Qué aprenderá en este artículo
- Para configurar DKIM Office 365 correctamente, cada dominio personalizado que envíe correo necesita su propia configuración DKIM y registros CNAME basados en selector publicados en el DNS público.
- Microsoft 365 firma el correo de los dominios personalizados sólo después de que usted añada las entradas DNS DKIM proporcionadas por Microsoft y, a continuación, habilite explícitamente la firma en la página de configuración DKIM.
- La validación debe incluir tanto comprobaciones DNS como la inspección en vivo del encabezado del mensaje para que pueda confirmar que el dominio está aplicando realmente una firma DKIM al correo saliente.
- DKIM es más eficaz cuando se combina con SPF y DMARC como parte de una estrategia más amplia de seguridad del correo electrónico de Office 365.
Si utiliza Microsoft 365 para enviar correo electrónico desde un dominio personalizado, DKIM es uno de los controles más importantes que debe activar. DKIM, o DomainKeys Identified Mail, añade una firma criptográfica al correo saliente para que los sistemas receptores puedan verificar la autenticidad de y la integridad del mensaje.
Si se configura correctamente, DKIM ayuda a reducir la suplantación de identidad, favorece una autenticación más sólida del correo electrónico y mejora la capacidad de entrega del correo electrónico . Esta guía cubre los pasos clave para configurar DKIM en entornos Office 365.
Paso 1: Confirme los requisitos previos antes de activar DKIM
Antes de configurar un registro DKIM en Office 365, asegúrese de que el entorno está preparado. El proceso de Microsoft asume que el dominio ya está activo en Microsoft 365 y que su equipo puede gestionar tanto el lado DNS como el lado Microsoft 365 de la configuración.
Confirme lo siguiente antes de seguir adelante:
- El dominio personalizado ya ha sido añadido y verificado en Microsoft 365
- Tiene acceso al DNS público del dominio
- Tiene suficientes permisos de administrador en Microsoft 365
- Ha identificado todos los dominios y subdominios personalizados que envían correo
- Entiende que el dominio predeterminado .onMicrosoft.com no requiere la configuración manual de DKIM
Este paso de planificación ayuda a evitar dominios perdidos, una cobertura de firmas incompleta y errores de configuración evitables más adelante en el proceso de .
Paso 2: Generar o ver las claves DKIM en Microsoft 365
Microsoft gestiona el DKIM de Office 365 a través de la página de configuración de DKIM en la experiencia de seguridad de Microsoft 365.
Las rutas de administración y la interfaz de usuario de Microsoft cambian con el tiempo, por lo que es más seguro consultar la página de configuración de DKIM en el entorno de seguridad de Microsoft 365, que suele aparecer a través de Microsoft 365 Defender o de la experiencia más amplia de Microsoft Defender. Ésta suele ser una opción mejor que confiar en una ruta de clic exacta.
Seleccione el dominio de envío personalizado en la página DKIM. Si Microsoft muestra una opción para Crear claves DKIM, utilícela. Si no aparece el botón , continúe con el paso siguiente y utilice los valores del selector que Microsoft ya proporciona para ese dominio .
En esta fase, debe capturar los dos valores basados en selectores que proporciona Microsoft. Suelen utilizar el patrón de nomenclatura :
- selector1._clavedominio
- selector2._clavedominio
Tenga en cuenta que no se trata de registros TXT. Son los dos registros CNAME que Microsoft espera que publique antes de poder activar la firma DKIM de . Cada selector actúa como un selector DKIM, y Microsoft los utiliza para apoyar la firma y la futura gestión de la clave , incluida la posibilidad de rotar DKIM posteriormente sin interrumpir el flujo de correo.
Paso 3: Publicar los dos registros DKIM CNAME en el DNS público
Utilice los nombres de los selectores y los valores de destino exactos proporcionados por Microsoft. Publique ambos registros del selector, no sólo uno. Este es un punto común de confusión porque los administradores a veces asumen que un registro es suficiente, pero la configuración DKIM documentada en de Microsoft espera que existan ambos registros.
Realice los cambios en el host DNS externo del dominio, no en el DNS interno. Dependiendo de su proveedor de DNS, los campos pueden estar etiquetados como:
- Host o Nombre
- Objetivo o Puntos a
- TTL
Deje el TTL en el valor por defecto a menos que su organización tenga una política DNS específica. La cuestión más importante es accuracy. Los errores tipográficos, las entradas duplicadas, los espacios adicionales o la publicación de los registros en el contexto de dominio incorrecto son algunas de las razones más comunes por las que Microsoft no puede detectar los registros posteriormente.
Aquí es también donde los administradores confunden a veces DKIM con SPF. DKIM para Microsoft 365 utiliza aquí entradas CNAME, no un registro TXT como un registro SPF. SPF es una parte separada de la configuración de autenticación de su correo electrónico, normalmente publicada como una entrada TXT para Sender Policy Framework. Microsoft documenta el SPF por separado para los dominios personalizados en Microsoft 365.
Paso 4: Espere a la propagación DNS y active la firma DKIM
Tras publicar las entradas DNS, espere a la propagación DNS antes de intentar activar la firma. La documentación de Microsoft señala que los registros pueden no ser visibles inmediatamente y que el tiempo de propagación depende del proveedor de DNS y del comportamiento TTL existente en .
Una vez que los registros sean visibles externamente, vuelva a la página de configuración de DKIM en Microsoft 365, seleccione de nuevo el dominio, y active la firma para ese dominio. En muchos entornos, Microsoft etiqueta esto como habilitar o activar DKIM para el dominio seleccionado.
Unos minutos pueden ser suficientes en algunos entornos DNS, pero también es normal que este proceso dure entre 24 y 48 horas. Si Microsoft dice que no puede encontrar las entradas CNAME, no asuma inmediatamente que los valores son incorrectos.
Espere un poco más, vuelva a comprobar los registros externamente y vuelva a intentarlo. La sincronización del DNS es una de las razones más comunes por las que los administradores de piensan que el proceso de la Oficina DKIM ha fallado, cuando en realidad sólo se trata de un retraso en la propagación.
Paso 5: Validar que DKIM funciona
Tras la activación, verifique tanto el lado DNS como el flujo de correo real.
En primer lugar, utilice una búsqueda DKIM o DKIM record checker para confirmar que ambas entradas de registro CNAME basadas en selector se resuelven correctamente. Esto muestra que el lado DNS está en su sitio.
En segundo lugar, verifique la firma en directo. Envíe un mensaje de prueba desde el dominio configurado a un buzón externo y, a continuación, inspeccione las cabeceras de los mensajes . Quiere confirmarlo:
- El mensaje contiene una firma DKIM
- El resultado muestra un pase DKIM
- El dominio de firma coincide con el dominio que pretendía proteger
Este es el paso de validación más importante porque un registro DNS visible por sí solo no prueba que la autenticación DKIM esté ocurriendo en el correo real. Un dominio puede tener el registro publicado y aun así fallar si se está comprobando el remitente equivocado, si el dominio no se habilitó correctamente o si otro sistema está modificando el mensaje más adelante en el tránsito.
Paso 6: Solucionar problemas comunes de configuración de DKIM en Office 365
La mayoría de los problemas de activación de DKIM se reducen a algunos problemas comunes de configuración. Si Microsoft 365 no puede detectar los registros o la firma no parece funcionar, compruebe primero lo siguiente:
- Confirme que los nombres de los selectores y los valores de destino coinciden exactamente con la salida de Microsoft - Incluso un pequeño error tipográfico en el selector o en el destino puede impedir que Microsoft encuentre los registros.
- Asegúrese de que los registros se añadieron como CNAME - Estas entradas deben publicarse como registros CNAME, no como un registro TXT u otro tipo de DNS.
- Verifique que los registros existen en la zona DNS pública correcta - Los registros deben añadirse a la zona DNS externa para el dominio personalizado correcto, no a una zona interna o al dominio incorrecto.
- Deje pasar más tiempo para la propagación del DNS - Una configuración correcta aún puede fallar en las comprobaciones iniciales si el DNS público aún no se ha actualizado completamente .
- Separe la firma de Microsoft 365 de otros servicios de envío - Una configuración DKIM válida de Microsoft 365 sólo se aplica al correo firmado por Microsoft 365. Si otras herramientas envían correo desde el mismo dominio, como los CRM, las plataformas de venta de entradas o los servicios de correo seguro , es posible que necesiten su propia configuración DKIM y una revisión de la alineación.
Paso 7: Ampliar la protección más allá de la configuración inicial
DKIM no debe tratarse como un control independiente. Funciona mejor junto con SPF y DMARC. DKIM firma el mensaje y ayuda a confirmar la integridad. SPF identifica las fuentes de correo aprobadas para el dominio.
DMARC aplica políticas e informes cuando falla la autenticación, lo que dificulta la suplantación y ayuda a mejorar la entregabilidad y la confianza del correo electrónico . Microsoft recomienda explícitamente utilizar DKIM, SPF y DMARC juntos para los dominios de Microsoft 365.
En entornos multidominio, repita el proceso para cada dominio personalizado que envíe correo desde el arrendatario. Si gestiona muchos dominios, PowerShell puede ayudarle a escalar el trabajo. La guía DKIM de Microsoft hace referencia a las comprobaciones del dominio basadas en PowerShell, y en los entornos más grandes los equipos suelen utilizar PowerShell de Exchange Online para el inventario, la validación y la automatización de en torno a la configuración del correo.
También merece la pena recordar que algunos dominios no remitentes aún pueden protegerse de la suplantación de identidad con opciones de políticas de autenticación más sólidas, especialmente una vez que se haya implantado DMARC en Office 365. El objetivo no es sólo firmar el correo, sino reducir el abuso en toda la cartera de dominios de la organización.
Configure DKIM en Office 365 como parte de una estrategia de autenticación más sólida
Para configurar DKIM Office 365 con éxito, empiece por lo básico: verifique el dominio, reúna los valores del selector proporcionados por Microsoft, publique las dos entradas CNAME necesarias en el DNS público, espere a que se propague y, a continuación, active la firma en Microsoft 365. A continuación, valide los resultados mediante comprobaciones DNS y cabeceras de mensajes en directo.
Cuando se configura correctamente para cada dominio personalizado, DKIM refuerza la protección del dominio, favorece la entregabilidad del correo electrónico, y mejora la confianza en el correo electrónico crítico para la empresa. Y cuando se combina con SPF y DMARC, se convierte en parte de una base de seguridad del correo electrónico mucho más eficaz.