Defaults.Exposed › راه‌اندازی › DKIM

نحوه راه‌اندازی DKIM در Microsoft 365

دو رکورد DKIM در DNS خود منتشر کنید و DKIM را در Microsoft 365 روشن کنید تا ایمیل‌هایتان دارای امضای ضد دستکاری باشند.

چرا این موضوع برای کسب‌وکار شما اهمیت دارد

DKIM (ایمیل شناسه‌دار با کلیدهای دامنه) یک امضای دیجیتال نامرئی به هر ایمیلی که می‌فرستید اضافه می‌کند. ارائه‌دهنده ایمیل دریافت‌کننده از یک کلید عمومی که در DNS شما منتشر کرده‌اید برای تایید دو چیز استفاده می‌کند: پیام واقعاً از دامنه شما آمده، و هیچ‌کس در مسیر آن را تغییر نداده است.

به زبان ساده: DKIM یک مهر اصالت روی ایمیل شماست. جعل هویت را سخت‌تر و احتمال رسیدن ایمیل واقعی شما به صندوق ورودی به جای اسپم را بیشتر می‌کند. رایگان است و یک‌بار انجام می‌شود.

مهم: DKIM در Microsoft 365 در دو مکان انجام می‌شود

DKIM تنها رکوردی است که واقعاً اهمیت دارد چه کسی چه کاری انجام می‌دهد. Microsoft 365 هم آن را کمی متفاوت از اکثر ارائه‌دهندگان انجام می‌دهد — ارزش دارد بدانید تا گیر نکنید:

• Microsoft از دو رکورد CNAME استفاده می‌کند، نه یک کلید TXT طولانی. اکثر ارائه‌دهندگان یک کلید عمومی TXT غول‌آسا به شما می‌دهند. Microsoft به جای آن از شما می‌خواهد دو رکورد CNAME کوتاه (selector1 و selector2) منتشر کنید که به Microsoft اشاره می‌کنند. Microsoft کلیدهای واقعی را نگه می‌دارد و می‌تواند آن‌ها را به طور ایمن پشت آن اشاره‌گرها بچرخاند.
• میزبان DNS شما دو CNAME را منتشر می‌کند. آن‌ها را در هر جایی که nameserverهای دامنه شما به آن اشاره می‌کنند اضافه می‌کنید — ثبت‌کننده، میزبان وب، Cloudflare و غیره. این معمولاً Microsoft نیست (مگر اینکه به Microsoft اجازه داده‌اید DNS شما را مدیریت کند).
• سپس DKIM را داخل Microsoft روشن می‌کنید. انتشار رکوردها کافی نیست؛ یک مرحله نهایی در پورتال امنیتی Microsoft وجود دارد که امضا را فعال می‌کنید.

پس: دو CNAME در میزبان DNS منتشر کنید، سپس وارد Microsoft شوید و DKIM را روشن کنید.

مرحله 1 — دو مقدار رکورد را از Microsoft دریافت کنید

1. به عنوان مدیر وارد شوید و پورتال امنیتی Microsoft را در security.microsoft.com باز کنید.
2. به ناحیه Email & collaboration بروید و Policies & rules → Threat policies → Email authentication settings → DKIM را پیدا کنید (Microsoft گاهی این برچسب‌ها را جابجا می‌کند — دنبال DKIM زیر تنظیمات احراز هویت ایمیل یا ضد اسپم بگردید).
3. دامنه خود را انتخاب کنید.
4. Microsoft دو رکوردی که باید بسازید را نشان می‌دهد. اینگونه به نظر می‌رسند، با دامنه و کدهای منحصربه‌فرد شما پر شده:
   • Host 1: selector1._domainkey → اشاره به selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → اشاره به selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. هر دو مقدار هدف را دقیقاً کپی کنید. نمی‌توانید این‌ها را درست کنید — Microsoft آن‌ها را برای tenant شما تولید می‌کند.

مرحله 2 — دو CNAME را در میزبان DNS خود منتشر کنید

اول مطمئن شوید در شرکتی کار می‌کنید که واقعاً DNS شما را اجرا می‌کند. رکوردها تنها زمانی کار می‌کنند که در محلی اضافه شوند که nameserverهای دامنه شما به آن اشاره می‌کنند. اگر مطمئن نیستید، بخش Nameservers در حساب ثبت‌کننده خود را بررسی کنید.

1. وارد میزبان DNS خود شوید و تنظیمات DNS دامنه خود را باز کنید (دنبال DNS / Records / Advanced DNS بگردید).
2. یک رکورد جدید اضافه کنید و CNAME انتخاب کنید (نه TXT — این بخشی است که مردم اشتباه می‌کنند).
3. برای رکورد اول، در فیلد Name / Host فقط selector1._domainkey وارد کنید. دامنه را به انتها اضافه نکنید؛ میزبان DNS آن را به طور خودکار اضافه می‌کند.
4. در فیلد Value / Points to / Target، هدف اول Microsoft را جایگذاری کنید، مثلاً selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. برای رکورد دوم تکرار کنید: Name = selector2._domainkey، Value = هدف دوم Microsoft.
6. TTL را روی پیش‌فرض بگذارید.
7. هر دو را ذخیره کنید.

مرحله 3 — DKIM را در Microsoft روشن کنید

انتشار رکوردها کافی نیست — باید به Microsoft بگویید شروع به امضا کند.

1. به صفحه DKIM در پورتال امنیتی Microsoft برگردید.
2. دامنه خود را انتخاب کنید و Sign messages for this domain with DKIM signatures را روی On بگذارید (دکمه ممکن است Enable نامیده شود).
3. Microsoft بررسی می‌کند که دو رکورد در DNS شما قابل مشاهده باشند. اگر هنوز آن‌ها را پیدا نمی‌کند، کمی صبر کنید تا DNS منتشر شود (دقیقه‌ها تا چند ساعت) و دوباره امتحان کنید.

اشتباهات رایج

• CNAME، نه TXT. DKIM Microsoft از دو رکورد CNAME که به Microsoft اشاره می‌کنند استفاده می‌کند. تلاش برای جایگذاری یک کلید عمومی TXT (روشی که ارائه‌دهندگان دیگر انجام می‌دهند) اینجا کار نمی‌کند.
• هر دو رکورد، سپس کلید. باید selector1 و selector2 منتشر شوند، سپس مرحله فعال‌سازی داخل Microsoft. نادیده گرفتن کلید یعنی رکوردها وجود دارند اما Microsoft هرگز ایمیل شما را امضا نمی‌کند.
• نام کامل دامنه را در Host نگذارید. فقط selector1._domainkey / selector2._domainkey وارد کنید — بقیه برای شما اضافه می‌شود. گنجاندن دامنه یک هاست خراب مثل selector1._domainkey.yourdomain.com.yourdomain.com می‌سازد.
• هدف‌ها را دقیقاً جایگذاری کنید. هدف‌های onmicrosoft.com حاوی نام tenant و کدهای منحصربه‌فرد شما هستند — یک کاراکتر اشتباه و DKIM تایید نمی‌شود.
• مراقب نقل‌قول‌ها باشید. یک هدف CNAME یک نام هاست ساده است؛ آن را در "..." نپیچید. گیومه‌ها برای رکوردهای TXT هستند، نه CNAME.
• زمان بدهید. تغییرات DNS می‌توانند از دقایقی تا چند ساعت طول بکشند قبل از اینکه Microsoft تایید کند و DKIM شروع به اعتبارسنجی کند.

تایید درستی عملکرد

پس از انتشار هر دو رکورد، روشن کردن DKIM، و کمی صبر برای انتشار، بررسی رایگان را در Defaults.Exposed اجرا کنید. به زبان ساده تایید می‌کند که آیا DKIM شما منتشر شده و قابل خواندن است. داده‌های شما در اتحادیه اروپا پردازش می‌شوند.

انجام شد؟ دامنه خود را رایگان بررسی کنید تا تأیید کنید که کار کرده — و رتبه کامل خود را در همه ۳۴ بررسی ببینید.