Defaults.Exposed › Konfiguration › DKIM

Så konfigurerar du DKIM för Microsoft 365

Publicera två DKIM-poster i din DNS och aktivera DKIM i Microsoft 365 så att din e-post bär en manipuleringssäker signatur.

Varför det här spelar roll för ditt företag

DKIM (DomainKeys Identified Mail) lägger till en osynlig digital signatur på varje e-postmeddelande du skickar. Den mottagande e-postleverantören använder en offentlig nyckel som du publicerat i din DNS för att bekräfta två saker: att meddelandet verkligen kom från din domän och att ingen ändrade det på vägen.

Enkelt uttryckt: DKIM är ett autenticitetsbevis på din e-post. Det försvårar impersonering och ökar chansen att din genuina e-post hamnar i inkorgen snarare än i skräpposten. Det är gratis och kräver engångskonfiguration.

Viktigt: DKIM för Microsoft 365 görs på två ställen

DKIM är den post där det verkligen spelar roll vem som gör vad. Microsoft 365 gör det också lite annorlunda än de flesta leverantörer — värt att veta för att inte fastna:

• Microsoft använder två CNAME-poster, inte en lång TXT-nyckel. De flesta leverantörer ger dig en stor TXT-offentlig nyckel. Microsoft låter dig istället publicera två korta CNAME-poster (kallade selector1 och selector2) som pekar tillbaka mot Microsoft. Microsoft håller de faktiska nycklarna och kan rotera dem säkert bakom dessa pekare.
• Din DNS-värd publicerar de två CNAME:erna. Du lägger till dem hos det företag som din domäns namnservrar pekar mot — din registrator, ditt webbhotell, Cloudflare m.fl. Det är vanligtvis inte Microsoft (om du inte lät Microsoft hantera din DNS).
• Du aktiverar sedan DKIM inuti Microsoft. Att publicera posterna räcker inte; det finns ett slutsteg i Microsofts säkerhetsportal där du aktiverar signering.

Alltså: publicera två CNAME:er hos din DNS-värd, gå sedan in i Microsoft och aktivera DKIM.

Steg 1 — Hämta de två postvärdena från Microsoft

1. Logga in som administratör och öppna Microsofts säkerhetsportal på security.microsoft.com.
2. Gå till området E-post och samarbete och hitta Principer och regler → Hotprinciper → Inställningar för e-postautentisering → DKIM (Microsoft ändrar ibland dessa etiketter — leta efter DKIM under inställningarna för e-postautentisering eller skräppostskydd).
3. Välj din domän.
4. Microsoft visar de två poster du behöver skapa. De ser ut ungefär så här, med din egen domän och unika koder ifyllda:
   • Host 1: selector1._domainkey → pekar mot selector1-<din-domän>._domainkey.<din-tenancy>.onmicrosoft.com
   • Host 2: selector2._domainkey → pekar mot selector2-<din-domän>._domainkey.<din-tenancy>.onmicrosoft.com
5. Kopiera båda målvärdena exakt. Du kan inte hitta på dessa — Microsoft genererar dem för din tenancy.

Steg 2 — Publicera de två CNAME:erna hos din DNS-värd

Kontrollera först att du arbetar hos det företag som faktiskt hanterar din DNS. Posterna fungerar bara om de läggs till hos det företag som din domäns namnservrar pekar mot. Om du är osäker, kontrollera avsnittet Namnservrar i ditt registratorkonto, eller fråga den som hanterar din webbplats.

1. Logga in på din DNS-värd och öppna DNS-inställningarna för din domän (leta efter DNS / Poster / Avancerad DNS).
2. Lägg till en ny post och välj CNAME (inte TXT — det här är den del folk gör fel).
3. För den första posten anger du selector1._domainkey i fältet Namn / Host. Lägg inte till din domän i slutet; DNS-värden lägger till det automatiskt.
4. I fältet Värde / Pekar mot / Mål klistrar du in Microsofts första mål, t.ex. selector1-<din-domän>._domainkey.<din-tenancy>.onmicrosoft.com.
5. Upprepa för den andra posten: Namn = selector2._domainkey, Värde = Microsofts andra mål.
6. Lämna TTL på standardvärdet.
7. Spara båda.

Steg 3 — Aktivera DKIM, tillbaka i Microsoft

Att publicera posterna räcker inte — du måste tala om för Microsoft att börja signera.

1. Återvänd till DKIM-sidan i Microsofts säkerhetsportal.
2. Välj din domän och aktivera Signera meddelanden för den här domänen med DKIM-signaturer (växlingsknappen kan vara märkt Aktivera).
3. Microsoft kontrollerar att de två posterna är synliga i din DNS. Kan den inte hitta dem än, ge DNS lite tid att spridas (minuter till ett par timmar) och försök igen.

Vanliga misstag

• CNAME, inte TXT. Microsofts DKIM använder två CNAME-poster som pekar tillbaka mot Microsoft. Att försöka klistra in en TXT-offentlig nyckel (som andra leverantörer gör) fungerar inte här.
• Båda posterna, sedan växlingsknappen. Du behöver selector1 och selector2 publicerade, sedan aktiveringssteget inuti Microsoft. Hoppar du över växlingsknappen existerar posterna men Microsoft signerar aldrig din e-post.
• Lägg inte in hela domänen i Host. Ange bara selector1._domainkey / selector2._domainkey — resten läggs till automatiskt. Inkluderar du din domän igen skapas en trasig host som selector1._domainkey.dindomän.com.dindomän.com.
• Klistra in målen exakt. onmicrosoft.com-målen innehåller ditt tenancy-namn och unika koder — ett felaktigt tecken och DKIM valideras inte.
• Akta citattecknen. Ett CNAME-mål är ett rent värdnamn; omslut det inte med "...". Citattecken tillhör TXT-poster, inte CNAME:er.
• Ge det tid. DNS-ändringar kan ta minuter till ett par timmar innan Microsoft kan bekräfta och DKIM börjar valideras.

Verifiera att det fungerar

Kör den kostnadsfria kontrollen på Defaults.Exposed efter att du publicerat båda posterna, aktiverat DKIM och låtit det gå lite tid. Den bekräftar i klartext om ditt DKIM är publicerat och läsbart. Din data behandlas inom EU.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.