Defaults.Exposed › Konfiguracja › DKIM

Jak skonfigurować DKIM w Microsoft 365

Opublikuj dwa rekordy DKIM w swoim DNS i włącz DKIM w Microsoft 365, aby Twoje wiadomości niosły pieczęć, której nie da się podrobić.

Dlaczego to ważne dla Twojej firmy

DKIM (DomainKeys Identified Mail — uwierzytelnianie poczty przez klucze domeny) dokłada do każdego wysyłanego e-maila niewidzialny podpis cyfrowy. Serwer odbiorcy używa klucza publicznego, który opublikowałeś w swoim DNS, aby potwierdzić dwie rzeczy: że wiadomość naprawdę pochodzi z Twojej domeny i że nikt jej po drodze nie zmienił.

Mówiąc wprost: DKIM to pieczęć autentyczności na Twojej poczcie. Utrudnia podszywanie się pod Ciebie i zwiększa szansę, że prawdziwa wiadomość trafi do skrzynki odbiorczej, a nie do spamu. Jest darmowy i konfiguruje się go raz.

Ważne: DKIM w Microsoft 365 robi się w dwóch miejscach

DKIM to jedyny rekord, przy którym naprawdę liczy się, kto robi co. Microsoft 365 robi to też nieco inaczej niż większość dostawców — warto wiedzieć, żeby nie utknąć:

• Microsoft używa dwóch rekordów CNAME, a nie długiego klucza TXT. Większość dostawców daje Ci jeden ogromny klucz publiczny TXT. Microsoft zamiast tego każe opublikować dwa krótkie rekordy CNAME (zwane selector1 i selector2), które wskazują z powrotem na Microsoft. Microsoft przechowuje właściwe klucze i może je bezpiecznie rotować za tymi wskaźnikami.
• Twój dostawca DNS publikuje te dwa rekordy CNAME. Dodajesz je tam, gdzie wskazują serwery nazw Twojej domeny — rejestrator, hosting, Cloudflare itp. Zwykle nie jest to Microsoft (chyba że pozwoliłeś Microsoftowi zarządzać Twoim DNS).
• Następnie włączasz DKIM wewnątrz Microsoft. Publikacja rekordów to za mało; jest jeszcze końcowy krok w portalu bezpieczeństwa Microsoft, w którym włączasz podpisywanie.

Czyli: opublikuj dwa rekordy CNAME u dostawcy DNS, a potem wejdź do Microsoft i włącz DKIM.

Krok 1 — Pobierz wartości dwóch rekordów z Microsoft

1. Zaloguj się jako administrator i otwórz portal bezpieczeństwa Microsoft pod adresem security.microsoft.com.
2. Przejdź do obszaru Email & collaboration i znajdź Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft od czasu do czasu zmienia te etykiety — szukaj DKIM w ustawieniach uwierzytelniania poczty lub ochrony przed spamem).
3. Wybierz swoją domenę.
4. Microsoft pokaże dwa rekordy, które musisz utworzyć. Wyglądają tak, z wypełnioną Twoją domeną i unikalnymi kodami:
   • Host 1: selector1._domainkey → wskazuje na selector1-<twoja-domena>._domainkey.<twoj-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → wskazuje na selector2-<twoja-domena>._domainkey.<twoj-tenant>.onmicrosoft.com
5. Skopiuj obie wartości docelowe dokładnie. Nie da się ich wymyślić — Microsoft generuje je dla Twojego tenanta.

Krok 2 — Opublikuj dwa rekordy CNAME u dostawcy DNS

Najpierw upewnij się, że działasz w firmie, która faktycznie obsługuje Twój DNS. Rekordy zadziałają tylko wtedy, gdy dodasz je tam, gdzie wskazują serwery nazw Twojej domeny. Jeśli nie masz pewności, sprawdź sekcję Nameservers na koncie rejestratora albo zapytaj osoby, która zarządza Twoją stroną.

1. Zaloguj się do swojego dostawcy DNS i otwórz ustawienia DNS dla domeny (szukaj DNS / Records / Advanced DNS).
2. Dodaj nowy rekord i wybierz CNAME (nie TXT — to część, którą ludzie mylą).
3. Dla pierwszego rekordu w polu Name / Host wpisz wyłącznie selector1._domainkey. Nie dopisuj domeny na końcu; dostawca DNS dołączy ją automatycznie.
4. W polu Value / Points to / Target wklej pierwszy cel z Microsoft, np. selector1-<twoja-domena>._domainkey.<twoj-tenant>.onmicrosoft.com.
5. Powtórz dla drugiego rekordu: Name = selector2._domainkey, Value = drugi cel z Microsoft.
6. Pozostaw TTL na wartości domyślnej.
7. Zapisz oba.

Krok 3 — Włącz DKIM, wracając do Microsoft

Sama publikacja rekordów to za mało — musisz polecić Microsoftowi, by zaczął podpisywać.

1. Wróć na stronę DKIM w portalu bezpieczeństwa Microsoft.
2. Wybierz swoją domenę i przełącz Sign messages for this domain with DKIM signatures na On (przełącznik może być oznaczony jako Enable).
3. Microsoft sprawdza, czy oba rekordy są widoczne w Twoim DNS. Jeśli jeszcze ich nie znajdzie, daj DNS chwilę na propagację (od kilku minut do kilku godzin) i spróbuj ponownie.

Pułapki, w które ludzie wpadają

• CNAME, a nie TXT. DKIM w Microsoft używa dwóch rekordów CNAME wskazujących z powrotem na Microsoft. Próba wklejenia klucza publicznego TXT (tak jak robią to inni dostawcy) tutaj nie zadziała.
• Oba rekordy, a potem przełącznik. Potrzebujesz opublikowanych zarówno selector1, jak i selector2, a następnie kroku włączenia wewnątrz Microsoft. Pominięcie przełącznika oznacza, że rekordy istnieją, ale Microsoft nigdy nie podpisuje Twojej poczty.
• Nie wpisuj pełnej domeny w polu Host. Wpisz tylko selector1._domainkey / selector2._domainkey — reszta zostanie dodana za Ciebie. Ponowne podanie domeny tworzy błędny host w rodzaju selector1._domainkey.twojadomena.pl.twojadomena.pl.
• Wklej cele dokładnie. Cele onmicrosoft.com zawierają nazwę Twojego tenanta i unikalne kody — jeden zły znak i DKIM nie przejdzie weryfikacji.
• Uważaj na cudzysłowy. Cel CNAME to zwykła nazwa hosta; nie owijaj jej w "...". Cudzysłowy należą się rekordom TXT, a nie CNAME.
• Daj temu czas. Zmiany w DNS mogą się rozchodzić od kilku minut do kilku godzin, zanim Microsoft zdoła je potwierdzić i DKIM zacznie być weryfikowany.

Sprawdź, czy zadziałało

Po opublikowaniu obu rekordów, włączeniu DKIM i odczekaniu chwili na propagację uruchom darmowe sprawdzenie na Defaults.Exposed. Prostym językiem potwierdzi, czy Twój DKIM jest opublikowany i czytelny. Twoje dane są przetwarzane w UE.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.