._domainkey → ukazuje na selector2-<vasadomena>._domainkey.<vashostitel>.onmicrosoft.com
5. Obě cílové hodnoty zkopírujte přesně. Tyto hodnoty si nemůžete vymyslet — Microsoft je generuje pro váš tenant.

Krok 2 — Zveřejněte dva CNAME záznamy u svého DNS hostitele

Nejprve se ujistěte, že pracujete u společnosti, která skutečně spravuje vaše DNS. Záznamy fungují pouze tehdy, pokud jsou přidány tam, kam ukazují nameservery vaší domény. Pokud si nejste jisti, zkontrolujte sekci Nameservers ve svém účtu registrátora, nebo se zeptejte toho, kdo spravuje váš web.

1. Přihlaste se ke svému DNS hostiteli a otevřete nastavení DNS pro svou doménu (hledejte DNS / Records / Advanced DNS).
2. Přidejte nový záznam a zvolte CNAME (ne TXT — to je ta část, kterou lidé pokazí).
3. Pro první záznam do pole Name / Host zadejte pouze selector1._domainkey. Nepřidávejte svou doménu na konec; DNS hostitel ji připojuje automaticky.
4. Do pole Value / Points to / Target vložte první cíl Microsoftu, např. selector1-<vasadomena>._domainkey.<vashostitel>.onmicrosoft.com.
5. Opakujte pro druhý záznam: Name = selector2._domainkey, Value = druhý cíl Microsoftu.
6. Hodnotu TTL ponechte na výchozí.
7. Uložte oba záznamy.

Krok 3 — Zapněte DKIM, zpět v Microsoftu

Zveřejnění záznamů nestačí — musíte Microsoftu říct, aby začal podepisovat.

1. Vraťte se na stránku DKIM na bezpečnostním portálu Microsoftu.
2. Vyberte svou doménu a přepněte Sign messages for this domain with DKIM signatures na On (přepínač může být označen Enable).
3. Microsoft zkontroluje, zda jsou oba záznamy viditelné ve vašem DNS. Pokud je ještě nemůže najít, dejte DNS trochu času na šíření (minuty až pár hodin) a zkuste to znovu.

Chyby, které lidé dělají

• CNAME, ne TXT. DKIM Microsoftu používá dva CNAME záznamy ukazující zpět na Microsoft. Vložení TXT veřejného klíče (způsob, jakým to dělají jiní poskytovatelé) zde nebude fungovat.
• Oba záznamy, pak přepínač. Potřebujete zveřejněné selector1 i selector2, poté krok povolení uvnitř Microsoftu. Přeskočení přepínače znamená, že záznamy existují, ale Microsoft nikdy nepodepisuje vaši poštu.
• Nezadávejte plnou doménu do Host. Zadejte pouze selector1._domainkey / selector2._domainkey — zbytek se přidá automaticky. Zahrnutí domény znovu vytvoří poškozený host jako selector1._domainkey.vasadomena.com.vasadomena.com.
• Vložte cíle přesně. Cíle onmicrosoft.com obsahují název vašeho tenanta a unikátní kódy — jeden chybný znak a DKIM nebude validovat.
• Pozor na uvozovky. Cíl CNAME je prostý název hostitele; nezavírejte ho do "...". Uvozovky patří k TXT záznamům, ne CNAME.
• Dejte mu čas. DNS změny mohou trvat minuty až pár hodin předtím, než Microsoft potvrdí a DKIM začne ověřovat.

Ověřte, zda to funguje

Po zveřejnění obou záznamů, zapnutí DKIM a po malém čase na šíření spusťte bezplatnou kontrolu na Defaults.Exposed. V srozumitelném jazyce potvrdí, zda je váš DKIM zveřejněn a čitelný. Vaše data jsou zpracovávána v EU.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.