Defaults.Exposed › Настройка › DKIM

Как настроить DKIM в Microsoft 365

Опубликуйте две DKIM-записи в DNS и включите DKIM в Microsoft 365, чтобы каждое письмо несло защищённую от подделки подпись.

Почему это важно для вашего бизнеса

DKIM (DomainKeys Identified Mail) добавляет к каждому отправленному письму невидимую цифровую подпись. Принимающий почтовый сервис с помощью открытого ключа, который вы опубликовали в своём DNS, подтверждает две вещи: письмо действительно отправлено с вашего домена и никто не изменил его по дороге.

Проще говоря: DKIM — это печать подлинности на вашей почте. С ней труднее выдать себя за вас, а ваши настоящие письма с большей вероятностью попадут во входящие, а не в спам. Это бесплатно и настраивается один раз.

Важно: DKIM в Microsoft 365 настраивается в двух местах

DKIM — та самая запись, где действительно важно, кто что делает. Microsoft 365 к тому же делает это немного иначе, чем большинство провайдеров, — об этом стоит знать, чтобы не застрять:

• Microsoft использует две CNAME-записи, а не длинный TXT-ключ. Большинство провайдеров выдают один огромный открытый TXT-ключ. Microsoft же предлагает опубликовать две короткие CNAME-записи (называемые selector1 и selector2), которые ссылаются обратно на Microsoft. Сами ключи хранятся у Microsoft, и он может безопасно их менять за этими указателями.
• Две CNAME-записи публикует ваш DNS-хостер. Вы добавляете их там, куда указывают серверы имён вашего домена, — регистратор, веб-хостинг, Cloudflare и т. п. Обычно это не Microsoft (если вы не доверили Microsoft управление вашим DNS).
• Затем вы включаете DKIM внутри Microsoft. Публикации записей недостаточно; в портале безопасности Microsoft есть финальный шаг, где вы включаете подписывание.

Итак: публикуем две CNAME-записи у DNS-хостера, затем заходим в Microsoft и включаем DKIM.

Шаг 1 — Получите значения двух записей у Microsoft

1. Войдите как администратор и откройте портал безопасности Microsoft по адресу security.microsoft.com.
2. Перейдите в раздел Email & collaboration и найдите Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft иногда меняет эти названия местами — ищите DKIM в настройках аутентификации почты или антиспама).
3. Выберите свой домен.
4. Microsoft покажет две записи, которые нужно создать. Выглядят они так, с подставленными вашим доменом и уникальными кодами:
   • Host 1: selector1._domainkey → ссылается на selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → ссылается на selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Скопируйте оба целевых значения в точности. Придумать их нельзя — Microsoft генерирует их для вашего тенанта.

Шаг 2 — Опубликуйте две CNAME-записи у DNS-хостера

Сначала убедитесь, что работаете у той компании, которая действительно обслуживает ваш DNS. Записи работают, только если добавлены там, куда указывают серверы имён вашего домена. Если не уверены, проверьте раздел Nameservers в аккаунте регистратора или спросите того, кто управляет вашим сайтом.

1. Войдите к своему DNS-хостеру и откройте настройки DNS домена (ищите DNS / Records / Advanced DNS).
2. Добавьте новую запись и выберите CNAME (не TXT — именно здесь чаще всего ошибаются).
3. Для первой записи в поле Name / Host введите только selector1._domainkey. Не дописывайте в конце ваш домен: DNS-хостер добавит его автоматически.
4. В поле Value / Points to / Target вставьте первое целевое значение Microsoft, например selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Повторите для второй записи: Name = selector2._domainkey, Value = второе целевое значение Microsoft.
6. Оставьте TTL по умолчанию.
7. Сохраните обе.

Шаг 3 — Включите DKIM, вернувшись в Microsoft

Публикации записей недостаточно — нужно велеть Microsoft начать подписывать почту.

1. Вернитесь на страницу DKIM в портале безопасности Microsoft.
2. Выберите свой домен и переведите Sign messages for this domain with DKIM signatures в положение On (тумблер может называться Enable).
3. Microsoft проверит, что обе записи видны в вашем DNS. Если он пока их не находит, дайте DNS немного времени на распространение (от нескольких минут до пары часов) и попробуйте снова.

Ошибки, которые допускают чаще всего

• CNAME, а не TXT. DKIM у Microsoft использует две CNAME-записи, ссылающиеся обратно на Microsoft. Попытка вставить открытый TXT-ключ (как делают другие провайдеры) здесь не сработает.
• Сначала обе записи, потом тумблер. Нужны опубликованные selector1 и selector2, а затем шаг включения внутри Microsoft. Пропуск тумблера означает, что записи есть, но Microsoft так и не подписывает вашу почту.
• Не вписывайте полный домен в Host. Вводите только selector1._domainkey / selector2._domainkey — остальное добавится за вас. Повторное указание домена создаёт сломанный хост вида selector1._domainkey.yourdomain.com.yourdomain.com.
• Вставляйте целевые значения в точности. Цели на onmicrosoft.com содержат имя вашего тенанта и уникальные коды — один неверный символ, и DKIM не пройдёт проверку.
• Следите за кавычками. Цель CNAME — это обычное имя хоста; не оборачивайте его в "...". Кавычки относятся к TXT-записям, а не к CNAME.
• Дайте время. Изменения DNS могут распространяться от нескольких минут до пары часов, прежде чем Microsoft сможет подтвердить записи и DKIM начнёт проходить проверку.

Проверьте, что всё сработало

После публикации обеих записей, включения DKIM и небольшой паузы на распространение запустите бесплатную проверку на Defaults.Exposed. Она простым языком подтвердит, опубликован ли ваш DKIM и читается ли он. Ваши данные обрабатываются в ЕС.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.