Cosa imparerai in questo articolo
- Per impostare correttamente il DKIM di Office 365, ogni dominio personalizzato che invia la posta ha bisogno di una propria configurazione DKIM e di record CNAME basati su selettori pubblicati nel DNS pubblico.
- Microsoft 365 firma la posta per i domini personalizzati solo dopo aver aggiunto le voci DNS DKIM fornite da Microsoft e poi aver abilitato esplicitamente la firma nella pagina delle impostazioni DKIM.
- La convalida dovrebbe includere sia i controlli DNS che l'ispezione in tempo reale delle intestazioni dei messaggi, in modo da poter confermare che il dominio sta effettivamente applicando una firma DKIM alla posta in uscita.
- Il DKIM è più efficace se abbinato a SPF e DMARC come parte di una più ampia strategia di sicurezza e-mail di Office 365.
Se utilizza Microsoft 365 per inviare e-mail da un dominio personalizzato, DKIM è uno dei controlli più importanti da attivare. DKIM, o DomainKeys Identified Mail, aggiunge una firma crittografica alla posta in uscita, in modo che i sistemi riceventi possano verificare l'autenticità di e l'integrità del messaggio.
Se configurato correttamente, DKIM aiuta a ridurre lo spoofing, supporta un'autenticazione e-mail più forte e migliora la deliverability delle e-mail . Questa guida illustra i passi fondamentali per impostare il DKIM negli ambienti Office 365.
Passo 1: Confermare i prerequisiti prima di abilitare DKIM
Prima di impostare un record DKIM in Office 365, si assicuri che l'ambiente sia pronto. Il processo di Microsoft presuppone che il dominio sia già attivo in Microsoft 365 e che il suo team possa gestire sia il lato DNS che il lato Microsoft 365 della configurazione.
Confermi quanto segue prima di procedere:
- Il dominio personalizzato è già stato aggiunto e verificato in Microsoft 365.
- Lei ha accesso al DNS pubblico del dominio.
- Ha sufficienti permessi di amministrazione in Microsoft 365
- Ha identificato tutti i domini e i sottodomini personalizzati che inviano la posta.
- Lei è consapevole che il dominio predefinito .onMicrosoft.com non richiede l'impostazione manuale di DKIM.
Questa fase di pianificazione aiuta a prevenire i domini mancati, la copertura incompleta della firma e gli errori di configurazione evitabili più avanti nel processo .
Passo 2: generare o visualizzare le chiavi DKIM in Microsoft 365
Microsoft gestisce il DKIM di Office 365 attraverso la pagina delle impostazioni DKIM nell'esperienza di sicurezza Microsoft 365.
I percorsi di amministrazione e l'interfaccia utente di Microsoft cambiano nel tempo, quindi è più sicuro fare riferimento alla pagina delle impostazioni DKIM nell'ambiente di sicurezza Microsoft 365, spesso visualizzata attraverso Microsoft 365 Defender o l'esperienza più ampia di Microsoft Defender. Questa è di solito un'opzione migliore, piuttosto che affidarsi a un percorso di clic esatto.
Selezioni il dominio di invio personalizzato nella pagina DKIM. Se Microsoft mostra un'opzione per creare chiavi DKIM, la utilizzi. Se il pulsante non appare, continui al passo successivo e utilizzi i valori del selettore che Microsoft già fornisce per quel dominio .
In questa fase, è necessario catturare i due valori basati sui selettori che Microsoft fornisce. Di solito utilizzano il modello di denominazione :
- selettore1._domainkey
- selettore2._domainkey
Si noti che non si tratta di record TXT. Sono i due record CNAME che Microsoft si aspetta che lei pubblichi prima di poter abilitare la firma DKIM. Ogni selettore funge da selettore DKIM e Microsoft li utilizza per supportare la firma e la futura gestione della chiave , compresa la possibilità di ruotare il DKIM in un secondo momento senza interrompere il flusso della posta.
Passo 3: pubblicare i due record CNAME DKIM nel DNS pubblico
Utilizzi esattamente i nomi dei selettori e i valori di destinazione forniti da Microsoft. Pubblichi entrambi i record del selettore, non solo uno. Questo è un punto comune di confusione, perché gli amministratori a volte pensano che un solo record sia sufficiente, ma la configurazione DKIM documentata da Microsoft prevede l'esistenza di entrambi i record.
Apporti le modifiche all'host DNS esterno per il dominio, non al DNS interno. A seconda del suo provider DNS, i campi possono essere etichettati come:
- Host o Nome
- Obiettivo o Punti a
- TTL
Lasci il TTL al valore predefinito, a meno che la sua organizzazione non abbia una politica DNS specifica. La questione più importante è la precisione di . Gli errori di battitura, le voci duplicate, gli spazi extra o la pubblicazione dei record in un contesto di dominio sbagliato sono tra i motivi più comuni per cui Microsoft non può rilevare i record in un secondo momento.
Questo è anche il punto in cui gli amministratori a volte confondono DKIM con SPF. DKIM per Microsoft 365 utilizza le voci CNAME in questo caso, non un record TXT come un record SPF. SPF è una parte separata delle sue impostazioni di autenticazione e-mail, in genere pubblicata come voce TXT per Sender Policy Framework. Microsoft documenta l'SPF separatamente per i domini personalizzati in Microsoft 365.
Passo 4: attendere la propagazione DNS, quindi abilitare la firma DKIM
Dopo aver pubblicato le voci DNS, attenda la propagazione DNS prima di provare ad abilitare la firma. La documentazione di Microsoft osserva che i record potrebbero non essere visibili immediatamente, e il tempo di propagazione dipende dal provider DNS e dal comportamento del TTL esistente di .
Una volta che i record sono visibili all'esterno, torni alla pagina delle impostazioni DKIM in Microsoft 365, selezioni nuovamente il dominio, e attivi la firma per quel dominio. In molti ambienti, Microsoft definisce questa operazione come l'abilitazione o l'attivazione di DKIM per il dominio selezionato.
In alcuni ambienti DNS possono essere sufficienti pochi minuti, ma è anche normale che questo processo richieda dalle 24 alle 48 ore. Se Microsoft dice che non riesce a trovare le voci CNAME, non dia subito per scontato che i valori siano sbagliati.
Aspetti ancora un po', ricontrolli i record esternamente e poi riprovi. La tempistica DNS è uno dei motivi più comuni per cui gli amministratori di pensano che il processo DKIM Office sia fallito, quando in realtà si tratta solo di un ritardo nella propagazione.
Passo 5: convalidare il funzionamento del DKIM
Dopo l'attivazione, verifichi sia il lato DNS che l'effettivo flusso di posta.
Per prima cosa, utilizzi un DKIM lookup o DKIM record checker per confermare che entrambe le voci di record CNAME basate su selettori si risolvano correttamente. Questo mostra che il lato DNS è in posizione.
In secondo luogo, verifica la firma dal vivo. Invii un messaggio di prova dal dominio configurato a una casella postale esterna, quindi ispezioni le intestazioni del messaggio . Vuole confermare:
- Il messaggio contiene una firma DKIM
- Il risultato mostra un passaggio DKIM
- Il dominio di firma corrisponde al dominio che intende proteggere.
Questa è la fase di convalida più importante, perché un record DNS visibile da solo non prova che l'autenticazione DKIM avvenga sulla posta reale. Un dominio può avere il record pubblicato e tuttavia fallire se viene testato il mittente sbagliato, se il dominio non è stato abilitato correttamente, o se un altro sistema modifica il messaggio in un secondo momento durante il transito.
Passo 6: Risoluzione dei problemi comuni di impostazione DKIM in Office 365
La maggior parte dei problemi di attivazione del DKIM si riduce ad alcuni problemi comuni di impostazione. Se Microsoft 365 non riesce a rilevare i record o la firma non sembra funzionare, verifichi prima quanto segue:
- Confermi che i nomi dei selettori e i valori di destinazione corrispondono esattamente all'output di Microsoft - Anche un piccolo errore di battitura nel selettore o nella destinazione può impedire a Microsoft di trovare i record.
- Si assicuri che i record siano stati aggiunti come CNAME - Queste voci devono essere pubblicate come record CNAME, non come record TXT o un altro tipo di DNS.
- Verificare che i record esistano nella zona DNS pubblica corretta - I record devono essere aggiunti alla zona DNS esterna per il dominio personalizzato corretto, non a una zona interna o al dominio sbagliato.
- Consentire più tempo per la propagazione del DNS - Una configurazione corretta può ancora fallire i controlli iniziali se il DNS pubblico non è ancora stato aggiornato completamente .
- Separare la firma di Microsoft 365 da altri servizi di invio - Un'impostazione valida di Microsoft 365 DKIM si applica solo alla posta firmata da Microsoft 365. Se altri strumenti inviano posta dallo stesso dominio, come i CRM, le piattaforme di ticketing o i servizi di posta sicura di , potrebbero avere bisogno di una propria configurazione DKIM e di una revisione dell'allineamento.
Passo 7: Estendere la protezione oltre la configurazione iniziale
Il DKIM non deve essere trattato come un controllo autonomo. Funziona al meglio insieme a SPF e DMARC. DKIM firma il messaggio e aiuta a confermare l'integrità. SPF identifica le fonti di posta approvate per il dominio.
Il DMARC applica criteri e rapporti quando l'autenticazione fallisce, rendendo più difficile lo spoofing e contribuendo a migliorare la deliverability e la fiducia delle e-mail . Microsoft raccomanda esplicitamente di utilizzare insieme DKIM, SPF e DMARC per i domini Microsoft 365.
Negli ambienti multidominio, ripeta il processo per ogni dominio personalizzato che invia la posta dal tenant. Se gestisce molti domini, PowerShell può aiutarla a scalare il lavoro. La guida DKIM di Microsoft fa riferimento ai controlli del dominio basati su PowerShell, e negli ambienti più grandi i team utilizzano spesso Exchange Online PowerShell per l'inventario, la convalida e l'automazione della configurazione della posta.
Vale anche la pena ricordare che alcuni domini non mittenti possono ancora essere protetti dallo spoofing con scelte di policy di autenticazione più forti , soprattutto una volta che DMARC in Office 365 è in vigore. L'obiettivo non è solo quello di firmare la posta, ma di ridurre gli abusi nell'intero portafoglio di domini dell'organizzazione.
Configuri DKIM in Office 365 come parte di una strategia di autenticazione più forte.
Per impostare con successo il DKIM Office 365, inizi con le basi: verifichi il dominio, raccolga i valori del selettore forniti da Microsoft, pubblichi entrambe le voci CNAME richieste nel DNS pubblico, attenda la propagazione e poi attivi la firma in Microsoft 365. Dopodiché, convalidi i risultati attraverso i controlli DNS e le intestazioni dei messaggi in tempo reale.
Se configurato correttamente per ogni dominio personalizzato, DKIM rafforza la protezione del dominio, supporta la consegnabilità delle e-mail, e migliora la fiducia nelle e-mail business-critical. E quando viene abbinato a SPF e DMARC, diventa parte di una base di sicurezza e-mail molto più efficace.