Defaults.Exposed › Configuração › DKIM

Como configurar o DKIM no Microsoft 365

Publique dois registos DKIM no seu DNS e ative o DKIM no Microsoft 365 para que os seus emails levem uma assinatura à prova de adulteração.

Por que isto importa para o seu negócio

O DKIM (DomainKeys Identified Mail, ou correio identificado por chaves de domínio) acrescenta uma assinatura digital invisível a cada email que envia. O fornecedor de email do destinatário usa uma chave pública que publicou no seu DNS para confirmar duas coisas: que a mensagem veio mesmo do seu domínio e que ninguém a alterou pelo caminho.

Em termos simples: o DKIM é um selo de autenticidade no seu email. Dificulta que alguém se faça passar por si e aumenta a probabilidade de o seu email genuíno chegar à caixa de entrada em vez do spam. É gratuito e configura-se uma única vez.

Importante: o DKIM no Microsoft 365 faz-se em dois sítios

O DKIM é o único registo em que importa mesmo saber quem faz o quê. O Microsoft 365 também o faz de forma um pouco diferente da maioria dos fornecedores — vale a pena saber para não ficar preso:

• A Microsoft usa dois registos CNAME, não uma chave TXT longa. A maioria dos fornecedores entrega-lhe uma chave pública TXT gigante. A Microsoft, em vez disso, faz com que publique dois registos CNAME curtos (chamados selector1 e selector2) que apontam de volta para a Microsoft. A Microsoft guarda as chaves reais e pode rodá-las em segurança por trás desses apontadores.
• O seu anfitrião de DNS publica os dois CNAME. Acrescenta-os onde apontam os servidores de nomes do seu domínio — o seu registador, alojamento web, Cloudflare, etc. Normalmente não é a Microsoft (a menos que deixe a Microsoft gerir o seu DNS).
• Depois ativa o DKIM dentro da Microsoft. Publicar os registos não basta; há um passo final no portal de segurança da Microsoft em que ativa a assinatura.

Ou seja: publique dois CNAME no seu anfitrião de DNS e depois entre na Microsoft e ative o DKIM.

Passo 1 — Obtenha os dois valores de registo junto da Microsoft

1. Inicie sessão como administrador e abra o portal de segurança da Microsoft em security.microsoft.com.
2. Vá à área Email & collaboration e encontre Policies & rules → Threat policies → Email authentication settings → DKIM (a Microsoft muda ocasionalmente estes nomes de sítio — procure DKIM nas definições de autenticação de email ou anti-spam).
3. Selecione o seu domínio.
4. A Microsoft mostrar-lhe-á os dois registos que precisa de criar. Têm este aspeto, com o seu próprio domínio e códigos únicos preenchidos:
   • Host 1: selector1._domainkey → aponta para selector1-<seu-dominio>._domainkey.<seu-inquilino>.onmicrosoft.com
   • Host 2: selector2._domainkey → aponta para selector2-<seu-dominio>._domainkey.<seu-inquilino>.onmicrosoft.com
5. Copie ambos os valores de destino exatamente. Não pode inventá-los — a Microsoft gera-os para o seu inquilino.

Passo 2 — Publique os dois CNAME no seu anfitrião de DNS

Primeiro, certifique-se de que está a trabalhar na empresa que gere mesmo o seu DNS. Os registos só funcionam se forem acrescentados onde apontam os servidores de nomes do seu domínio. Se tiver dúvidas, verifique a secção Nameservers na conta do seu registador, ou pergunte a quem gere o seu site.

1. Inicie sessão no seu anfitrião de DNS e abra as definições de DNS do seu domínio (procure DNS / Records / Advanced DNS).
2. Acrescente um novo registo e escolha CNAME (não TXT — esta é a parte em que as pessoas erram).
3. Para o primeiro registo, no campo Name / Host introduza apenas selector1._domainkey. Não acrescente o seu domínio no fim; o anfitrião de DNS junta-o automaticamente.
4. No campo Value / Points to / Target, cole o primeiro destino da Microsoft, por exemplo selector1-<seu-dominio>._domainkey.<seu-inquilino>.onmicrosoft.com.
5. Repita para o segundo registo: Name = selector2._domainkey, Value = o segundo destino da Microsoft.
6. Deixe o TTL no valor predefinido.
7. Guarde ambos.

Passo 3 — Ative o DKIM, de volta à Microsoft

Publicar os registos não basta — tem de dizer à Microsoft para começar a assinar.

1. Volte à página DKIM no portal de segurança da Microsoft.
2. Selecione o seu domínio e mude Sign messages for this domain with DKIM signatures para On (o interruptor pode estar designado Enable).
3. A Microsoft verifica se os dois registos estão visíveis no seu DNS. Se ainda não os conseguir encontrar, dê algum tempo ao DNS para propagar (de minutos a algumas horas) e tente novamente.

Erros comuns

• CNAME, não TXT. O DKIM da Microsoft usa dois registos CNAME que apontam de volta para a Microsoft. Tentar colar uma chave pública TXT (como fazem outros fornecedores) não vai funcionar aqui.
• Os dois registos, depois o interruptor. Precisa de ter selector1 e selector2 publicados e, depois, do passo de ativação dentro da Microsoft. Saltar o interruptor significa que os registos existem mas a Microsoft nunca assina o seu correio.
• Não ponha o domínio completo em Host. Introduza apenas selector1._domainkey / selector2._domainkey — o resto é acrescentado por si. Repetir o seu domínio cria um anfitrião inválido como selector1._domainkey.seudominio.com.seudominio.com.
• Cole os destinos exatamente. Os destinos onmicrosoft.com contêm o nome do seu inquilino e códigos únicos — um carácter errado e o DKIM não valida.
• Atenção às aspas. Um destino CNAME é um nome de anfitrião simples; não o envolva em «...». As aspas pertencem aos registos TXT, não aos CNAME.
• Dê-lhe tempo. As alterações de DNS podem levar de minutos a algumas horas até a Microsoft poder confirmar e o DKIM começar a validar.

Confirme que resultou

Depois de publicar ambos os registos, ativar o DKIM e dar algum tempo de propagação, execute a verificação gratuita no Defaults.Exposed. Vai confirmar-lhe, em linguagem simples, se o seu DKIM está publicado e legível. Os seus dados são processados na UE.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.