Configuración de DKIM para firmar correo desde el dominio de Microsoft 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

DomainKeys Identified Mail (DKIM) es un método de autenticación de correo electrónico que ayuda a validar el correo enviado desde la organización de Microsoft 365 para evitar remitentes suplantados que se usan en el riesgo de correo electrónico empresarial (BEC), ransomware y otros ataques de suplantación de identidad (phishing).

El propósito principal de DKIM es comprobar que un mensaje no se ha modificado en tránsito. En concreto:

  1. Se generan una o varias claves privadas para un dominio y el sistema de correo electrónico de origen las usa para firmar digitalmente partes importantes de los mensajes salientes. Estas partes del mensaje incluyen:
    • From, To, Subject, MIME-Version, Content-Type, Date y otros campos de encabezado de mensaje (dependiendo del sistema de correo electrónico de origen).
    • Cuerpo del mensaje.
  2. La firma digital se almacena en el campo de encabezado DKIM-Signature del encabezado del mensaje y sigue siendo válida siempre y cuando los sistemas de correo electrónico intermedios no modifiquen las partes firmadas del mensaje. El dominio de firma se identifica mediante el valor d= en el campo de encabezado DKIM-Signature .
  3. Las claves públicas correspondientes se almacenan en registros DNS para el dominio de firma (registros CNAME en Microsoft 365; otros sistemas de correo electrónico pueden usar registros TXT).
  4. Los sistemas de correo electrónico de destino usan el valor d= en el campo de encabezado DKIM-Signature para:
    • Identifique el dominio de firma.
    • Busque la clave pública en el registro DNS de DKIM para el dominio.
    • Use la clave pública en el registro DNS DKIM del dominio para comprobar la firma del mensaje.

Hechos importantes sobre DKIM:

  • El dominio que se usa para firmar dkim el mensaje no es necesario para que coincida con el dominio en las direcciones MAIL FROM o From del mensaje. Para obtener más información sobre estas direcciones, consulte Por qué el correo electrónico de Internet necesita autenticación.
  • Un mensaje puede tener varias firmas DKIM por distintos dominios. De hecho, muchos servicios de correo electrónico hospedados firman el mensaje mediante el dominio de servicio y, a continuación, vuelven a firmar el mensaje con el dominio del cliente después de que el cliente configure la firma DKIM para el dominio.

Antes de empezar, esto es lo que necesita saber sobre DKIM en Microsoft 365 en función de su dominio de correo electrónico:

  • Si usa solo el dominio de dirección de enrutamiento de Email (MOERA) de Microsoft Online para el correo electrónico (por ejemplo, contoso.onmicrosoft.com): no es necesario hacer nada. Microsoft crea automáticamente un par de claves pública-privada de 2048 bits a partir del dominio *.onmicrosoft.com inicial. Los mensajes salientes se firman automáticamente con DKIM mediante la clave privada. La clave pública se publica en un registro DNS para que los sistemas de correo electrónico de destino puedan comprobar la firma DKIM de los mensajes.

    Sin embargo, también puede configurar manualmente la firma DKIM mediante el dominio *.onmicrosoft.com. Para obtener instrucciones, consulte la sección Uso del portal de Defender para personalizar la firma DKIM de mensajes salientes mediante el dominio *.onmicrosoft.com más adelante en este artículo.

    Para comprobar que los mensajes salientes se firman automáticamente DKIM, consulte la sección Verify DKIM signing of outbound mail from Microsoft 365 más adelante en este artículo.

    Para obtener más información sobre los dominios *.onmicrosoft.com, consulte ¿Por qué tengo un dominio "onmicrosoft.com"?

  • Si usa uno o más dominios personalizados para el correo electrónico (por ejemplo, contoso.com): aunque todo el correo saliente de Microsoft 365 esté firmado automáticamente por el dominio MOERA, todavía tiene más trabajo que hacer para lograr la máxima protección de correo electrónico:

    • Configuración de la firma DKIM mediante dominios personalizados o subdominios: el dominio debe firmar un mensaje DKIM en la dirección Desde. También se recomienda configurar DMARC y DKIM pasa la validación de DMARC solo si el dominio que DKIM firmó el mensaje y el dominio en la dirección Desde se alinean.

    • Consideraciones sobre subdominios:

      • Para los servicios de correo electrónico que no están bajo su control directo (por ejemplo, servicios de correo electrónico masivos), se recomienda usar un subdominio (por ejemplo, marketing.contoso.com) en lugar de su dominio de correo electrónico principal (por ejemplo, contoso.com). No quiere que los problemas con el correo enviado desde esos servicios de correo electrónico afecten a la reputación del correo enviado por los empleados en el dominio de correo electrónico principal. Para obtener más información sobre cómo agregar subdominios, consulte ¿Puedo agregar subdominios personalizados o varios dominios a Microsoft 365?.

      • Cada subdominio que use para enviar correo electrónico desde Microsoft 365 requiere su propia configuración DKIM.

        Sugerencia

        Email protección de autenticación para subdominios no definidos está cubierta por DMARC. Los subdominios (definidos o no) heredan la configuración de DMARC del dominio primario (que se puede invalidar por subdominio). Para obtener más información, consulte Configuración de DMARC para validar el dominio De dirección para remitentes en Microsoft 365.

    • Si posee dominios registrados pero no utilizados: si posee dominios registrados que no se usan para correo electrónico o nada (también conocidos como dominios estacionados), no publique registros DKIM para esos dominios. La falta de un registro DKIM (por lo tanto, la falta de una clave pública en DNS para validar la firma del mensaje) impide la validación DKIM de dominios falsificados.

  • DKIM por sí solo no es suficiente. Para obtener el mejor nivel de protección de correo electrónico para los dominios personalizados, también debe configurar SPF y DMARC como parte de la estrategia general de autenticación por correo electrónico . Para obtener más información, consulte la sección Pasos siguientes al final de este artículo.

En el resto de este artículo se describen los registros CNAME de DKIM que necesita crear para dominios personalizados en Microsoft 365 y los procedimientos de configuración para DKIM mediante dominios personalizados.

Sugerencia

La configuración de la firma DKIM mediante un dominio personalizado es una combinación de procedimientos en Microsoft 365 y procedimientos en el registrador de dominios del dominio personalizado.

Proporcionamos instrucciones para crear registros CNAME para diferentes servicios de Microsoft 365 en muchos registradores de dominios. Puede usar estas instrucciones como punto de partida para crear los registros CNAME dkim. Para obtener más información, consulte Agregar registros DNS para conectar el dominio.

Si no está familiarizado con la configuración de DNS, póngase en contacto con el registrador de dominios y solicite ayuda.

Sintaxis de los registros CNAME dkim

Sugerencia

Use el portal de Defender o Exchange Online PowerShell para ver los valores CNAME necesarios para la firma DKIM de mensajes salientes mediante un dominio personalizado. Los valores que se presentan aquí son solo para ilustración. Para obtener los valores necesarios para los dominios o subdominios personalizados, use los procedimientos que se indican más adelante en este artículo.

DKIM se describe exhaustivamente en RFC 6376.

La sintaxis básica de los registros CNAME de DKIM para dominios personalizados que envían correo desde Microsoft 365 es:

Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomain>._domainkey.<InitialDomain>

Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomain>._domainkey.<InitialDomain>
  • En Microsoft 365, se generan dos pares de claves pública y privada cuando se habilita la firma DKIM mediante un dominio o subdominio personalizados. No se puede acceder a las claves privadas que se usan para firmar el mensaje. Los registros CNAME apuntan a las claves públicas correspondientes que se usan para comprobar la firma DKIM. Estos registros se conocen como selectores.

    • Solo un selector está activo y se usa cuando se habilita la firma DKIM mediante un dominio personalizado.
    • El segundo selector está inactivo. Se activa y se usa solo después de cualquier rotación de teclas DKIM futura y, a continuación, solo después de desactivar el selector original.

    El selector que se usa para comprobar la firma DKIM (que deduce la clave privada que se usó para firmar el mensaje) se almacena en el valor s= del campo de encabezado DKIM-Signature (por ejemplo, s=selector1-contoso-com).

  • Nombre de host: los valores son los mismos para todas las organizaciones de Microsoft 365: selector1._domainkey y selector2._domainkey.

  • <CustomDomain>: dominio o subdominio personalizado con puntos reemplazados por guiones. Por ejemplo, contoso.com se convierte contoso-comen o marketing.contoso.com se convierte en marketing-contoso-com.

  • <InitialDomain>: el *.onmicrosoft.com que usó al inscribirse en Microsoft 365 (por ejemplo, contoso.onmicrosoft.com).

Por ejemplo, su organización tiene los siguientes dominios en Microsoft 365:

  • Dominio inicial: cohovineyardandwinery.onmicrosoft.com
  • Dominios personalizados: cohovineyard.com y cohowinery.com

Debe crear dos registros CNAME en cada dominio personalizado, para un total de cuatro registros CNAME:

  • Registros CNAME en el dominio cohovineyard.com:

    Nombre de host: selector1._domainkey
    Puntos de dirección o valor: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com

    Nombre de host: selector2._domainkey
    Puntos de dirección o valor: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com

  • Registros CNAME en el dominio cohowinery.com:

    Nombre de host: selector1._domainkey
    Puntos de dirección o valor: selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com

    Nombre de host: selector2._domainkey
    Puntos de dirección o valor: selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com

Configuración de la firma DKIM de mensajes salientes en Microsoft 365

Uso del portal de Defender para habilitar la firma DKIM de mensajes salientes mediante un dominio personalizado

Sugerencia

Al habilitar la firma DKIM de mensajes salientes mediante un dominio personalizado, la firma DKIM pasa de usar el dominio *.onmicrosoft.com inicial a usar el dominio personalizado.

Puede usar un dominio o subdominio personalizados para firmar correo saliente de DKIM solo después de que el dominio se haya agregado correctamente a Microsoft 365. Para obtener instrucciones, consulte Agregar un dominio.

El factor principal que determina cuándo un dominio personalizado inicia el correo saliente de firma DKIM es la detección de registros CNAME en DNS.

Para usar los procedimientos de esta sección, el dominio o subdominio personalizado debe aparecer en la pestaña DKIM de la página de configuración de autenticación de Email en https://security.microsoft.com/authentication?viewid=DKIM. Las propiedades del dominio en el control flotante de detalles deben contener los siguientes valores:

La pestaña de detalles del dominio muestra la firma DKIM deshabilitada y ninguna firma DKIM configurada para el dominio.

  • El botón de alternancia Firmar mensajes para este dominio con firmas DKIM se establece en Deshabilitado .
  • El valor Estado es No firmar firmas DKIM para el dominio.
  • La creación de claves DKIM no está presente. Girar teclas DKIM es visible, pero está atenuado.

Continúe si el dominio cumple estos requisitos.

  1. En el portal de Defender en https://security.microsoft.com, vaya a Email & directivasdeamenazas> de colaboración >Email página de configuración de autenticación. O bien, para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.

  2. En la página Email configuración de autenticación, seleccione la pestaña DKIM.

  3. En la pestaña DKIM , seleccione el dominio personalizado que se va a configurar haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre.

    Pestaña DKIM de la página de autenticación de Email en el portal de Defender.

  4. En el control flotante detalles del dominio que se abre, seleccione el botón de alternancia Firmar mensajes para este dominio con firmas DKIM que está establecido actualmente en Deshabilitado .

    Tenga en cuenta el valor de Fecha de última comprobación .

  5. Se abre un cuadro de diálogo De error de cliente . El error contiene los valores que se van a usar en los dos registros CNAME que se crean en el registrador de dominios del dominio.

    En este ejemplo, el dominio personalizado se contoso.com y el dominio inicial para la organización de Microsoft 365 es contoso.onmicrosoft.com. El mensaje de error tiene este aspecto:

    |Microsoft.Exchange.ManagementTasks.ValidationException|CNAME record does not
    exist for this config. Please publish the following two CNAME records first. Domain Name
    : contoso.com Host Name : selector1._domainkey Points to address or value: selector1-
    contoso-com._domainkey.contoso.onmicrosoft.com Host Name : selector2._domainkey
    Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com .
    If you have already published the CNAME records, sync will take a few minutes to as
    many as 4 days based on your specific DNS. Return and retry this step later.
    

    Por lo tanto, los registros CNAME que necesita crear en DNS para el dominio contoso.com son:

    Nombre de host: selector1._domainkey
    Puntos de dirección o valor: selector1-contoso-com._domainkey.contoso.onmicrosoft.com

    Nombre de host: selector2._domainkey
    Puntos de dirección o valor: selector2-contoso-com._domainkey.contoso.onmicrosoft.com

    Copie la información del cuadro de diálogo de error (seleccione el texto y presione CTRL+C) y, a continuación, seleccione Aceptar.

    Deje abierto el control flotante detalles del dominio.

  6. En otra pestaña o ventana del explorador, vaya al registrador de dominio del dominio y, a continuación, cree los dos registros CNAME con la información del paso anterior.

    Proporcionamos instrucciones para crear registros CNAME para diferentes servicios de Microsoft 365 en muchos registradores de dominios. Puede usar estas instrucciones como punto de partida para crear los registros CNAME de DKIM. Para obtener más información, consulte Agregar registros DNS para conectar el dominio.

    Microsoft 365 tarda unos minutos (o posiblemente más) en detectar los nuevos registros CNAME que ha creado.

  7. Después de un tiempo, vuelva a las propiedades del dominio que dejó abiertas en el paso 5 y seleccione el botón de alternancia Firmar mensajes para este dominio con firmas DKIM .

    Después de unos segundos, se abre el siguiente cuadro de diálogo:

    Cuadro de diálogo que se abre al intentar habilitar la firma DKIM para el dominio.

    Después de seleccionar Aceptar para cerrar el cuadro de diálogo, compruebe la siguiente configuración en el control flotante de detalles:

    • El botón de alternancia Firmar mensajes para este dominio con firmas DKIM se establece en Habilitado .
    • El valor Estado es Firma de firmas DKIM para este dominio.
    • Rotación de claves DKIM está disponible.
    • Fecha de última comprobación: la fecha y hora deben ser más recientes que el valor original en el paso 4.

    El control flotante de detalles del dominio después de que DKIM esté habilitado para el dominio.

Use el portal de Defender para personalizar la firma DKIM de mensajes salientes mediante el dominio *.onmicrosoft.com

Como se describió anteriormente en este artículo, el dominio *.onmicrosoft.com inicial se configura automáticamente para firmar todo el correo saliente de la organización de Microsoft 365 y debe configurar dominios personalizados para la firma DKIM de mensajes salientes.

Pero también puede usar los procedimientos de esta sección para afectar a la firma DKIM mediante el dominio *.onmicrosoft.com:

  • Genere nuevas claves. Las nuevas claves se agregan y usan automáticamente en los centros de datos de Microsoft 365.
  • Haga que las propiedades del dominio *.onmicrosoft.com aparezcan correctamente en el control flotante de detalles del dominio en la pestaña DKIM de la página de configuración de autenticación de Email en https://security.microsoft.com/authentication?viewid=DKIM PowerShell o en . Este resultado permite operaciones futuras en la configuración dkim para el dominio (por ejemplo, rotación manual de claves).

Para usar los procedimientos de esta sección, el dominio *.onmicrosoft.com debe aparecer en la pestaña DKIM de la página de configuración de autenticación de Email en https://security.microsoft.com/authentication?viewid=DKIM. Las propiedades del dominio *.onmicrosoft.com en el control flotante de detalles deben contener los valores siguientes:

El control flotante de detalles del dominio con el botón Crear claves DKIM.

  • El botón de alternancia Firmar mensajes para este dominio con firmas DKIM no está disponible.
  • El valor Status es No DKIM keys saved for this domain (No se guardaron claves DKIM para este dominio).
  • La creación de claves DKIM está presente.

Continúe si el dominio cumple estos requisitos.

  1. En el portal de Defender en https://security.microsoft.com, vaya a Email & directivasdeamenazas> de colaboración >Email página de configuración de autenticación. O bien, para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.

  2. En la página Email configuración de autenticación, seleccione la pestaña DKIM.

  3. En la pestaña DKIM , seleccione el dominio *.onmicrosoft.com que se va a configurar haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre.

    Pestaña DKIM de la página de autenticación de Email en el portal de Defender.

  4. En el control flotante de detalles del dominio que se abre, seleccione Crear claves DKIM.

    El control flotante de detalles del dominio con el botón Crear claves DKIM.

  5. Cuando finalice la creación de la clave DKIM, se abrirá el cuadro de diálogo Publicar CNAME . Seleccione Cerrar.

    No puede crear los registros CNAME para el dominio *.onmicrosoft.com, por lo que no es necesario copiar los valores. Microsoft se encarga de la configuración de DNS necesaria.

  6. Después de seleccionar Cerrar, volverá al control flotante detalles del dominio, donde el botón de alternancia Firmar mensajes para este dominio con firmas DKIM es Deshabilitado .

    Pestaña detalles del dominio con la firma DKIM deshabilitada.

    Deslice el botón Sign messages for this domain with DKIM signatures (Firmar mensajes para este dominio con firmas DKIM ) a Habilitado y, a continuación, seleccione Aceptar en el cuadro de diálogo de confirmación que se abre.

    La pestaña detalles del dominio con la firma DKIM habilitada y las firmas DKIM configuradas para el dominio.

    Cuando haya terminado en el control flotante de detalles del dominio, seleccione Cerrar.

Uso de Exchange Online PowerShell para configurar la firma DKIM de mensajes salientes

Si prefiere usar PowerShell para habilitar la firma DKIM de mensajes salientes mediante un dominio personalizado o para personalizar la firma DKIM para el dominio *.onmicrosoft.com, conéctese a Exchange Online PowerShell para ejecutar los comandos siguientes.

Sugerencia

Para poder configurar la firma DKIM mediante el dominio personalizado, debe agregar el dominio a Microsoft 365. Para obtener instrucciones, consulte Agregar un dominio. Para confirmar que el dominio personalizado está disponible para la configuración de DKIM, ejecute el siguiente comando: Get-AcceptedDomain.

Como se describió anteriormente en este artículo, el dominio *.onmicrosoft.com ya está firmando el correo electrónico saliente de forma predeterminada. Normalmente, a menos que haya configurado manualmente la firma DKIM para el dominio *.onmicrosoft.com en el portal de Defender o en PowerShell, *.onmicrosoft.com no aparece en la salida de Get-DkimSigningConfig.

  1. Ejecute el siguiente comando para comprobar la disponibilidad y el estado DKIM de todos los dominios de la organización:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
    
  2. Para el dominio para el que desea configurar la firma DKIM, la salida del comando en el paso 1 determina lo que debe hacer a continuación:

    • El dominio aparece con los siguientes valores:

      • Habilitado: False
      • Estado: CnameMissing

      Vaya al paso 3 para copiar los valores del selector.

    O bien

    • El dominio no aparece:

      1. Reemplace Domain por <> el valor de dominio y, a continuación, ejecute el siguiente comando:

        New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
        
        • El parámetro BodyCanonicalization especifica el nivel de confidencialidad de los cambios en el cuerpo del mensaje:
          • Relajado: se toleran los cambios en el espacio en blanco y los cambios en las líneas vacías al final del cuerpo del mensaje. Este es el valor predeterminado.
          • Simple: solo se toleran los cambios en las líneas vacías al final del cuerpo del mensaje.
        • El parámetro HeaderCanonicalization especifica el nivel de confidencialidad de los cambios en el encabezado del mensaje:
          • Relajado: se toleran las modificaciones comunes en el encabezado del mensaje. Por ejemplo, la recaptación de línea de campo de encabezado, los cambios en espacios en blanco innecesarios o las líneas vacías, y los cambios en caso de campos de encabezado. Este es el valor predeterminado.
          • Simple: no se toleran cambios en los campos de encabezado.
        • El parámetro KeySize especifica el tamaño de bits de la clave pública en el registro DKIM:
            1. Este es el valor predeterminado.

        Por ejemplo:

        New-DkimSigningConfig -DomainName contoso.com -Enabled $false
        
      2. Vuelva a ejecutar el comando desde el paso 1 para confirmar que el dominio aparece con los siguientes valores de propiedad:

        • Habilitado: False
        • Estado: CnameMissing
      3. Vaya al paso 3 para copiar los valores del selector.

  3. Copie los valores Selector1CNAME y Selector2CNAME del dominio desde la salida del comando del paso 1.

    Los registros CNAME que necesita crear en el registrador de dominios para el dominio tienen el siguiente aspecto:

    Nombre de host: selector1._domainkey
    Puntos de dirección o valor: <Selector1CNAME value>

    Nombre de host: selector2._domainkey
    Puntos de dirección o valor: <Selector2CNAME value>

    Por ejemplo:

    Nombre de host: selector1._domainkey
    Puntos de dirección o valor: selector1-contoso-com._domainkey.contoso.onmicrosoft.com

    Nombre de host: selector2._domainkey
    Puntos de dirección o valor: selector2-contoso-com._domainkey.contoso.onmicrosoft.com

  4. Realice uno de los pasos siguientes:

    • Dominio personalizado: en el registrador de dominios del dominio, cree los dos registros CNAME con la información del paso anterior.

      Proporcionamos instrucciones para crear registros CNAME para diferentes servicios de Microsoft 365 en muchos registradores de dominios. Puede usar estas instrucciones como punto de partida para crear los registros CNAME de DKIM. Para obtener más información, consulte Agregar registros DNS para conectar el dominio.

      Microsoft 365 tarda unos minutos (o posiblemente más) en detectar los nuevos registros CNAME que ha creado.

    • *.onmicrosoft.com dominio: vaya al paso 5.

  5. Después de un tiempo, vuelva a Exchange Online PowerShell, reemplace <Dominio> por el dominio que configuró y ejecute el siguiente comando:

    Set-DkimConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
    
    • El parámetro BodyCanonicalization especifica el nivel de confidencialidad de los cambios en el cuerpo del mensaje:
      • Relajado: se toleran los cambios en el espacio en blanco y los cambios en las líneas vacías al final del cuerpo del mensaje. Este es el valor predeterminado.
      • Simple: solo se toleran los cambios en las líneas vacías al final del cuerpo del mensaje.
    • El parámetro HeaderCanonicalization especifica el nivel de confidencialidad de los cambios en el encabezado del mensaje:
      • Relajado: se toleran las modificaciones comunes en el encabezado del mensaje. Por ejemplo, la recaptación de línea de campo de encabezado, los cambios en espacios en blanco innecesarios o las líneas vacías, y los cambios en caso de campos de encabezado. Este es el valor predeterminado.
      • Simple: no se toleran cambios en los campos de encabezado.

    Por ejemplo:

    Set-DkimConfig -Identity contoso.com -Enabled $true
    

    O bien

    Set-DkimConfig -Identity contoso.onmicrosoft.com -Enabled $true
    
    • En el caso de un dominio personalizado, si Microsoft 365 puede detectar los registros CNAME en el registrador de dominios, el comando se ejecuta sin errores y el dominio se usa ahora para firmar mensajes salientes de DKIM desde el dominio.

      Si no se detectan los registros CNAME, obtendrá un error que contiene los valores que se usarán en los registros CNAME. Compruebe si hay errores tipográficos en los valores en el registrador de dominio (fácil de hacer con los guiones, puntos y subrayados), espere un tiempo más y vuelva a ejecutar el comando.

    • Para un dominio *.onmicrosoft.com que anteriormente no figuraba, el comando se ejecuta sin errores.

  6. Para comprobar que el dominio está configurado para firmar mensajes DKIM, ejecute el comando desde el paso 1.

    El dominio debe tener los siguientes valores de propiedad:

    • Habilitado: True
    • Estado: Valid

Para obtener información detallada sobre la sintaxis y los parámetros, consulte los artículos siguientes:

Rotación de claves DKIM

Por los mismos motivos por los que debe cambiar periódicamente las contraseñas, debe cambiar periódicamente la clave DKIM que se usa para la firma DKIM. Reemplazar la clave DKIM para un dominio se conoce como rotación de claves DKIM.

La información pertinente sobre la rotación de claves DKIM para un dominio microsoft 365 se muestra en la salida del siguiente comando en Exchange Online PowerShell:

Get-DkimSigningConfig -Identity <CustomDomain> | Format-List
  • KeyCreationTime: fecha y hora UTC en que se creó el par de claves pública-privada DKIM.
  • RotateOnDate: fecha y hora de la rotación de clave DKIM anterior o siguiente.
  • SelectorBeforeRotateOnDate: Recuerde que la firma DKIM mediante un dominio personalizado en Microsoft 365 requiere dos registros CNAME en el dominio. Esta propiedad muestra el registro CNAME que DKIM usa antes de la fecha y hora de RotateOnDate (también conocido como selector). El valor es selector1 o selector2 y es diferente del valor SelectorAfterRotateOnDate .
  • SelectorAfterRotateOnDate: muestra el registro CNAME que DKIM usa después de la fecha y hora de RotateOnDate . El valor es selector1 o selector2 y es diferente del valor SelectorBeforeRotateOnDate .

Cuando se realiza una rotación de claves DKIM en un dominio como se describe en esta sección, el cambio no es inmediato. La nueva clave privada tarda cuatro días (96 horas) en iniciar la firma de mensajes (la fecha y hora de RotateOnDate y el valor SelectorAfterRotateOnDate correspondiente). Hasta entonces, se usa la clave privada existente (el valor SelectorBeforeRotateOnDate correspondiente).

Sugerencia

El factor principal que determina cuándo un dominio personalizado inicia el correo saliente de firma DKIM es la detección de registros CNAME en DNS.

Para confirmar la clave pública correspondiente que se usa para comprobar la firma DKIM (que deduce la clave privada que se usó para firmar el mensaje), compruebe el valor s= en el campo de encabezado DKIM-Signature (el selector; por ejemplo, s=selector1-contoso-com).

Sugerencia

En el caso de los dominios personalizados, puede rotar las claves DKIM solo en los dominios habilitados para la firma DKIM (el valor De estado es Habilitado).

Actualmente, no hay ninguna rotación automática de claves DKIM para el dominio *.onmicrosoft.com. Puede girar manualmente las claves DKIM como se describe en esta sección. Si Rotate DKIM keys no está disponible en las propiedades del dominio *.onmicrosoft.com, use los procedimientos del portal Uso de Defender para personalizar la firma DKIM de mensajes salientes mediante la sección de dominio *.onmicrosoft.com anteriormente en este artículo.

Uso del portal de Defender para rotar claves DKIM para un dominio personalizado

  1. En el portal de Defender en https://security.microsoft.com, vaya a Email & directivasdeamenazas> de colaboración >Email página de configuración de autenticación. O bien, para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.

  2. En la página Email configuración de autenticación, seleccione la pestaña DKIM.

  3. En la pestaña DKIM , seleccione el dominio que se va a configurar haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre.

    Pestaña DKIM de la página de autenticación de Email en el portal de Defender.

  4. En el control flotante detalles del dominio que se abre, seleccione Girar claves DKIM.

    El control flotante de detalles del dominio con el botón Girar claves DKIM.

  5. La configuración del control flotante de detalles cambia a los siguientes valores:

    • Estado: rotación de claves para este dominio y firma de firmas DKIM.
    • Girar teclas DKIM está atenuado.
  6. Después de cuatro días (96 horas), la nueva clave DKIM comienza a firmar mensajes salientes para el dominio personalizado. Hasta entonces, se usa la clave DKIM actual.

    Puede saber cuándo se usa la nueva clave DKIM cuando el valor status cambia de Rotación de claves para este dominio y firma de firmas DKIM a firmas DKIM de firma para este dominio.

Para confirmar la clave pública correspondiente que se usa para comprobar la firma DKIM (que deduce la clave privada que se usó para firmar el mensaje), compruebe el valor s= en el campo de encabezado DKIM-Signature (el selector; por ejemplo, s=selector1-contoso-com).

Use Exchange Online PowerShell para girar las claves DKIM de un dominio y cambiar la profundidad de bits.

Si prefiere usar PowerShell para rotar las claves DKIM de un dominio, conéctese a Exchange Online PowerShell para ejecutar los siguientes comandos.

  1. Ejecute el siguiente comando para comprobar la disponibilidad y el estado DKIM de todos los dominios de la organización:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
    
  2. Para el dominio para el que desea rotar las claves DKIM, use la sintaxis siguiente:

    Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
    

    Si no desea cambiar la profundidad de bits de las nuevas claves DKIM, no use el parámetro KeySize .

    En este ejemplo se giran las claves DKIM del dominio contoso.com y se cambia a una clave de 2048 bits.

    Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
    

    En este ejemplo se giran las claves DKIM del dominio contoso.com sin cambiar la profundidad de bits de la clave.

    Rotate-DkimSigningConfig -Identity contoso.com
    
  3. Vuelva a ejecutar el comando desde el paso 1 para confirmar los siguientes valores de propiedad:

    • KeyCreationTime
    • RotateOnDate
    • SelectorBeforeRotateOnDate
    • SelectorAfterRotateOnDate:

    Los sistemas de correo electrónico de destino usan la clave pública en el registro CNAME identificado por la propiedad SelectorBeforeRotateOnDate para comprobar la firma DKIM en los mensajes (lo que deduce la clave privada que se usó para firmar el mensaje DKIM).

    Después de la fecha y hora de RotateOnDate , DKIM usa la nueva clave privada para firmar mensajes y los sistemas de correo electrónico de destino usan la clave pública correspondiente en el registro CNAME identificado por la propiedad SelectorAfterRotateOnDate para comprobar la firma DKIM en los mensajes.

    Para confirmar la clave pública correspondiente que se usa para comprobar la firma DKIM (que deduce la clave privada que se usó para firmar el mensaje), compruebe el valor s= en el campo de encabezado DKIM-Signature (el selector; por ejemplo, s=selector1-contoso-com).

Para obtener información detallada sobre la sintaxis y los parámetros, consulte los artículos siguientes:

Deshabilitar la firma DKIM de mensajes salientes mediante un dominio personalizado

Como se describió anteriormente en este artículo, habilitar la firma DKIM de mensajes salientes mediante un dominio personalizado cambia eficazmente la firma DKIM del uso del dominio *.onmicrosoft.com al uso del dominio personalizado.

Al deshabilitar la firma DKIM mediante un dominio personalizado, no deshabilita completamente la firma DKIM para el correo saliente. Con el tiempo, la firma DKIM vuelve a usar el dominio *.onmicrosoft.

Uso del portal de Defender para deshabilitar la firma DKIM de mensajes salientes mediante un dominio personalizado

  1. En el portal de Defender en https://security.microsoft.com, vaya a Email & directivasdeamenazas> de colaboración >Email página de configuración de autenticación. O bien, para ir directamente a la página de configuración de autenticación de Email, use https://security.microsoft.com/authentication.

  2. En la página Email configuración de autenticación, seleccione la pestaña DKIM.

  3. En la pestaña DKIM , seleccione el dominio que se va a configurar haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre.

  4. En el control flotante detalles del dominio que se abre, deslice el botón de alternancia Firmar mensajes para este dominio con firmas DKIM a Deshabilitado .

    El control flotante de detalles del dominio con el botón Girar claves DKIM.

Uso de Exchange Online PowerShell para deshabilitar la firma DKIM de mensajes salientes mediante un dominio personalizado

Si prefiere usar PowerShell para deshabilitar la firma DKIM de mensajes salientes mediante un dominio personalizado, conéctese a Exchange Online PowerShell para ejecutar los siguientes comandos.

  1. Ejecute el siguiente comando para comprobar la disponibilidad y el estado DKIM de todos los dominios de la organización:

    Get-DkimSigningConfig | Format-List Name,Enabled,Status
    

    Cualquier dominio personalizado para el que pueda deshabilitar la firma DKIM tiene los siguientes valores de propiedad:

    • Habilitado: True
    • Estado: Valid
  2. Para el dominio para el que desea deshabilitar la firma DKIM, use la sintaxis siguiente:

    Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
    

    En este ejemplo se deshabilita la firma DKIM mediante el contoso.com de dominio personalizado.

    Set-DkimSigningConfig -Identity contoso.com -Enabled $false
    

Comprobación de la firma DKIM del correo saliente desde Microsoft 365

Sugerencia

Antes de usar los métodos de esta sección para probar la firma DKIM del correo saliente, espere unos minutos después de los cambios de configuración de DKIM para permitir que los cambios se propaguen.

Use cualquiera de los métodos siguientes para comprobar la firma DKIM del correo electrónico saliente de Microsoft 365:

  • Envíe mensajes de prueba y vea los campos de encabezado relacionados desde el encabezado del mensaje en el sistema de correo electrónico de destino:

    1. Envíe un mensaje desde una cuenta dentro del dominio habilitado para DKIM de Microsoft 365 a un destinatario de otro sistema de correo electrónico (por ejemplo, outlook.com o gmail.com).

      Sugerencia

      No envíe correo a AOL para las pruebas dkim. AOL podría omitir la comprobación DKIM si se supera la comprobación de SPF.

    2. En el buzón de destino, vea el encabezado del mensaje. Por ejemplo:

    3. Busque el campo de encabezado DKIM-Signature en el encabezado del mensaje. El campo de encabezado es similar al ejemplo siguiente:

      DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com;
       s=selector1;
       h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
       bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
      
      • d=: dominio que se usó para firmar el mensaje DKIM.
      • s=: selector (clave pública en el registro DNS del dominio) que se usó para descifrar y comprobar la firma DKIM del mensaje.
    4. Busque el campo de encabezado Authentication-Results en el encabezado del mensaje. Aunque los sistemas de correo electrónico de destino pueden usar formatos ligeramente diferentes para marcar el correo entrante, el campo de encabezado debe incluir DKIM=pass o DKIM=OK. Por ejemplo:

      Authentication-Results: mx.google.com;
        dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb;
        arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com);
        spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
      

      Sugerencia

      La firma DKIM se omite en cualquiera de las siguientes condiciones:

      • Las direcciones de correo electrónico del remitente y del destinatario están en el mismo dominio.
      • Las direcciones de correo electrónico del remitente y del destinatario se encuentran en dominios diferentes controlados por la misma organización.

      En ambos casos, el campo de encabezado DKIM-Signature no existe en el encabezado del mensaje y el campo de encabezado Authentication-Results es similar al siguiente ejemplo:

      authentication-results: dkim=none (message not signed)
       header.d=none;dmarc=none action=none header.from=contoso.com;
      
  • Use la prueba en la ayuda de Microsoft 365: esta característica requiere una cuenta de administrador global y no está disponible en Microsoft 365 Government Community Cloud (GCC), GCC High, DoD o Office 365 operado por 21Vianet.

    La prueba de diagnóstico dkim de Microsoft 365 ayuda.

Firma dkim de correo desde el dominio personalizado en otros servicios de correo electrónico

Algunos proveedores de servicios de correo electrónico o proveedores de software como servicio le permiten habilitar la firma DKIM para el correo que se origina en el servicio. Sin embargo, los métodos dependen completamente del servicio de correo electrónico.

Sugerencia

Como se mencionó anteriormente en este artículo, se recomienda usar subdominios para sistemas de correo electrónico o servicios que no controle directamente.

Por ejemplo, el dominio de correo electrónico de Microsoft 365 se contoso.com y se usa el servicio de correo electrónico masivo Adatum para el correo electrónico de marketing. Si Adatum admite la firma DKIM de mensajes de remitentes de su dominio en su servicio, los mensajes podrían contener los siguientes elementos:

Return-Path: <communication@adatum.com>
 From: <sender@marketing.contoso.com>
 DKIM-Signature: s=s1024; d=marketing.contoso.com
 Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com

En este ejemplo, se requieren los pasos siguientes:

  1. Adatum proporciona a Contoso una clave pública para usar para la firma DKIM del correo saliente de Contoso desde su servicio.

  2. Contoso publica la clave DKIM pública en DNS en el registrador de dominios para el subdominio marketing.contoso.com (un registro TXT o un registro CNAME).

  3. Cuando Adatum envía correo de remitentes en el dominio marketing.contoso.com, los mensajes se firman con DKIM mediante la clave privada que corresponde a la clave pública que le dieron a Contoso en el primer paso.

  4. Si el sistema de correo electrónico de destino comprueba DKIM en los mensajes entrantes, los mensajes pasan DKIM porque están firmados por DKIM.

  5. Si el sistema de correo electrónico de destino comprueba DMARC en los mensajes entrantes, el dominio de la firma DKIM (el valor d= del campo de encabezado DKIM-Signature ) coincide con el dominio de la dirección From que se muestra en los clientes de correo electrónico, por lo que los mensajes también pueden pasar DMARC:

    Desde: sender@marketing.contoso.com
    d=: marketing.contoso.com

Pasos siguientes

Como se describe en Cómo SPF, DKIM y DMARC funcionan juntos para autenticar a los remitentes de mensajes de correo electrónico, DKIM por sí solo no es suficiente para evitar la suplantación de dominio de Microsoft 365. También debe configurar SPF y DMARC para obtener la mejor protección posible. Para obtener instrucciones, consulte:

Para el correo que entra en Microsoft 365, es posible que también tenga que configurar selladores de ARC de confianza si usa servicios que modifican los mensajes en tránsito antes de la entrega a su organización. Para obtener más información, consulte Configuración de selladores arc de confianza.