Defaults.Exposed › הגדרה › DKIM

כיצד להגדיר DKIM ב-Microsoft 365

פרסם שתי רשומות DKIM ב-DNS שלך והפעל DKIM ב-Microsoft 365 כדי שהדוא"ל שלך ישא חתימה אמינה.

מדוע זה חשוב לעסק שלך

DKIM (DomainKeys Identified Mail) מוסיף חתימה דיגיטלית בלתי נראית לכל דוא”ל שאתה שולח. ספק הדואר המקבל משתמש במפתח ציבורי שפרסמת ב-DNS שלך כדי לאשר שני דברים: ההודעה אכן הגיעה מהדומיין שלך, ואיש לא שינה אותה בדרך.

במילים פשוטות: DKIM הוא חותם אותנטיות על הדוא”ל שלך. הוא מקשה על התחזות ומשפר את הסיכוי שהדוא”ל האמיתי שלך יגיע לתיבת הדואר הנכנס ולא לספאם. הוא חינמי וחד-פעמי.

חשוב: DKIM ב-Microsoft 365 מתבצע בשני מקומות

DKIM היא הרשומה שבה באמת חשוב לדעת מי עושה מה. Microsoft 365 גם עושה זאת בצורה שונה במקצת מרוב הספקים — כדאי לדעת זאת כדי לא להיתקל:

• Microsoft משתמשת בשתי רשומות CNAME, לא במפתח TXT ארוך. רוב הספקים נותנים לך מפתח TXT ציבורי גדול אחד. Microsoft במקום זאת מבקשת ממך לפרסם שתי רשומות CNAME קצרות (בשם selector1 ו-selector2) שמצביעות חזרה ל-Microsoft. Microsoft מחזיקה את המפתחות בפועל ויכולה לרענן אותם בבטחה מאחורי המצביעים האלה.
• מארח ה-DNS שלך מפרסם את שתי ה-CNAMEs. אתה מוסיף אותן בכל מקום שאליו מצביעים שרתי השמות של הדומיין שלך — הרשם שלך, מארח האתר, Cloudflare וכו’. זה בדרך כלל לא Microsoft (אלא אם נתת ל-Microsoft לנהל את ה-DNS שלך).
• לאחר מכן אתה מפעיל את DKIM בתוך Microsoft. פרסום הרשומות לא מספיק; יש שלב אחרון בפורטל האבטחה של Microsoft שבו אתה מפעיל את החתימה.

לסיכום: פרסם שתי CNAMEs אצל מארח ה-DNS שלך, ואז עבור ל-Microsoft והפעל את DKIM.

שלב 1 — קבל את שני ערכי הרשומה מ-Microsoft

1. היכנס כמנהל ופתח את פורטל האבטחה של Microsoft בכתובת security.microsoft.com.
2. עבור לאזור Email & collaboration ומצא את Policies & rules ← Threat policies ← Email authentication settings ← DKIM (Microsoft מעת לעת מזיז תוויות אלה — חפש DKIM תחת הגדרות אימות דוא”ל או אנטי-ספאם).
3. בחר את הדומיין שלך.
4. Microsoft תציג לך את שתי הרשומות שעליך ליצור. הן נראות כך, עם הדומיין והקודים הייחודיים שלך:
   • Host 1: selector1._domainkey ← מצביע ל-selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey ← מצביע ל-selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. העתק את שתי ערכי היעד בדיוק. אינך יכול להמציא אותם — Microsoft מייצרת אותם עבור ה-tenant שלך.

שלב 2 — פרסם את שתי ה-CNAMEs אצל מארח ה-DNS שלך

ראשית, ודא שאתה עובד בחברה שמנהלת בפועל את ה-DNS שלך. הרשומות פועלות רק אם מתווספות במקום שאליו מצביעים שרתי השמות של הדומיין שלך. אם אינך בטוח, בדוק את הקטע Nameservers בחשבון הרשם שלך, או שאל את מי שמנהל את האתר שלך.

1. היכנס למארח ה-DNS שלך ופתח את הגדרות ה-DNS עבור הדומיין שלך (חפש DNS / Records / Advanced DNS).
2. הוסף רשומה חדשה ובחר CNAME (לא TXT — זה החלק שאנשים טועים בו).
3. עבור הרשומה הראשונה, בשדה Name / Host הכנס רק selector1._domainkey. אל תוסיף את הדומיין שלך בסוף; מארח ה-DNS מוסיפה אותו אוטומטית.
4. בשדה Value / Points to / Target, הדבק את היעד הראשון של Microsoft, למשל selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. חזור על כך עבור הרשומה השנייה: Name = selector2._domainkey, Value = היעד השני של Microsoft.
6. השאר את TTL בברירת המחדל.
7. שמור את שתיהן.

שלב 3 — הפעל את DKIM, חזרה ב-Microsoft

פרסום הרשומות לא מספיק — עליך לאמר ל-Microsoft להתחיל לחתום.

1. חזור לדף DKIM בפורטל האבטחה של Microsoft.
2. בחר את הדומיין שלך והעבר את Sign messages for this domain with DKIM signatures ל-On (המתג עשוי להיות מסומן Enable).
3. Microsoft בודקת שהרשומות גלויות ב-DNS שלך. אם היא לא מצליחה למצוא אותן עדיין, תן ל-DNS זמן להתפשט (דקות עד כמה שעות) ונסה שוב.

טעויות נפוצות

• CNAME, לא TXT. DKIM של Microsoft משתמש בשתי רשומות CNAME שמצביעות חזרה ל-Microsoft. ניסיון להדביק מפתח TXT ציבורי (כפי שספקים אחרים עושים) לא יעבוד כאן.
• שתי הרשומות, ואז המתג. אתה צריך גם selector1 וגם selector2 מפורסמים, ואז שלב ההפעלה בתוך Microsoft. דילוג על המתג פירושו שהרשומות קיימות אך Microsoft לעולם לא חותמת על הדוא”ל שלך.
• אל תכניס את הדומיין המלא ל-Host. הכנס רק selector1._domainkey / selector2._domainkey — השאר מתווסף אוטומטית. הכנסת הדומיין שוב יוצרת מארח שבור כמו selector1._domainkey.yourdomain.com.yourdomain.com.
• הדבק את היעדים בדיוק. יעדי ה-onmicrosoft.com מכילים את שם ה-tenant שלך וקודים ייחודיים — תו אחד שגוי ו-DKIM לא יאמת.
• שים לב למרכאות. יעד CNAME הוא שם מארח רגיל; אל תעטוף אותו ב-"...". מרכאות שייכות לרשומות TXT, לא ל-CNAMEs.
• תן לו זמן. שינויי DNS יכולים לקחת דקות עד כמה שעות לפני ש-Microsoft מאשרת ו-DKIM מתחיל לאמת.

אמת שזה עבד

לאחר פרסום שתי הרשומות, הפעלת DKIM, ומתן זמן להתפשטות, הפעל את הבדיקה החינמית ב-Defaults.Exposed. היא תאשר בשפה ברורה אם ה-DKIM שלך פורסם וניתן לקריאה. הנתונים שלך מעובדים באיחוד האירופי.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.