Defaults.Exposed › Persediaan › DKIM

Cara menyediakan DKIM pada Microsoft 365

Terbitkan dua rekod DKIM dalam DNS anda dan hidupkan DKIM dalam Microsoft 365 supaya e-mel anda membawa tandatangan yang tahan gangguan.

Mengapa ini penting untuk perniagaan anda

DKIM (DomainKeys Identified Mail) menambah tandatangan digital yang tidak kelihatan pada setiap e-mel yang anda hantar. Pembekal mel penerima menggunakan kunci awam yang anda terbitkan dalam DNS anda untuk mengesahkan dua perkara: mesej itu benar-benar datang dari domain anda, dan tiada siapa yang mengubahnya dalam perjalanan.

Dalam bahasa mudah: DKIM adalah meterai ketulenan pada e-mel anda. Ia menyukarkan penyamaran dan meningkatkan peluang mel tulen anda sampai ke peti masuk dan bukannya spam. Ia percuma dan merupakan persediaan sekali sahaja.

Penting: DKIM pada Microsoft 365 dilakukan di dua tempat

DKIM adalah rekod yang benar-benar penting untuk mengetahui siapa melakukan apa. Microsoft 365 juga melakukannya sedikit berbeza daripada kebanyakan pembekal — perlu diketahui supaya anda tidak tersekat:

• Microsoft menggunakan dua rekod CNAME, bukan kunci TXT panjang. Kebanyakan pembekal memberikan anda satu kunci awam TXT yang besar. Microsoft sebaliknya meminta anda menerbitkan dua rekod CNAME pendek (dipanggil selector1 dan selector2) yang menghala kembali ke Microsoft. Microsoft menyimpan kunci sebenar dan boleh menggantikannya dengan selamat di sebalik penunjuk tersebut.
• Hos DNS anda menerbitkan dua CNAME tersebut. Anda menambahnya di mana nameserver domain anda menghala — pendaftar anda, hos web, Cloudflare, dll. Itu biasanya bukan Microsoft (melainkan anda membiarkan Microsoft mengurus DNS anda).
• Anda kemudian menghidupkan DKIM dalam Microsoft. Menerbitkan rekod tidak mencukupi; ada langkah akhir dalam portal keselamatan Microsoft di mana anda mengaktifkan penandatanganan.

Jadi: terbitkan dua CNAME dalam hos DNS anda, kemudian masuk ke Microsoft dan hidupkan DKIM.

Langkah 1 — Dapatkan dua nilai rekod daripada Microsoft

1. Log masuk sebagai pentadbir dan buka portal keselamatan Microsoft di security.microsoft.com.
2. Pergi ke kawasan Email & collaboration dan cari Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft kadang-kala mengalihkan label-label ini — cari DKIM di bawah tetapan pengesahan e-mel atau anti-spam).
3. Pilih domain anda.
4. Microsoft akan menunjukkan kepada anda dua rekod yang perlu anda cipta. Ia kelihatan seperti ini, dengan domain dan kod unik anda sendiri:
   • Hos 1: selector1._domainkey → menghala ke selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Hos 2: selector2._domainkey → menghala ke selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Salin kedua-dua nilai sasaran dengan tepat. Anda tidak boleh membuat ini sendiri — Microsoft menjananya untuk tenant anda.

Langkah 2 — Terbitkan dua CNAME dalam hos DNS anda

Pertama, pastikan anda bekerja di syarikat yang sebenarnya menjalankan DNS anda. Rekod hanya berfungsi jika ditambah di mana nameserver domain anda menghala. Jika tidak pasti, semak bahagian Nameservers dalam akaun pendaftar anda, atau tanya sesiapa yang menguruskan laman web anda.

1. Log masuk ke hos DNS anda dan buka tetapan DNS untuk domain anda (cari DNS / Records / Advanced DNS).
2. Tambah rekod baru dan pilih CNAME (bukan TXT — inilah bahagian yang kerap silap).
3. Untuk rekod pertama, dalam medan Name / Host masukkan hanya selector1._domainkey. Jangan tambah domain anda di hujung; hos DNS menambahkannya secara automatik.
4. Dalam medan Value / Points to / Target, tampal sasaran pertama Microsoft, contohnya selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Ulangi untuk rekod kedua: Name = selector2._domainkey, Value = sasaran kedua Microsoft.
6. Biarkan TTL pada nilai lalai.
7. Simpan kedua-duanya.

Langkah 3 — Hidupkan DKIM, kembali ke Microsoft

Menerbitkan rekod tidak mencukupi — anda perlu memberitahu Microsoft untuk mula menandatangani.

1. Kembali ke halaman DKIM dalam portal keselamatan Microsoft.
2. Pilih domain anda dan togol Sign messages for this domain with DKIM signatures kepada On (togol mungkin berlabel Enable).
3. Microsoft menyemak sama ada dua rekod kelihatan dalam DNS anda. Jika ia tidak dapat menemuinya lagi, beri DNS sedikit masa untuk tersebar (minit hingga beberapa jam) dan cuba lagi.

Kesilapan yang kerap dilakukan

• CNAME, bukan TXT. DKIM Microsoft menggunakan dua rekod CNAME yang menghala kembali ke Microsoft. Mencuba untuk menampal kunci awam TXT (cara pembekal lain melakukannya) tidak akan berfungsi di sini.
• Kedua-dua rekod, kemudian togol. Anda memerlukan selector1 dan selector2 yang diterbitkan, kemudian langkah aktifkan dalam Microsoft. Melangkau togol bermakna rekod wujud tetapi Microsoft tidak pernah menandatangani mel anda.
• Jangan masukkan nama domain penuh dalam Host. Masukkan hanya selector1._domainkey / selector2._domainkey — selebihnya ditambah untuk anda. Menyertakan domain anda lagi mencipta hos rosak seperti selector1._domainkey.yourdomain.com.yourdomain.com.
• Tampal sasaran dengan tepat. Sasaran onmicrosoft.com mengandungi nama tenant dan kod unik anda — satu aksara salah dan DKIM tidak akan mengesahkan.
• Perhatikan tanda petikan. Sasaran CNAME adalah nama hos biasa; jangan balutnya dalam "...". Tanda petikan tergolong pada rekod TXT, bukan CNAME.
• Beri masa. Perubahan DNS boleh mengambil masa minit hingga beberapa jam sebelum Microsoft dapat mengesahkan dan DKIM mula mengesahkan.

Sahkan ia berjaya

Selepas menerbitkan kedua-dua rekod, menghidupkan DKIM, dan memberi sedikit masa untuk propagasi, jalankan semakan percuma di Defaults.Exposed. Ia akan mengesahkan dalam bahasa mudah sama ada DKIM anda diterbitkan dan boleh dibaca. Data anda diproses di EU.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.