Ověření odchozích e-mailů odeslaných z vlastní domény pomocí DKIM

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Platí pro

Tento článek uvádí postup použití DKIM (DomainKeys Identified Mail) s Microsoft 365, abyste zajistili, že cílové e-mailové systémy důvěřují zprávám odeslaným odchozím z vaší vlastní domény.

V tomto článku:

Poznámka

Microsoft 365 automaticky nastaví DKIM pro počáteční domény onmicrosoft.com. To znamená, že nemusíte nic dělat, abyste nastavili DKIM pro počáteční názvy domén (například litware.onmicrosoft.com). Další informace o doménách najdete v nejčastějších dotazech k doménám.

DKIM je jednou z trojic metod ověřování (SPF, DKIM a DMARC), které pomáhají útočníkům zabránit v odesílání zpráv, které vypadají, jako by pocházely z vaší domény.

DKIM umožňuje přidat digitální podpis do odchozích e-mailových zpráv v záhlaví zprávy. Při konfiguraci DKIM autorizujete doménu, aby přidružila nebo podepisovala její název k e-mailové zprávě pomocí kryptografického ověřování. E-mailové systémy, které z vaší domény získávají e-maily, můžou tento digitální podpis použít k ověření, jestli je příchozí e-mail legitimní.

V jazyce Basic privátní klíč zašifruje hlavičku v odchozích e-mailech domény. Veřejný klíč se publikuje v záznamech DNS domény a přijímající servery můžou tento klíč použít k dekódování podpisu. Ověření DKIM pomáhá přijímajícím serverům potvrdit, že pošta skutečně pochází z vaší domény, a ne někdo falšuje vaši doménu.

Tip

S DKIM pro vlastní doménu se taky můžete rozhodnout, že s DKIM nic neuděláte. Pokud nenastavíte DKIM pro vlastní doménu, Microsoft 365 vytvoří pár privátního a veřejného klíče, povolí podepisování DKIM a nakonfiguruje Microsoft 365 výchozí zásady pro vaši vlastní doménu.

Integrovaná konfigurace DKIM od Microsoft-365 je dostatečným pokrytím pro většinu zákazníků. Měli byste ale ručně nakonfigurovat DKIM pro vlastní doménu za následujících okolností:

  • V Microsoft 365 máte více než jednu vlastní doménu.
  • Nastavíte také DMARC (doporučeno).
  • Chcete mít kontrolu nad privátním klíčem
  • Chcete přizpůsobit záznamy CNAME
  • Chcete nastavit klíče DKIM pro e-mail pocházející z domény třetí strany, například pokud používáte hromadnou korespondenci třetí strany.

Jak DKIM funguje lépe než samotný SPF, aby se zabránilo škodlivému falšování identity

SPF přidá informace do obálky zprávy, ale DKIM zašifruje podpis v záhlaví zprávy. Při přeposílání zprávy může server pro přeposílání část obálky této zprávy oddělit. Vzhledem k tomu, že digitální podpis zůstane v e-mailové zprávě, protože je součástí záhlaví e-mailu, funguje DKIM i v případě, že byla zpráva přeposlaná, jak je znázorněno v následujícím příkladu.

Diagram znázorňující přeposlanou zprávu, která předává ověřování DKIM, kde kontrola SPF selže

Pokud jste v tomto příkladu publikovali jenom záznam SPF TXT pro svoji doménu, poštovní server příjemce mohl váš e-mail označit jako spam a vygenerovat falešně pozitivní výsledek. Přidání DKIM v tomto scénáři snižuje falešně pozitivní hlášení spamu. Vzhledem k tomu, že DKIM při ověřování spoléhá na kryptografii s veřejným klíčem, a ne jenom na IP adresy, považuje se DKIM za mnohem silnější formu ověřování než SPF. Ve vašem nasazení doporučujeme používat SPF i DKIM i DMARC.

Tip

DKIM používá privátní klíč k vložení šifrovaného podpisu do záhlaví zpráv. Podepisovací doména neboli odchozí doména se vloží jako hodnota pole d= v hlavičce. Ověřující doména nebo doména příjemce pak pomocí pole d= vyhledá veřejný klíč z DNS a ověří zprávu. Pokud je zpráva ověřená, kontrola DKIM projde.

Postup vytvoření, povolení a zakázání DKIM na portálu Microsoft 365 Defender

Všechny akceptované domény vašeho tenanta se zobrazí na portálu Microsoft 365 Defender na stránce DKIM. Pokud ji nevidíte, přidejte svoji přijatou doménu ze stránky domén. Po přidání domény nakonfigurujte DKIM podle následujících kroků.

Krok 1: Klikněte na doménu, kterou chcete nakonfigurovat DKIM na stránce DKIM (https://security.microsoft.com/dkimv2 nebo https://protection.office.com/dkimv2).

Stránka DKIM na portálu Microsoft 365 Defender s vybranou doménou

Krok 2: Posunutím přepínače povolte. Zobrazí se automaticky otevírané okno s oznámením, že potřebujete přidat záznamy CNAME.

Informační rámeček Podrobnosti o doméně s tlačítkem Vytvořit klíče DKIM

Krok 3: Zkopírování CNAMES zobrazeného v automaticky otevíraném okně

Automaticky otevírané okno Publikovat záznamy CNAME obsahující dva záznamy CNAME, které chcete zkopírovat

Krok 4: Publikujte zkopírované záznamy CNAME u svého poskytovatele služeb DNS.

Na webu poskytovatele DNS přidejte záznamy CNAME pro DKIM, které chcete povolit. Ujistěte se, že jsou pole pro každou z nich nastavená na následující hodnoty:

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

Krok 5: Vraťte se na stránku DKIM a povolte DKIM.

Přepínač pro povolení DKIM

Pokud se zobrazí chyba záznamu CNAME neexistuje, příčinou může být:

  1. Synchronizace se serverem DNS, která může trvat několik sekund až hodin, pokud problém přetrvává, opakujte kroky znovu.
  2. Zkontrolujte případné chyby při kopírování, například další mezery nebo tabulátory atd.

Pokud chcete zakázat DKIM, přepněte zpět do režimu zakázání.

Postup ručního upgradu 1024bitových klíčů na 2048bitové šifrovací klíče DKIM

Poznámka

Microsoft 365 automaticky nastaví DKIM pro onmicrosoft.com domény. K použití DKIM pro počáteční názvy domén (jako je litware) není potřeba žádný postup.onmicrosoft.com). Další informace o doménách najdete v nejčastějších dotazech k doménám.

Vzhledem k tomu, že klíče DKIM podporují bitovou verzi 1024 i 2048, tyto pokyny vám řeknou, jak upgradovat 1024bitový klíč na 2048 v Exchange Online PowerShellu. Následující postup platí pro dva případy použití. Zvolte prosím ten, který nejlépe vyhovuje vaší konfiguraci.

  • Pokud už máte nakonfigurovaný DKIM, otočíte bitovou verzi spuštěním následujícího příkazu:

    Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>
    

    Nebo

  • Pro novou implementaci DKIM spusťte následující příkaz:

    New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
    

Zůstaňte připojení k Exchange Online PowerShellu a ověřte konfiguraci spuštěním následujícího příkazu:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Tip

Tento nový 2048bitový klíč se projeví na RotateOnDate a mezitím odešle e-maily s 1024bitovým klíčem. Po čtyřech dnech můžete testovat znovu pomocí 2048bitového klíče (to znamená, že jakmile se otočení projeví u druhého voliče).

Pokud chcete otočit na druhý selektor, po čtyřech dnech a potvrdit, že se používá 2048bitová verze, ručně otočte druhý klíč selektoru pomocí příslušné rutiny uvedené výše.

Podrobné informace o syntaxi a parametrech najdete v následujících článcích: Rotate-DkimSigningConfig, New-DkimSigningConfig a Get-DkimSigningConfig.

Postup ručního nastavení DKIM

Pokud chcete nakonfigurovat DKIM, budete postupovat takto:

Publikování dvou záznamů CNAME pro vlastní doménu v DNS

Pro každou doménu, pro kterou chcete přidat podpis DKIM v DNS, musíte publikovat dva záznamy CNAME.

Poznámka

Pokud jste si nepřečetli celý článek, možná jste zmeškali tyto informace o připojení PowerShellu, které šetří čas: Připojení Exchange Online PowerShellu.

Spuštěním následujících příkazů v Exchange Online PowerShellu vytvořte záznamy selektoru:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Pokud jste kromě počáteční domény v Microsoft 365 zřídili i vlastní domény, musíte publikovat dva záznamy CNAME pro každou další doménu. Pokud tedy máte dvě domény, musíte publikovat dva další záznamy CNAME atd.

Pro záznamy CNAME použijte následující formát.

Důležité

Pokud jste jedním z našich GCC vysokých zákazníků, vypočítáme customDomainIdentifier jinak. Místo vyhledání záznamu MX pro vaši počáteční doménu k výpočtu customDomainIdentifier ho místo toho vypočítáme přímo z přizpůsobené domény. Pokud je například vaše přizpůsobená doména "contoso.com", vaše customDomainIdentifier se změní na "contoso-com", všechna období se nahradí pomlčkou. Takže bez ohledu na to, na jaký záznam MX vaše počáteční doména odkazuje, vždy použijete výše uvedený způsob k výpočtu hodnoty customDomainIdentifier , která se použije v záznamech CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Kde:

  • Pro Microsoft 365 budou selektory vždy selektor1 nebo selektor2.

  • customDomainIdentifier je stejný jako customDomainIdentifier v přizpůsobený záznam MX pro vlastní doménu, která se zobrazí před mail.protection.outlook.com. Například v následujícím záznamu MX pro contoso.com domény je customDomainIdentifier contoso-com:

    contoso.com. 3600 V MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain je doména, kterou jste použili při registraci Microsoft 365. Počáteční domény vždy končí onmicrosoft.com. Informace o určení počáteční domény najdete v nejčastějších dotazech k doménám.

Pokud máte například počáteční doménu cohovineyardandwinery.onmicrosoft.com a dvě vlastní domény cohovineyard.com a cohowinery.com, musíte pro každou další doménu nastavit dva záznamy CNAME, a to pro celkem čtyři záznamy CNAME.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Poznámka

Je důležité vytvořit druhý záznam, ale v době vytvoření může být k dispozici pouze jeden z selektorů. V podstatě může druhý volič ukazovat na adresu, která ještě nebyla vytvořena. Přesto doporučujeme vytvořit druhý záznam CNAME, protože obměně klíčů bude bezproblémové.

Postup povolení podepisování DKIM pro vlastní doménu

Po publikování záznamů CNAME v DNS jste připraveni povolit přihlašování DKIM prostřednictvím Microsoft 365. Můžete to udělat buď prostřednictvím Centrum pro správu Microsoftu 365, nebo pomocí PowerShellu.

Povolení podepisování DKIM pro vlastní doménu na portálu Microsoft 365 Defender

  1. Na portálu Microsoft 365 Defender přejděte https://security.microsoft.comv části Pravidla na E-mail & Zásady spolupráce > & pravidla > zásad > hrozeb DKIM. Pokud chcete přejít přímo na stránku DKIM, použijte příkaz https://security.microsoft.com/dkimv2.

  2. Na stránce DKIM vyberte doménu kliknutím na název.

  3. V zobrazeném informačním rámečku podrobností změňte nastavení Podepsat zprávy pro tuto doménu pomocí podpisů DKIM na Povoleno (zapnout).)

    Až budete hotovi, klikněte na Otočit klíče DKIM.

  4. Tento krok opakujte pro každou vlastní doménu.

  5. Pokud DKIM konfigurujete poprvé a zobrazí se chyba Žádné klíče DKIM uložené pro tuto doménu, budete muset použít Windows PowerShell k povolení podepisování DKIM, jak je vysvětleno v dalším kroku.

Povolení podepisování DKIM pro vlastní doménu pomocí PowerShellu

Důležité

Chyba bez klíčů DKIM uložených pro tuto doménu Pokud DKIM konfigurujete poprvé a zobrazí se chyba Žádné klíče DKIM uložené pro tuto doménu, Set-DkimSigningConfig -Identity contoso.com -Enabled $truedokončete příkaz v kroku 2 níže (například) a podívejte se na klíč.

  1. Připojení Exchange Online PowerShellu.

  2. Použijte tuto syntaxi:

    Set-DkimSigningConfig -Identity <Domain> -Enabled $true
    

    <Domain> je název vlastní domény, pro kterou chcete povolit podepisování DKIM.

    Tento příklad umožňuje podepisování DKIM pro contoso.com domény:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

Potvrzení správné konfigurace podepisování DKIM pro Microsoft 365

Počkejte několik minut, než budete postupovat podle těchto kroků, abyste potvrdili, že jste správně nakonfigurovali DKIM. To umožňuje rozložit informace DKIM o doméně po síti.

  • Odešlete zprávu z účtu ve vaší doméně s Microsoft 365 DKIM do jiného e-mailového účtu, jako je outlook.com nebo Hotmail.com.

  • Nepoužívejte účet aol.com pro účely testování. AOL může kontrolu DKIM přeskočit, pokud kontrola SPF projde. Tím se váš test zruší.

  • Otevřete zprávu a podívejte se na záhlaví. Pokyny pro zobrazení záhlaví zprávy se budou lišit v závislosti na vašem klientovi zasílání zpráv. Pokyny k zobrazení záhlaví zpráv v Outlook najdete v tématu Zobrazení záhlaví internetových zpráv v Outlook.

    Zpráva podepsaná DKIM bude obsahovat název hostitele a doménu, kterou jste definovali při publikování položek CNAME. Zpráva bude vypadat přibližně takto:

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • Vyhledejte záhlaví Authentication-Results. I když každá přijímající služba používá k razítku příchozí pošty trochu jiný formát, výsledek by měl obsahovat něco jako DKIM=pass nebo DKIM=OK.

Konfigurace DKIM pro více než jednu vlastní doménu

Pokud se v určitém okamžiku v budoucnu rozhodnete přidat další vlastní doménu a chcete povolit DKIM pro novou doménu, musíte pro každou doménu provést kroky v tomto článku. Konkrétně proveďte všechny kroky v tématu Co je potřeba udělat, abyste ručně nastavili DKIM.

Zakázání zásad podepisování DKIM pro vlastní doménu

Zakázáním zásad podepisování se DKIM úplně nezakáže. Po určité době Microsoft 365 automaticky použije výchozí zásadu pro vaši doménu, pokud je výchozí zásada stále ve stavu povoleno. Pokud chcete DKIM úplně zakázat, musíte zakázat DKIM na vlastních i výchozích doménách. Další informace naleznete v tématu Výchozí chování pro DKIM a Microsoft 365.

Zakázání zásad podepisování DKIM pomocí Windows PowerShell

  1. Připojení Exchange Online PowerShellu.

  2. Spusťte jeden z následujících příkazů pro každou doménu, pro kterou chcete zakázat podepisování DKIM.

    $p = Get-DkimSigningConfig -Identity <Domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Příklad:

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Nebo

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    Kde číslo je index zásady. Příklad:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

Výchozí chování pro DKIM a Microsoft 365

Pokud funkci DKIM nepovolíte, Microsoft 365 automaticky vytvoří 2048bitový veřejný klíč DKIM pro vaši adresu MOERA (Microsoft Online Email Routing Address) nebo počáteční doménu a přidružený privátní klíč, který ukládáme interně v našem datacentru. Ve výchozím nastavení Microsoft 365 používá výchozí konfiguraci podepisování pro domény, které zásady nemají. To znamená, že pokud DKIM nenastavíte sami, Microsoft 365 použije výchozí zásady a klíče, které vytvoří k povolení DKIM pro vaši doménu.

Pokud také po povolení zakážete podepisování DKIM ve vlastní doméně, Microsoft 365 automaticky použije zásady MOERA/počáteční domény pro vaši vlastní doménu.

V následujícím příkladu předpokládejme, že Microsoft 365 povolil DKIM pro fabrikam.com, nikoli správce domény. To znamená, že v DNS neexistují požadované záznamy CNAM. Podpisy DKIM pro e-maily z této domény budou vypadat přibližně takto:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

V tomto příkladu název hostitele a doména obsahují hodnoty, na které by CNAME odkazoval, pokud správce domény povolil podepisování DKIM pro fabrikam.com. Nakonec bude každá zpráva odeslaná z Microsoft 365 podepsaná DKIM. Pokud DKIM povolíte sami, bude doména stejná jako doména v adrese Od: v tomto případě fabrikam.com. Pokud to neuděláte, nezarovná se a místo toho použije počáteční doménu vaší organizace. Informace o určení počáteční domény najdete v nejčastějších dotazech k doménám.

Nastavení DKIM tak, aby služba třetí strany mohla odesílat nebo zfalšovat e-maily jménem vaší vlastní domény

Někteří poskytovatelé hromadných e-mailových služeb nebo poskytovatelé softwaru jako služby umožňují nastavit klíče DKIM pro e-mail, který pochází z jejich služby. To vyžaduje koordinaci mezi sebou a třetí stranou, aby bylo možné nastavit potřebné záznamy DNS. Některé servery třetích stran můžou mít vlastní záznamy CNAME s různými selektory. Žádné dvě organizace to dělají úplně stejně. Místo toho proces zcela závisí na organizaci.

Ukázková zpráva zobrazující správně nakonfigurovaný DKIM pro contoso.com a bulkemailprovider.com může vypadat takto:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

V tomto příkladu dosáhnete tohoto výsledku:

  1. Poskytovatel hromadného e-mailu dal společnosti Contoso veřejný klíč DKIM.

  2. Společnost Contoso publikovala klíč DKIM do svého záznamu DNS.

  3. Při odesílání e-mailu podepíše poskytovatel hromadného e-mailu klíč odpovídajícím privátním klíčem. Tímto způsobem připojil poskytovatel hromadného e-mailu podpis DKIM k záhlaví zprávy.

  4. Přijímající e-mailové systémy provádějí kontrolu DKIM ověřením hodnoty DKIM-Signature d=<domain> vůči doméně v adrese Od: (5322.From) zprávy. V tomto příkladu se hodnoty shodují:

    sender@contoso.com

    d=contoso.com

Identifikace domén, které neodesílají e-maily

Organizace by měly explicitně uvést, jestli doména neodesílá e-mail zadáním v=DKIM1; p= v záznamu DKIM pro tyto domény. To doporučuje příjem e-mailových serverů, že pro doménu nejsou žádné platné veřejné klíče, a všechny e-maily, které z této domény tvrdí, by měly být odmítnuty. Měli byste to udělat pro každou doménu a subdoménu pomocí zástupného znaku DKIM.

Například záznam DKIM by vypadal takto:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Další kroky: Po nastavení DKIM pro Microsoft 365

I když je DKIM navržený tak, aby zabránil falšování identity, DKIM funguje lépe s SPF a DMARC.

Jakmile nastavíte DKIM, měli byste to udělat, pokud jste ještě nenastavili SPF. Rychlý úvod do SPF a jeho rychlá konfigurace najdete v tématu Nastavení SPF v Microsoft 365, který vám pomůže zabránit falšování identity. Pokud chcete podrobnější informace o tom, jak Microsoft 365 používá SPF, nebo při řešení potíží nebo nestandardních nasazeních, jako jsou hybridní nasazení, začněte tím, jak Microsoft 365 používá SPF (Sender Policy Framework), aby se zabránilo falšování identity.

Další informace najdete v tématu Ověření e-mailu pomocí DMARC. Hlavičky zpráv o nevyžádané poště obsahují pole syntaxe a záhlaví používaná Microsoft 365 pro kontroly DKIM.

Tento test ověří , že konfigurace podepisování DKIM byla správně nakonfigurovaná a že byly publikovány správné položky DNS.

Poznámka

Tato funkce vyžaduje účet správce Microsoft 365. Tato funkce není k dispozici pro Microsoft 365 Government, Microsoft 365 provozovaný společností 21Vianet nebo Microsoft 365 Germany.

Další informace

Obměna klíčů pomocí PowerShellu: Rotate-DkimSigningConfig

Ověření e-mailů pomocí DMARC

Použití důvěryhodných odesílatelů ARC pro legitimní toky pošty