Konfiguracja DKIM w Office 365: Konfiguracja podpisywania w Microsoft 365
Ostatnia aktualizacja:
10 czas czytania: 10 minut
Kluczowe wnioski
- DKIM dodaje podpis cyfrowy do wysyłanych wiadomości e-mail, dzięki czemu serwery odbiorcze mogą sprawdzić, czy wiadomość została wysłana z autoryzowanego źródła i czy nie została zmieniona podczas przesyłania.
- Usługa Microsoft 365 automatycznie obsługuje protokół DKIM dla domen z domeny onmicrosoft.com. Ręczna konfiguracja jest wymagana tylko w przypadku domen niestandardowych i polega na utworzeniu dwóch rekordów CNAME w systemie DNS.
- Podpisywanie DKIM włącza się za pośrednictwem portalu Microsoft Defender po opublikowaniu i wykryciu rekordów CNAME.
- Sam DKIM to za mało. Aby zapewnić pełne uwierzytelnianie wiadomości e-mail i ochronę domeny, należy go zawsze konfigurować razem z SPF i DMARC.
- Klucze DKIM należy wymieniać co rok lub dwa lata, aby zapewnić wysoki poziom bezpieczeństwa poczty elektronicznej.
Jeśli wysyłasz wiadomości e-mail za pośrednictwem usługi Microsoft 365 i nie skonfigurowałeś protokołu DKIM dla swojej domeny niestandardowej, Twoje wiadomości są wysyłane bez podpisu cyfrowego. Oznacza to, że serwery odbiorcze nie mają możliwości sprawdzenia, czy Twoje wiadomości nie zostały zmienione podczas przesyłania, a Twoja domena jest bardziej narażona na ataki typu spoofing.
Konfiguracja DKIM w usłudze Office 365 to jeden z najważniejszych kroków w tworzeniu bezpiecznej i godnej zaufania infrastruktury poczty elektronicznej.
W tym przewodniku znajdziesz wszystkie niezbędne informacje: czym jest DKIM, jak obsługuje go platforma Microsoft 365 oraz jak dokładnie skonfigurować tę usługę dla swojej domeny własnej.
Czym jest DKIM i dlaczego ma znaczenie dla usługi Microsoft 365?
Zanim przejdziemy do procesu konfiguracji, warto zrozumieć, jak działa DKIM i dlaczego stanowi on kluczowy element konfiguracji poczty e-mail w usłudze Microsoft 365.
DomainKeys Identified Mail (DKIM) to protokół uwierzytelniania poczty elektronicznej, który dodaje kryptograficzny podpis cyfrowy do każdej wysyłanej wiadomości e-mail. Podczas wysyłania wiadomości domena podpisująca używa klucza prywatnego do wygenerowania podpisu.
Serwer odbierający pobiera następnie odpowiedni klucz publiczny z serwera DNS i wykorzystuje go do sprawdzenia, czy treść wiadomości oraz nagłówki nie zostały zmienione podczas przesyłania.
Jak działa DKIM w przypadku Twojej poczty elektronicznej
| Korzyść | Jak to działa |
|---|---|
| Sprawdza integralność wiadomości | Podpis kryptograficzny potwierdza, że treść wiadomości nie została zmieniona po wysłaniu |
| Zapobiega fałszowaniu domen | Znacznie utrudnia to atakującym fałszowanie wiadomości e-mail wysyłanych z Twojej domeny |
| Poprawia dostarczalność wiadomości e-mail | Wiadomości e-mail z uwierzytelnieniem rzadziej są oznaczane jako spam przez Gmaila, Yahoo i innych dostawców |
| Buduje zaufanie do nadawcy | Prawidłowy podpis DKIM oznacza, że domena, która go wygenerowała, bierze odpowiedzialność za tę wiadomość |
| Włącza egzekwowanie DMARC | DKIM jest niezbędnym elementem do prawidłowego działania protokołu DMARC |
Jak DKIM współdziała z SPF i DMARC
DKIM działa w połączeniu z SPF oraz DMARC , tworząc kompletną strukturę uwierzytelniania poczty elektronicznej. Każdy protokół obejmuje inną warstwę:
- SPF sprawdza, czy serwer wysyłający jest uprawniony do wysyłania wiadomości e-mail w imieniu Twojej domeny
- DKIM sprawdza, czy treść wiadomości nie została zmieniona podczas przesyłania
- DMARC egzekwuje politykę, wymagając zgodności SPF i DKIM z adresem nadawcy
Aby DKIM przeszedł kontrolę DMARC, domena w polu „Od” musi być zgodna z domeną używaną w podpisie DKIM. To właśnie ten wymóg zgodności sprawia, że połączenie SPF, DKIM i DMARC tak skuteczną w walce z atakami phishingowymi i spoofingiem.
Sam protokół DKIM nie wystarczy, aby zapobiec wszystkim rodzajom fałszowania adresów e-mail. Aby zapewnić pełną ochronę, należy go stosować w połączeniu z protokołami SPF i DMARC. W dalszej części tego przewodnika omówimy, jak wdrożyć protokół DMARC wraz z konfiguracją DKIM w usłudze Microsoft 365.
Oto dlaczego ponad 10 000 klientów ufa platformie PowerDMARC
- Znaczne ograniczenie liczby prób spoofingu i nieautoryzowanych wiadomości e-mail dzięki analizom zagrożeń opartym na sztucznej inteligencji
- Szybsze wdrażanie nowych pracowników + zautomatyzowane zarządzanie uwierzytelnianiem, które pozwala zespołom IT zaoszczędzić wiele godzin
- Informacje o zagrożeniach w czasie rzeczywistym oraz raporty szyfrowane algorytmem PGP w różnych domenach
- Wyższy wskaźnik dostarczalności wiadomości e-mail dzięki rygorystycznemu stosowaniu standardu DMARC pod okiem ekspertów
Pierwsze 15 dni za darmo
Rozpocznij bezpłatny okres próbnyJak Microsoft 365 obsługuje protokół DKIM
Zrozumienie, w jaki sposób usługa Microsoft 365 domyślnie obsługuje protokół DKIM, pozwoli uniknąć niepotrzebnych niejasności podczas konfiguracji.
Czym zajmuje się automatycznie firma Microsoft
Firma Microsoft automatycznie włącza podpisywanie DKIM dla głównej domeny onmicrosoft.com powiązanej z Twoim dzierżawcą usługi Microsoft 365. Jeśli wysyłasz wiadomości wyłącznie z domeny yourcompany.onmicrosoft.com, funkcja DKIM działa już bez konieczności ręcznej konfiguracji.
Co wymaga ręcznej konfiguracji
Ręczna konfiguracja DKIM jest wymagana dla każdej domeny niestandardowej, z której wysyłasz wiadomości e-mail.
Jeśli Twoja organizacja wysyła wiadomości z domeny niestandardowej, takiej jak twojafirma.com, musisz utworzyć rekordy CNAME w systemie DNS i włączyć podpisywanie DKIM za pośrednictwem portalu Microsoft Defender.
Każda subdomena używana do wysyłania wiadomości e-mail z usługi Microsoft 365 wymaga również własnej konfiguracji DKIM. DKIM nie rozciąga się automatycznie z domeny głównej na jej subdomeny.
System z dwoma selektorami
W usłudze Microsoft 365 dla każdej domeny niestandardowej stosowane są dwa selektory DKIM: selector1 i selector2.
Zastosowanie dwóch selektorów pozwala firmie Microsoft automatycznie zmieniać klucze DKIM, co zwiększa bezpieczeństwo. Podczas konfiguracji DKIM należy utworzyć rekordy CNAME dla obu selektorów, kierujące do kluczy publicznych wygenerowanych przez Microsoft 365.
| Opinia eksperta: „Z mojego doświadczenia w pomaganiu organizacjom we wdrażaniu DKIM wynika, że automatyzacja monitorowania DKIM za pomocą PowerDMARC nie tylko oszczędza czas, ale także pomaga wykrywać błędy konfiguracyjne, zanim wpłyną one na dostarczalność wiadomości e-mail. Ma to szczególne znaczenie dla firm SaaS oraz branż podlegających regulacjom, w których niezawodność poczty elektronicznej ma kluczowe znaczenie”. |
Wymagania wstępne dotyczące konfiguracji DKIM w usłudze Office 365
Przed rozpoczęciem konfiguracji DKIM upewnij się, że spełnione są poniższe warunki.
| Warunek wstępny | Szczegóły |
|---|---|
| Uprawnienia administratora | Do wykonania czynności związanych z konfiguracją DKIM wymagane są uprawnienia administratora globalnego lub administratora Exchange |
| Domena własna została zweryfikowana | Aby skonfigurować DKIM, należy najpierw zweryfikować domenę niestandardową w usłudze Microsoft 365 |
| Dostęp do DNS | Aby opublikować rekordy CNAME, potrzebujesz dostępu do swojego rejestratora domen lub dostawcy usług hostingowych DNS |
| Skonfigurowano SPF | Przed włączeniem DKIM należy najpierw skonfigurować SPF dla Twojej domeny |
Jeśli dla Twojej domeny nie skonfigurowano jeszcze SPF, zrób to najpierw. Szczegółowe instrukcje znajdziesz w naszym przewodniku konfiguracji SPF.
Jak skonfigurować DKIM w usłudze Office 365: instrukcja krok po kroku
Konfiguracja DKIM dla domeny niestandardowej w usłudze Microsoft 365 obejmuje trzy główne czynności: pobranie wartości rekordów CNAME z portalu Microsoft Defender, opublikowanie tych rekordów w systemie DNS oraz włączenie podpisywania DKIM po wykryciu tych rekordów.
Proces ten jest prosty, ale wymaga dokładności na każdym etapie. Błędy w wartościach CNAME są najczęstszą przyczyną niepowodzeń podczas konfiguracji DKIM, dlatego warto poświęcić odpowiednią ilość czasu na konfigurację DNS.
Krok 1: Uzyskaj wartości rekordów CNAME DKIM z usługi Microsoft 365
Usługa Microsoft 365 generuje dokładne wartości rekordów CNAME, które należy opublikować w systemie DNS. Aby je znaleźć:
- Zaloguj się do portal Microsoft Defender
- Przejdź do Poczta e-mail i współpraca > Zasady i reguły > Zasady dotyczące zagrożeń
- Wybierz Ustawienia uwierzytelniania poczty e-mail
- Kliknij DKIM .
- Wybierz swoją domenę z listy
- Otwórz menu rozwijane zawierające szczegóły dotyczące tej domeny
Portal wyświetli dwie wartości rekordów CNAME, których potrzebujesz. Jeśli funkcja DKIM nie może być jeszcze włączona, portal wskaże wartości, które należy zastosować w rekordach CNAME.
Podstawowa składnia rekordów CNAME DKIM dla domen niestandardowych ma następujący format:
| Nazwa hosta | Wskazuje na |
|---|---|
| selector1._domainkey.twojadomena.com | selector1-twojadomena-com._domainkey.nazwatwojegodzierżawcy.onmicrosoft.com |
| selector2._domainkey.twojadomena.com | selector2-twojadomena-com._domainkey.nazwatwojego dzierżawcy.onmicrosoft.com |
Zawsze należy stosować dokładne wartości podane w portalu Defender dla konkretnej domeny i dzierżawcy, a nie ogólny szablon.
Krok 2: Utwórz rekordy CNAME w swoim systemie DNS
Zaloguj się do swojego rejestratora domen lub dostawcy usług hostingowych DNS i utwórz dwa nowe rekordy CNAME, używając wartości z poprzedniego kroku.
Najważniejsze kwestie, które należy sprawdzić podczas dodawania rekordów:
- Typ rekordu musi być ustawiony na CNAME, a nie TXT ani żaden inny typ
- Wartości nazw hostów muszą zawierać pełny prefiks selektora: selector1._domainkey oraz selector2._domainkey
- Należy dokładnie sprawdzić, czy w wartościach CNAME nie ma literówek. Błędy popełnione przez rejestratora domen są najczęstszą przyczyną niepowodzeń podczas konfiguracji DKIM
- Nie dodawaj wielu sprzecznych wpisów dla tej samej nazwy hosta
Zmiany w systemie DNS mogą potrzebować do 48 godzin, aby rozprzestrzenić się na całym świecie, choć często następuje to znacznie szybciej. Wykrycie nowych rekordów CNAME przez usługę Microsoft 365 może zająć od kilku minut do kilku godzin.
Krok 3: Włącz podpisywanie DKIM w portalu Microsoft Defender
Gdy rekordy CNAME zostaną opublikowane i zaktualizowane, wróć do zakładki DKIM w portalu Microsoft Defender:
- Wybierz swoją własną domenę
- Otwórz menu rozwijane ze szczegółami
- Przełącz Podpisuj wiadomości dla tej domeny podpisami DKIM na włączone
Aby podpisy DKIM były aktywne, w zakładce „DKIM” musi być widoczny status domeny wskazujący prawidłowe wartości. Jeśli portal nie wykryje Twoich rekordów CNAME, wyświetli komunikat o błędzie wraz z oczekiwanymi wartościami. Przed ponowną próbą dokładnie sprawdź poprawność swoich rekordów DNS.
Po włączeniu DKIM aktualizacja statusu i potwierdzenie mogą zająć trochę czasu podpisy DKIM są stosowane do wiadomości wychodzących.
Krok 4: Sprawdź, czy DKIM działa
Aby sprawdzić, czy podpis DKIM jest aktywny, wyślij wiadomość testową ze swojej domeny na adres Gmaila i sprawdź nagłówek wiadomości:
- Otwórz otrzymaną wiadomość e-mail w Gmailu
- Kliknij menu z trzema kropkami i wybierz Pokaż oryginał
- Poszukaj pola nagłówka DKIM-Signature w surowym nagłówku wiadomości
- Sprawdź, czy podpis DKIM jest obecny i czy wartość d= odpowiada Twojej domenie niestandardowej
- Wartość s= w nagłówku DKIM-Signature określa aktualnie używany selektor
Pozytywny wynik sprawdzania DKIM w nagłówku wiadomości potwierdza, że podpis DKIM jest aktywny i działa poprawnie dla Twojej domeny niestandardowej.
| Potrzebujesz pomocy w rozwiązywaniu problemów związanych z DKIM? Eksperci ds. bezpieczeństwa poczty elektronicznej z firmy PowerDMARC pomogą Ci szybko rozwiązać problemy związane z konfiguracją DKIM. Rozpocznij bezpłatny okres próbny , aby uzyskać wsparcie ekspertów i automatyczne monitorowanie. |
Jak skonfigurować DKIM za pomocą programu PowerShell
Dla zaawansowanych użytkowników i administratorów platforma Exchange Online PowerShell oferuje zaawansowane narzędzia do zarządzania i konfigurowania ustawień poczty elektronicznej, w tym protokołu DKIM. Korzystanie z poleceń PowerShell pozwala zautomatyzować konfigurację DKIM, włączyć lub wyłączyć podpisywanie DKIM dla domen niestandardowych oraz skutecznie rozwiązywać problemy, co jest szczególnie przydatne podczas zarządzania wieloma domenami lub złożonymi środowiskami.
Możesz użyć programu PowerShell do skonfigurowania DKIM w usłudze Exchange Online dla pakietu Office 365, zwłaszcza jeśli chcesz włączyć tę funkcję dla wielu domen. Aby to zrobić:
1. Połącz się z Exchange Online
2. Wyodrębnij selektory Office 365 DKIM, uruchamiając następujący skrypt:
3. Dodaj rekordy CNAME dostarczone przez Office 365 do DNS.
4. Uruchom następujące polecenie, aby włączyć DKIM dla domeny:
Najważniejsze kwestie i ograniczenia związane z wdrożeniem DKIM
DKIM to skuteczny protokół uwierzytelniania poczty elektronicznej , ale wiąże się z pewnymi ograniczeniami technicznymi, które należy zrozumieć przed wdrożeniem i w trakcie jego realizacji.
Znajomość tych ograniczeń z góry pozwala uniknąć typowych pułapek, prawidłowo zaplanować konfigurację oraz realistycznie ocenić, przed czym DKIM może samodzielnie chronić, a przed czym nie.
| Rozważania | Co warto wiedzieć |
|---|---|
| Długość klucza | W usłudze Microsoft 365 domyślnie stosowane są klucze kryptograficzne o długości 2048 bitów, co zapewnia wysoką ochronę wiadomości wychodzących |
| Rozprzestrzenianie się DNS | Po opublikowaniu rekordów CNAME należy poczekać do 48 godzin, aż zmiany w systemie DNS zostaną rozpropagowane na całym świecie, choć często proces ten przebiega znacznie szybciej |
| Rotacja kluczy DKIM | Należy wymieniać klucze DKIM co rok lub dwa lata, aby zapewnić wysoki poziom bezpieczeństwa poczty elektronicznej i zmniejszyć ryzyko wykorzystania starych kluczy |
| Wiele domen | Każda niestandardowa domena używana do wysyłania wiadomości e-mail wymaga osobnej konfiguracji DKIM. DKIM nie obejmuje automatycznie subdomen domeny głównej |
| Niewykorzystane domeny | Nie należy publikować rekordów DKIM dla domen, z których nigdy nie wysyłane są wiadomości e-mail. Może to umożliwić weryfikację DKIM sfałszowanych wiadomości wysyłanych z tych domen |
Ograniczenia DKIM
Zrozumienie, w jakich obszarach DKIM ma swoje ograniczenia, jest równie ważne jak wiedza o tym, jak działa. Właśnie te ograniczenia sprawiają, że DKIM należy zawsze wdrażać razem z SPF i DMARC, a nie traktować jako samodzielne rozwiązanie.
Przekierowywanie wiadomości e-mail
Podczas przekazywania wiadomości e-mail podpisy DKIM mogą ulec uszkodzeniu. Gdy wiadomość jest przekazywana, niektóre serwery pocztowe modyfikują nagłówek lub treść wiadomości w sposób, który unieważnia oryginalny podpis DKIM.
Jest to jeden z głównych powodów, dla których protokół DMARC wymaga zgodności zarówno z SPF, jak i DKIM, zamiast opierać się wyłącznie na jednym z nich.
Modyfikacja wiadomości
Wszelkie zmiany w treści wiadomości e-mail po jej podpisaniu spowodują unieważnienie podpisu DKIM. Dotyczy to również zmian wprowadzanych przez listy mailingowe, bramy pocztowe lub narzędzia do filtrowania treści, które modyfikują treść wiadomości lub niektóre pola nagłówka przed jej dostarczeniem.
Usługi wysyłkowe innych dostawców
Zewnętrzne usługi pocztowe, które wysyłają wiadomości w Twoim imieniu, takie jak platformy marketingowe, systemy CRM i narzędzia pomocy technicznej, mogą wymagać dodatkowej konfiguracji DKIM.
Każdy zewnętrzny nadawca zazwyczaj musi podpisywać wysyłane wiadomości przy użyciu Twojej domeny lub własnej, co wymaga weryfikacji i uwzględnienia w ogólnej konfiguracji uwierzytelniania poczty elektronicznej.
Środowiska hybrydowe
Organizacje korzystające jednocześnie z lokalnej wersji Exchange i usługi Microsoft 365 w środowisku hybrydowym mogą wymagać szczególnej uwagi podczas konfigurowania podpisu DKIM.
Wiadomości kierowane przez serwery lokalne przed dotarciem do usługi Microsoft 365 mogą zachowywać się inaczej niż w przypadku wysyłania wyłącznie w chmurze, dlatego przed włączeniem podpisywania należy uwzględnić w konfiguracji DKIM cały przebieg przepływu wiadomości.
Skonfiguruj DKIM dla Office 365 we właściwy sposób dzięki PowerDMARC!
Dlaczego PowerDMARC?
„Dzięki PowerDMARC wdrożenie DKIM przebiegło bez żadnych trudności, a automatyczne monitorowanie zapewniło nam spokój ducha.” – kierownik ds. IT, firma z branży FinTech
|
Skonfiguruj DKIM i wykorzystaj w pełni możliwości PowerDMARC
Włączenie podpisu DKIM dla niestandardowej domeny w usłudze Microsoft 365 stanowi kluczowy krok w zapewnieniu bezpieczeństwa poczty elektronicznej. Jednak sam DKIM to tylko część rozwiązania.
Bez wdrożenia protokołu DMARC, który zapewnia zgodność i wgląd w ruch pocztowy, Twoja domena pozostaje narażona na ataki typu spoofing i podszywanie się, których sam protokół DKIM nie jest w stanie powstrzymać.
PowerDMARC ułatwia przejście od konfiguracji DKIM do pełnego wdrożenia DMARC. Dzięki hostowanym DMARC, automatyczne raportowanie oraz platformę stworzoną w celu uproszczenia każdego etapu uwierzytelniania wiadomości e-mail, PowerDMARC zapewnia pełną widoczność tego, kto wysyła wiadomości w Twoim imieniu, oraz narzędzia do trwałego zabezpieczenia Twojej domeny.
Wypróbuj bezpłatnie wersję próbną DMARC , aby już dziś ocenić korzyści.
Najczęściej zadawane pytania
1. Jak mogę upewnić się, że protokół DKIM jest włączony dla wszystkich domen Exchange Online?
Aby upewnić się, że funkcja DKIM jest włączona dla wszystkich domen usługi Exchange Online, sprawdź portal usługi Microsoft Defender w obszarze Poczta e-mail i współpraca > Zasady i reguły > Zasady dotyczące zagrożeń > DKIM. Sprawdź, czy DKIM jest włączony dla każdej domeny niestandardowej.
2. Jak rotować klucze DKIM w usłudze Office 365?
Aby rotować klucze DKIM w usłudze Office 365, należy wygenerować nowe rekordy CNAME dla nowych kluczy w systemie DNS, a następnie włączyć podpisywanie DKIM dla tych nowych kluczy w portalu Microsoft Defender. Proces ten pomaga zwiększyć bezpieczeństwo poprzez okresową aktualizację kluczy kryptograficznych używanych do podpisywania wiadomości e-mail.
3. Jak często należy zmieniać klucze DKIM?
Zaleca się rotację kluczy DKIM co 1 do 2 lat lub wcześniej, jeśli podejrzewasz, że klucze zostały naruszone. Regularna rotacja pomaga utrzymać silne zabezpieczenia poczty e-mail i zapobiega wykorzystywaniu starych kluczy przez atakujących.
4. Jaka jest zalecana długość klucza dla rekordów DKIM?
W usłudze Microsoft Office 365 domyślnie stosowane są klucze DKIM o długości 2048 bitów, co zapewnia wysoki poziom bezpieczeństwa i jest obecnie uznawane za standard branżowy. Taka długość klucza gwarantuje doskonałą ochronę przed atakami kryptograficznymi, nie wpływając negatywnie na wydajność.
5. W jaki sposób protokoły SPF, DKIM i DMARC współdziałają, aby chronić pocztę elektroniczną?
Protokół SPF autoryzuje serwery wysyłające, DKIM weryfikuje integralność wiadomości za pomocą podpisów cyfrowych, a DMARC zapewnia egzekwowanie zasad poprzez połączenie wyników SPF i DKIM. Razem tworzą one kompleksową strukturę uwierzytelniania poczty elektronicznej, która chroni przed spoofingiem i phishingiem oraz gwarantuje, że autentyczne wiadomości e-mail docierają do właściwych odbiorców.
6. Co mam zrobić, jeśli w moich wiadomościach wychodzących nie pojawiają się podpisy DKIM?
Jeśli w wysyłanych wiadomościach e-mail nie pojawiają się podpisy DKIM, sprawdź, czy usługa wysyłania poczty ma włączoną obsługę DKIM oraz czy w systemie DNS opublikowano właściwy klucz publiczny DKIM. Upewnij się również, że selektor jest zgodny oraz że zmiany w DNS zostały w pełni zaktualizowane. Jeśli problem nadal występuje, sprawdź ustawienia serwera poczty lub skontaktuj się z dostawcą usług pocztowych.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
- Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązania - 13 kwietnia 2026 r.
- Jak wysyłać bezpieczne wiadomości e-mail w Gmailu: przewodnik krok po kroku - 7 kwietnia 2026 r.
