Defaults.Exposed › 设置 › DKIM

如何在 Microsoft 365 上配置 DKIM

在你的 DNS 中发布两条 DKIM 记录，并在 Microsoft 365 里把 DKIM 开关打开，让你发出的邮件带上无法被篡改的签名。

这件事为什么关系到你的生意

DKIM（域名密钥识别邮件）会给你发出的每一封邮件加上一个看不见的数字签名。收件方的邮件服务商用你发布在 DNS 中的公钥来确认两件事：这封邮件确实来自你的域名，而且在传输途中没有被人改动过。

说得直白些：DKIM 就是给你的邮件盖上一枚真伪防伪章。它让冒充你更难得逞，也让你真正发出的邮件更有机会进入对方收件箱、而不是被丢进垃圾邮件。它是免费的，配置一次即可。

重点：Microsoft 365 上的 DKIM 要在两个地方完成

DKIM 是所有记录里最讲究「谁负责哪一步」的一个。Microsoft 365 的做法还和大多数服务商略有不同——了解一下，免得卡住：

• Microsoft 用的是两条 CNAME 记录，而不是一长串 TXT 密钥。 大多数服务商递给你的是一条巨长的 TXT 公钥。Microsoft 则让你发布两条短短的 CNAME 记录（叫 selector1 和 selector2），它们指回 Microsoft。真正的密钥由 Microsoft 持有，并可以在这些指针背后安全地轮换。
• 由你的 DNS 托管商发布这两条 CNAME。 你把它们添加到你域名的域名服务器（nameservers）所指向的地方——你的注册商、虚拟主机商、Cloudflare 等。这家通常不是 Microsoft（除非你让 Microsoft 管理你的 DNS）。
• 然后你要在 Microsoft 内部把 DKIM 开关打开。 光发布记录还不够；在 Microsoft 的安全门户里还有最后一步，需要你启用签名。

所以：在你的 DNS 托管处发布两条 CNAME，然后进入 Microsoft 把 DKIM 打开。

第一步——从 Microsoft 获取这两条记录的值

1. 用管理员身份登录，打开 Microsoft 安全门户 security.microsoft.com。
2. 进入 Email & collaboration 区域，找到 Policies & rules → Threat policies → Email authentication settings → DKIM（Microsoft 偶尔会调整这些标签的位置——在邮件身份验证或反垃圾邮件设置下找 DKIM）。
3. 选择你的域名。
4. Microsoft 会向你显示你需要创建的两条记录。它们长这样，其中已填入你自己的域名和专属代码：
   • 主机 1： selector1._domainkey → 指向 selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • 主机 2： selector2._domainkey → 指向 selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. 把这两个目标值一字不差地复制下来。它们你无法自己编造——Microsoft 会为你的租户生成。

第二步——在你的 DNS 托管处发布这两条 CNAME

首先，确认你是在真正管理你 DNS 的那家公司里操作。这些记录只有添加在你域名的**域名服务器（nameservers）**所指向的地方才会生效。如果不确定，请到你注册商账户里查看 Nameservers 一栏，或者问问替你管理网站的人。

1. 登录你的 DNS 托管商，打开该域名的 DNS 设置（找 DNS / Records / Advanced DNS）。
2. 添加一条新记录，类型选 CNAME（不是 TXT——这正是人们出错的地方）。
3. 对于第一条记录，在 Name / Host 一栏只填 selector1._domainkey。不要在末尾加上你的域名；DNS 托管商会自动补全。
4. 在 Value / Points to / Target 一栏，粘贴 Microsoft 的第一个目标，例如 selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com。
5. 对第二条记录重复操作：Name = selector2._domainkey，Value = Microsoft 的第二个目标。
6. TTL 保持默认。
7. 把两条都保存。

第三步——回到 Microsoft 里开启 DKIM

光发布记录还不够——你得告诉 Microsoft 开始签名。

1. 回到 Microsoft 安全门户里的 DKIM 页面。
2. 选择你的域名，把 Sign messages for this domain with DKIM signatures（用 DKIM 签名为此域名签署邮件）切换为 On（开关也可能标作 Enable）。
3. Microsoft 会检查这两条记录是否在你的 DNS 里可见。如果它暂时还找不到，给 DNS 一点时间传播（几分钟到一两个小时），然后再试一次。

人们常踩的坑

• 是 CNAME，不是 TXT。 Microsoft 的 DKIM 用的是两条指回 Microsoft 的 CNAME 记录。试图像其他服务商那样粘贴一条 TXT 公钥，在这里行不通。
• 两条记录都要有，然后再拨开关。 你需要同时发布 selector1 和 selector2，然后在 Microsoft 内部执行启用这一步。漏掉拨开关，记录虽然存在，但 Microsoft 永远不会给你的邮件签名。
• 不要把完整域名填进 Host。 只填 selector1._domainkey / selector2._domainkey——其余部分系统会替你补上。再次带上域名会生成一个出错的主机名，例如 selector1._domainkey.yourdomain.com.yourdomain.com。
• 目标值要一字不差地粘贴。 那些 onmicrosoft.com 目标里含有你的租户名和专属代码——错一个字符 DKIM 就验证不过。
• 留意引号。 CNAME 目标是一个纯主机名；不要用 「”…”」 把它包起来。引号属于 TXT 记录，不属于 CNAME。
• 给它一点时间。 DNS 改动可能需要几分钟到一两个小时，之后 Microsoft 才能确认、DKIM 才开始验证通过。

验证是否生效

两条记录都发布好、DKIM 也开启之后，留出一点生效时间，再用 Defaults.Exposed 上的免费检测跑一下。它会用大白话告诉你：你的 DKIM 是否已发布、是否能被读取到。你的数据在欧盟境内处理。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。