Defaults.Exposed › Nastavenie › DKIM

Ako nastaviť DKIM pre Microsoft 365

Publikujte dva DKIM záznamy vo svojom DNS a zapnite DKIM v Microsoft 365, aby vaše e-maily niesli manipulácii odolný podpis.

Prečo na tom záleží pre vaše podnikanie

DKIM (DomainKeys Identified Mail) pridáva neviditeľný digitálny podpis ku každému e-mailu, ktorý odošlete. Prijímajúci poštový poskytovateľ použije verejný kľúč zverejnený vo vašom DNS na potvrdenie dvoch vecí: správa skutočne pochádza z vašej domény a nikto ju po ceste neupravil.

Zrozumiteľne povedané: DKIM je pečať autenticity na vašom e-maile. Sťažuje vydávanie sa za vašu firmu a zvyšuje šancu, že váš skutočný e-mail dorazí do doručenej pošty namiesto spamu. Je bezplatný a nastavuje sa raz.

Dôležité: DKIM pre Microsoft 365 sa robí na dvoch miestach

DKIM je ten jeden záznam, kde skutočne záleží, kto čo robí. Microsoft 365 to robí trochu inak ako väčšina poskytovateľov — stojí za to to vedieť, aby ste sa nezasekli:

• Microsoft používa dva CNAME záznamy, nie dlhý TXT kľúč. Väčšina poskytovateľov vám dá jeden obrovský TXT verejný kľúč. Microsoft namiesto toho má vás publikovať dva krátke CNAME záznamy (nazývané selector1 a selector2), ktoré ukazujú späť na Microsoft. Microsoft uchováva skutočné kľúče a môže ich bezpečne rotovať za týmito ukazovateľmi.
• Váš DNS hostiteľ publikuje dve CNAMEs. Pridávate ich tam, kde ukazujú nameservery vašej domény — váš registrátor, webhostiteľ, Cloudflare atď. To zvyčajne nie je Microsoft (pokiaľ ste nenechali Microsoft spravovať váš DNS).
• Potom zapnete DKIM v Microsofte. Publikovanie záznamov nestačí; je ešte posledný krok v bezpečnostnom portáli Microsoftu, kde zapnete podpisovanie.

Teda: publikujte dve CNAMEs u vášho DNS hostiteľa, potom choďte do Microsoftu a zapnite DKIM.

Krok 1 — Získajte dve hodnoty záznamov od Microsoftu

1. Prihláste sa ako správca a otvorte bezpečnostný portál Microsoftu na security.microsoft.com.
2. Prejdite do oblasti Email & collaboration a nájdite Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft tieto štítky občas presúva — hľadajte DKIM pod nastaveniami e-mailovej autentifikácie alebo antispamu).
3. Vyberte svoju doménu.
4. Microsoft vám zobrazí dva záznamy, ktoré potrebujete vytvoriť. Vyzerajú takto, s vašou vlastnou doménou a unikátnymi kódmi:
   • Host 1: selector1._domainkey → ukazuje na selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → ukazuje na selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Skopírujte obe cieľové hodnoty presne. Nemôžete si ich vymyslieť — Microsoft ich generuje pre váš tenant.

Krok 2 — Publikujte dve CNAMEs u vášho DNS hostiteľa

Najskôr sa uistite, že pracujete v spoločnosti, ktorá skutočne spravuje váš DNS. Záznamy fungujú iba vtedy, ak sú pridané tam, kde ukazujú nameservery vašej domény. Ak si nie ste istí, skontrolujte sekciu Nameservers vo svojom registrátorskom účte alebo sa opýtajte toho, kto spravuje vašu webstránku.

1. Prihláste sa do svojho DNS hostiteľa a otvorte DNS nastavenia pre svoju doménu (hľadajte DNS / Records / Advanced DNS).
2. Pridajte nový záznam a zvoľte CNAME (nie TXT — toto je časť, kde ľudia robia chybu).
3. Pre prvý záznam do poľa Name / Host zadajte iba selector1._domainkey. Doménu na koniec nepridávajte; DNS hostiteľ ju dopĺňa automaticky.
4. Do poľa Value / Points to / Target vložte prvý cieľ Microsoftu, napr. selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Opakujte pre druhý záznam: Name = selector2._domainkey, Value = druhý cieľ Microsoftu.
6. TTL ponechajte na predvolenej hodnote.
7. Uložte oboje.

Krok 3 — Zapnite DKIM, späť v Microsofte

Publikovanie záznamov nestačí — musíte Microsoftu povedať, aby začal podpisovať.

1. Vráťte sa na stránku DKIM v bezpečnostnom portáli Microsoftu.
2. Vyberte svoju doménu a prepnite Sign messages for this domain with DKIM signatures na On (prepínač môže byť označený Enable).
3. Microsoft skontroluje, či dva záznamy vidí vo vašom DNS. Ak ich zatiaľ nenajde, dajte DNS trochu času na šírenie (minúty až niekoľko hodín) a skúste znova.

Časté chyby

• CNAME, nie TXT. DKIM Microsoftu používa dva CNAME záznamy ukazujúce späť na Microsoft. Pokus o vloženie TXT verejného kľúča (tak, ako to robia iní poskytovatelia) tu nebude fungovať.
• Oba záznamy, potom prepínač. Potrebujete publikovaný selector1 aj selector2, potom krok zapnutia v Microsofte. Vynechanie prepínača znamená, že záznamy existujú, ale Microsoft nikdy nepodpíše vaše e-maily.
• Nedávajte celú doménu do Host. Zadajte iba selector1._domainkey / selector2._domainkey — zvyšok sa pridá za vás. Zahrnutie vašej domény znovu vytvára chybný hostname ako selector1._domainkey.yourdomain.com.yourdomain.com.
• Vložte ciele presne. Ciele onmicrosoft.com obsahujú názov vášho tenanta a unikátne kódy — jeden nesprávny znak a DKIM nebude overovať.
• Pozor na úvodzovky. Cieľ CNAME je prostý hostname; nezalamujte ho do "...". Úvodzovky patria na TXT záznamy, nie CNAMEs.
• Dajte tomu čas. DNS zmeny môžu trvať minúty až niekoľko hodín predtým, ako Microsoft potvrdí a DKIM začne overovať.

Overenie, či to fungovalo

Po publikovaní oboch záznamov, zapnutí DKIM a po krátkom čase na šírenie spustite bezplatnú kontrolu na Defaults.Exposed. Zrozumiteľne vám potvrdí, či je váš DKIM publikovaný a čitateľný. Vaše dáta sa spracúvajú v EÚ.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.