Defaults.Exposed › Cài đặt › DKIM

Cách thiết lập DKIM trên Microsoft 365

Công bố hai bản ghi DKIM trong DNS và bật DKIM trong Microsoft 365 để email mang chữ ký chống giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DKIM (DomainKeys Identified Mail) thêm một chữ ký số vô hình vào mỗi email bạn gửi. Nhà cung cấp thư nhận dùng khóa công khai bạn công bố trong DNS để xác nhận hai điều: thư thực sự đến từ tên miền của bạn, và không ai thay đổi nó trên đường truyền.

Nói nôm na: DKIM là con dấu xác thực trên email của bạn. Nó làm khó việc giả mạo và cải thiện cơ hội email hợp lệ đến hộp thư thay vì thư rác. Miễn phí và chỉ cần thiết lập một lần.

Quan trọng: DKIM trên Microsoft 365 thực hiện ở hai nơi

DKIM là bản ghi mà vai trò của từng bên thực sự quan trọng. Microsoft 365 cũng làm hơi khác so với hầu hết nhà cung cấp — đáng biết để bạn không bị mắc kẹt:

• Microsoft dùng hai bản ghi CNAME, không phải khóa TXT dài. Hầu hết nhà cung cấp đưa cho bạn một khóa công khai TXT khổng lồ. Microsoft thay vào đó yêu cầu bạn công bố hai bản ghi CNAME ngắn (gọi là selector1 và selector2) trỏ về Microsoft. Microsoft giữ các khóa thực sự và có thể xoay chúng an toàn đằng sau các con trỏ đó.
• Nhà cung cấp DNS của bạn công bố hai CNAME. Bạn thêm chúng tại bất cứ đâu nameserver của tên miền trỏ đến — registrar, nhà cung cấp hosting, Cloudflare, v.v. Thường thì không phải Microsoft (trừ khi bạn để Microsoft quản lý DNS).
• Sau đó bạn bật DKIM bên trong Microsoft. Công bố các bản ghi chưa đủ; có bước cuối trong cổng bảo mật của Microsoft để bật ký.

Vậy: công bố hai CNAME trong nhà cung cấp DNS, sau đó vào Microsoft và bật DKIM.

Bước 1 — Lấy hai giá trị bản ghi từ Microsoft

1. Đăng nhập với tư cách quản trị viên và mở cổng bảo mật Microsoft tại security.microsoft.com.
2. Vào khu vực Email & collaboration và tìm Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft đôi khi di chuyển các nhãn này — tìm DKIM trong cài đặt xác thực email hoặc anti-spam).
3. Chọn tên miền của bạn.
4. Microsoft sẽ hiển thị hai bản ghi bạn cần tạo. Chúng trông như sau, với tên miền và mã riêng của bạn:
   • Host 1: selector1._domainkey → trỏ đến selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → trỏ đến selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Sao chép cả hai giá trị đích chính xác. Bạn không thể tự tạo những giá trị này — Microsoft tạo ra cho tenant của bạn.

Bước 2 — Công bố hai CNAME trong nhà cung cấp DNS của bạn

Đầu tiên, đảm bảo bạn đang làm việc với công ty thực sự quản lý DNS của bạn. Các bản ghi chỉ hoạt động nếu được thêm tại bất cứ đâu nameserver của tên miền trỏ đến. Nếu không chắc, kiểm tra mục Nameservers trong tài khoản registrar, hoặc hỏi người quản lý website của bạn.

1. Đăng nhập vào nhà cung cấp DNS của bạn và mở cài đặt DNS cho tên miền (tìm DNS / Records / Advanced DNS).
2. Thêm bản ghi mới và chọn CNAME (không phải TXT — đây là phần mọi người hay nhầm).
3. Cho bản ghi đầu tiên, trong trường Name / Host nhập selector1._domainkey. Đừng thêm tên miền vào cuối; nhà cung cấp DNS tự động nối.
4. Trong trường Value / Points to / Target, dán đích đầu tiên của Microsoft, ví dụ selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Lặp lại cho bản ghi thứ hai: Name = selector2._domainkey, Value = đích thứ hai của Microsoft.
6. Để TTL ở mức mặc định.
7. Lưu cả hai.

Bước 3 — Bật DKIM, quay lại Microsoft

Công bố các bản ghi chưa đủ — bạn phải yêu cầu Microsoft bắt đầu ký.

1. Quay lại trang DKIM trong cổng bảo mật Microsoft.
2. Chọn tên miền của bạn và chuyển Sign messages for this domain with DKIM signatures sang On (toggle có thể ghi là Enable).
3. Microsoft kiểm tra hai bản ghi có hiển thị trong DNS của bạn không. Nếu chưa tìm thấy, hãy cho DNS một chút thời gian để lan rộng (vài phút đến vài giờ) và thử lại.

Những lỗi phổ biến

• CNAME, không phải TXT. DKIM của Microsoft dùng hai bản ghi CNAME trỏ về Microsoft. Cố dán khóa công khai TXT (cách các nhà cung cấp khác làm) sẽ không hoạt động ở đây.
• Cả hai bản ghi, rồi mới bật. Bạn cần cả selector1 và selector2 được công bố, sau đó mới thực hiện bước bật trong Microsoft. Bỏ qua bước bật có nghĩa là các bản ghi tồn tại nhưng Microsoft không bao giờ ký thư của bạn.
• Đừng gõ tên miền đầy đủ trong Host. Chỉ nhập selector1._domainkey / selector2._domainkey — phần còn lại được thêm tự động. Thêm tên miền sẽ tạo host bị lỗi như selector1._domainkey.yourdomain.com.yourdomain.com.
• Dán các đích chính xác. Các đích onmicrosoft.com chứa tên tenant và mã riêng của bạn — một ký tự sai và DKIM sẽ không xác thực.
• Chú ý dấu ngoặc kép. Đích CNAME là hostname thuần túy; đừng bọc trong "...". Dấu ngoặc dành cho bản ghi TXT, không phải CNAME.
• Chờ thêm. Thay đổi DNS có thể mất vài phút đến vài giờ trước khi Microsoft có thể xác nhận và DKIM bắt đầu xác thực.

Xác minh hoạt động

Sau khi công bố cả hai bản ghi, bật DKIM, và chờ một chút để lan rộng, chạy kiểm tra miễn phí trên Defaults.Exposed. Nó sẽ xác nhận bằng ngôn ngữ đơn giản liệu DKIM của bạn đã được công bố và đọc được chưa. Dữ liệu của bạn được xử lý tại EU.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.