Usar DKIM para validar emails enviados de seu domínio personalizado no Office 365Use DKIM to validate outbound email sent from your custom domain in Office 365

Resumo: Este artigo descreve como usar o DomainKeys Identificated mail (DKIM) com o Office 365 para garantir que os sistemas de email de destino confiem em mensagens enviadas de saída do seu domínio personalizado.Summary: This article describes how you use DomainKeys Identified Mail (DKIM) with Office 365 to ensure that destination email systems trust messages sent outbound from your custom domain.

Você deve usar o DKIM, além da SPF e do DMARC, para ajudar a evitar que spoofers enviem mensagens que pareçam que são provenientes de seu domínio. O DKIM possibilita adicionar uma assinatura digital a mensagens de email no cabeçalho da mensagem. Parece complicado, mas não é. Quando você configura o DKIM, autoriza seu domínio a associar, ou assinar, o nome dele a uma mensagem de email usando a autenticação de criptografia. Sistemas de email que recebem emails de seu domínio podem usar essa assinatura digital para ajudar a determinar se os emails recebidos são legítimos.You should use DKIM in addition to SPF and DMARC to help prevent spoofers from sending messages that look like they are coming from your domain. DKIM lets you add a digital signature to email messages in the message header. Sounds complicated, but it's really not. When you configure DKIM, you authorize your domain to associate, or sign, its name to an email message by using cryptographic authentication. Email systems that receive email from your domain can use this digital signature to help determine if incoming email that they receive is legitimate.

Basicamente, você usa uma chave privada para criptografar o cabeçalho no email de saída do seu domínio. Publique uma chave pública nos registros DNS do seu domínio que os servidores de recebimento possam então usar para decodificar a assinatura. Eles usam a chave pública para confirmar que as mensagens realmente vêm de você e não de alguém que está falsificando seu domínio.Basically, you use a private key to encrypt the header in your domain's outgoing email. You publish a public key to your domain's DNS records that receiving servers can then use to decode the signature. They use the public key to verify that the messages are really coming from you and not coming from someone spoofing your domain.

O Office 365 configura automaticamente o DKIM para domínios iniciais. O domínio inicial é o domínio que o Office 365 criou quando você se inscreveu no serviço, por exemplo, contoso.onmicrosoft.com. Não é preciso fazer nada para configurar o DKIM para o seu domínio inicial. Para saber mais sobre domínios, confira Perguntas frequentes sobre domínios.Office 365 automatically sets up DKIM for initial domains. The initial domain is the domain that Office 365 created for you when you signed up with the service, for example, contoso.onmicrosoft.com. You don't need to do anything to set up DKIM for your initial domain. For more information about domains, see Domains FAQ.

Você também pode optar por não fazer nada sobre o DKIM em relação ao seu domínio personalizado. Se você não configurar o DKIM para o seu domínio personalizado, o Office 365 criará um par de chaves privada e pública, habilitará a assinatura do DKIM e configurará a política padrão do Office 365 para o seu domínio personalizado. Embora isso seja abrangente o suficiente para a maioria dos clientes do Office 365, você deve configurar manualmente o DKIM para o seu domínio personalizado nas seguintes circunstâncias:You can choose to do nothing about DKIM for your custom domain too. If you do not set up DKIM for your custom domain, Office 365 creates a private and public key pair, enables DKIM signing, and then configures the Office 365 default policy for your custom domain. While this is sufficient coverage for most Office 365 customers, you should manually configure DKIM for your custom domain in the following circumstances:

  • Você tem mais de um domínio personalizado no Office 365You have more than one custom domain in Office 365

  • For configurar o DMARC também (recomendado)You're going to set up DMARC too (recommended)

  • Quiser ter controle sobre sua chave privadaYou want control over your private key

  • Quiser personalizar seus registros CNAMEYou want to customize your CNAME records

  • Configure as chaves do DKIM para emails provenientes de um domínio de terceiros, por exemplo, se você usar um programa de email em massa terceirizado.You want to set up DKIM keys for email originating out of a third-party domain, for example, if you use a third-party bulk mailer.

Neste artigo:In this article:

Como o DKIM funciona melhor do que o SPF para evitar a falsificação maliciosa no Office 365How DKIM works better than SPF alone to prevent malicious spoofing in Office 365

A SPF adiciona informações a um envelope de mensagem, mas o DKIM realmente criptografa uma assinatura dentro do cabeçalho da mensagem. Ao encaminhar uma mensagem, partes de seu envelope podem ser removidas pelo servidor de encaminhamento. Como a assinatura digital permanece com a mensagem de email porque faz parte do cabeçalho do email, o DKIM funciona mesmo quando uma mensagem é encaminhada conforme mostrado no exemplo a seguir.SPF adds information to a message envelope but DKIM actually encrypts a signature within the message header. When you forward a message, portions of that message's envelope can be stripped away by the forwarding server. Since the digital signature stays with the email message because it's part of the email header, DKIM works even when a message has been forwarded as shown in the following example.

Diagrama que mostra uma mensagem encaminhada passando pela autenticação DKIM onde a verificação de SPF falha

Neste exemplo, se você tivesse apenas publicado um registro TXT SPF do seu domínio, o servidor de email do destinatário poderia ter marcado seu email como spam e gerado um resultado positivo falso. A adição do DKIM neste cenário reduz o resultado positivo falso de spam. Como o DKIM depende de criptografia de chave pública para autenticar, e não apenas de endereços IP, é considerado uma forma muito mais forte de autenticação que o SPF. Recomendamos usar o SPF e o DKIM, bem como o DMARC, em sua implantação.In this example, if you had only published an SPF TXT record for your domain, the recipient's mail server could have marked your email as spam and generated a false positive result. The addition of DKIM in this scenario reduces false positive spam reporting. Because DKIM relies on public key cryptography to authenticate and not just IP addresses, DKIM is considered a much stronger form of authentication than SPF. We recommend using both SPF and DKIM, as well as DMARC in your deployment.

Detalhes fundamentais: o DKIM usa uma chave privada para inserir uma assinatura criptografada nos cabeçalhos das mensagens. A domínio que assina, ou domínio de saída, é inserido como o valor do campo d= no cabeçalho. O domínio que verifica, ou domínio do destinatário, usa esse campo d= para procurar a chave pública no DNS e autenticar a mensagem. Se a mensagem for verificada, passa na verificação do DKIM.The nitty gritty: DKIM uses a private key to insert an encrypted signature into the message headers. The signing domain, or outbound domain, is inserted as the value of the d= field in the header. The verifying domain, or recipient's domain, then use the d= field to look up the public key from DNS and authenticate the message. If the message is verified, the DKIM check passes.

O que você precisa fazer para configurar manualmente o DKIM no Office 365What you need to do to manually set up DKIM in Office 365

Para configurar o DKIM, execute estas etapas:To configure DKIM, you will complete these steps:

Publicar dois registros CNAME para o seu domínio personalizado no DNSPublish two CNAME records for your custom domain in DNS

Para cada domínio para o qual você deseja adicionar uma assinatura de DKIM no DNS, é preciso publicar dois registros CNAME.For each domain for which you want to add a DKIM signature in DNS, you need to publish two CNAME records. Um registro CNAME é usado pelo DNS para especificar que o nome canônico de um domínio é um alias para outro nome de domínio.A CNAME record is used by DNS to specify that the canonical name of a domain is an alias for another domain name. Os registros CNAME devem ser criados nos servidores DNS publicamente disponíveis para seus domínios personalizados.The CNAME records should be created on the publicly available DNS servers for your customized domains. Os registros CNAME no seu DNS apontarão para já ter criado os registros que existem no DNS nos servidores DNS da Microsoft para o Office 365.The CNAME records in your DNS will point to already created A records that exist in DNS on the Microsoft DNS servers for Office 365.

O Office 365 executa a rotação de chaves automática usando os dois registros estabelecidos. Se você provisionou domínios personalizados em adição ao domínio inicial no Office 365, deve publicar dois registros CNAME para cada domínio adicional. Portanto, se você tem dois domínios, deve publicar dois registros CNAME adicionais e assim por diante.Office 365 performs automatic key rotation using the two records that you establish. If you have provisioned custom domains in addition to the initial domain in Office 365, you must publish two CNAME records for each additional domain. So, if you have two domains, you must publish two additional CNAME records, and so on.

Use o seguinte formato para os registros CNAME.Use the following format for the CNAME records.

Importante

Se você for um dos nossos clientes com GCC, calculamos o domainGuid de maneira diferente!If you are one of our GCC High customers, we calculate domainGuid differently! Em vez de Pesquisar o registro MX para o initialDomain para calcular domainGuid, em vez disso, o calculamos diretamente do domínio personalizado.Instead of looking up the MX record for your initialDomain to calculate domainGuid, instead we calculate it directly from the customized domain. Por exemplo, se o seu domínio personalizado for "contoso.com", o domainGuid se tornará "contoso-com", os pontos serão substituídos por um traço.For example, if your customized domain is “contoso.com” your domainGuid becomes “contoso-com”, any periods are replaced with a dash. Portanto, independentemente de qual registro MX seu initialDomain aponta, você sempre usará o método acima para calcular o domainGuid a ser usado em seus registros CNAME.So, regardless of what MX record your initialDomain points to, you’ll always use the above method to calculate the domainGuid to use in your CNAME records.

Host name:          selector1._domainkey
Points to address or value: selector1-<domainGUID>._domainkey.<initialDomain> 
TTL:                3600

Host name:          selector2._domainkey
Points to address or value: selector2-<domainGUID>._domainkey.<initialDomain> 
TTL:                3600

Em que:Where:

  • Para o Office 365, os seletores sempre serão "seletor1" ou "seletor2".For Office 365, the selectors will always be "selector1" or "selector2".

  • domainGUID é o mesmo que o DOMAINGUID no registro MX personalizado para seu domínio personalizado que aparece antes de mail.Protection.Outlook.com.domainGUID is the same as the domainGUID in the customized MX record for your custom domain that appears before mail.protection.outlook.com. Por exemplo, no seguinte registro MX para o domínio contoso.com, o domainGUID é contoso-com:For example, in the following MX record for the domain contoso.com, the domainGUID is contoso-com:

    contoso.com.  3600  IN  MX   5 contoso-com.mail.protection.outlook.com
    
  • initialDomain é o domínio que você usou quando se inscreveu no Office 365.initialDomain is the domain that you used when you signed up for Office 365. Os domínios iniciais sempre terminam no onmicrosoft.com.Initial domains always end in onmicrosoft.com. Para saber mais sobre como determinar seu domínio inicial, confira Perguntas frequentes sobre domínios.For information about determining your initial domain, see Domains FAQ.

Por exemplo, se você tiver o domínio inicial cohovineyardandwinery.onmicrosoft.com e dois domínios personalizados, cohovineyard.com e cohowinery.com, precisará configurar dois registros CNAME para cada domínio adicional, totalizando quatro registros CNAME.For example, if you have an initial domain of cohovineyardandwinery.onmicrosoft.com, and two custom domains cohovineyard.com and cohowinery.com, you would need to set up two CNAME records for each additional domain, for a total of four CNAME records.

Host name:          selector1._domainkey
Points to address or value: **selector1-cohovineyard-com**._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:          selector2._domainkey
Points to address or value: **selector2-cohovineyard-com**._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:          selector1._domainkey
Points to address or value: **selector1-cohowinery-com**._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:                3600
 
Host name:          selector2._domainkey
Points to address or value: **selector2-cohowinery-com**._domainkey.cohovineyardandwinery.onmicrosoft.com 
TTL:                3600

Habilitar a assinatura DKIM para o seu domínio personalizado no Office 365Enable DKIM signing for your custom domain in Office 365

Depois de publicar os registros CNAME no DNS, você estará pronto para habilitar a assinatura DKIM pelo Office 365.Once you have published the CNAME records in DNS, you are ready to enable DKIM signing through Office 365. Você pode fazer isso por meio do centro de administração do Microsoft 365 ou usando o PowerShell.You can do this either through the Microsoft 365 admin center or by using PowerShell.

Para habilitar a assinatura do DKIM para o seu domínio personalizado por meio do centro de administraçãoTo enable DKIM signing for your custom domain through the admin center

  1. Entre no Office 365 com sua conta corporativa ou de estudante.Sign in to Office 365 with your work or school account.

  2. Selecione o ícone do inicializador de aplicativos no canto superior esquerdo e escolha Administrador.Select the app launcher icon in the upper-left and choose Admin.

  3. No painel de navegação inferior à esquerda, expanda Administrador e escolha Exchange.In the lower-left navigation, expand Admin and choose Exchange.

  4. Vá para Proteção > DKIM.Go to Protection > dkim.

  5. Selecione o domínio para o qual você deseja habilitar o DKIM e, para Assinar mensagens deste domínio com assinaturas DKIM, escolha Habilitar. Repita essa etapa para cada domínio personalizado.Select the domain for which you want to enable DKIM and then, for Sign messages for this domain with DKIM signatures, choose Enable. Repeat this step for each custom domain.

Para habilitar a assinatura DKIM para o seu domínio personalizado usando o PowerShellTo enable DKIM signing for your custom domain by using PowerShell

  1. Conectar-se ao Exchange Online PowerShell.Connect to Exchange Online PowerShell.

  2. Execute o seguinte comando:Run the following command:

    New-DkimSigningConfig -DomainName <domain> -Enabled $true
    

    Em que domínio é o nome do domínio personalizado para o qual você deseja habilitar a assinatura do DKIM.Where domain is the name of the custom domain that you want to enable DKIM signing for.

    Por exemplo, para o domínio contoso.com:For example, for the domain contoso.com:

    New-DkimSigningConfig -DomainName contoso.com -Enabled $true
    

Para confirmar que a assinatura de DKIM está configurada adequadamente para o Office 365To Confirm DKIM signing is configured properly for Office 365

Aguarde alguns minutos antes de prosseguir com essas etapas para confirmar que você configurou o DKIM corretamente. Isso permite que as informações do DKIM sobre o domínio sejam distribuídas por toda a rede.Wait a few minutes before you follow these steps to confirm that you have properly configured DKIM. This allows time for the DKIM information about the domain to be spread throughout the network.

  • Envie uma mensagem de uma conta do seu domínio do Office 365 habilitado com DKIM para outra conta de email, como outlook.com ou Hotmail.com.Send a message from an account within your Office 365 DKIM-enabled domain to another email account such as outlook.com or Hotmail.com.

  • Não use uma conta aol.com para fins de teste. A AOL pode ignorar a verificação de DKIM se a verificação de SPF passar. Isso anula o teste.Do not use an aol.com account for testing purposes. AOL may skip the DKIM check if the SPF check passes. This will nullify your test.

  • Abra a mensagem e examine o cabeçalho. Instruções para exibir o cabeçalho da mensagem variam dependendo do seu cliente de mensagens. Para instruções sobre como visualizar cabeçalhos de mensagens no Outlook, confira Visualizar cabeçalhos de mensagens de email.Open the message and look at the header. Instructions for viewing the header for the message will vary depending on your messaging client. For instructions on viewing message headers in Outlook, see View e-mail message headers.

    A mensagem assinada com DKIM conterá o nome do host e o domínio definidos quando você publicou as entradas CNAME. A mensagem terá uma aparência similar à do exemplo:The DKIM-signed message will contain the host name and domain you defined when you published the CNAME entries. The message will look something like this example:

    From: Example User <example@contoso.com> 
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
        s=selector1; d=contoso.com; t=1429912795; 
        h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
        bh=<body hash>; 
        b=<signed field>;
    
  • Procure pelo cabeçalho Authentication-Results. Embora cada serviço receptor use um formato ligeiramente diferente para carimbar as mensagens recebidas, o resultado deve incluir algo parecido com DKIM=pass ou DKIM=OK.Look for the Authentication-Results header. While each receiving service uses a slightly different format to stamp the incoming mail, the result should include something like DKIM=pass or DKIM=OK.

Para configurar o DKIM para mais de um domínio personalizado no Office 365To configure DKIM for more than one custom domain in Office 365

Se em algum momento no futuro você decidir adicionar outro domínio personalizado e quiser habilitar o DKIM para o novo domínio, deve executar as etapas deste artigo para cada domínio. Especificamente, execute todas as etapas em O que você precisa fazer para configurar manualmente o DKIM no Office 365.If at some point in the future you decide to add another custom domain and you want to enable DKIM for the new domain, you must complete the steps in this article for each domain. Specifically, complete all steps in What you need to do to manually set up DKIM in Office 365.

Desabilitar a política de assinatura do DKIM para um domínio personalizado no Office 365Disabling the DKIM signing policy for a custom domain in Office 365

Desabilitar a política de assinatura não desabilita completamente o DKIM. Após um período de tempo, o Office 365 aplicará automaticamente a política padrão do Office 365 ao seu domínio. Para saber mais, confira Comportamento padrão para o DKIM e o Office 365.Disabling the signing policy does not completely disable DKIM. After a period of time, Office 365 will automatically apply the default Office 365 policy for your domain. For more information, see Default behavior for DKIM and Office 365.

Para desabilitar a política de assinatura do DKIM usando o Windows PowerShellTo disable the DKIM signing policy by using Windows PowerShell

  1. Conectar-se ao Exchange Online PowerShell.Connect to Exchange Online PowerShell.

  2. Execute um dos seguintes comandos para cada domínio para o qual você deseja desabilitar a assinatura de DKIM.Run one of the following commands for each domain for which you want to disable DKIM signing.

    $p=Get-DkimSigningConfig -identity <domain>
    $p[0] | set-DkimSigningConfig -enabled $false
    

    Por exemplo:For example:

    $p=Get-DkimSigningConfig -identity contoso.com
    $p[0] | set-DkimSigningConfig -enabled $false
    

    OuOr

    Set-DkimSigningConfig -identity $p[<number>].identity -enabled $false
    

    Onde número é o índice da política.Where number is the index of the policy. Por exemplo:For example:

    Set-DkimSigningConfig -identity $p[0].identity -enabled $false
    

Comportamento padrão para o DKIM e o Office 365Default behavior for DKIM and Office 365

Se você não habilitar o DKIM, o Office 365 criará automaticamente uma chave pública DKIM de 1.024 bits para seu domínio personalizado e a chave privada associada que é armazenada internamente em nosso data center. Por padrão, o Office 365 usa uma configuração de assinatura padrão para domínios que não têm uma política aplicada. Isso significa que se você não configurar o DKIM por conta própria, o Office 365 usará a política e as chaves padrão que ele criar para habilitar o DKIM para o seu domínio.If you do not enable DKIM, Office 365 automatically creates a 1024-bit DKIM public key for your custom domain and the associated private key which we store internally in our datacenter. By default, Office 365 uses a default signing configuration for domains that do not have a policy in place. This means that if you do not set up DKIM yourself, Office 365 will use its default policy and keys it creates in order to enable DKIM for your domain.

Além disso, se você desabilitar a assinatura DKIM após ativá-la, depois de um período de tempo o Office 365 aplicará automaticamente a política padrão do Office 365 para o seu domínio.Also, if you disable DKIM signing after enabling it, after a period of time, Office 365 will automatically apply the Office 365 default policy for your domain.

No exemplo a seguir, suponha que o DKIM de fabrikam.com foi habilitado pelo Office 365, não pelo administrador do domínio. Isso significa que os CNAMEs necessários não existem no DNS. Assinaturas DKIM para email deste domínio terão uma aparência similar a esta:In the following example, suppose that DKIM for fabrikam.com was enabled by Office 365, not by the administrator of the domain. This means that the required CNAMEs do not exist in DNS. DKIM signatures for email from this domain will look something like this:

From: Second Example <second.example@fabrikam.com> 
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; 
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795; 
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type; 
    bh=<body hash>; 
    b=<signed field>;

Neste exemplo, o nome de host e o domínio contêm os valores para os quais o CNAME apontaria se a assinatura de DKIM para fabrikam.com tivesse sido ativada pelo administrador do domínio. Eventualmente, cada mensagem enviada do Office 365 será assinada com DKIM. Se você mesmo habilitar o DKIM, o domínio será o mesmo que o do campo de endereço De:, neste caso fabrikam.com. Caso contrário, os domínios não corresponderão entre si e, em vez disso, será usado o domínio inicial da sua organização. Para saber mais sobre como determinar seu domínio inicial, confira Perguntas frequentes sobre domínios.In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator. Eventually, every single message sent from Office 365 will be DKIM-signed. If you enable DKIM yourself, the domain will be the same as the domain in the From: address, in this case fabrikam.com. If you don't, it will not align and instead will use your organization's initial domain. For information about determining your initial domain, see Domains FAQ.

Configurar o DKIM de forma que um serviço terceirizado possa enviar, ou fazer spoof de, emails em nome de seu domínio personalizadoSet up DKIM so that a third-party service can send, or spoof, email on behalf of your custom domain

Alguns provedores de serviço de email em massa, ou provedores de software como serviço, permitem que você configure as chaves DKIM para o email originado de seu serviço. Isso exige a coordenação entre sua empresa e a empresa terceirizada para configurar os registros DNS necessários. Não há duas organizações que fazem isso exatamente da mesma maneira. Em vez disso, o processo depende totalmente da organização.Some bulk email service providers, or software-as-a-service providers, let you set up DKIM keys for email that originates from their service. This requires coordination between yourself and the third-party in order to set up the necessary DNS records. No two organizations do it exactly the same way. Instead, the process depends entirely on the organization.

Um exemplo de mensagem mostrando um DKIM configurado adequadamente para contoso.com e bulkemailprovider.com pode parecer com este:An example message showing a properly configured DKIM for contoso.com and bulkemailprovider.com might look like this:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

Neste exemplo, para obter este resultado:In this example, in order to achieve this result:

  1. O provedor de email em massa deu à Contoso uma chave pública de DKIM.Bulk Email Provider gave Contoso a public DKIM key.

  2. A Contoso publicou a chave de DKIM em seu registro DNS.Contoso published the DKIM key to its DNS record.

  3. Ao enviar emails, o Provedor de Email em Massa assina a chave com a chave privada correspondente. Ao fazer isso, o Provedor de Email em Massa anexa a assinatura DKIM ao cabeçalho da mensagem.When sending email, Bulk Email Provider signs the key with the corresponding private key. By doing so, Bulk Email Provider attached the DKIM signature to the message header.

  4. Sistemas de recebimento de email executam uma verificação de DKIM autenticando o valor DKIM-Signature d=<domínio> em relação ao domínio no campo de endereço From: (5322.From) da mensagem. Neste exemplo, os valores são correspondentes:Receiving email systems perform a DKIM check by authenticating the DKIM-Signature d=<domain> value against the domain in the From: (5322.From) address of the message. In this example, the values match:

    remetente @contoso.comsender@contoso.com

    d =contoso.comd=contoso.com

Próximas etapas: depois de configurar o DKIM para o Office 365Next steps: After you set up DKIM for Office 365

Embora o DKIM tenha sido projetado para ajudar a evitar a falsificação, ele funciona melhor com SPF e DMARC.Although DKIM is designed to help prevent spoofing, DKIM works better with SPF and DMARC. Depois que você configurar o DKIM, se já não tiver configurado o SPF, deve fazê-lo.Once you have set up DKIM, if you have not already set up SPF you should do so. Para obter uma introdução rápida sobre SPF e configurá-lo rapidamente, confira Set up SPF in Office 365 to help prevent spoofing.For a quick introduction to SPF and to get it configured quickly, see Set up SPF in Office 365 to help prevent spoofing. Para compreender melhor como o Office 365 usa SPF, para solucionar problemas, ou para saber mais sobre implantações incomuns, como implantações híbridas, comece com How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing.For a more in-depth understanding of how Office 365 uses SPF, or for troubleshooting or non-standard deployments such as hybrid deployments, start with How Office 365 uses Sender Policy Framework (SPF) to prevent spoofing. A seguir, confira Usar DMARC para validar emails no Office 365.Next, see Use DMARC to validate email in Office 365. Cabeçalhos de mensagem antispam, que inclui a sintaxe e os campos de cabeçalho usados pelo Office 365 para verificações de DKIM.Anti-spam message headers includes the syntax and header fields used by Office 365 for DKIM checks.