Defaults.Exposed › การตั้งค่า › DKIM
วิธีตั้งค่า DKIM บน Microsoft 365
เผยแพร่ DKIM records สองรายการใน DNS และเปิด DKIM ใน Microsoft 365 เพื่อให้อีเมลของคุณมีลายเซ็นที่ป้องกันการดัดแปลง
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
DKIM (DomainKeys Identified Mail) เพิ่มลายเซ็นดิจิทัลที่มองไม่เห็นในอีเมลทุกฉบับที่คุณส่ง ผู้ให้บริการอีเมลที่รับใช้ public key ที่คุณเผยแพร่ใน DNS เพื่อยืนยันสองสิ่ง: ข้อความนั้นมาจากโดเมนของคุณจริง ๆ และไม่มีใครแก้ไขมันระหว่างทาง
พูดให้เข้าใจง่าย: DKIM คือตราประทับความแท้จริงบนอีเมลของคุณ ทำให้การแอบอ้างยากขึ้นและเพิ่มโอกาสที่อีเมลแท้ของคุณจะเข้าถึงกล่องจดหมายแทนที่จะเป็นสแปม ฟรีและตั้งค่าเพียงครั้งเดียว
สำคัญ: DKIM บน Microsoft 365 ทำสองสถานที่
DKIM คือ record ที่สำคัญที่สุดที่ต้องรู้ว่าใครทำอะไร Microsoft 365 ยังทำแตกต่างจากผู้ให้บริการส่วนใหญ่เล็กน้อย — ควรรู้ไว้เพื่อไม่ให้ติด:
- Microsoft ใช้ CNAME records สองรายการ ไม่ใช่ TXT key ที่ยาว ผู้ให้บริการส่วนใหญ่ให้ TXT public key ขนาดใหญ่หนึ่งอัน Microsoft แทนที่ให้คุณเผยแพร่ CNAME records สั้นสองรายการ (เรียกว่า
selector1และselector2) ที่ชี้กลับไปยัง Microsoft Microsoft เก็บ keys จริงและสามารถหมุนเวียนได้อย่างปลอดภัยเบื้องหลัง pointers เหล่านั้น - DNS host ของคุณเผยแพร่ CNAME สองรายการ คุณเพิ่มมันที่ที่ nameserver ของโดเมนของคุณชี้ไป — registrar, web host, Cloudflare ฯลฯ มักจะไม่ใช่ Microsoft (เว้นแต่คุณให้ Microsoft จัดการ DNS)
- คุณจากนั้นเปิด DKIM ใน Microsoft การเผยแพร่ records ยังไม่พอ มีขั้นตอนสุดท้ายใน portal ความปลอดภัยของ Microsoft ที่คุณเปิดการเซ็น
ดังนั้น: เผยแพร่ CNAME สองรายการใน DNS host จากนั้นไปที่ Microsoft และเปิด DKIM
ขั้นตอนที่ 1 — รับค่า records สองรายการจาก Microsoft
- ลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบและเปิด Microsoft security portal ที่ security.microsoft.com
- ไปที่พื้นที่ Email & collaboration และหา Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft อาจย้าย labels เหล่านี้เป็นครั้งคราว — มองหา DKIM ใต้การตั้งค่า email authentication หรือ anti-spam)
- เลือกโดเมนของคุณ
- Microsoft จะแสดง records สองรายการที่คุณต้องสร้าง มีลักษณะดังนี้ โดยมีโดเมนและรหัสเฉพาะของคุณ:
- Host 1:
selector1._domainkey→ ชี้ไปที่selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com - Host 2:
selector2._domainkey→ ชี้ไปที่selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
- Host 1:
- คัดลอก target values ทั้งสองให้ตรงทั้งหมด คุณสร้างค่าเหล่านี้เองไม่ได้ — Microsoft สร้างมันสำหรับ tenant ของคุณ
ขั้นตอนที่ 2 — เผยแพร่ CNAME สองรายการใน DNS host ของคุณ
ก่อนอื่น ตรวจสอบให้แน่ใจว่าคุณกำลังทำงานในบริษัทที่รัน DNS ของคุณจริง ๆ Records จะทำงานได้ก็ต่อเมื่อถูกเพิ่มที่ที่ nameserver ของโดเมนชี้ไป หากไม่แน่ใจ ให้ตรวจสอบส่วน Nameservers ในบัญชี registrar ของคุณ
- ลงชื่อเข้าใช้ DNS host ของคุณและเปิด DNS settings สำหรับโดเมน (มองหา DNS / Records / Advanced DNS)
- เพิ่ม record ใหม่และเลือก CNAME (ไม่ใช่ TXT — นี่คือส่วนที่คนทำผิด)
- สำหรับ record แรก ในช่อง Name / Host ป้อนเฉพาะ
selector1._domainkeyอย่าเพิ่มโดเมนต่อท้าย DNS host ต่อให้อัตโนมัติ - ในช่อง Value / Points to / Target วาง target แรกของ Microsoft เช่น
selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com - ทำซ้ำสำหรับ record ที่สอง: Name =
selector2._domainkey, Value = target ที่สองของ Microsoft - ปล่อย TTL ไว้ที่ค่าเริ่มต้น
- บันทึกทั้งสอง
ขั้นตอนที่ 3 — เปิด DKIM กลับที่ Microsoft
การเผยแพร่ records ยังไม่พอ — คุณต้องบอก Microsoft ให้เริ่มเซ็น
- กลับไปที่หน้า DKIM ใน Microsoft security portal
- เลือกโดเมนของคุณและสลับ Sign messages for this domain with DKIM signatures เป็น On (toggle อาจเรียกว่า Enable)
- Microsoft ตรวจสอบว่า records สองรายการมองเห็นได้ใน DNS ของคุณ หากยังไม่พบ ให้รอให้ DNS แพร่กระจายสักครู่ (สองสามนาทีถึงสองสามชั่วโมง) แล้วลองใหม่
ข้อผิดพลาดที่มักเกิดขึ้น
- CNAME ไม่ใช่ TXT DKIM ของ Microsoft ใช้ CNAME records สองรายการที่ชี้กลับไปยัง Microsoft การพยายามวาง TXT public key (วิธีที่ผู้ให้บริการอื่นทำ) จะไม่ทำงานที่นี่
- ทั้งสอง records แล้วค่อย toggle คุณต้องเผยแพร่
selector1และselector2จากนั้นจึงเปิดใช้งานใน Microsoft การข้ามการสลับ toggle หมายความว่า records มีอยู่แต่ Microsoft ไม่เคยเซ็นอีเมลของคุณ - อย่าใส่โดเมนเต็มใน Host ป้อนเฉพาะ
selector1._domainkey/selector2._domainkey— ส่วนที่เหลือถูกเพิ่มให้คุณ การใส่โดเมนซ้ำจะสร้าง host ที่เสียเช่นselector1._domainkey.yourdomain.com.yourdomain.com - วาง targets ให้ตรงทั้งหมด targets
onmicrosoft.comมีชื่อ tenant และรหัสเฉพาะของคุณ — อักขระผิดหนึ่งตัวและ DKIM จะไม่ผ่านการตรวจสอบ - ระวังการครอบ CNAME target คือชื่อ host ธรรมดา อย่าครอบด้วย
"..."เครื่องหมายอัญประกาศอยู่ใน TXT records ไม่ใช่ CNAMEs - ให้เวลามัน การเปลี่ยนแปลง DNS อาจใช้เวลาสองสามนาทีถึงสองสามชั่วโมงก่อนที่ Microsoft จะยืนยันและ DKIM จะเริ่มตรวจสอบ
ตรวจสอบว่าได้ผล
หลังจากเผยแพร่ทั้งสอง records เปิด DKIM และรอให้เวลาแพร่กระจายเล็กน้อย ให้ตรวจสอบด้วยการตรวจสอบฟรีบน Defaults.Exposed ระบบจะยืนยันอย่างชัดเจนว่า DKIM ของคุณถูกเผยแพร่และอ่านได้หรือไม่ ข้อมูลของคุณประมวลผลในสหภาพยุโรป
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ