Använda DKIM för att validera utgående e-post som skickas från din anpassade domän
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Den här artikeln innehåller steg för att använda DomainKeys Identified Mail (DKIM) med Microsoft 365 för att säkerställa att mål-e-postsystemen litar på utgående meddelanden som skickas från din anpassade domän.
I den här artikeln:
- Hur DKIM fungerar bättre än enbart SPF för att förhindra skadlig förfalskning
- Steg för att skapa, aktivera och inaktivera DKIM från Microsoft 365 Defender-portalen
- Steg för att manuellt uppgradera dina 1024-bitars nycklar till 2048-bitars DKIM-krypteringsnycklar
- Steg för att konfigurera DKIM manuellt
- Steg för att konfigurera DKIM för fler än en anpassad domän
- Inaktivera DKIM-signeringsprincipen för en anpassad domän
- Standardbeteende för DKIM och Microsoft 365
- Konfigurera DKIM så att en tjänst från tredje part kan skicka, eller förfalska, e-postmeddelanden för din anpassade domän
- Nästa steg: När du har konfigurerat DKIM för Microsoft 365
Anteckning
Microsoft 365 konfigurerar automatiskt DKIM för dess ursprungliga ”onmicrosoft.com”-domäner. Det innebär att du inte behöver göra något för att konfigurera DKIM för alla inledande domännamn (t. ex. litware.onmicrosoft.com). Mer information om domäner finns i Vanliga frågor och svar om domäner.
DKIM är en av tre autentiseringsmetoder (SPF, DKIM och DMARC) som hjälper till att förhindra angripare att skicka meddelanden som ser ut som att de kommer från din domän.
Med DKIM kan du lägga till en digital signatur i utgående e-postmeddelanden i meddelanderubriken. När du konfigurerar DKIM auktoriserar du domänen att associera, eller signera, dess namn till ett e-postmeddelande med hjälp av krypterad autentisering. E-postsystem som får e-post från din domän kan använda denna digitala signatur för att fastställe om inkommande e-post är legitim.
Enkelt sagt krypterar en privat nyckel rubriken i utgående e-postmeddelanden från en domän. Den offentliga nyckeln publiceras i domänens DNS-poster och mottagande servrar kan använda den nyckeln för att avkoda signaturen. DKIM-verifiering hjälper de mottagande servrarna att bekräfta att e-posten verkligen kommer från din domän och inte från någon som förfalskar din domän.
Tips
Du kan även välja att inte göra någonting med DKIM för din anpassade domän. Om du inte konfigurerar DKIM för din anpassade domän skapar Microsoft 365 ett privat och offentligt nyckelpar, aktiverar DKIM-signering och konfigurerar sedan standardprincipen för Microsoft 365 för din anpassade domän.
Den inbyggda DKIM-konfigurationen för Microsoft 365 är tillräcklig täckning för de flesta kunder. Men du bör manuellt konfigurera DKIM för din anpassade domän i följande fall:
- Du har fler än en anpassad domän i Microsoft 365
- Du ska även konfigurera DMARC (rekommenderas)
- Du vill ha kontroll över din privata nyckel
- Du vill anpassa dina CNAME-poster
- Du vill konfigurera DKIM-nycklar för e-post som kommer från en domän från tredje part, t. ex. om du använder ett massutskick från tredje part.
Hur DKIM fungerar bättre än enbart SPF för att förhindra skadlig förfalskning
SPF lägger till information till ett meddelandekuvert, men DKIM krypterar en signatur i meddelanderubriken. När du vidarebefordrar ett meddelande kan delar av meddelandets kuvert vara rensade av vidarebefordringsservern. Eftersom den digitala signaturen ligger kvar i e-postmeddelandet eftersom den är en del av e-postmeddelandets huvud fungerar DKIM även när ett meddelande har vidarebefordrats enligt följande exempel.

Om du bara hade publicerat en SPF TXT-post för domänen i det här exemplet skulle mottagarens e-postserver ha markerat e-postmeddelandet som skräppost och genererat ett falskt positivt resultat. Tillägget av DKIM i det här scenariot minskar falska positiva rapporteringar av skräppost. Eftersom DKIM använder offentlig nyckelkryptering för att autentisera och inte bara IP-adresser anses DKIM vara en mycket starkare autentiseringsmetod än SPF. Vi rekommenderar att du använder både SPF och DKIM, och även DMARC i din distribution.
Tips
DKIM använder en privat nyckel för att infoga en krypterad signatur i meddelanderubrikerna. Signeringsdomänen, eller den utgående domänen, infogas som värdet för fältet d = i rubriken. Den verifierande domänen, eller mottagarens domän, använder sedan fältet d= för att leta upp den offentliga nyckeln från DNS och autentisera meddelandet. Om meddelandet har bekräftats godkänns DKIM-kontrollen.
[Steg for att skapa, aktivera eller inaktivera DKIM från Microsoft 365 Defender-portalen]
Alla godkända domäner för din klientorganisation visas i Microsoft 365 Defender-portalen under DKIM-sidan. Om du inte ser den lägger du till din godkända domän från domänsidan. När domänen har lagts till följer du stegen nedan för att konfigurera DKIM.
Steg 1: Klicka på den domän du önskar konfigurera DKIM på DKIM-sidan (https://security.microsoft.com/dkimv2 or https://protection.office.com/dkimv2).

Steg 2: Klicka på Skapa DKIM-nycklar.

Steg 3: Kopiera CNAMES som visas i popup-fönstret

Steg 4: Publicera de kopierade CNAME-posterna till DNS-tjänstleverantören.
På DNS-leverantörens webbplats lägger du till CNAME-poster för de DKIM du vill aktivera. Kontrollera att fälten är inställda på följande värden för varje:
Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)
Steg 5: Gå tillbaka till DKIM-sidan om du vill aktivera DKIM.

Om det inte finns något fel i CNAME-posten kan det bero på:
- Synkronisering med DNS-servern, vilket kan ta från några sekunder till timmar. Om problemet kvarstår upprepar du stegen igen
- Sök efter eventuella kopiera-klistra-in-fel, t.ex. extra blanksteg eller flikar, osv.
Om du vill inaktivera DKIM växlar du tillbaka till inaktivera-läge
Uppgradera manuellt dina 1024-bitars nycklar till 2048-bitars DKIM-krypteringsnycklar
Anteckning
Microsoft 365 konfigurerar automatiskt DKIM för domäner med onmicrosoft.com. Inga steg krävs för att använda DKIM för inledande domännamn (t.ex. litware.onmicrosoft.com). Mer information om domäner finns i Vanliga frågor och svar om domäner.
Eftersom både 1024 och 2048 bitar stöds för DKIM-nycklar visar dessa instruktioner hur du uppgraderar din 1024-bitarsnyckel till 2048 i Exchange Online PowerShell. Stegen nedan gäller för två användningsfall: Välj det som passar bäst för konfigurationen.
När du redan har konfigurerat DKIM kan du rotera bitar genom att köra följande kommando:
Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>eller
För en ny implementering av DKIM, kör följande kommando:
New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
Håll dig ansluten till Exchange Online PowerShell för att verifiera konfigurationen genom att köra följande kommando:
Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List
Tips
Den här nya 2048-bitarsnyckeln träder i kraft på RotateOnDate och skickar e-postmeddelanden med 1024-bitarsnyckeln i interimversionen. Efter fyra dagar kan du testa igen med 2048-bitarsnyckeln (det vill säga när rotationen träder i kraft i den andra väljaren).
Om du efter fyra dagar och bekräfta att 2048-bitars används vill rotera till den andra väljaren, roterar du den andra väljarnyckeln manuellt med hjälp av lämplig cmdlet som anges ovan.
För detaljerad information om syntax och parametrar, se följande artiklar: Rotate-DkimSigningConfig, New-DkimSigningConfigoch Get-DkimSigningConfig.
Steg för att konfigurera DKIM manuellt
Om du vill konfigurera DKIM gör du så här:
- Publicera två CNAME-poster för din anpassade domän i DNS
- Aktivera DKIM-signering för din anpassade domän
Publicera två CNAME-poster för din anpassade domän i DNS
För varje domän som du vill lägga till en DKIM-signatur för måste du publicera två CNAME-poster.
Anteckning
Har du inte läst hela artikeln kan du ha missat den här tidsbesparande PowerShell-anslutningsinformationen: Anslut till Exchange Online PowerShell.
Kör följande kommandon i Exchange Online PowerShell för att skapa väljararkiv:
New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME
Om du har etablerat anpassade domäner utöver den första domänen i Microsoft 365 måste du publicera två CNAME-poster för varje ytterligare domän. Om du har två domäner måste du publicera två ytterligare CNAME-poster och så vidare.
Använd följande format för CNAME-posterna.
Viktigt
Om du är en av våra GCC High-kunder beräknar vi customDomainIdentifier annorlunda! I stället för att leta upp MX-posten för din initialDomain för att beräkna customDomainIdentifier beräknar vi det direkt från den anpassade domänen. Om du till exempel har en anpassad domän som ”contoso.com” blir din customDomainIdentifier ”contoso-com”. Punkter ersätts med ett streck. Oavsett vilken MX-post som initialDomain pekar på kommer du alltid att använda metoden ovan för att beräkna vilken customDomainIdentifier som ska användas i dina CNAME-poster.
Host name: selector1._domainkey
Points to address or value: selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Var:
För Microsoft 365 är väljarna alltid ”selector1” eller ”selector2”.
customDomainIdentifier är samma som customDomainIdentifier i den anpassade MX-posten för din anpassade domän som visas före mail.protection.outlook.com. Exempel: i följande MX-post för domänen contoso.com blir din customDomainIdentifier contoso-com:
contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com
initialDomain är den domän som du använde när du registrerade dig för Microsoft 365. De första domänerna avslutas alltid i onmicrosoft.com. Information om hur du fastställer din första domän finns i Vanliga frågor och svar om domäner.
Om du till exempel har en första domän med cohovineyardandwinery.onmicrosoft.com, och två egna domäner cohovineyard.com och cohowinery.co, behöver du skapa två CNAME-poster för varje ytterligare domän för att summera fyra CNAME-poster.
Host name: selector1._domainkey
Points to address or value: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector1._domainkey
Points to address or value: selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL: 3600
Anteckning
Det är viktigt att skapa den andra posten, men bara en av dem kan vara tillgänglig när du skapar den. I själva verket kan den andra väljarens peka på en adress som inte har skapats än. Vi rekommenderar fortfarande att du skapar den andra CNAME-posten eftersom nyckelroteringen blir smidig.
Steg för att aktivera DKIM-signering för din anpassade domän
När du har publicerat CNAME-posterna i DNS är du redo att aktivera DKIM-signering via Microsoft 365. Du kan göra det antingen via administrationscentret för Microsoft 365 eller med hjälp av PowerShell.
Så här aktiverar du DKIM-signering för din anpassade domän i Microsoft 365 Defender-portalen
I Microsoft 365 Defender-portalenhttps://security.microsoft.comgå till e-post och samarbete > principer och regler > principer för hot > DKIM i regelsektionen. Om du vill gå direkt till DKIM-sidan använder du https://security.microsoft.com/dkimv2.
På sidan DKIM markerar du domänen genom att klicka på namnet.
I den utfällbara menyn med information ändrar du inställningen Signera meddelanden för den här domänen med DKIM-signaturer till Aktiverad (
)Klicka på Rotera DKIM-nycklar när du är klar.
Upprepa det här steget för varje anpassad domän.
Om du konfigurerar DKIM för första gången och ser felet "Inga DKIM-nycklar har sparats för den här domänen" måste du använda Windows PowerShell för att aktivera DKIM-signering enligt beskrivningen i nästa steg.
För att aktivera DKIM-signering för din anpassade domän med PowerShell
Viktigt
Om du konfigurerar DKIM för första gången och ser felet "Inga DKIM-nycklar har sparats för den här domänen" slutför du kommandot i steg 2 nedan (till exempel Set-DkimSigningConfig -Identity contoso.com -Enabled $true) för att se nyckeln.
Använd följande syntax:
Set-DkimSigningConfig -Identity <Domain> -Enabled $true<Domain> är namnet på den anpassade domän som du vill aktivera DKIM-signering för.
Det här exemplet aktiverar DKIM-signering för domänen contoso.com:
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
Bekräfta att DKIM-signering är rätt konfigurerad för Microsoft 365
Vänta några minuter innan du följer de här anvisningarna för att kontrollera att du har konfigurerat DKIM. Då får DKIM-informationen om domänen tid att spridas i hela nätverket.
Skicka ett meddelande från ett konto i din DKIM-aktiverade Microsoft 365-domän till ett annat e-postkonto, till exempel outlook.com eller Hotmail.com.
Använd inte ett aol.com-konto för testningsändamål. AOL kan hoppa över DKIM för att kontrollera om SPF-kontrollen överförs. Det här annullerar testet.
Öppna meddelandet och titta på rubriken. Information om hur du visar rubriken för meddelandet beror på vilken meddelandeklient du har. Information om hur du visar meddelanderubriker i Outlook finns i Visa internetmeddelandehuvud i Outlook.
Det DKIM-signerade meddelandet innehåller värdnamnet och domänen som du angav när du publicerade CNAME-posterna. Meddelandet ser ut ungefär så här:
From: Example User <example@contoso.com> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; s=selector1; d=contoso.com; t=1429912795; h=From:To:Message-ID:Subject:MIME-Version:Content-Type; bh=<body hash>; b=<signed field>;Håll utkik efter huvudet Authentication-Results. Även om varje mottagande tjänst använder något annat format för att stämpla inkommande e-post ska resultatet innehålla något som liknar DKIM=pass eller DKIM=OK.
Konfigurera DKIM för fler än en anpassad domän
Om du senare bestämmer dig för att lägga till en egen domän och vill aktivera DKIM för den nya domänen måste du utföra stegen i den här artikeln för varje domän. Slutför först alla steg du behöver göra för att konfigurera DKIM manuellt.
Inaktivera DKIM-signeringsprincipen för en anpassad domän
När du inaktiverar signeringsprincipen inaktiveras inte DKIM fullständigt. Efter en viss tidsperiod tillämpar Microsoft 365 automatiskt standardprincipen för din domän, om standardprincipen fortfarande är i aktiverat tillstånd. Om du vill inaktivera DKIM helt, måste du inaktivera DKIM för både anpassade domäner och standarddomäner. Mer information finns i Standardbeteende för DKIM och Microsoft 365.
Inaktivera DKIM-signeringsprincipen med Windows PowerShell
Kör något av följande kommandon för varje domän som du vill inaktivera DKIM-signering för.
$p = Get-DkimSigningConfig -Identity <Domain> $p[0] | Set-DkimSigningConfig -Enabled $falseTill exempel:
$p = Get-DkimSigningConfig -Identity contoso.com $p[0] | Set-DkimSigningConfig -Enabled $falseEller
Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $falseDär number är indexet för principen. Till exempel:
Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
Standardbeteende för DKIM och Microsoft 365
Om du inte aktiverar DKIM skapar Microsoft 365 automatiskt en offentlig 2048-bitars DKIM-nyckel för din MOERA-domän (Microsoft Online Email Routing Address)/initial domän och den associerade privata nyckel som vi lagrar internt i vårt datacenter. Som standard använder Microsoft 365 en standardkonfiguration för signering för domäner som inte har någon princip. Det innebär att om du inte konfigurerar DKIM själv kommer Microsoft 365 att använda sin standardprincip och de nycklar som skapas för att aktivera DKIM för din domän.
Om du dessutom inaktiverar DKIM-signering på din anpassade domän efter att du har aktiverat den, kommer Microsoft 365 efter en viss tidsperiod automatiskt att tillämpa MOERA/den initiala domänprincipen för din anpassade domän.
I följande exempel antar vi att DKIM för fabrikam.com har aktiverats av Microsoft 365, inte av domänens administratör. Det innebär att de nödvändiga CNAME-posterna inte finns i DNS. DKIM-signaturer för e-post från den här domänen ser ut ungefär så här:
From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
bh=<body hash>;
b=<signed field>;
I det här exemplet innehåller värddatornamnet och domänen värdena som CNAME pekar på om DKIM-signering för fabrikam.com har aktiverats av domänadministratören. Till slut kommer alla meddelanden som skickats från Microsoft 365 att DKIM-signeras. Om du aktiverar DKIM själv blir domänen samma som domänen i Från: adress, i det här fallet fabrikam.com. Om du inte gör det justeras det inte. I stället används din organisations första domän. Information om hur du fastställer din första domän finns i Vanliga frågor och svar om domäner.
Konfigurera DKIM så att en tjänst från tredje part kan skicka, eller förfalska, e-postmeddelanden för din anpassade domän.
Vissa leverantör av e-posttjänster, eller leverantörer av programvara som tjänst, kan konfigurera DKIM-nycklar för e-post som kommer från tjänsten. Det kräver samordning mellan dig och tredje part för att du ska kunna skapa de DNS-poster som krävs. Vissa servrar från tredje part kan ha egna CNAME-poster med olika väljare. Inga organisationer fungerar på exakt samma sätt. I stället beror processen helt på organisationen.
Ett exempelmeddelande som visar ett korrekt konfigurerat DKIM för contoso.com och bulkemailprovider.com kan se ut så här:
Return-Path: <communication@bulkemailprovider.com>
From: <sender@contoso.com>
DKIM-Signature: s=s1024; d=contoso.com
Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com
I det här exemplet för att uppnå följande resultat:
E-postleverantören för massutskick gav Contoso en offentlig DKIM-nyckel.
Contoso offentliggjorde nyckeln DKIM till dess DNS-post.
När du skickar e-post signerar e-postleverantören för massutskick nyckeln med motsvarande privata nyckel. Det gör att e-postleverantören för massutskicket bifogar DKIM-signaturen i meddelandehuvudet.
Mottagande e-postsystem utför en DKIM-kontroll genom att autentisera värdet i DKIM-signaturen d=<domain> mot domänen i meddelandet Från: (5322.From) för meddelandet. I det här exemplet överensstämmer värdena:
sender@contoso.com
d=contoso.com
Identifiera domäner som inte skickar e-post
Organisationer ska uttryckligen ange om en domän inte skickar e-post genom att ange v=DKIM1; p= i DKIM-posten för dessa domäner. Detta informerar om att ta emot e-postservrar att det inte finns några giltiga offentliga nycklar för domänen och att e-postmeddelanden som påstår sig komma från den domänen bör avvisas. Du bör göra detta för varje domän och under domän med en jokertecken DKIM.
Till exempel skulle DKIM-posten se ut så här:
*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="
Nästa steg: När du har konfigurerat DKIM för Microsoft 365
Även om DKIM har utformats för att förhindra förfalskningar fungerar DKIM bättre med SPF och DMARC.
När du har konfigurerat DKIM kan du konfigurera SPF om du inte redan har gjort det. En introduktion till SPF finns i Konfigurera SPF i Microsoft 365 för att förhindra förfalskning, där du även kan konfigurera det snabbt. För att få en djupare förståelse av hur Microsoft 365 använder SPF, eller om du vill felsöka eller göra icke-standarddistributioner (t.ex. hybriddistributioner), kan du börja med att läsa artikeln om hur Microsoft 365 använder SPF (Sender Policy Framework) för att förhindra förfalskning.
Därefter läser du Använda DMARC för att validera e-post. Meddelandehuvuden för antiskräppost innehåller syntaxen och rubrikerna som används i Microsoft 365 för DKIM-kontroller.
Detta test verifierar att DKIM-signeringskonfigurationen har konfigurerats korrekt och att rätt DNS-poster har publicerats.
Mer information
Nyckelrotation via PowerShell Rotate-DkimSigningConfig