Defaults.Exposed › Opsætning › DKIM

Sådan opsætter du DKIM på Microsoft 365

Publicer to DKIM-poster i din DNS og aktiver DKIM i Microsoft 365, så dine e-mails bærer en manipulationssikker signatur.

Hvad det betyder for din virksomhed

DKIM (DomainKeys Identified Mail) tilføjer en usynlig digital signatur til hver eneste e-mail, du sender. Den modtagende mailudbyder bruger en offentlig nøgle, du har publiceret i din DNS, til at bekræfte to ting: beskeden kom virkelig fra dit domæne, og ingen har ændret den undervejs.

Konkret: DKIM er et autenticitetssægl på din e-mail. Det gør det sværere at udgive sig for at være dig og øger chancen for, at din ægte e-mail når indbakken frem for spam. Det er gratis og en engangskonfiguration.

Vigtigt: DKIM på Microsoft 365 foregår to steder

DKIM er den post, hvor det virkelig betyder noget, hvem der gør hvad. Microsoft 365 gør det også lidt anderledes end de fleste udbydere — værd at vide, så du ikke sidder fast:

• Microsoft bruger to CNAME-poster, ikke en lang TXT-nøgle. De fleste udbydere giver dig én stor TXT-offentlig nøgle. Microsoft beder dig i stedet om at publicere to korte CNAME-poster (kaldet selector1 og selector2), der peger tilbage på Microsoft. Microsoft gemmer de faktiske nøgler og kan rotere dem sikkert bag disse pegere.
• Din DNS-host publicerer de to CNAMEs. Du tilføjer dem der, hvor dit domænes navneservere peger hen — din registrar, webhost, Cloudflare osv. Det er som regel ikke Microsoft (medmindre du har ladet Microsoft administrere din DNS).
• Derefter aktiverer du DKIM inde i Microsoft. Det er ikke nok at publicere posterne; der er et afsluttende trin i Microsofts sikkerhedsportal, hvor du aktiverer signering.

Med andre ord: publicer to CNAMEs hos din DNS-host, og aktivér derefter DKIM i Microsoft.

Trin 1 — Hent de to postværdier fra Microsoft

1. Log ind som administrator og åbn Microsofts sikkerhedsportal på security.microsoft.com.
2. Gå til området E-mail & samarbejde og find Politikker og regler → Trusselspolitikker → E-mailgodkendelsesindstillinger → DKIM (Microsoft flytter af og til rundt på disse etiketter — kig efter DKIM under e-mailgodkendelses- eller antispamindstillingerne).
3. Vælg dit domæne.
4. Microsoft viser dig de to poster, du skal oprette. De ser sådan ud med dit eget domæne og unikke koder udfyldt:
   • Vært 1: selector1._domainkey → peger på selector1-<dit-domæne>._domainkey.<dit-tenant>.onmicrosoft.com
   • Vært 2: selector2._domainkey → peger på selector2-<dit-domæne>._domainkey.<dit-tenant>.onmicrosoft.com
5. Kopiér begge målværdier nøjagtigt. Du kan ikke opfinde dem — Microsoft genererer dem for dit tenant.

Trin 2 — Publicer de to CNAMEs hos din DNS-host

Sørg først for, at du arbejder hos den virksomhed, der faktisk kører din DNS. Posterne virker kun, hvis de tilføjes der, hvor dit domænes navneservere peger hen. Er du i tvivl, tjekker du sektionen Navneservere i din registrarkonto, eller du spørger den, der administrerer din hjemmeside.

1. Log ind hos din DNS-host og åbn DNS-indstillingerne for dit domæne (kig efter DNS / Records / Advanced DNS).
2. Tilføj en ny post og vælg CNAME (ikke TXT — det er det, folk oftest gør forkert).
3. For den første post skriver du i feltet Navn / Vært kun selector1._domainkey. Tilføj ikke dit domæne i slutningen; DNS-hosten tilføjer det automatisk.
4. I feltet Værdi / Peger på / Mål indsætter du Microsofts første mål, f.eks. selector1-<dit-domæne>._domainkey.<dit-tenant>.onmicrosoft.com.
5. Gentag for den anden post: Navn = selector2._domainkey, Værdi = Microsofts andet mål.
6. Lad TTL stå på standardværdien.
7. Gem begge.

Trin 3 — Aktivér DKIM, tilbage i Microsoft

Det er ikke nok at publicere posterne — du skal fortælle Microsoft, at det skal begynde at signere.

1. Vend tilbage til siden DKIM i Microsofts sikkerhedsportal.
2. Vælg dit domæne og slå Sign messages for this domain with DKIM signatures til On (kontakten kan være mærket Aktivér).
3. Microsoft tjekker, at de to poster er synlige i din DNS. Kan den ikke finde dem endnu, giver du DNS lidt tid til at propagere (minutter til et par timer) og prøver igen.

Faldgruber, som folk rammer

• CNAME, ikke TXT. Microsofts DKIM bruger to CNAME-poster, der peger tilbage på Microsoft. At forsøge at indsætte en TXT-offentlig nøgle (som andre udbydere gør det) virker ikke her.
• Begge poster, derefter kontakten. Du skal have selector1 og selector2 publiceret og derefter aktiveringstrinnet inde i Microsoft. Springer du kontakten over, eksisterer posterne, men Microsoft signerer aldrig din e-mail.
• Skriv ikke det fulde domæne i Vært. Skriv kun selector1._domainkey / selector2._domainkey — resten tilføjes for dig. At inkludere dit domæne igen skaber et fejlbehæftet vært som selector1._domainkey.ditdomæne.com.ditdomæne.com.
• Indsæt målene nøjagtigt. onmicrosoft.com-målene indeholder dit tenantnavn og unikke koder — ét forkert tegn, og DKIM validerer ikke.
• Pas på anførselstegn. Et CNAME-mål er et simpelt værtsnavn; sæt ikke "..." rundt om det. Anførselstegn hører til på TXT-poster, ikke CNAMEs.
• Giv det tid. DNS-ændringer kan tage minutter til et par timer, inden Microsoft kan bekræfte og DKIM begynder at validere.

Bekræft, at det virkede

Når du har publiceret begge poster, aktiveret DKIM og givet det lidt tid til at propagere, kan du køre den gratis kontrol på Defaults.Exposed. Den bekræfter med klare ord, om din DKIM er publiceret og kan læses. Dine data behandles i EU.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.