Konfiguracja DKIM w Office 365: Konfiguracja podpisywania w Microsoft 365
Ostatnia aktualizacja:
11 czas czytania: 11 minut
Kluczowe wnioski
- DKIM dodaje podpis cyfrowy do wysyłanych wiadomości e-mail, dzięki czemu serwery odbiorcze mogą sprawdzić, czy wiadomość została wysłana z autoryzowanego źródła i czy nie została zmieniona podczas przesyłania.
- Usługa Microsoft 365 automatycznie obsługuje protokół DKIM dla domen z domeny onmicrosoft.com. Ręczna konfiguracja jest wymagana tylko w przypadku domen niestandardowych i polega na utworzeniu dwóch rekordów CNAME w systemie DNS.
- Podpisywanie DKIM włącza się za pośrednictwem portalu Microsoft Defender po opublikowaniu i wykryciu rekordów CNAME.
- Sam DKIM to za mało. Aby zapewnić pełne uwierzytelnianie wiadomości e-mail i ochronę domeny, należy go zawsze konfigurować razem z SPF i DMARC.
- Klucze DKIM należy wymieniać co rok lub dwa lata, aby zapewnić wysoki poziom bezpieczeństwa poczty elektronicznej.
- Dzięki PowerDMARC zapewniasz zgodność z protokołami DKIM i DMARC w sektorze finansowym, służbie zdrowia, sektorze publicznym i wielu innych.
Jeśli wysyłasz wiadomości e-mail za pośrednictwem usługi Microsoft 365 i nie skonfigurowałeś protokołu DKIM dla swojej domeny niestandardowej, Twoje wiadomości są wysyłane bez podpisu cyfrowego. Oznacza to, że serwery odbiorcze nie mają możliwości sprawdzenia, czy Twoje wiadomości nie zostały zmienione podczas przesyłania, a Twoja domena jest bardziej narażona na ataki typu spoofing.
Konfiguracja DKIM w usłudze Office 365 to jeden z najważniejszych kroków w tworzeniu bezpiecznej i godnej zaufania infrastruktury poczty elektronicznej.
W tym przewodniku znajdziesz wszystkie niezbędne informacje: czym jest DKIM, jak obsługuje go platforma Microsoft 365 oraz jak dokładnie skonfigurować tę usługę dla swojej domeny własnej.
Czym jest DKIM i dlaczego ma znaczenie dla usługi Microsoft 365?
Zanim przejdziemy do procesu konfiguracji, warto zrozumieć, jak działa DKIM i dlaczego stanowi on kluczowy element konfiguracji poczty e-mail w usłudze Microsoft 365.
DomainKeys Identified Mail (DKIM) to protokół uwierzytelniania poczty elektronicznej, który dodaje kryptograficzny podpis cyfrowy do każdej wysyłanej wiadomości e-mail. Podczas wysyłania wiadomości domena podpisująca używa klucza prywatnego do wygenerowania podpisu.
Serwer odbierający pobiera następnie odpowiedni klucz publiczny z serwera DNS i wykorzystuje go do sprawdzenia, czy treść wiadomości oraz nagłówki nie zostały zmienione podczas przesyłania.
Jak działa DKIM w przypadku Twojej poczty elektronicznej
| Korzyść | Jak to działa |
|---|---|
| Sprawdza integralność wiadomości | Podpis kryptograficzny potwierdza, że treść wiadomości nie została zmieniona po wysłaniu |
| Zapobiega fałszowaniu domen | Znacznie utrudnia to atakującym fałszowanie wiadomości e-mail wysyłanych z Twojej domeny |
| Poprawia dostarczalność wiadomości e-mail | Wiadomości e-mail z uwierzytelnieniem rzadziej są oznaczane jako spam przez Gmaila, Yahoo i innych dostawców |
| Buduje zaufanie do nadawcy | Prawidłowy podpis DKIM oznacza, że domena, która go wygenerowała, bierze odpowiedzialność za tę wiadomość |
| Włącza egzekwowanie DMARC | DKIM jest niezbędnym elementem do prawidłowego działania protokołu DMARC |
Jak DKIM współdziała z SPF i DMARC
DKIM działa w połączeniu z SPF oraz DMARC , tworząc kompletną strukturę uwierzytelniania poczty elektronicznej. Każdy protokół obejmuje inną warstwę:
- SPF sprawdza, czy serwer wysyłający jest uprawniony do wysyłania wiadomości e-mail w imieniu Twojej domeny
- DKIM sprawdza, czy treść wiadomości nie została zmieniona podczas przesyłania
- DMARC egzekwuje politykę, wymagając zgodności SPF i DKIM z adresem nadawcy
Porównanie DKIM, SPF i DMARC
| Protokół | Cel | Kroki konfiguracji | Ochrona przed |
|---|---|---|---|
| SPF | Autoryzuje serwery wysyłające | Opublikuj rekord TXT z autoryzowanymi adresami IP | Fałszowanie adresu IP |
| DKIM | Sprawdza integralność wiadomości | Utwórz rekordy CNAME, włącz podpisywanie | Manipulowanie wiadomościami |
| DMARC | Egzekwuje zasady dotyczące wyrównania | Opublikuj zapis dotyczący polityki, monitoruj raporty | Podszywanie się pod domenę |
Aby DKIM przeszedł kontrolę DMARC, domena w polu „Od” musi być zgodna z domeną używaną w podpisie DKIM. To właśnie ten wymóg zgodności sprawia, że połączenie SPF, DKIM i DMARC tak skuteczną w walce z atakami phishingowymi i spoofingiem.
Sam protokół DKIM nie wystarczy, aby zapobiec wszystkim rodzajom fałszowania adresów e-mail. Aby zapewnić pełną ochronę, należy go stosować w połączeniu z protokołami SPF i DMARC. W dalszej części tego przewodnika omówimy, jak wdrożyć protokół DMARC wraz z konfiguracją DKIM w usłudze Microsoft 365.
Oto dlaczego ponad 10 000 klientów ufa platformie PowerDMARC
- Znaczne ograniczenie liczby prób spoofingu i nieautoryzowanych wiadomości e-mail dzięki analizom zagrożeń opartym na sztucznej inteligencji
- Szybsze wdrażanie nowych pracowników + zautomatyzowane zarządzanie uwierzytelnianiem, które pozwala zespołom IT zaoszczędzić wiele godzin
- Informacje o zagrożeniach w czasie rzeczywistym oraz raporty szyfrowane algorytmem PGP w różnych domenach
- Wyższy wskaźnik dostarczalności wiadomości e-mail dzięki rygorystycznemu stosowaniu standardu DMARC pod okiem ekspertów
Pierwsze 15 dni za darmo
Rozpocznij bezpłatny okres próbnyJak Microsoft 365 obsługuje protokół DKIM
Usługa Microsoft 365 obsługuje protokół DKIM w różny sposób, w zależności od tego, czy korzystasz z domyślnej domeny onmicrosoft.com, czy z domeny niestandardowej. Zrozumienie tej różnicy pozwala uniknąć nieporozumień podczas konfiguracji.
Czym zajmuje się automatycznie firma Microsoft
Firma Microsoft automatycznie włącza podpisywanie DKIM dla głównej domeny onmicrosoft.com powiązanej z Twoim dzierżawcą usługi Microsoft 365. Jeśli wysyłasz wiadomości wyłącznie z domeny yourcompany.onmicrosoft.com, funkcja DKIM działa już bez konieczności ręcznej konfiguracji.
Co wymaga ręcznej konfiguracji
Ręczna konfiguracja DKIM jest wymagana dla każdej domeny niestandardowej, z której wysyłasz wiadomości e-mail.
Jeśli Twoja organizacja wysyła wiadomości z domeny niestandardowej, takiej jak twojafirma.com, musisz utworzyć rekordy CNAME w systemie DNS i włączyć podpisywanie DKIM za pośrednictwem portalu Microsoft Defender.
Każda subdomena używana do wysyłania wiadomości e-mail z usługi Microsoft 365 wymaga również własnej konfiguracji DKIM. DKIM nie rozciąga się automatycznie z domeny głównej na jej subdomeny.
System z dwoma selektorami
W usłudze Microsoft 365 dla każdej domeny niestandardowej stosowane są dwa selektory DKIM: selector1 i selector2.
Zastosowanie dwóch selektorów pozwala firmie Microsoft na automatyczną rotację kluczy DKIM w celu zapewnienia większego bezpieczeństwa. Podczas konfiguracji DKIM należy utworzyć rekordy CNAME dla obu selektorów, kierujące do kluczy publicznych wygenerowanych przez Microsoft 365.
| Opinia eksperta: „Z mojego doświadczenia w pomaganiu organizacjom we wdrażaniu DKIM wynika, że automatyzacja monitorowania DKIM za pomocą PowerDMARC nie tylko oszczędza czas, ale także pomaga wykrywać błędy konfiguracyjne, zanim wpłyną one na dostarczalność wiadomości e-mail. Ma to szczególne znaczenie dla firm SaaS oraz branż podlegających regulacjom, w których niezawodność poczty elektronicznej ma kluczowe znaczenie”. |
Wymagania wstępne dotyczące konfiguracji DKIM w usłudze Office 365
Przed rozpoczęciem konfiguracji DKIM upewnij się, że spełnione są poniższe warunki.
| Warunek wstępny | Szczegóły |
|---|---|
| Uprawnienia administratora | Do wykonania czynności związanych z konfiguracją DKIM wymagane są uprawnienia administratora globalnego lub administratora Exchange |
| Domena własna została zweryfikowana | Aby skonfigurować DKIM, należy najpierw zweryfikować domenę niestandardową w usłudze Microsoft 365 |
| Dostęp do DNS | Aby opublikować rekordy CNAME, potrzebujesz dostępu do swojego rejestratora domen lub dostawcy usług hostingowych DNS |
| Skonfigurowano SPF | Przed włączeniem DKIM należy najpierw skonfigurować SPF dla Twojej domeny |
Jeśli dla Twojej domeny nie skonfigurowano jeszcze SPF, zrób to najpierw. Szczegółowe instrukcje znajdziesz w naszym przewodniku konfiguracji SPF.
Przewodnik krok po kroku: Konfiguracja DKIM w usłudze Office 365
Konfiguracja DKIM dla domeny niestandardowej w usłudze Microsoft 365 obejmuje trzy główne czynności: pobranie wartości rekordów CNAME z portalu Microsoft Defender, opublikowanie tych rekordów w systemie DNS oraz włączenie podpisywania DKIM po wykryciu tych rekordów.
Proces ten wymaga dokładności na każdym etapie. Błędy w wpisach CNAME są najczęstszą przyczyną niepowodzeń podczas konfiguracji DKIM, dlatego warto poświęcić odpowiednią ilość czasu na konfigurację DNS.
Krok 1: Uzyskaj wartości rekordów CNAME DKIM z usługi Microsoft 365
Usługa Microsoft 365 generuje dokładne wartości rekordów CNAME, które należy opublikować w systemie DNS. Aby je znaleźć:
- Zaloguj się do portal Microsoft Defender
- Przejdź do Poczta e-mail i współpraca > Zasady i reguły > Zasady dotyczące zagrożeń
- Wybierz Ustawienia uwierzytelniania poczty e-mail
- Kliknij DKIM .
- Wybierz swoją domenę z listy
- Otwórz menu rozwijane zawierające szczegóły dotyczące tej domeny
Portal wyświetli dwie wartości rekordów CNAME, których potrzebujesz. Jeśli funkcja DKIM nie może być jeszcze włączona, portal wskaże wartości, które należy zastosować w rekordach CNAME.
Podstawowa składnia rekordów CNAME DKIM dla domen niestandardowych ma następujący format:
| Nazwa hosta | Wskazuje na |
|---|---|
| selector1._domainkey.twojadomena.com | selector1-twojadomena-com._domainkey.nazwatwojegodzierżawcy.onmicrosoft.com |
| selector2._domainkey.twojadomena.com | selector2-twojadomena-com._domainkey.nazwatwojego dzierżawcy.onmicrosoft.com |
Zawsze należy stosować dokładne wartości podane w portalu Defender dla konkretnej domeny i dzierżawcy, a nie ogólny szablon.
PowerDMARC automatycznie generuje i weryfikuje rekordy DKIM dla usługi Office 365, eliminując błędy wynikające z ręcznej konfiguracji i zapewniając prawidłowe ustawienia od samego początku. Skorzystaj z naszego bezpłatnego narzędzia do sprawdzania rekordów DKIM , aby natychmiast zweryfikować swoje rekordy.
Krok 2: Utwórz rekordy CNAME w swoim systemie DNS
Zaloguj się do swojego rejestratora domen lub dostawcy usług hostingowych DNS i utwórz dwa nowe rekordy CNAME, używając wartości z poprzedniego kroku.
Najważniejsze kwestie, które należy sprawdzić podczas dodawania rekordów:
- Typ rekordu musi być ustawiony na CNAME, a nie TXT ani żaden inny typ
- Wartości nazw hostów muszą zawierać pełny prefiks selektora: selector1._domainkey oraz selector2._domainkey
- Należy dokładnie sprawdzić, czy w wartościach CNAME nie ma literówek. Błędy popełnione przez rejestratora domen są najczęstszą przyczyną niepowodzeń podczas konfiguracji DKIM
- Nie dodawaj wielu sprzecznych wpisów dla tej samej nazwy hosta
Zmiany w systemie DNS mogą potrzebować do 48 godzin, aby rozprzestrzenić się na całym świecie, choć często następuje to znacznie szybciej. Wykrycie nowych rekordów CNAME przez usługę Microsoft 365 może zająć od kilku minut do kilku godzin.
Krok 3: Włącz podpisywanie DKIM w portalu Microsoft Defender
Gdy rekordy CNAME zostaną opublikowane i zaktualizowane, wróć do zakładki DKIM w portalu Microsoft Defender:
- Wybierz swoją własną domenę
- Otwórz menu rozwijane ze szczegółami
- Przełącz Podpisuj wiadomości dla tej domeny podpisami DKIM na włączone
Aby podpisy DKIM były aktywne, w zakładce „DKIM” musi być widoczny status domeny wskazujący prawidłowe wartości. Jeśli portal nie wykryje Twoich rekordów CNAME, wyświetli komunikat o błędzie wraz z oczekiwanymi wartościami. Przed ponowną próbą dokładnie sprawdź poprawność swoich rekordów DNS.
Po włączeniu DKIM aktualizacja statusu i potwierdzenie mogą zająć trochę czasu podpisy DKIM są stosowane do wiadomości wychodzących.
Krok 4: Sprawdź, czy DKIM działa
Aby sprawdzić, czy podpis DKIM jest aktywny, wyślij wiadomość testową ze swojej domeny na adres Gmaila i sprawdź nagłówek wiadomości:
- Otwórz otrzymaną wiadomość e-mail w Gmailu
- Kliknij menu z trzema kropkami i wybierz Pokaż oryginał
- Poszukaj pola nagłówka DKIM-Signature w surowym nagłówku wiadomości
- Sprawdź, czy podpis DKIM jest obecny i czy wartość d= odpowiada Twojej domenie niestandardowej
- Wartość s= w nagłówku DKIM-Signature określa aktualnie używany selektor
Możesz również skorzystać z narzędzi do monitorowania DMARC firmy PowerDMARC narzędzi monitorujących DMARC , aby sprawdzić zgodność DKIM we wszystkich źródłach wysyłania w jednym panelu.
Pozytywny wynik sprawdzania DKIM w nagłówku wiadomości potwierdza, że podpis DKIM jest aktywny i działa poprawnie dla Twojej domeny niestandardowej.
| Potrzebujesz pomocy w rozwiązywaniu problemów związanych z DKIM? Eksperci ds. bezpieczeństwa poczty elektronicznej z firmy PowerDMARC pomogą Ci szybko rozwiązać problemy związane z konfiguracją DKIM. Rozpocznij bezpłatny okres próbny , aby uzyskać wsparcie ekspertów i automatyczne monitorowanie. |
Jak skonfigurować DKIM za pomocą programu PowerShell
Exchange Online PowerShell udostępnia narzędzia wiersza poleceń, które pozwalają zautomatyzować konfigurację DKIM, włączyć lub wyłączyć podpisywanie DKIM dla domen niestandardowych oraz rozwiązywać problemy. Takie podejście jest szczególnie przydatne podczas zarządzania wieloma domenami lub złożonymi środowiskami.
Aby włączyć DKIM za pomocą PowerShell:
1. Połącz się z Exchange Online
2. Wyodrębnij selektory Office 365 DKIM, uruchamiając następujący skrypt:
3. Dodaj rekordy CNAME dostarczone przez Office 365 do DNS.
4. Uruchom następujące polecenie, aby włączyć DKIM dla domeny:
Typowe polecenia PowerShell służące do rozwiązywania problemów
- Sprawdź stanDKIM: Get-DkimSigningConfig -Identity „twojadomena.com”
- Wyłącz DKIM: Set-DkimSigningConfig -Identity „twojadomena.com” -Enabled $false
- Bulk enable for multiple domains: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $true}
- Wyświetl selektory DKIM: Get-DkimSigningConfig | Wybierz Identity,Selector1CNAME,Selector2CNAME
Jak sprawdzić status rekordu DKIM w usłudze Office 365
Po skonfigurowaniu DKIM sprawdź, czy wszystko działa poprawnie. Oto kilka sposobów sprawdzenia stanu rekordu DKIM:
Metoda 1: Portal Microsoft Defender
- Przejdź do portalu Microsoft Defender
- Przejdź do sekcji „Poczta e-mail i współpraca” > „Zasady i reguły” > „Zasady dotyczące zagrożeń” > „DKIM”
- Sprawdź kolumnę „Status” dla swojej domeny – powinna zawierać wpis „Włączone” wraz z zielonymi znacznikami
Metoda 2: Narzędzia do sprawdzania DKIM online
Skorzystaj z bezpłatnego narzędzia PowerDMARC do narzędzie do wyszukiwania rekordów DKIM , aby natychmiast zweryfikować swoje rekordy DKIM. Wprowadź swoją domenę i selektor (selector1 lub selector2), aby potwierdzić prawidłową publikację i ważność.
Metoda 3: Analiza nagłówków wiadomości e-mail
Wyślij wiadomość testową i sprawdź nagłówki:
- Poszukaj frazy „DKIM-Signature:” w nagłówkach wiadomości e-mail
- Sprawdź, czy parametr „d=” jest zgodny z Twoją domeną
- Sprawdź, czy w polu „Authentication-Results:” widnieje wartość „dkim=pass”
Typowe problemy związane z weryfikacją DKIM
- Opóźnienia w propagacji DNS: Poczekaj 24–48 godzin na globalną propagację
- Nieprawidłowe wartości CNAME: Sprawdź dokładnie wartości podane na portalu Microsoft Defender
- Wiele rekordów DNS: Upewnij się, że nie ma żadnych sprzecznych rekordów DKIM
- Ustawienia TTL: Niższe wartości TTL przyspieszają propagację podczas testowania
Ograniczenia związane z konfiguracją DKIM i typowe problemy
DKIM to skuteczny protokół uwierzytelniania poczty elektronicznej , ale wiąże się z pewnymi ograniczeniami technicznymi, które należy zrozumieć przed wdrożeniem i w trakcie jego realizacji.
Znajomość tych ograniczeń z góry pozwala uniknąć typowych pułapek, prawidłowo zaplanować konfigurację oraz realistycznie ocenić, przed czym DKIM może samodzielnie chronić, a przed czym nie.
| Rozważania | Co warto wiedzieć |
|---|---|
| Długość klucza | W usłudze Microsoft 365 domyślnie stosowane są klucze kryptograficzne o długości 2048 bitów, co zapewnia wysoką ochronę wiadomości wychodzących |
| Rozprzestrzenianie się DNS | Po opublikowaniu rekordów CNAME należy poczekać do 48 godzin, aż zmiany w systemie DNS zostaną rozpropagowane na całym świecie, choć często proces ten przebiega znacznie szybciej |
| Rotacja kluczy DKIM | Należy wymieniać klucze DKIM co rok lub dwa lata, aby zapewnić wysoki poziom bezpieczeństwa poczty elektronicznej i zmniejszyć ryzyko wykorzystania starych kluczy |
| Wiele domen | Każda niestandardowa domena używana do wysyłania wiadomości e-mail wymaga osobnej konfiguracji DKIM. DKIM nie obejmuje automatycznie subdomen domeny głównej |
| Niewykorzystane domeny | Nie należy publikować rekordów DKIM dla domen, z których nigdy nie wysyłane są wiadomości e-mail. Może to umożliwić weryfikację DKIM sfałszowanych wiadomości wysyłanych z tych domen |
Lista kontrolna typowych błędów podczas konfiguracji DKIM
✓ Sprawdź, czy składnia rekordu CNAME jest dokładnie taka sama, jak pokazano w portalu Microsoft Defender
✓ Upewnij się, że nazwy selektorów nie zawierają literówek (selector1._domainkey, selector2._domainkey)
✓ Sprawdź, czy typ rekordu DNS jest ustawiony na CNAME, a nie na TXT
✓ Przed włączeniem DKIM sprawdź, czy domena została zweryfikowana w usłudze Microsoft 365
✓ Przed przystąpieniem do rozwiązywania problemów poczekaj na propagację DNS (do 48 godzin)
✓ Usuń wszystkie sprzeczne lub zduplikowane rekordy DKIM
Ograniczenia DKIM
Zrozumienie, w jakich obszarach DKIM ma swoje ograniczenia, jest równie ważne jak wiedza o tym, jak działa. Właśnie te ograniczenia sprawiają, że DKIM należy zawsze wdrażać razem z SPF i DMARC, a nie traktować jako samodzielne rozwiązanie.
Przekierowywanie wiadomości e-mail
Podczas przekazywania wiadomości e-mail podpisy DKIM mogą ulec uszkodzeniu. Gdy wiadomość jest przekazywana, niektóre serwery pocztowe modyfikują nagłówek lub treść wiadomości w sposób, który unieważnia oryginalny podpis DKIM.
Jest to jeden z głównych powodów, dla których protokół DMARC wymaga zgodności zarówno z SPF, jak i DKIM, zamiast opierać się wyłącznie na jednym z nich.
Modyfikacja wiadomości
Wszelkie zmiany w treści wiadomości e-mail po jej podpisaniu spowodują unieważnienie podpisu DKIM. Dotyczy to również zmian wprowadzanych przez listy mailingowe, bramy pocztowe lub narzędzia do filtrowania treści, które modyfikują treść wiadomości lub niektóre pola nagłówka przed jej dostarczeniem.
Usługi wysyłkowe innych dostawców
Zewnętrzne usługi pocztowe, które wysyłają wiadomości w Twoim imieniu, takie jak platformy marketingowe, systemy CRM i narzędzia pomocy technicznej, mogą wymagać dodatkowej konfiguracji DKIM.
Każdy zewnętrzny nadawca zazwyczaj musi podpisywać wysyłane wiadomości przy użyciu Twojej domeny lub własnej, co wymaga weryfikacji i uwzględnienia w ogólnej konfiguracji uwierzytelniania poczty elektronicznej.
Środowiska hybrydowe
Organizacje korzystające jednocześnie z lokalnej wersji Exchange i usługi Microsoft 365 w środowisku hybrydowym mogą wymagać szczególnej uwagi podczas konfigurowania podpisu DKIM.
Wiadomości kierowane przez serwery lokalne przed dotarciem do usługi Microsoft 365 mogą zachowywać się inaczej niż w przypadku wysyłania wyłącznie w chmurze, dlatego przed włączeniem podpisywania należy uwzględnić w konfiguracji DKIM cały przebieg przepływu wiadomości.
Skonfiguruj DKIM dla Office 365 we właściwy sposób dzięki PowerDMARC!
Dlaczego PowerDMARC?
„Dzięki PowerDMARC wdrożenie DKIM przebiegło bez żadnych trudności, a automatyczne monitorowanie zapewniło nam spokój ducha.” – kierownik ds. IT, firma z branży FinTech
|
Rozwiązanie: Przejdź na PowerDMARC
Włączenie podpisu DKIM dla niestandardowej domeny w usłudze Microsoft 365 stanowi kluczowy krok w zapewnieniu bezpieczeństwa poczty elektronicznej. Jednak sam DKIM to tylko część rozwiązania.
Bez wdrożenia protokołu DMARC, który zapewnia zgodność i wgląd w ruch pocztowy, Twoja domena pozostaje narażona na ataki typu spoofing i podszywanie się, których sam protokół DKIM nie jest w stanie powstrzymać.
PowerDMARC ułatwia przejście z konfiguracji DKIM do pełnego wdrożenia DMARC egzekwowania. Dziękihostowanym DMARC, automatyczne raportowanie oraz platformę stworzoną w celu uproszczenia każdego etapu uwierzytelniania wiadomości e-mail, PowerDMARC zapewnia pełną widoczność tego, kto wysyła wiadomości w Twoim imieniu, oraz narzędzia do trwałego zabezpieczenia Twojej domeny.
| Podejście ręczne | PowerDMARC | |
|---|---|---|
| Zarządzanie wieloma domenami | Nie | Tak |
| Dostęp oparty na rolach | Nie | Tak |
| Zautomatyzowane monitorowanie | Nie | Tak |
| Całodobowe wsparcie techniczne na całym świecie | Ograniczony | Tak |
| Wprowadzenie do platformy handlowej/API | Nie | Tak |
Wypróbuj bezpłatnie wersję próbną DMARC , aby już dziś ocenić korzyści.
Najczęściej zadawane pytania
1. Jak mogę upewnić się, że protokół DKIM jest włączony dla wszystkich domen Exchange Online?
Aby upewnić się, że funkcja DKIM jest włączona dla wszystkich domen usługi Exchange Online, sprawdź portal usługi Microsoft Defender w obszarze Poczta e-mail i współpraca > Zasady i reguły > Zasady dotyczące zagrożeń > DKIM. Sprawdź, czy DKIM jest włączony dla każdej domeny niestandardowej.
2. Jak rotować klucze DKIM w usłudze Office 365?
Aby rotować klucze DKIM w usłudze Office 365, należy wygenerować nowe rekordy CNAME dla nowych kluczy w systemie DNS, a następnie włączyć podpisywanie DKIM dla tych nowych kluczy w portalu Microsoft Defender. Proces ten pomaga zwiększyć bezpieczeństwo poprzez okresową aktualizację kluczy kryptograficznych używanych do podpisywania wiadomości e-mail.
3. Jak często należy zmieniać klucze DKIM?
Zaleca się rotację kluczy DKIM co 1 do 2 lat lub wcześniej, jeśli podejrzewasz, że klucze zostały naruszone. Regularna rotacja pomaga utrzymać silne zabezpieczenia poczty e-mail i zapobiega wykorzystywaniu starych kluczy przez atakujących.
4. Jaka jest zalecana długość klucza dla rekordów DKIM?
W usłudze Microsoft Office 365 domyślnie stosowane są klucze DKIM o długości 2048 bitów, co zapewnia wysoki poziom bezpieczeństwa i jest obecnie uznawane za standard branżowy. Taka długość klucza gwarantuje doskonałą ochronę przed atakami kryptograficznymi, nie wpływając negatywnie na wydajność.
5. W jaki sposób protokoły SPF, DKIM i DMARC współdziałają, aby chronić pocztę elektroniczną?
Protokół SPF autoryzuje serwery wysyłające, DKIM weryfikuje integralność wiadomości za pomocą podpisów cyfrowych, a DMARC zapewnia egzekwowanie zasad poprzez połączenie wyników SPF i DKIM. Razem tworzą one kompleksową strukturę uwierzytelniania poczty elektronicznej, która chroni przed spoofingiem i phishingiem oraz gwarantuje, że autentyczne wiadomości e-mail docierają do właściwych odbiorców.
6. Co mam zrobić, jeśli w moich wiadomościach wychodzących nie pojawiają się podpisy DKIM?
Jeśli w wysyłanych wiadomościach e-mail nie pojawiają się podpisy DKIM, sprawdź, czy usługa wysyłania poczty ma włączoną obsługę DKIM oraz czy w systemie DNS opublikowano właściwy klucz publiczny DKIM. Upewnij się również, że selektor jest zgodny oraz że zmiany w DNS zostały w pełni zaktualizowane. Jeśli problem nadal występuje, sprawdź ustawienia serwera poczty lub skontaktuj się z dostawcą usług pocztowych.
7. Dlaczego mój rekord DKIM nie przechodzi weryfikacji w usłudze Office 365?
Do typowych przyczyn należą opóźnienia w propagacji DNS, nieprawidłowe wartości CNAME, literówki w nazwach selektorów lub sprzeczne rekordy DNS. Należy odczekać 24–48 godzin na zakończenie propagacji, sprawdzić dokładne wartości CNAME w portalu Microsoft Defender oraz upewnić się, że nie ma zduplikowanych rekordów.
8. Czy w usłudze Office 365 mogę korzystać z DKIM bez SPF lub DMARC?
Chociaż protokół DKIM może działać samodzielnie, nie jest to zalecane. Sam protokół DKIM nie jest w stanie skutecznie zapobiec podszywaniu się pod domenę. Aby zapewnić pełne uwierzytelnianie i ochronę wiadomości e-mail, konieczne jest współdziałanie wszystkich trzech protokołów (SPF, DKIM i DMARC).
9. Jak zaktualizować klucze DKIM dla wielu domen w usłudze Office 365?
Use PowerShell for bulk operations: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $false; Set-DkimSigningConfig -Identity $_.Name -Enabled $true}. This disables and re-enables DKIM for all domains, forcing key regeneration.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- compauth=fail: Wyjaśnienie uwierzytelniania kompozytowego Microsoftu - 1 czerwca 2026 r.
- Czy program Windows Defender wystarczy do zapewnienia bezpieczeństwa w małej firmie? - 14 maja 2026 r.
- DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
