Defaults.Exposed › Налаштування › DKIM

Як налаштувати DKIM для Microsoft 365

Опублікуйте два DKIM-записи у вашому DNS і ввімкніть DKIM в Microsoft 365, щоб листи мали захищений від підробки підпис.

Чому це важливо для вашого бізнесу

DKIM (DomainKeys Identified Mail) додає невидимий цифровий підпис до кожного листа, який ви надсилаєте. Поштовий провайдер одержувача використовує відкритий ключ, опублікований у вашому DNS, щоб підтвердити дві речі: лист дійсно надійшов з вашого домену, і ніхто не змінював його у дорозі.

Простіше кажучи: DKIM — це печатка автентичності на вашій пошті. Вона ускладнює підробку і підвищує шанси, що ваші справжні листи потраплять у вхідні, а не у спам. Вона безкоштовна і налаштовується один раз.

Важливо: DKIM в Microsoft 365 налаштовується у двох місцях

DKIM — це той запис, де важливо знати, хто що робить. Microsoft 365 також робить це дещо інакше, ніж більшість провайдерів — варто розуміти, щоб не загрузнути:

• Microsoft використовує два CNAME-записи, а не довгий TXT-ключ. Більшість провайдерів надають один величезний TXT-ключ. Microsoft натомість пропонує вам опублікувати два коротких CNAME-записи (під назвами selector1 і selector2), що вказують назад на Microsoft. Microsoft зберігає фактичні ключі і може безпечно їх ротувати через ці вказівники.
• Ваш DNS-хост публікує два CNAME. Ви додаєте їх туди, куди вказують неймсервери вашого домену — ваш реєстратор, вебхостинг, Cloudflare тощо. Зазвичай це не Microsoft (якщо тільки ви не дозволили Microsoft керувати вашим DNS).
• Потім ви вмикаєте DKIM всередині Microsoft. Публікації записів недостатньо; є фінальний крок у порталі безпеки Microsoft, де ви вмикаєте підписання.

Тобто: опублікуйте два CNAME у вашому DNS-хості, потім зайдіть у Microsoft і ввімкніть DKIM.

Крок 1 — Отримайте два значення записів від Microsoft

1. Увійдіть як адміністратор і відкрийте портал безпеки Microsoft на security.microsoft.com.
2. Перейдіть до розділу Email & collaboration і знайдіть Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft час від часу переміщує ці пункти — шукайте DKIM у налаштуваннях автентифікації пошти або захисту від спаму).
3. Виберіть ваш домен.
4. Microsoft покаже два записи, які потрібно створити. Вони виглядають приблизно так, з вашим доменом і унікальними кодами:
   • Host 1: selector1._domainkey → вказує на selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → вказує на selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Скопіюйте обидва цільових значення точно. Їх не можна вигадати — Microsoft генерує їх для вашого тенанту.

Крок 2 — Опублікуйте два CNAME у вашому DNS-хості

Спочатку переконайтеся, що ви працюєте в компанії, яка дійсно керує вашим DNS. Записи працюють лише якщо додані там, куди вказують неймсервери вашого домену. Якщо не впевнені — перегляньте розділ Nameservers у вашого реєстратора або запитайте того, хто управляє вашим сайтом.

1. Увійдіть до вашого DNS-хоста і відкрийте DNS-налаштування для вашого домену (шукайте DNS / Records / Advanced DNS).
2. Додайте новий запис і виберіть CNAME (не TXT — це та частина, де найчастіше помиляються).
3. Для першого запису у полі Name / Host введіть лише selector1._domainkey. Не додавайте ваш домен у кінці; DNS-хост додає його автоматично.
4. У полі Value / Points to / Target вставте першу ціль Microsoft, наприклад selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Повторіть для другого запису: Name = selector2._domainkey, Value = друга ціль Microsoft.
6. Залиште TTL за замовчуванням.
7. Збережіть обидва.

Крок 3 — Увімкніть DKIM, повернувшись до Microsoft

Публікації записів недостатньо — потрібно повідомити Microsoft почати підписувати листи.

1. Поверніться до сторінки DKIM в порталі безпеки Microsoft.
2. Виберіть ваш домен і переключіть Sign messages for this domain with DKIM signatures у стан On (перемикач може мати назву Enable).
3. Microsoft перевіряє, чи видимі два записи у вашому DNS. Якщо вони ще не знайдені — дайте DNS трохи часу для поширення (хвилини або кілька годин) і спробуйте знову.

Типові помилки

• CNAME, не TXT. DKIM Microsoft використовує два CNAME-записи, що вказують назад на Microsoft. Спроба вставити TXT-ключ (як роблять інші провайдери) тут не спрацює.
• Обидва записи, потім перемикач. Потрібно опублікувати і selector1, і selector2, а потім виконати крок увімкнення в Microsoft. Пропуск перемикача означає, що записи існують, але Microsoft ніколи не підписуватиме вашу пошту.
• Не вводьте повний домен у поле Host. Вводьте лише selector1._domainkey / selector2._domainkey — решта додається автоматично. Включення домену знову створить зламаний хост на кшталт selector1._domainkey.yourdomain.com.yourdomain.com.
• Вставте цілі значення точно. Цілі значення onmicrosoft.com містять ім’я вашого тенанту і унікальні коди — один неправильний символ і DKIM не пройде перевірку.
• Зверніть увагу на лапки. Ціль CNAME — це звичайний hostname; не беріть його в "...". Лапки призначені для TXT-записів, а не для CNAME.
• Зачекайте. DNS-зміни можуть займати від хвилин до кількох годин, перш ніж Microsoft зможе підтвердити і DKIM почне підтверджуватися.

Перевірте результат

Після публікації обох записів, ввімкнення DKIM і невеликої паузи для поширення змін запустіть безкоштовну перевірку на Defaults.Exposed. Вона підтвердить зрозумілою мовою, чи опублікований і читається ваш DKIM. Дані обробляються в ЄС.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.