Defaults.Exposed › Configurare › DKIM

Cum configurezi DKIM pentru Microsoft 365

Publică două înregistrări DKIM în DNS-ul tău și activează DKIM în Microsoft 365 ca emailurile tale să poarte o semnătură rezistentă la falsificare.

De ce contează asta pentru afacerea ta

DKIM (DomainKeys Identified Mail) adaugă o semnătură digitală invizibilă fiecărui email pe care îl trimiți. Furnizorul de email al receptorului folosește o cheie publică publicată în DNS-ul tău pentru a confirma două lucruri: că mesajul a venit cu adevărat din domeniul tău și că nimeni nu l-a modificat pe parcurs.

Pe scurt: DKIM este un sigiliu de autenticitate pe emailul tău. Face uzurparea identității mai dificilă și crește șansa ca emailurile tale autentice să ajungă în inbox în loc de spam. Este gratuit și este o configurare o singură dată.

Important: DKIM pe Microsoft 365 se face în două locuri

DKIM este singura înregistrare unde contează cu adevărat cine face ce. Microsoft 365 funcționează și puțin diferit față de alți furnizori — merită să știi asta ca să nu te blochezi:

• Microsoft folosește două înregistrări CNAME, nu o cheie TXT lungă. Majoritatea furnizorilor îți dau o singură cheie publică TXT uriașă. Microsoft în schimb îți cere să publici două înregistrări CNAME scurte (numite selector1 și selector2) care pointează înapoi la Microsoft. Microsoft deține cheile reale și le poate roti în siguranță în spatele acelor pointere.
• Gazda DNS publică cele două CNAME-uri. Le adaugi acolo unde pointează nameserverele domeniului tău — registratarul tău, furnizorul de hosting, Cloudflare, etc. De obicei aceea nu este Microsoft (cu excepția cazului în care ai lăsat Microsoft să gestioneze DNS-ul tău).
• Activezi DKIM în Microsoft. Publicarea înregistrărilor nu este suficientă; există un pas final în portalul de securitate Microsoft unde activezi semnarea.

Deci: publică două CNAME-uri în gazda DNS, apoi intră în Microsoft și activează DKIM.

Pasul 1 — Obține cele două valori de înregistrare de la Microsoft

1. Conectează-te ca administrator și deschide portalul de securitate Microsoft la security.microsoft.com.
2. Accesează zona Email & collaboration și găsește Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft mută uneori aceste etichete — caută DKIM în setările de autentificare email sau anti-spam).
3. Selectează domeniul tău.
4. Microsoft îți va arăta cele două înregistrări pe care trebuie să le creezi. Arată astfel, cu domeniul tău propriu și codurile unice completate:
   • Host 1: selector1._domainkey → pointează la selector1-<domeniu-tău>._domainkey.<tenant-tău>.onmicrosoft.com
   • Host 2: selector2._domainkey → pointează la selector2-<domeniu-tău>._domainkey.<tenant-tău>.onmicrosoft.com
5. Copiază ambele valori țintă exact. Nu le poți inventa — Microsoft le generează pentru tenant-ul tău.

Pasul 2 — Publică cele două CNAME-uri în gazda DNS

Mai întâi, asigură-te că lucrezi în compania care gestionează efectiv DNS-ul tău. Înregistrările funcționează doar dacă sunt adăugate acolo unde pointează nameserverele domeniului tău. Dacă nu ești sigur, verifică secțiunea Nameservers în contul registratorului tău, sau întreabă persoana care gestionează site-ul tău.

1. Conectează-te la gazda DNS și deschide setările DNS pentru domeniul tău (caută DNS / Records / Advanced DNS).
2. Adaugă o nouă înregistrare și alege CNAME (nu TXT — aceasta este partea pe care oamenii o greșesc).
3. Pentru prima înregistrare, în câmpul Name / Host introdu doar selector1._domainkey. Nu adăuga domeniul la sfârșit; gazda DNS îl adaugă automat.
4. În câmpul Value / Points to / Target, lipește prima țintă a Microsoft, de ex. selector1-<domeniu-tău>._domainkey.<tenant-tău>.onmicrosoft.com.
5. Repetă pentru cea de-a doua înregistrare: Name = selector2._domainkey, Value = a doua țintă a Microsoft.
6. Lasă TTL la valoarea implicită.
7. Salvează ambele.

Pasul 3 — Activează DKIM, înapoi în Microsoft

Publicarea înregistrărilor nu este suficientă — trebuie să spui Microsoft să înceapă să semneze.

1. Revino la pagina DKIM din portalul de securitate Microsoft.
2. Selectează domeniul și comută Sign messages for this domain with DKIM signatures pe On (comutatorul poate fi etichetat Enable).
3. Microsoft verifică că cele două înregistrări sunt vizibile în DNS-ul tău. Dacă nu le poate găsi încă, acordă-i DNS-ului puțin timp de propagare (minute până la câteva ore) și încearcă din nou.

Greșeli frecvente

• CNAME, nu TXT. DKIM Microsoft folosește două înregistrări CNAME care pointează înapoi la Microsoft. Încercarea de a lipi o cheie publică TXT (cum fac alți furnizori) nu va funcționa aici.
• Ambele înregistrări, apoi comutatorul. Ai nevoie de selector1 și selector2 publicate, apoi pasul de activare din Microsoft. Omiterea comutatorului înseamnă că înregistrările există dar Microsoft nu semnează niciodată emailul tău.
• Nu pune domeniul complet în Host. Introdu doar selector1._domainkey / selector2._domainkey — restul este adăugat pentru tine. Includerea domeniului din nou creează un host stricat precum selector1._domainkey.yourdomain.com.yourdomain.com.
• Lipește țintele exact. Țintele onmicrosoft.com conțin numele tenant-ului și coduri unice — un singur caracter greșit și DKIM nu va valida.
• Atenție la ghilimele. O țintă CNAME este un hostname simplu; nu-l înconjura cu "...". Ghilimelele aparțin înregistrărilor TXT, nu CNAME-urilor.
• Acordă timp. Modificările DNS pot dura de la câteva minute la câteva ore înainte ca Microsoft să poată confirma și DKIM să înceapă să valideze.

Verifică dacă a funcționat

După publicarea ambelor înregistrări, activarea DKIM și acordarea unui puțin timp de propagare, rulează verificarea gratuită de pe Defaults.Exposed. Va confirma în termeni simpli dacă DKIM-ul tău este publicat și lizibil. Datele tale sunt procesate în UE.

Gata? Verifică domeniul tău gratuit pentru a confirma că a funcționat — și pentru a vedea nota ta completă la toate cele 34 de verificări.