Använda DKIM för att validera utgående e-post som skickas från din anpassade domän

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Den här artikeln innehåller steg för att använda DomainKeys Identified Mail (DKIM) med Microsoft 365 för att säkerställa att mål-e-postsystemen litar på utgående meddelanden som skickas från din anpassade domän.

I den här artikeln:

Anteckning

Microsoft 365 konfigurerar automatiskt DKIM för dess ursprungliga ”onmicrosoft.com”-domäner. Det innebär att du inte behöver göra något för att konfigurera DKIM för alla inledande domännamn (t. ex. litware.onmicrosoft.com). Mer information om domäner finns i Vanliga frågor och svar om domäner.

DKIM är en av tre autentiseringsmetoder (SPF, DKIM och DMARC) som hjälper till att förhindra angripare att skicka meddelanden som ser ut som att de kommer från din domän.

Med DKIM kan du lägga till en digital signatur i utgående e-postmeddelanden i meddelanderubriken. När du konfigurerar DKIM auktoriserar du domänen att associera, eller signera, dess namn till ett e-postmeddelande med hjälp av krypterad autentisering. E-postsystem som får e-post från din domän kan använda denna digitala signatur för att fastställe om inkommande e-post är legitim.

Enkelt sagt krypterar en privat nyckel rubriken i utgående e-postmeddelanden från en domän. Den offentliga nyckeln publiceras i domänens DNS-poster och mottagande servrar kan använda den nyckeln för att avkoda signaturen. DKIM-verifiering hjälper de mottagande servrarna att bekräfta att e-posten verkligen kommer från din domän och inte från någon som förfalskar din domän.

Tips

Du kan även välja att inte göra någonting med DKIM för din anpassade domän. Om du inte konfigurerar DKIM för din anpassade domän skapar Microsoft 365 ett privat och offentligt nyckelpar, aktiverar DKIM-signering och konfigurerar sedan standardprincipen för Microsoft 365 för din anpassade domän.

Den inbyggda DKIM-konfigurationen för Microsoft 365 är tillräcklig täckning för de flesta kunder. Men du bör manuellt konfigurera DKIM för din anpassade domän i följande fall:

  • Du har fler än en anpassad domän i Microsoft 365
  • Du ska även konfigurera DMARC (rekommenderas)
  • Du vill ha kontroll över din privata nyckel
  • Du vill anpassa dina CNAME-poster
  • Du vill konfigurera DKIM-nycklar för e-post som kommer från en domän från tredje part, t. ex. om du använder ett massutskick från tredje part.

Hur DKIM fungerar bättre än enbart SPF för att förhindra skadlig förfalskning

SPF lägger till information till ett meddelandekuvert, men DKIM krypterar en signatur i meddelanderubriken. När du vidarebefordrar ett meddelande kan delar av meddelandets kuvert vara rensade av vidarebefordringsservern. Eftersom den digitala signaturen ligger kvar i e-postmeddelandet eftersom den är en del av e-postmeddelandets huvud fungerar DKIM även när ett meddelande har vidarebefordrats enligt följande exempel.

Diagram som visar ett vidarebefordrat meddelande som skickar DKIM-autentiseringen där SPF-kontrollen misslyckades.

Om du bara hade publicerat en SPF TXT-post för domänen i det här exemplet skulle mottagarens e-postserver ha markerat e-postmeddelandet som skräppost och genererat ett falskt positivt resultat. Tillägget av DKIM i det här scenariot minskar falska positiva rapporteringar av skräppost. Eftersom DKIM använder offentlig nyckelkryptering för att autentisera och inte bara IP-adresser anses DKIM vara en mycket starkare autentiseringsmetod än SPF. Vi rekommenderar att du använder både SPF och DKIM, och även DMARC i din distribution.

Tips

DKIM använder en privat nyckel för att infoga en krypterad signatur i meddelanderubrikerna. Signeringsdomänen, eller den utgående domänen, infogas som värdet för fältet d = i rubriken. Den verifierande domänen, eller mottagarens domän, använder sedan fältet d= för att leta upp den offentliga nyckeln från DNS och autentisera meddelandet. Om meddelandet har bekräftats godkänns DKIM-kontrollen.

[Steg for att skapa, aktivera eller inaktivera DKIM från Microsoft 365 Defender-portalen]

Alla godkända domäner för din klientorganisation visas i Microsoft 365 Defender-portalen under DKIM-sidan. Om du inte ser den lägger du till din godkända domän från domänsidan. När domänen har lagts till följer du stegen nedan för att konfigurera DKIM.

Steg 1: Klicka på den domän du önskar konfigurera DKIM på DKIM-sidan (https://security.microsoft.com/dkimv2 or https://protection.office.com/dkimv2).

DKIM-sidan i Microsoft 365 Defender-portalen med en domän markerad.

Steg 2: Klicka på Skapa DKIM-nycklar.

Utfällbar meny för domäninformation med knappen Skapa DKIM-nycklar.

Steg 3: Kopiera CNAMES som visas i popup-fönstret

Publicera CNAMEs popup-fönstret som innehåller de två CNAME-poster som ska kopieras.

Steg 4: Publicera de kopierade CNAME-posterna till DNS-tjänstleverantören.

På DNS-leverantörens webbplats lägger du till CNAME-poster för de DKIM du vill aktivera. Kontrollera att fälten är inställda på följande värden för varje:

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

Steg 5: Gå tillbaka till DKIM-sidan om du vill aktivera DKIM.

Dra växlingsknappen till Aktiverad för att aktivera DKIM.

Om det inte finns något fel i CNAME-posten kan det bero på:

  1. Synkronisering med DNS-servern, vilket kan ta från några sekunder till timmar. Om problemet kvarstår upprepar du stegen igen
  2. Sök efter eventuella kopiera-klistra-in-fel, t.ex. extra blanksteg eller flikar, osv.

Om du vill inaktivera DKIM växlar du tillbaka till inaktivera-läge

Uppgradera manuellt dina 1024-bitars nycklar till 2048-bitars DKIM-krypteringsnycklar

Anteckning

Microsoft 365 konfigurerar automatiskt DKIM för domäner med onmicrosoft.com. Inga steg krävs för att använda DKIM för inledande domännamn (t.ex. litware.onmicrosoft.com). Mer information om domäner finns i Vanliga frågor och svar om domäner.

Eftersom både 1024 och 2048 bitar stöds för DKIM-nycklar visar dessa instruktioner hur du uppgraderar din 1024-bitarsnyckel till 2048 i Exchange Online PowerShell. Stegen nedan gäller för två användningsfall: Välj det som passar bäst för konfigurationen.

  • När du redan har konfigurerat DKIM kan du rotera bitar genom att köra följande kommando:

    Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>
    

    eller

  • För en ny implementering av DKIM, kör följande kommando:

    New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
    

Håll dig ansluten till Exchange Online PowerShell för att verifiera konfigurationen genom att köra följande kommando:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Tips

Den här nya 2048-bitarsnyckeln träder i kraft på RotateOnDate och skickar e-postmeddelanden med 1024-bitarsnyckeln i interimversionen. Efter fyra dagar kan du testa igen med 2048-bitarsnyckeln (det vill säga när rotationen träder i kraft i den andra väljaren).

Om du efter fyra dagar och bekräfta att 2048-bitars används vill rotera till den andra väljaren, roterar du den andra väljarnyckeln manuellt med hjälp av lämplig cmdlet som anges ovan.

För detaljerad information om syntax och parametrar, se följande artiklar: Rotate-DkimSigningConfig, New-DkimSigningConfigoch Get-DkimSigningConfig.

Steg för att konfigurera DKIM manuellt

Om du vill konfigurera DKIM gör du så här:

Publicera två CNAME-poster för din anpassade domän i DNS

För varje domän som du vill lägga till en DKIM-signatur för måste du publicera två CNAME-poster.

Anteckning

Har du inte läst hela artikeln kan du ha missat den här tidsbesparande PowerShell-anslutningsinformationen: Anslut till Exchange Online PowerShell.

Kör följande kommandon i Exchange Online PowerShell för att skapa väljararkiv:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Om du har etablerat anpassade domäner utöver den första domänen i Microsoft 365 måste du publicera två CNAME-poster för varje ytterligare domän. Om du har två domäner måste du publicera två ytterligare CNAME-poster och så vidare.

Använd följande format för CNAME-posterna.

Viktigt

Om du är en av våra GCC High-kunder beräknar vi customDomainIdentifier annorlunda! I stället för att leta upp MX-posten för din initialDomain för att beräkna customDomainIdentifier beräknar vi det direkt från den anpassade domänen. Om du till exempel har en anpassad domän som ”contoso.com” blir din customDomainIdentifier ”contoso-com”. Punkter ersätts med ett streck. Oavsett vilken MX-post som initialDomain pekar på kommer du alltid att använda metoden ovan för att beräkna vilken customDomainIdentifier som ska användas i dina CNAME-poster.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Var:

  • För Microsoft 365 är väljarna alltid ”selector1” eller ”selector2”.

  • customDomainIdentifier är samma som customDomainIdentifier i den anpassade MX-posten för din anpassade domän som visas före mail.protection.outlook.com. Exempel: i följande MX-post för domänen contoso.com blir din customDomainIdentifier contoso-com:

    contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain är den domän som du använde när du registrerade dig för Microsoft 365. De första domänerna avslutas alltid i onmicrosoft.com. Information om hur du fastställer din första domän finns i Vanliga frågor och svar om domäner.

Om du till exempel har en första domän med cohovineyardandwinery.onmicrosoft.com, och två egna domäner cohovineyard.com och cohowinery.co, behöver du skapa två CNAME-poster för varje ytterligare domän för att summera fyra CNAME-poster.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Anteckning

Det är viktigt att skapa den andra posten, men bara en av dem kan vara tillgänglig när du skapar den. I själva verket kan den andra väljarens peka på en adress som inte har skapats än. Vi rekommenderar fortfarande att du skapar den andra CNAME-posten eftersom nyckelroteringen blir smidig.

Steg för att aktivera DKIM-signering för din anpassade domän

När du har publicerat CNAME-posterna i DNS är du redo att aktivera DKIM-signering via Microsoft 365. Du kan göra det antingen via administrationscentret för Microsoft 365 eller med hjälp av PowerShell.

Så här aktiverar du DKIM-signering för din anpassade domän i Microsoft 365 Defender-portalen

  1. I Microsoft 365 Defender-portalenhttps://security.microsoft.comgå till e-post och samarbete > principer och regler > principer för hot > DKIM i regelsektionen. Om du vill gå direkt till DKIM-sidan använder du https://security.microsoft.com/dkimv2.

  2. På sidan DKIM markerar du domänen genom att klicka på namnet.

  3. I den utfällbara menyn med information ändrar du inställningen Signera meddelanden för den här domänen med DKIM-signaturer till Aktiverad (Växlingsknapp på.)

    Klicka på Rotera DKIM-nycklar när du är klar.

  4. Upprepa det här steget för varje anpassad domän.

  5. Om du konfigurerar DKIM för första gången och ser felet "Inga DKIM-nycklar har sparats för den här domänen" måste du använda Windows PowerShell för att aktivera DKIM-signering enligt beskrivningen i nästa steg.

För att aktivera DKIM-signering för din anpassade domän med PowerShell

Viktigt

Felet &quot;Inga DKIM-nycklar sparade för den här domänen.&quot; Om du konfigurerar DKIM för första gången och ser felet "Inga DKIM-nycklar har sparats för den här domänen" slutför du kommandot i steg 2 nedan (till exempel Set-DkimSigningConfig -Identity contoso.com -Enabled $true) för att se nyckeln.

  1. Ansluta till Exchange Online PowerShell.

  2. Använd följande syntax:

    Set-DkimSigningConfig -Identity <Domain> -Enabled $true
    

    <Domain> är namnet på den anpassade domän som du vill aktivera DKIM-signering för.

    Det här exemplet aktiverar DKIM-signering för domänen contoso.com:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

Bekräfta att DKIM-signering är rätt konfigurerad för Microsoft 365

Vänta några minuter innan du följer de här anvisningarna för att kontrollera att du har konfigurerat DKIM. Då får DKIM-informationen om domänen tid att spridas i hela nätverket.

  • Skicka ett meddelande från ett konto i din DKIM-aktiverade Microsoft 365-domän till ett annat e-postkonto, till exempel outlook.com eller Hotmail.com.

  • Använd inte ett aol.com-konto för testningsändamål. AOL kan hoppa över DKIM för att kontrollera om SPF-kontrollen överförs. Det här annullerar testet.

  • Öppna meddelandet och titta på rubriken. Information om hur du visar rubriken för meddelandet beror på vilken meddelandeklient du har. Information om hur du visar meddelanderubriker i Outlook finns i Visa internetmeddelandehuvud i Outlook.

    Det DKIM-signerade meddelandet innehåller värdnamnet och domänen som du angav när du publicerade CNAME-posterna. Meddelandet ser ut ungefär så här:

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • Håll utkik efter huvudet Authentication-Results. Även om varje mottagande tjänst använder något annat format för att stämpla inkommande e-post ska resultatet innehålla något som liknar DKIM=pass eller DKIM=OK.

Konfigurera DKIM för fler än en anpassad domän

Om du senare bestämmer dig för att lägga till en egen domän och vill aktivera DKIM för den nya domänen måste du utföra stegen i den här artikeln för varje domän. Slutför först alla steg du behöver göra för att konfigurera DKIM manuellt.

Inaktivera DKIM-signeringsprincipen för en anpassad domän

När du inaktiverar signeringsprincipen inaktiveras inte DKIM fullständigt. Efter en viss tidsperiod tillämpar Microsoft 365 automatiskt standardprincipen för din domän, om standardprincipen fortfarande är i aktiverat tillstånd. Om du vill inaktivera DKIM helt, måste du inaktivera DKIM för både anpassade domäner och standarddomäner. Mer information finns i Standardbeteende för DKIM och Microsoft 365.

Inaktivera DKIM-signeringsprincipen med Windows PowerShell

  1. Ansluta till Exchange Online PowerShell.

  2. Kör något av följande kommandon för varje domän som du vill inaktivera DKIM-signering för.

    $p = Get-DkimSigningConfig -Identity <Domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Till exempel:

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Eller

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    Där number är indexet för principen. Till exempel:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

Standardbeteende för DKIM och Microsoft 365

Om du inte aktiverar DKIM skapar Microsoft 365 automatiskt en offentlig 2048-bitars DKIM-nyckel för din MOERA-domän (Microsoft Online Email Routing Address)/initial domän och den associerade privata nyckel som vi lagrar internt i vårt datacenter. Som standard använder Microsoft 365 en standardkonfiguration för signering för domäner som inte har någon princip. Det innebär att om du inte konfigurerar DKIM själv kommer Microsoft 365 att använda sin standardprincip och de nycklar som skapas för att aktivera DKIM för din domän.

Om du dessutom inaktiverar DKIM-signering på din anpassade domän efter att du har aktiverat den, kommer Microsoft 365 efter en viss tidsperiod automatiskt att tillämpa MOERA/den initiala domänprincipen för din anpassade domän.

I följande exempel antar vi att DKIM för fabrikam.com har aktiverats av Microsoft 365, inte av domänens administratör. Det innebär att de nödvändiga CNAME-posterna inte finns i DNS. DKIM-signaturer för e-post från den här domänen ser ut ungefär så här:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

I det här exemplet innehåller värddatornamnet och domänen värdena som CNAME pekar på om DKIM-signering för fabrikam.com har aktiverats av domänadministratören. Till slut kommer alla meddelanden som skickats från Microsoft 365 att DKIM-signeras. Om du aktiverar DKIM själv blir domänen samma som domänen i Från: adress, i det här fallet fabrikam.com. Om du inte gör det justeras det inte. I stället används din organisations första domän. Information om hur du fastställer din första domän finns i Vanliga frågor och svar om domäner.

Konfigurera DKIM så att en tjänst från tredje part kan skicka, eller förfalska, e-postmeddelanden för din anpassade domän.

Vissa leverantör av e-posttjänster, eller leverantörer av programvara som tjänst, kan konfigurera DKIM-nycklar för e-post som kommer från tjänsten. Det kräver samordning mellan dig och tredje part för att du ska kunna skapa de DNS-poster som krävs. Vissa servrar från tredje part kan ha egna CNAME-poster med olika väljare. Inga organisationer fungerar på exakt samma sätt. I stället beror processen helt på organisationen.

Ett exempelmeddelande som visar ett korrekt konfigurerat DKIM för contoso.com och bulkemailprovider.com kan se ut så här:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

I det här exemplet för att uppnå följande resultat:

  1. E-postleverantören för massutskick gav Contoso en offentlig DKIM-nyckel.

  2. Contoso offentliggjorde nyckeln DKIM till dess DNS-post.

  3. När du skickar e-post signerar e-postleverantören för massutskick nyckeln med motsvarande privata nyckel. Det gör att e-postleverantören för massutskicket bifogar DKIM-signaturen i meddelandehuvudet.

  4. Mottagande e-postsystem utför en DKIM-kontroll genom att autentisera värdet i DKIM-signaturen d=<domain> mot domänen i meddelandet Från: (5322.From) för meddelandet. I det här exemplet överensstämmer värdena:

    sender@contoso.com

    d=contoso.com

Identifiera domäner som inte skickar e-post

Organisationer ska uttryckligen ange om en domän inte skickar e-post genom att ange v=DKIM1; p= i DKIM-posten för dessa domäner. Detta informerar om att ta emot e-postservrar att det inte finns några giltiga offentliga nycklar för domänen och att e-postmeddelanden som påstår sig komma från den domänen bör avvisas. Du bör göra detta för varje domän och under domän med en jokertecken DKIM.

Till exempel skulle DKIM-posten se ut så här:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Nästa steg: När du har konfigurerat DKIM för Microsoft 365

Även om DKIM har utformats för att förhindra förfalskningar fungerar DKIM bättre med SPF och DMARC.

När du har konfigurerat DKIM kan du konfigurera SPF om du inte redan har gjort det. En introduktion till SPF finns i Konfigurera SPF i Microsoft 365 för att förhindra förfalskning, där du även kan konfigurera det snabbt. För att få en djupare förståelse av hur Microsoft 365 använder SPF, eller om du vill felsöka eller göra icke-standarddistributioner (t.ex. hybriddistributioner), kan du börja med att läsa artikeln om hur Microsoft 365 använder SPF (Sender Policy Framework) för att förhindra förfalskning.

Därefter läser du Använda DMARC för att validera e-post. Meddelandehuvuden för antiskräppost innehåller syntaxen och rubrikerna som används i Microsoft 365 för DKIM-kontroller.

Detta test verifierar att DKIM-signeringskonfigurationen har konfigurerats korrekt och att rätt DNS-poster har publicerats.

Mer information

Nyckelrotation via PowerShell Rotate-DkimSigningConfig

Använda DMARC för att validera e-post