Defaults.Exposed › 設置 › DKIM
如何在 Microsoft 365 上設定 DKIM
在你的 DNS 中發布兩條 DKIM 記錄,並在 Microsoft 365 裡把 DKIM 開關打開,讓你發出的郵件帶上無法被篡改的簽章。
這件事為什麼關係到你的業務
DKIM(網域金鑰識別郵件)會給你發出的每一封郵件加上一個看不見的數位簽章。收件方的郵件服務商用你發布在 DNS 中的公鑰來確認兩件事:這封郵件確實來自你的網域,而且在傳輸途中沒有被人改動過。
說得直白些:DKIM 就是給你的郵件蓋上一枚真偽防偽章。它讓假冒你更難得逞,也讓你真正發出的郵件更有機會進入對方收件匣、而不是被丟進垃圾郵件。它是免費的,設定一次即可。
重點:Microsoft 365 上的 DKIM 要在兩個地方完成
DKIM 是所有記錄裡最講究「誰負責哪一步」的一個。Microsoft 365 的做法還和大多數服務商略有不同——了解一下,免得卡住:
- Microsoft 用的是兩條 CNAME 記錄,而不是一長串 TXT 金鑰。 大多數服務商遞給你的是一條巨長的 TXT 公鑰。Microsoft 則讓你發布兩條短短的 CNAME 記錄(叫
selector1和selector2),它們指回 Microsoft。真正的金鑰由 Microsoft 持有,並可以在這些指標背後安全地輪換。 - 由你的 DNS 託管商發布這兩條 CNAME。 你把它們新增到你網域的網域伺服器(nameservers)所指向的地方——你的註冊商、虛擬主機商、Cloudflare 等。這家通常不是 Microsoft(除非你讓 Microsoft 管理你的 DNS)。
- 然後你要在 Microsoft 內部把 DKIM 開關打開。 光發布記錄還不夠;在 Microsoft 的安全門戶裡還有最後一步,需要你啟用簽章。
所以:在你的 DNS 託管處發布兩條 CNAME,然後進入 Microsoft 把 DKIM 打開。
第一步——從 Microsoft 獲取這兩條記錄的值
- 用管理員身份登入,開啟 Microsoft 安全門戶 security.microsoft.com。
- 進入 Email & collaboration 區域,找到 Policies & rules → Threat policies → Email authentication settings → DKIM(Microsoft 偶爾會調整這些標籤的位置——在郵件身份驗證或反垃圾郵件設定下找 DKIM)。
- 選擇你的網域。
- Microsoft 會向你顯示你需要建立的兩條記錄。它們長這樣,其中已填入你自己的網域和專屬代碼:
- 主機 1:
selector1._domainkey→ 指向selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com - 主機 2:
selector2._domainkey→ 指向selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
- 主機 1:
- 把這兩個目標值一字不差地複製下來。它們你無法自己編造——Microsoft 會為你的租用戶產生。
第二步——在你的 DNS 託管處發布這兩條 CNAME
首先,確認你是在真正管理你 DNS 的那家公司裡操作。這些記錄只有新增在你網域的**網域伺服器(nameservers)**所指向的地方才會生效。如果不確定,請到你註冊商帳戶裡查看 Nameservers 一欄,或者問問替你管理網站的人。
- 登入你的 DNS 託管商,開啟該網域的 DNS 設定(找 DNS / Records / Advanced DNS)。
- 新增一條新記錄,類型選 CNAME(不是 TXT——這正是人們出錯的地方)。
- 對於第一條記錄,在 Name / Host 一欄只填
selector1._domainkey。不要在末尾加上你的網域;DNS 託管商會自動補全。 - 在 Value / Points to / Target 一欄,貼上 Microsoft 的第一個目標,例如
selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com。 - 對第二條記錄重複操作:Name =
selector2._domainkey,Value = Microsoft 的第二個目標。 - TTL 保持預設。
- 把兩條都儲存。
第三步——回到 Microsoft 裡開啟 DKIM
光發布記錄還不夠——你得告訴 Microsoft 開始簽章。
- 回到 Microsoft 安全門戶裡的 DKIM 頁面。
- 選擇你的網域,把 Sign messages for this domain with DKIM signatures(用 DKIM 簽章為此網域簽署郵件)切換為 On(開關也可能標作 Enable)。
- Microsoft 會檢查這兩條記錄是否在你的 DNS 裡可見。如果它暫時還找不到,給 DNS 一點時間傳播(幾分鐘到一兩個小時),然後再試一次。
人們常踩的坑
- 是 CNAME,不是 TXT。 Microsoft 的 DKIM 用的是兩條指回 Microsoft 的 CNAME 記錄。試圖像其他服務商那樣貼上一條 TXT 公鑰,在這裡行不通。
- 兩條記錄都要有,然後再撥開關。 你需要同時發布
selector1和selector2,然後在 Microsoft 內部執行啟用這一步。遺漏撥開關,記錄雖然存在,但 Microsoft 永遠不會給你的郵件簽章。 - 不要把完整網域填進 Host。 只填
selector1._domainkey/selector2._domainkey——其餘部分系統會替你補上。再次帶上網域會產生一個出錯的主機名稱,例如selector1._domainkey.yourdomain.com.yourdomain.com。 - 目標值要一字不差地貼上。 那些
onmicrosoft.com目標裡含有你的租用戶名稱和專屬代碼——錯一個字元 DKIM 就驗證不過。 - 留意引號。 CNAME 目標是一個純主機名稱;不要用 「”…”」 把它包起來。引號屬於 TXT 記錄,不屬於 CNAME。
- 給它一點時間。 DNS 改動可能需要幾分鐘到一兩個小時,之後 Microsoft 才能確認、DKIM 才開始驗證通過。
驗證是否生效
兩條記錄都發布好、DKIM 也開啟之後,留出一點生效時間,再用 Defaults.Exposed 上的免費檢測跑一下。它會用大白話告訴你:你的 DKIM 是否已發布、是否能被讀取到。你的資料在歐盟境內處理。
完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。